Nova uredba za sprovođenje GDPR-a - Domen
ЋИРИЛИЦА

Za pretragu naziva domena kliknite ovde

Nova uredba za sprovođenje GDPR-a

E-poslovanje

Dragan Milić

25.03.2026.

Imamo novu Uredbu, ovaj put o dodatnim proceduralnim pravilima za sprovođenje GDPR-a
Kada je Opšta uredba o zaštiti podataka (GDPR) počela da se primenjuje 2018. godine, mnogi su je doživeli kao najambiciozniji regulatorni projekat Evropske unije u digitalnoj sferi. I ta procena nije bila preterana, jer je GDPR postavio visoke standarde zaštite podataka, proširio prava pojedinaca i uveo izuzetno visoke administrativne novčane kazne za kršenje pravila. Međutim, iako je Uredba napravila veliki pomak i znatno podigla nivo zaštite podataka, vremenom su isplivali i njeni ograničeni dometi, koji se ogledaju prvenstveno u primeni nekih prava, sa akcentom na procedure i prekograničnu obradu. Iz tog razloga je Evropska unija 2025. godine usvojila novu Uredbu − Regulation (EU) 2025/2518, kojom je uvela nova pravila u primeni GDPR-a. Njena primena počinje 2. aprila 2027. godine, a cilj joj je da otkloni neke od najčešće kritikovanih slabosti postojećeg sistema.

 

Gde je zapelo sa GDPR-om?

Jedna od ključnih inovacija GDPR-a bio je takozvani one-stop-shop mehanizam, koji se sastojao u tome da bi kompanija koja posluje u više država članica EU trebalo da komunicira pre svega sa jednim nacionalnim nadzornim organom unutar EU (Lead Supervisory Authority), najčešće u državi u kojoj ima glavno sedište.

Primena tog mehanizma dovela je do toga da se veliki broj najvažnijih postupaka po osnovu GDPR-a vodi u Irskoj. Razlog je relativno jednostavan mnoge velike tehnološke kompanije kao što su Meta, Gugl, Epl, Tik-tok, Linkedin, imaju svoja evropska sedišta u Dablinu. Dakle, po pravilima GDPR-a, u prekograničnim slučajevima nadležan je, pre svega, nadzorni organ države u kojoj se nalazi glavno sedište kompanije u EU, što u praksi znači da je Irish Data Protection Commission, ni kriv ni dužan, postao ključni regulator za veliki deo evropskih postupaka protiv globalnih digitalnih platformi.

Iz istog razloga su i neki od najpoznatijih sporova u oblasti zaštite podataka pokrenuti upravo pred irskim regulatorom. Na primer, austrijski pravnik i aktivista Maksimilijan (Maks) Šrems je još početkom prethodne decenije podnosio pritužbe protiv Fejsbuka pred irskim organom za zaštitu podataka, pa su iz tih postupaka kasnije proizašle dve istorijske presude Suda pravde Evropske unije – Schrems I (2015) i Schrems II (2020) – kojima su poništena dva režima prenosa podataka između Evropske unije i Sjedinjenih Država, Safe Harbor i Privacy Shield. Inače, cela priča datira iz vremena kada je Šrems kao student prava u Beču od Fejsbuka zatražio pristup svim podacima koje kompanija poseduje o njemu. U odgovoru je dobio više od hiljadu stranica PDF dokumentacije sa informacijama o njegovim aktivnostima na platformi. Baš taj zahtev za pristup podacima bio je početak pravne borbe koja će kasnije značajno oblikovati međunarodno pravo zaštite podataka.

U teoriji, ovakav model uspostavljanja nadležnosti nadzornog organa trebalo je da pojednostavi primenu pravila Uredbe i učini je efikasnijom. U praksi, međutim, sistem je često dovodio do sporih i komplikovanih postupaka, naročito u predmetima koji se odnose na velike tehnološke kompanije. Različiti nacionalni procesni režimi, nedovoljno jasna podela nadležnosti i kompleksna koordinacija između nadzornih organa dovodili su do situacije u kojoj su pojedini slučajevi trajali godinama.

Kritike su dolazile sa više strana. Organizacije civilnog društva tvrdile su da veliki digitalni akteri koriste proceduralne nedoumice kako bi prolongirali postupke. A čak su i big-tek (Big Tech) giganti ukazivali na nedostatak pravne sigurnosti i različite proceduralne standarde među državama članicama.

Dakle, ova institucionalna koncentracija nadležnosti dovela je do paradoksa koji se ogledao u tome da je regulator jedne relativno male države članice, kakva je Irska, dobio centralnu ulogu u sprovođenju jednog od najambicioznijih regulatornih projekata Evropske unije. Istovremeno, sporost pojedinih postupaka i česte intervencije Evropskog odbora za zaštitu podataka (EDPB) dodatno su otvorile pitanje da li postojeći sistem prekogranične primene GDPR-a funkcioniše dovoljno efikasno.

Iako se Uredba (EU) 2025/2518 formalno predstavlja kao tehnička proceduralna reforma, nema sumnje da su njeno donošenje ubrzali dugotrajni postupci protiv velikih digitalnih platformi. Najpoznatiji primer su višegodišnje istrage protiv kompanije Meta, koje je uglavnom vodio irski nadzorni organ za zaštitu podataka, s obzirom na to da je evropsko sedište Mete u Dablinu. U pojedinim predmetima, uključujući sporove oko pravne osnove za tzv. behavioral advertising na Fejsbuku i Instagramu, postupci su trajali godinama i često su se završavali intervencijom Evropskog odbora za zaštitu podataka (EDPB), koji je morao da rešava neslaganja između nacionalnih regulatora. Jedna od tih odluka dovela je i do kazne od 1,2 milijarde evra protiv kompanije Meta zbog nezakonitog prenosa podataka korisnika iz EU u Sjedinjene Države – do sada najveće kazne izrečene na osnovu GDPR-a.

Takvi slučajevi otvorili su pitanje da li sistem prekogranične primene GDPR-a može efikasno da funkcioniše kada je reč o globalnim digitalnim platformama. Upravo je ovo kontekst u kom treba posmatrati i donošenje nove Uredbe, kojom Evropska unija pokušava da preciznije uredi i ubrza postupke u kojima učestvuje više nacionalnih regulatora.

 

Šta zapravo propisuje nova Uredba 2025/2518

Regulation (EU) 2025/2518 suštinski ne menja GDPR, ne uvodi nova prava pojedinaca niti nove obaveze za rukovaoce ili obrađivače. Umesto toga, fokus je na proceduralnoj dimenziji primene prava zaštite podataka, na primer uvođenju standardizovanih pravila za postupanje po pritužbama u prekograničnim predmetima. Nacionalni nadzorni organi ovim dokumentom dobijaju jasnije definisane faze postupka, rokove za razmenu informacija i preciznije mehanizme koordinacije.

Posebna pažnja posvećena je ulozi vodećeg nadzornog organa (Lead Supervisory Authority). Nova pravila detaljnije uređuju način na koji ovaj organ vodi istragu i sarađuje sa drugim nadzornim organima u državama članicama čiji su građani pogođeni obradom podataka.

Uredba jača i procesna prava učesnika u postupku. Podnosioci pritužbi dobijaju jasniji status u postupku, uključujući pravo na informacije o toku predmeta i mogućnost izjašnjavanja pre donošenja odluke.

Konačno, precizirana je i uloga Evropskog odbora za zaštitu podataka (EDPB) u rešavanju sporova između nadzornih organa, što bi trebalo da smanji institucionalne blokade koje su do sada usporavale donošenje odluka.

Za kompanije (mahom Tech) koje posluju na evropskom tržištu ova promena znači veću proceduralnu predvidivost u prekograničnim predmetima. Za pojedince i organizacije koje pokreću postupke protiv velikih digitalnih aktera ona potencijalno znači brže i efikasnije odlučivanje.

Ako je GDPR postavio normativni okvir zaštite podataka, Regulation 2025/2518 je pokušaj da se taj okvir učini operativno efikasnim. Nova uredba uklapa se u širu strategiju Evropske unije u digitalnom okruženju. Poslednjih godina EU je donela čitav niz regulativa Digital Services Act, Digital Markets Act, AI Act sa ciljem da uspostavi kvalitetan pravni okvir buduće digitalne ekonomije. Važno je istaći da u toj mreži propisa GDPR i dalje ostaje centralni instrument zaštite privatnosti.

Dragan Milić

Advokat Dragan Milić, osnivač advokatske kancelarije “Milić”, specijalizovan je za zaštitu podataka o ličnosti , pravo interneta, pravo intelektualne svojine, medija i IT pravo. Iza sebe ima 15 godina iskustva, što ga čini pionirom u ovim pravnim oblastima u Srbiji. Diplomirao je na Pravnom Fakultetu Univerziteta u Beogradu,...

Više o autoru →

Pročitajte i