Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Prijedlog Uredbe o mjerama pojednostavljenja za mala i srednja poduzeća

Prijedlog Uredbe o mjerama pojednostavljenja za mala i srednja poduzeća

Svi članci
10.07.2025.

Usvojeno 8. srpnja 2025. - Zajedničko mišljenje EDPB-EDPS 01/2025 o Prijedlogu uredbe o mjerama pojednostavljenja za mala i srednja poduzeća (MSP-ove) i mala poduzeća srednje tržišne kapitalizacije (Small Mid-Cap, SMC, poduzeća s manje od 750 zaposlenika i s manje od 150 milijuna eura prometa ili s najviše 129 milijuna eura ukupne imovine), posebno obveze vođenja evidencija prema članku 30(5) GDPR-a.

Sažetak

21. svibnja 2025. Europska komisija izdala je Prijedlog uredbe o izmjeni određenih uredbi, uključujući GDPR, u vezi s proširenjem određenih mjera ublažavanja dostupnih malim i srednjim poduzećima (MSP) i malim poduzećima srednje tržišne kapitalizacije (SMC) i daljnjim mjerama pojednostavljenja („Prijedlog“).

Komisija se formalno savjetovala s Europskim odborom za zaštitu podataka i Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 2. Uredbe (EU) 2018/1725. Prijedlog bi izmijenio odstupanje iz članka 30(5) GDPR-a propisivanjem da se obveza vođenja evidencije ne bi primjenjivala na poduzeće ili organizaciju koja zapošljava manje od 750 osoba, osim ako je vjerojatno da će obrada koju provodi rezultirati visokim rizikom za prava i slobode ispitanika, u smislu članka 35. GDPR-a.

Osim toga, Prijedlog bi uveo definiciju malih i srednjih poduzeća (MSP) i malih poduzeća srednje tržišne kapitalizacije (SMC) u članak 4. GDPR-a te proširio područje primjene članka 40(1) i 42(1) GDPR-a na mala poduzeća srednje tržišne kapitalizacije (SMC).

EDPB i EDPS podržavaju opći cilj Prijedloga smanjenja administrativnog opterećenja za MSP-ove i SMC-ove a, sve dok ostvarivanje tog cilja ne rezultira smanjenjem zaštite temeljnih prava pojedinaca, posebno temeljnog prava na zaštitu osobnih podataka. EDPB i EDPS u tom smislu pozdravljaju činjenicu da su predložene izmjene GDPR-a radi pojednostavljenja i pojašnjenja obveze vođenja evidencije obrade ciljane i ograničene prirode te ne utječu na temeljna načela i druge obveze prema GDPR-u. Istodobno, EDPB i EDPS podsjećaju na važnost temeljnog prava na zaštitu osobnih podataka i potrebu da se osigura da je, u svjetlu članka 52. Povelje, pojednostavljenje proporcionalno, uravnoteženo i utemeljeno na nužnosti. U tom smislu, EDPB i EDPS napominju da Prijedlog ne uključuje procjenu posljedica predloženih promjena GDPR-a na temeljna prava, koja je trebala biti provedena.

EDPB i EDPS pozdravljaju napore u pojašnjenju i pojednostavljenju uvjeta pod kojima bi se primjenjivalo odstupanje iz članka 30. stavka 5. GDPR-a, propisujući da se ovo odstupanje ne bi primjenjivalo na obradu „koja bi vjerojatno rezultirala visokim rizikom“. Kako bi se izbjegli bilo kakvi nesporazumi, EDPB i EDPS predlažu suzakonodavcima da u uvodnim izjavama pojasne da bi evidencija obrade bila obvezna samo za one aktivnosti obrade koje „vjerojatno rezultiraju visokim rizikom“. EDPB i EDPS ističu da je obrada osobnih podataka obuhvaćena člancima 9. i 10. GDPR-a važna za procjenu hoće li obrada vjerojatno rezultirati visokim rizikom. U tom smislu, EDPB i EDPS predlažu da zakonodavci preformuliraju uvodnu izjavu 10. u usporedbi s Prijedlogom kako bi pojasnili da obrada u svrhe predviđene člankom 9. stavkom 2. točkom (b) GDPR-a ne bi zahtijevala vođenje evidencije obrade, osim ako procjena ne pokaže da će obrada vjerojatno rezultirati visokim rizikom. Što se tiče obveze vođenja evidencije prema članku 30. GDPR-a, EDPB i EDPS ističu da, osim što olakšavaju naknadno dokazivanje usklađenosti, evidencije o aktivnostima obrade predstavljaju vrlo korisno sredstvo za potporu usklađenosti s nekoliko zahtjeva GDPR-a.

EDPB i EDPS stoga potiču poduzeća i organizacije koje zapošljavaju manje od 750 osoba i koje se ne bave visokorizičnom obradom da odaberu najprikladnije metode kako bi adekvatno podržali usklađenost s obvezama GDPR-a i kako ne bi imali negativan utjecaj na prava ispitanika. 

Što se tiče referenci na MSP-ove i SMC-ove i organizacije u tekstu Prijedloga, EDPB i EDPS preporučuju zakonodavcima da u izmijenjenom članku 30(5) GDPR-a uvrste referencu na novouvedene definicije malih i srednjih poduzeća i malih poduzeća srednje tržišne kapitalizacije. Osim toga, preporučuju zakonodavcima da u uvodnoj izjavi pojasne da pojam „organizacija“ koji spada pod predloženo odstupanje prema članku 30(5) GDPR-a ne uključuje javna tijela i tijela. 

Pozadina

Cilj Prijedloga je na koherentan način riješiti situaciju u kojoj poduzeća prerastu segment malih i srednjih poduzeća i suočavaju se s pravilima koja se primjenjuju na velika poduzeća.

Prijedlog ima za cilj olakšati poslovanje MSP-ova i SMC-ova i smanjiti njihovo administrativno opterećenje izmjenom niza postojećih zakona - uključujući GDPR - koji predviđaju posebna ublaženja za MSP-ove, proširujući područje primjene tih odredbi i uključujući SMC-ove. 

U tu svrhu, Prijedlog bi uveo sljedeće promjene u GDPR:

  • Uvođenje definicije MSP-ova i SMC-ova u članak 4. GDPR-a. Predlaže se da se pod MSP-ovima podrazumijevaju poduzeća kako je definirano u članku 2. Priloga Preporuci Komisije 2003/361/EZ. EDPB i EDPS napominju da to slijedi pristup iz trenutačne uvodne izjave 13. GDPR-a. Također se predlaže da se pod SMC-ovima podrazumijevaju poduzeća kako je definirano u točki (2) Priloga Preporuci Komisije od 21. svibnja 2025. o definiciji malih poduzeća srednje tržišne kapitalizacije - C(2025) 3500 final. Preporuka Komisije određuje da su SMC-ovi poduzeća koja MSP-ovi u skladu s Preporukom 2003/361/EZ, zapošljavaju manje od 750 osoba i imaju godišnji promet ne veći od 150 milijuna eura ili godišnju bilancu ne veću od 129 milijuna eura;
  • Proširenje opsega odstupanja na obvezu vođenja evidencije o aktivnostima obrade prema članku 30(5) GDPR-a kako bi se uključila poduzeća ili organizacije koje zapošljavaju manje od 750 osoba. Ovo odstupanje trenutačno se primjenjuje na poduzeća i organizacije s manje od 250 zaposlenika, pod uvjetom da obrada vjerojatno neće predstavljati rizik za prava i slobode ispitanika, da nije povremena i da ne uključuje posebne kategorije podataka (članak 9(1) GDPR-a) ili osobne podatke koji se odnose na kaznene osude i prekršaje (članak 10. GDPR-a). Prema Prijedlogu, trenutačna obveza vođenja evidencije za takva poduzeća i organizacije ostala bi obvezna kada je „vjerojatno da će obrada rezultirati visokim rizikom za prava i slobode ispitanika“;
  • Proširenje područja primjene članka 40(1) i 42(1) GDPR-a na SMC-ove, kako bi se njihove specifične potrebe također uzele u obzir prilikom izrade kodeksa ponašanja i u kontekstu mehanizama certificiranja.

Dana 6. svibnja 2025., prije donošenja Prijedloga, Komisija je poslala pismo EDPB-u i EDPS-u tražeći njihove povratne informacije o nadolazećem nacrtu prijedloga o pojednostavljenju obveza vođenja evidencije prema GDPR-u. U njihovom zajedničkom odgovoru od 8. svibnja 2025.9, EDPB i EDPS, na temelju informacija dostupnih u to vrijeme i do potpune analize konkretnog prijedloga, izrazio je preliminarnu podršku ovoj ciljanoj inicijativi za pojednostavljenje, imajući na umu da to ne bi utjecalo na obvezu voditelja i izvršitelja da se pridržavaju drugih obveza iz GDPR-a. Ipak, EDPB i EDPS zatražili su više informacija od Komisije kako bi bolje procijenili utjecaj na organizacije na koje se odnosi ova promjena, kako bi procijenili osigurava li prijedlog proporcionalnu i pravednu ravnotežu između zaštite osobnih podataka i interesa SMC-ova. 

EDPB i EDPS podržavaju opći cilj smanjenja administrativnog opterećenja

EDPB i EDPS podržavaju opći cilj Prijedloga - smanjenje administrativnog opterećenja za MSP-ove i SMC-ove podjednako, sve dok ostvarivanje tog cilja ne rezultira smanjenjem zaštite temeljnih prava pojedinaca, posebno temeljnog prava na zaštitu osobnih podataka. EDPB i EDPS u tom smislu pozdravljaju činjenicu da su predložene izmjene GDPR-a radi pojednostavljenja i pojašnjenja obveze vođenja evidencije obrade ciljane i ograničene prirode te ne utječu na temeljna načela i druge obveze prema GDPR-u.

EDPB i EDPS podsjećaju na važnost temeljnog prava na zaštitu osobnih podataka i potrebu da se osigura da je, u svjetlu članka 52. Povelje, pojednostavljenje proporcionalno, uravnoteženo i utemeljeno na nužnosti.

U tom smislu, EDPB i EDPS napominju da Prijedlog ne uključuje procjenu posljedica proširenja opsega odstupanja od obveze vođenja evidencije obrade na temeljna prava, a posebno na pravo na zaštitu osobnih podataka pojedinca. Čak i ako takva procjena možda nije relevantna za određene zakonske propise koji podliježu Omnibus prijedlogu, i unatoč vlastitoj procjeni EDPB-a i EDPS-a da temeljna načela i druge obveze prema GDPR-u ostaju nepromijenjene, takva je procjena ipak trebala biti provedena u vezi s predloženim izmjenama GDPR-a. To je posebno važno s obzirom na to da GDPR štiti temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka. 

EDPB i EDPS primjećuju da, u skladu sa Strategijom EDPB-a za razdoblje 2024. – 2027.14, EDPB radi na mjerama za olakšavanje usklađenosti za MSP-ove te da je u okviru ove inicijative već objavljeno nekoliko namjenskih praktičnih resursa. Nacionalna nadzorna tijela također su razvila nekoliko inicijativa kako bi olakšala usklađenost MSP-ova s člankom 30. GDPR-a, na primjer pružanjem predložaka za (pojednostavljene) evidencije aktivnosti obrade kako bi se pomoglo MSP-ovima u dokumentiranju njihovih aktivnosti obrade.

Odstupanje od zahtjeva za vođenjem evidencija o aktivnostima obrade podataka prema članku 30. stavku 5. gdpr-a (članak 1. stavak 2. prijedloga)

O „vjerojatno će rezultirati visokim rizikom“

EDPB i EDPS svjesni su da članak 30. stavak 5. GDPR-a, u svom sadašnjem obliku, možda nije uvijek postigao svoj cilj, na primjer zato što iznimka obično ne bi bila primjenjiva za vrlo mala poduzeća ili organizacije s jednim ili samo nekoliko zaposlenika čim obrada ne bi bila povremene prirode.

Istovremeno, kako je istaknuto u zajedničkom odgovoru EDPB-a i EDPS-a od 8. svibnja 2025., Prijedlog bi zadržao obvezu vođenja evidencije o obradi kada je vjerojatno da će obrada rezultirati visokim rizikom za prava i slobode ispitanika. To je u skladu s pristupom temeljenim na riziku koji je temelj GDPR-a, budući da čak i vrlo male tvrtke mogu provoditi obradu koja će vjerojatno rezultirati visokim rizikom.

EDPB i EDPS ističu da će, kako bi utvrdili hoće li obrada „vjerojatno rezultirati visokim rizikom“, što utječe na to mogu li imati koristi od odstupanja, voditelji i dalje morati provesti procjenu rizika koji predstavlja njihova obrada.

EDPB i EDPS predlažu zakonodavcima da u uvodnim izjavama pojasne da bi evidencija obrade bila obvezna samo za one aktivnosti obrade „koje će vjerojatno rezultirati visokim rizikom“. Time bi se izbjeglo pogrešno shvaćanje teksta u smislu da je evidencija svih aktivnosti obrade obvezna od trenutka kada je vjerojatno da će barem jedna od tih aktivnosti obrade rezultirati visokim rizikom.

Uvjet „vjerojatno će rezultirati visokim rizikom za prava i slobode ispitanika“ prema predloženoj izmjeni članka 30(5) GDPR-a isti je uvjet za provođenje procjene učinka u skladu s člankom 35. GDPR-a. U praksi bi dvije odredbe čitane zajedno značile da kada je vjerojatno da će obrada rezultirati visokim rizikom, treba provesti procjenu učinka i voditi evidenciju o obradi.

Prema trenutačnoj verziji članka 30(5) GDPR-a, obrada osobnih podataka obuhvaćena člankom 9. ili 10. GDPR-a dovoljna je za pokretanje obveze vođenja evidencije o aktivnostima obrade za poduzeća i organizacije s manje od 250 zaposlenika. Prema Prijedlogu, ovaj uvjet briše se iz teksta članka 30(5) GDPR-a.

EDPB i EDPS primjećuju važnost ovog pojednostavljenja s obzirom na posebnu zaštitu koju GDPR pruža tim kategorijama podataka. Uklanjanje uvjeta koji se odnose na obradu koja nije povremena i obradu osobnih podataka uređenu člankom 9(1) Članak 9. stavak 1. ili 10. GDPR-a može u praksi imati čak i veći utjecaj od podizanja praga koji se odnosi na broj zaposlenika. Korištenje osobnih podataka obuhvaćenih člankom 9. stavkom 1. ili člankom 10. GDPR-a morat će se uzeti u obzir pri procjeni rizika koji predstavlja aktivnost obrade. EDPB i EDPS podsjećaju da je obrada takvih osobnih podataka jedan od čimbenika koji mogu dovesti do vjerojatnosti visokog rizika.

U tom smislu, uvodna izjava 10. Prijedloga određuje da „obrada posebnih kategorija osobnih podataka prema članku 9. stavku 2. točki (b) GDPR-a u svrhu izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava, socijalnog osiguranja i socijalne zaštite ne bi trebala kao takva zahtijevati vođenje evidencije o obradi“. EDPB i EDPS slažu se da neke aktivnosti obrade predviđene člankom 9. stavkom 2. točkom (b) GDPR-a, koje su uređene pravom Unije ili države članice koje je predvidjelo učinkovite zaštitne mjere, vjerojatno neće rezultirati visokim rizikom. Istodobno, EDPB i EDPS naglašavaju da neke druge obrade predviđene člankom 9. stavkom 2. točkom (b) GDPR-a i dalje mogu vjerojatno rezultirati visokim rizikom, npr. sustavno praćenje zaposlenika na radnom mjestu koje uključuje obradu posebnih kategorija podataka.

Predložena uvodna izjava ne može odstupiti od zahtjeva koji bi proizašli iz normativne odredbe Prijedloga, prema kojima bi se evidencija obrade zahtijevala kada je vjerojatno da će obrada rezultirati visokim rizikom. Stoga EDPB i EDPS predlažu da zakonodavci u uvodnoj izjavi izričito razjasne da obrada u svrhe predviđene člankom 9(2)(b) GDPR u načelu vjerojatno ne bi rezultirao visokim rizikom za ispitanike - te stoga ne bi zahtijevao vođenje evidencije obrade - osim ako procjena ne pokaže da će obrada vjerojatno rezultirati visokim rizikom. To bi osiguralo da se, za primjenu odstupanja prema članku 30(5) GDPR-a, isti uvjet primjenjuje na svu obradu i da bude u skladu s onim koji se primjenjuje prema članku 35. GDPR-a.

O obvezi vođenja evidencije prema članku 30. GDPR-a

EDPB i EDPS podsjećaju da, zamjenom režima prethodne obavijesti koji se prethodno primjenjivao prema Direktivi 95/46/EZ25 s instrumentom kao što je evidencija aktivnosti obrade, GDPR je odgovornost stavio na voditelje i izvršitelje - dokumentirati relevantne informacije o aktivnostima obrade na jednom mjestu i staviti ih na raspolaganje nadležnim tijelima na zahtjev.

U tom kontekstu, evidencija aktivnosti obrade služi kao sredstvo kojim voditelji i izvršitelji mogu dokazati usklađenost s načelom odgovornosti.

Međutim, kako je EDPB istaknuo u nekoliko navrata, osim što olakšava naknadno dokazivanje usklađenosti, evidencije o aktivnostima obrade predstavljaju vrlo korisno sredstvo za potporu analizi implikacija bilo koje obrade, bilo postojeće ili planirane.  

U praktičnom smislu, korisnost ovog alata je jasna u nekoliko konteksta, kao što su, između ostalog:

  • Zapisi/ evidencije pomažu voditeljima da imaju sveobuhvatan pregled svih aktivnosti obrade, čime im se, između ostalog, pomaže da se pridržavaju načela navedenih u članku 5. GDPR-a i da utvrde pravnu osnovu prema članku 6. GDPR-a;
  • Zapisi pomažu voditeljima da ostvare prava ispitanika, kao što je razvoj politika privatnosti ili u kontekstu ostvarivanja prava pristupa osobnim podacima prema članku 15. GDPR-a. Oni također olakšavaju činjeničnu procjenu rizika aktivnosti obrade koje provodi voditelj obrade ili izvršitelj za prava pojedinaca;
  • Zapisi su važan izvor informacija za voditelje u kontekstu procjene rizika i odlučivanja hoće li provesti procjenu učinka na zaštitu podataka u skladu s člankom 35. GDPR-a.
  • Zapisi/ evidencije su među alatima koji omogućuju službenicima za zaštitu podataka obavljanje njihovih zadataka, uključujući praćenje usklađenosti, informiranje i savjetovanje voditelja ili izvršitelja;
  • Zapisi/ evidencije o aktivnostima obrade korisni su za utvrđivanje glavnog sjedišta voditelja obrade, čime je vodeći nadzorni organ nadležan za specifične aktivnosti prekogranične obrade;
  • U kontekstu prijenosa osobnih podataka u treće zemlje, evidencije o aktivnostima obrade mogu pomoći voditeljima i izvršiteljima u procjeni jesu li mjere za nadopunu alata za prijenos prikladne;
  • Zapisi/evidencije pomažu voditeljima i izvršiteljima da mapiraju i razumiju svoje aktivnosti obrade prilikom primjene novih tehnologija poput umjetne inteligencije, pomažući im da koriste inovativne i nove aktivnosti obrade uz poštivanje prava na zaštitu osobnih podataka.
  • Voditelji obrade mogu zatražiti od izvršitelja da podijele dijelove svojih zapisa/evidencija o aktivnostima obrade kako bi voditelj bio u potpunosti informiran o detaljima obrade koji su relevantni za dokazivanje usklađenosti s člankom 28. GDPR-a.
  • Zapisi/evidencije olakšavaju identifikaciju i provedbu odgovarajućih sigurnosnih mjera za zaštitu osobnih podataka.

Voditelj obrade također može odlučiti dokumentirati kršenja prema članku 33(5) GDPR-a kao dio svoje evidencije aktivnosti obrade koja se vodi u skladu s člankom 30. GDPR-a.

Predložena promjena više ne bi propisivala evidenciju obrade u skladu s člankom 30. GDPR-a za poduzeća i organizacije koje zapošljavaju manje od 750 osoba i koje se ne bave obradom koja bi vjerojatno rezultirala visokim rizikom.

U tim slučajevima koji spadaju pod odstupanje, članak 30(1) i (2) GDPR-a ne bi se primjenjivao, što znači da ne bi moglo doći do kršenja ove odredbe i to ne bi moglo dovesti do sankcije. Međutim, EDPB i EDPS naglašavaju da bi voditelji i izvršitelji koji spadaju pod odstupanje i dalje bili podložni svim ostalim zahtjevima GDPR-a, za koje, kako je gore objašnjeno, vođenje evidencije može pomoći u postizanju usklađenosti.

Ti voditelji i izvršitelji tada mogu odabrati najprikladnije metode za osiguranje i dokazivanje usklađenosti, u skladu s načelom odgovornosti, koristeći se većom fleksibilnošću u načinu na koji se organiziraju. EDPB i EDPS žele naglasiti da poduzeća i organizacije moraju osigurati da takva metoda na odgovarajući način podržava usklađenost s GDPR-om i da nema negativan utjecaj na prava ispitanika.

O revidiranom pragu i o referenci na mala i srednja poduzeća i organizacije u tekstu Prijedloga

„Zapošljavanje manje od 750 osoba“

EDPB i EDPS razumiju da je svrha opće definicije SMC-ova, koja odgovara tri puta većoj veličini MSP-ova, pružiti podršku tim tvrtkama koje se suočavaju sa sličnim izazovima kao i MSP-ovi.

U tom kontekstu, Prijedlog uvodi pojam SMC-ova u niz pravnih akata - uključujući GDPR - gdje su mjere ublažavanja ili potpore već bile dostupne za MSP-ove.

Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka pozdravljaju procjenu pruženu u zakonodavnoj financijskoj i digitalnoj izjavi koja prati Prijedlog, a koja je već zatražena u njihovom zajedničkom odgovoru. Napominju da će novi prag od 750 zaposlenika omogućiti 38 000 SMC-ova – uz 26 milijuna SME-ova potencijalno ući u područje primjene novog odstupanja prema članku 1. stavku 2. prijedloga.

Ovaj revidirani prag može značiti da će u nekim državama članicama vrlo malo voditelja i izvršitelja dosegnuti taj prag. Stoga bi mali broj voditelja i izvršitelja ostao podložan obvezi vođenja evidencije isključivo na temelju svoje veličine.

U tom kontekstu, EDPB i EDPS bi pozdravili daljnja pojašnjenja o tome zašto bi novi prag poduzeća ili organizacija koje zapošljavaju manje od 750 osoba bio prikladan za specifičan slučaj GDPR-a, a posebno zašto je prag od 500 zaposlenika koji je Komisija u početku razmatrala prilikom neformalnog savjetovanja s EDPB-om i EDPS-om procijenjen kao prenizak.

„Poduzeća“

EDPB i EDPS napominju da se predložena izmjena članka 30(5) GDPR-a ne odnosi na pojmove MSP-ova i SMC-ova, već na „poduzeće […] koje zapošljava manje od 750 osoba“

Kao rezultat toga, u praksi bi se izmjena članka 30(5) GDPR-a primjenjivala i na poduzeća koja zapošljavaju manje od 750 zaposlenika, ali koja se ne kvalificiraju kao MSP-ovi i SMC-ovi zbog većeg godišnjeg prometa ili ukupne bilance. Čini se da je to u suprotnosti s uvodnom izjavom 9. Prijedloga, koja izmjenu naziva „proširenjem opsega odstupanja od obveze vođenja evidencije na SMC-ove i organizacije s manje od 750 zaposlenika“.

Pojmovi MSP-ova i SMC-ova spominju se u predloženim izmjenama članka 40. i članka 42. GDPR-a u vezi s kodeksima ponašanja i certificiranjem.

EDPB i EDPS preporučuju zakonodavcima - u slučaju da smatraju prikladnim koristiti prag od 750 zaposlenika - da u izmijenjenom članku 30(5) GDPR-a uvedu referencu na novouvedene definicije MSP-ova i SMC-ova kako bi se zamijenio pojam „poduzeće“. To bi bolje slijedilo ciljeve Prijedloga i osiguralo dosljednost s referencom na ove definicije u člancima 40. i 42. u vezi s kodeksima ponašanja i certificiranjem.

„Organizacije“

U skladu s važećim člankom 30(5) GDPR-a, EDPB i EDPS razumiju da bi se iznimka od vođenja evidencije obrade u skladu s uvjetima utvrđenim u odredbi primjenjivala ne samo na poduzeća, već i na druge „organizacije“ (npr. neprofitne i dobrotvorne).

EDPB i EDPS primjećuju da se u Obrazloženju navodi da „Trenutačni prijedlog namjerava prenijeti situaciju SMC-ova na situaciju MSP-ova u nizu pravnih akata koji pokrivaju različita područja politike. Cilj mu je postići ciljeve tih zakonodavstava učinkovitijima i manje opterećujućima za poduzeća, organizacije i javne vlasti”.

EDPB i EDPS napominju da se članak 30(5) GDPR-a odnosi i na poduzeća i na organizacije, a ne na „javna tijela i tijela“. 

Budući da Prijedlog ne cilja samo na pojednostavljenje i pojašnjenje, već i na konkurentnost i produktivnost, odstupanje za javna tijela i tijela ne bi bilo potrebno za ciljeve Prijedloga, te stoga ne bi ispunilo te ciljeve. Štoviše, izuzeće javnih tijela i tijela od obveze vođenja evidencije o obradi vjerojatno bi rezultiralo velikim brojem javnih tijela i tijela koja ne podliježu toj obvezi. To se čini neusklađenim s posebnom ulogom koju GDPR pripisuje odgovornosti javnih tijela i tijela, kako je istaknuto njihovom obvezom prema članku 37. GDPR-a da u svakom slučaju imenuju službenika za zaštitu podataka.

Stoga, kako bi se izbjegla svaka moguća zbrka oko toga jesu li javna tijela i nadležna tijela obuhvaćena odstupanjem, EDPB i EDPS preporučuju zakonodavcima da u uvodnoj izjavi pojasne da pojam „organizacija“ ne uključuje javna tijela i nadležna tijela.

Proširenje članaka 40(1) i 42(1) GDPR-a na SMC-ove (članak 1(3) i (4) prijedloga)

Člankom 1(3) i (4) Prijedloga mijenja se područje primjene članka 40(1) i 42(1) GDPR-a kako bi se uključili SMC-ovi. Uvodna izjava Prijedloga navodi da je cilj ovog dodatka uzeti u obzir specifične potrebe SMC-ova prilikom izrade kodeksa ponašanja i u kontekstu mehanizama certificiranja. EDPB i EDPS pozdravljaju ovaj dodatak, za koji napominju da je već u skladu sa Strategijom EDPB-a za 2024. – 2027. za nastavak podrške mjerama usklađenosti kao što su certificiranje i kodeksi ponašanja, uključujući i putem angažmana s ključnim skupinama dionika.

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Napredni seminar za službenike za zaštitu osobnih podataka u ožujku
Hitna nezakonito slala zahtjeve za donaciju
Napredni seminar za službenike za zaštitu osobnih podataka 4. stupanj
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju. 

Shvaćam

Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.