Opća uredba o zaštiti podataka

Izvor: Hrvatska internetska enciklopedija
Skoči na:orijentacija, traži

Opća uredba o zaštiti podataka (GDPR) (EU) 2016/679 uredba je Europske unije kojom se regulira zaštita podataka i privatnost osoba unutar Europske unije, a donosi i propise vezane za iznošenje podataka u treće zemlje. Glavni su ciljevi GDPR-a vratiti građanima nadzor nad njihovim osobnim podacima i pojednostaviti regulatorno okruženje za međunarodne korporacije ujednačavanjem propisa u cijeloj Uniji.[1] Stupanjem GDPR-a na snagu prestaje važiti Direktiva 95/46/EC.[2]

Uredba je usvojena 27. svibnja 2016. godine, čime je počelo teći prijelazno razdoblje od dvije godine. GDPR na snagu stupa 25. svibnja 2018.

Za razliku od direktiva, uredbe stupaju na snagu bez potrebe za dodatnim glasanjem u parlamentima država članica pa je primjena GDPR-a od navedenog datuma obavezna.

Sažetak

Zbog tehnološkog razvoja i novih načina obrade podataka javila se potreba za novim zakonom koji bi korisnicima dao više nadzora nad korištenjem njihovih podataka. Budući da se primjenjuje diljem EU-a, u svih 28 država članica, to bi trebalo pojednostaviti zakonodavni okvir i olakšati usklađivanje tvrtkama koje posluju u više država članica.

GDPR jača prava ispitanika i donosi opsežnije definicije novih pojmova važnih za privatnost. Propisi iz GDPR-a odnose se na tvrtke koje rukuju podacima EU-a, nevezano o državi u kojoj imaju poslovni nastan.[3]

Sadržaj

Uredba se sastoji od ovih ključnih propisa:[2]

Područje primjene

Uredba se primjenjuje na voditelje obrade, tj. organizacije koje prikupljaju podatke EU građana, i na izvršitelje obrade, tj. organizacije koje obrađuju podatke prema naputcima voditelja obrade, poput pružatelja usluga u oblaku ako su predmet obrade podaci ispitanika (osoba) iz EU-a. Uredba se primjenjuje i na organizacije sa sjedištem izvan EU-a koje prikpuljaju osobne podatke EU građana. Osobni su podaci, prema definiciji iz Uredbe, "svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca."[4]

Uredba se ne primjenjuje na obradu u svrhu državne sigurnosti ili tijela za izvršavanje zakonodavstva; no interesne skupine oglasile su se oko potencijalnog sukoba zakona i pitanja oko čl. 48. GDPR-a.[4] Države bi se na njega mogle pozvati kako bi spriječili voditelje obrade u njihovoj namjeri da postupe u skladu sa zakonima trećih zemalja, tj. nalozima od strane državnih ili sudskih vlasti trećih zemalja, neovisno o tome nalaze li se podaci unutar ili izvan EU-a. Prema čl. 48., presude sudova ili odluke administrativnih tijela trećih zemalja prema kojima voditelji obrade moraju prenijeti ili objaviti podatke nisu provedive unutar EU-a, osim ako se temelje na međunarodnim ugovorima (poput ugovora o uzajamnoj pravnoj pomoći) između treće zemlje i EU-a ili države članice.

Ujednačeni propisi i jedinstveni mehanizam

U čitavoj Europskoj uniji primjenjivat će se isti, ujednačeni skup propisa. Svaka od država članica dužna je imenovati nezavisno nadzorno tijelo koje će obrađivati žalbe, izricati kazne itd. Nadzorna tijela dužna su surađivati s tijelima u ostalim državama članicama, međusobno si pomažući i koordinirajući zajedničke regulatorne aktivnosti. Ako tvrtka ima više poslovnih nastana diljem EU-a, dodijelit će joj se jedno nadzorno tijelo kao glavno, a ovisno o mjestu "glavnog poslovnog nastana" gdje se odvijaju glavne aktivnosti obrade. Glavno nadzorno tijelo predstavljat će jedinstveni mehanizam tako što će nadzirati aktivnosti obrade tvrtke diljem EU-a[5] (čl. 46–55 GDPR-a). Europski odbor za zaštitu podataka (EDPB) koordinirat će rad nadzornih tijela, a zamijenit će Radnu skupinu za zaštitu podataka iz članka 29.

Postoje iznimke u vidu obrade podataka u kontekstu zaposlenja ili u svrhu nacionalne sigurnosti koji i dalje mogu podlijegati zasebnim propisima kod svake od država članica. (čl. 2. st. 2. i čl. 82. GDPR-a).

Odgovornost i transparentnost

Povećavaju se obaveze koje se tiču izvješćivanja. Sada uključuju i vrijeme zadržavanja osobnih podataka te kontakt podatke voditelja obrade i službenika za zaštitu osobnih podataka.

Automatizirano donošenje odluka, uključujući i izradu profila (čl. 22), osobe imaju pravo osporavati, slično čl. 15. Direktive 95/46/EZ. Građani imaju pravo ispitati i žaliti se na odluke sa značajnim utjecajem na njih koje su napravljene isključivo na bazi algoritamskih odluka,[6] ali prema pravnim stručnjacima, postojanje tog prava i dalje je nejasno bez pravnih ispita i u najboljem slučaju ograničeno.[7][8]

Da bi bio u stanju dokazati usklađenost s GDPR-om, voditelj obrade mora ugraditi mjere koje su u skladu s načelima tehničke integrirane zaštite podatka. Pod tehničkom i integriranom zaštitom podataka (čl. 25.) podrazumijeva se uvođenje mjera zaštite podataka u svaki dio razvojnog procesa proizvoda i usluga. Takve mjere uključuju pseudonimizaciju osobnih podataka od strane voditelja obrade što je prije moguće (uvodna izjava br. 78.).

Voditelj obrade odgovoran je za primjenu odgovarajućih mjera i dokazivanje usklađenosti čak i ako samu obradu vrši izvršitelj obrade u ime voditelja (uvodna izjava br. 74.).

Procjene učinka na zaštitu podataka (čl. 35.) moraju se provesti kad dolazi do posebnih rizika za prava i slobode ispitanika. Aktivnosti za smanjenje rizika potrebne su, uz prethodnu suglasnost nadzornih tijela, za obradu visokorizičnih podataka. Službenici za zaštitu osobnih podataka (čl. 37.-39.) dužni su brinuti za usklađenost unutar organizacija u kojima djeluju.

Službenici se moraju imenovati u slučajevima:

  • ako se radi o javnim tijelima, osim sudovima koji djeluju u sudbenom svojstvu
  • ako su glavne poslovne aktivnosti voditelja ili izvršitelja obrade kako slijedi:
    • aktivnosti obrade koje po svojoj prirodi, opsegu ili svrsi zahtijevaju redovni ili sistematični nadzor nad ispitanicima u velikoj mjeri
    • aktivnosti obrade posebnih kategorija podataka u velikoj mjeri prema čl. 9., kao i kategorija osobnih podataka koje se tiču osuda ili dosjea prema čl. 10.[4]

Pravne osnove za obradu

Podaci se ne smiju obrađivati osim ako za to postoji barem jedna od sljedećih pravnih osnova (čl. 6. st. 1.):[4]

  • Ispitanik je dao privolu za obradu podataka u jednu ili više posebnih svrha.
  • Obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
  • Obrada je nužna radi poštovanja pravnih obveza voditelja obrade.
  • Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe.
  • Obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.
  • Obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Privola

Ako se kao pravna osnova koristi privola, ona mora biti izričita za podatke koji su prikupljeni i svrhe u koje se koriste (čl.7; definirano u čl. 4.). Privola djece[9] daje se od strane skrbnika ili roditelja djece, te mora biti provjerljiva (čl. 8.). Voditelji obrade moraju moći dokazati privolu, a ispitanici je mogu povući[10].

Službenik za zaštitu osobnih podataka

Ako obradu vrši javno tijelo, osim sudova ili nezavisnih sudskih tijela ako djeluju u sudskoj nadležnosti ili ako se osnovne djelatnosti voditelja obrade u privatnom sektoru sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, odnosno ako aktivnosti obrade uključuju opsežnu obradu posebnih kategorija podataka, potrebno je imenovati stručnu osobu sa znanjima u području zaštite podataka koja će pomoći voditelju ili izvršitelju obrade nadzirati usklađenost s mjerama iz GDPR-a (čl. 37.).

Od službenika za zaštitu podataka očekuje se stručnost u upravljanju IT procesima, sigurnosti podataka (uključujući odgovor na cybernapade) i ostalim kritičnim pitanjima koja se tiču pohrane i obrade osobnih i osjetljivih podataka. Potrebna razina znanja šira je od samog razumijevanja zakonskih propisa.

Više podataka o pojedinostima i funkciji službenika za zaštitu podataka dani su 13. prosinca 2016. (revirdirano 5. travnja 2017.) u dokumentu smjernica izdanom od strane Radne skupine iz čl. 29.[11]

Pseudonimizacija

GDPR pseudonimizaciju definira kao postupak obrade podataka na način da se više ne mogu pripisati pojedinom ispitaniku bez korištenja dodatnih izvora podataka. Tu je i enkripcija, koja podatke čini nečitljivima za sve neovlaštene osobe bez pristupa ključu za dekripciju. GDPR propisuje da se dodatni podaci (poput ključa za dekripciju) drže podalje od pseudonimiziranih podataka.

Još jedan od pristupa jest i tokenizacija, što je nematematički pristup obradi podataka u kojem se osjetljivi podaci zamjenjuju neosjetljivim zamjenama pod nazivom tokeni. Tokeni nemaju važnost niti vrijednost kao podaci. Njima se ne mijenja vrsta ili dužina podataka, što znači da ih mogu obrađivati sustavi kao baze podataka koje brinu o vrstama i dužini podataka.

Tim se pristupom zahtijeva manje procesorskih resursa za obradu i zauzima manje mjesta za pohranu u bazama podataka u usporedbi s podacima enkriptiranim na tradicionalni način. To se omogućuje držanjem određenih podataka potpuno ili djelomično vidljivima za obradu i analitiku, dok se osjetljivi podaci skrivaju.

Pseduonimizacija se preporučuje kao metoda smanjenja rizika po ispitanike, ali i kao način da voditelji odnosno izvršitelji obrade ispune svoje obaveze vezane za zaštitu podataka (Uvodna odredba 28.).

Iako GDPR potiče korištenje pseudonimizacije u svrhu smanjenja rizika po ispitanike, pseudonimizirani se podaci i dalje smatraju osobnima (Uvodna odredba br. 28.) i tako i dalje spadaju pod nadzor GDPR-a.

Povrede podataka

Prema GDPR-u, voditelj obrade dužan je o povredi obavijestiti nadzorno tijelo, osim ako je malo vjerojatno da bi povreda mogla negativno utjecati na prava i slobode pojedinaca Rok za prijavu povrede je 72 sata od saznanja o povredi. Ako povreda ima negativan utjecaj na ispitanike, o tome ih se mora obavijestiti (čl. 33. i 34.).

Ispitanike nije potrebno obavijestiti o povredi ako je voditelj obrade poduzeo odgovarajuće tehničke i organizacijske mjere zaštite podataka, osobito one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija (čl. 34.).

Sankcije

Nadzorna tijela mogu izreći sankcije kako slijedi:

  • pismeno upozorenje u slučaju nenamjernog prekršaja (za prvi prekršaj)
  • redovne revizije i preglede mjera zaštite podataka
  • administrativne kazne u iznosu do 10 milijuna eura ili do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu godinu u slučaju poduzetnika, štogod je veće, ako je došlo do kršenja sljedećih odredbi (čl. 83. st. 4.[4]):
    • obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;
    • obveza certifikacijskog tijela u skladu s člancima 42. i 43.;
    • obveza tijela za praćenje u skladu s člankom 41.stavkom 4.;
  • administrativne kazne u iznosu do 20 milijuna eura ili do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu godinu u slučaju poduzetnika, štogod je veće, ako je došlo do kršenja sljedećih odredbi (čl. 83. st. 5. i 6[4]):
    • osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;
    • prava ispitanika u skladu s člancima od 12. do 22.;
    • prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.;
    • svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;
    • nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1.

Pravo pristupa

Pravo pristupa (čl. 15.) pripada ispitanicima.[4] To im pravo omogućuje pristup osobnim podacima i podacima o načinu njihove obrade. Voditelj obrade dužan je na zahtjev pružiti pregled kategorija podataka koji se obrađuju kao i kopiju stvarnih podataka. Nadalje, voditelj obrade ispitanika mora obavijestiti o detaljima obrade poput svrhe obrade, eventualnim primateljima podataka i načinu na koji je voditelj stekao te podatke (čl. 15.).

Pravo na zaborav

Pravo na zaborav zamijenjeno je ograničenijim pravom na zaborav u inačici GDPR-a koju je usvojio Europski parlament u ožujku 2014.[12][4] U čl. 17. navodi se da ispitanik ima pravo zatražiti brisanje osobnih podataka koje ga se tiču prema jednom od temelja, uključujući nepridržavanje načela zakonite obrade (čl. 6. st. 1.), što uključuje slučajeve u kojima su interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete snažniji od interesa voditelja obrade.

Prenosivost podataka

Ispitanici također imaju pravo prenijeti osobne podatke iz jednog sustava elektroničke obrade na drugi, bez da ih u tome sputava voditelj obrade. Ovim pravom nisu obuhvaćeni dovoljno anonimizirani podaci, ali podaci koji ne sadrže identifikatore, ali pomoću kojih se pojedinca može identificirati uz dodatne podatke, obuhvaćeni su pravom.[13] Pravo obuhvaća podatke koje je ispitanik 'dao' i podatke koji su nastali 'praćenjem', poput ponašanja ispitanika. Nadalje, voditelj obrade podatke mora pružiti u strukturiranom, uobičajeno korištenom formatu (čl. 20.). Pravni stručnjaci u konačnoj inačici GDPR-a vide "novo pravo" koje "seže i preko običnog prava na prenosivost podataka između dva voditelja obrade kako je navedeno u [članku 20.]".[14]

Integrirana zaštita podataka

Mjere tehničke i integrirane zaštite podataka (čl. 25.) propisuju primjenu zaštitnih mjera u sam postupak razvoja procedura, proizvoda i usluga. Treba od početka primijeniti visoku razinu mjera za zaštitu privatnosti, a voditelj obrade mora osigurati da tehničke i prodecuralne mjere budu dostatne i u skladu s propisima za vrijeme cjelokupnog trajanja postupaka obrade. Voditelji obrade trebaju primijeniti mehanizme kojima bi se spriječila obrada osobnih podataka, osim ako je to potrebno za svaku od određenih svrha.

Izvješće[15] Agencije Europske unije za mrežnu i informacijsku sigurnost objašnjava što je potrebno da se usvoje metode integrirane i tehničke zaštite podataka. U izvješću se navodi kako se aktivnosti enkriptiranja i dekriptiranja moraju odvijati lokalno, a ne na udaljenom poslužitelju, jer ključevi moraju biti u posjedu voditelja obrade ako je cilj zaštita privatnosti podataka. Također se navodi da je korištenje usluga za pohranu podataka, poput onih u oblaku, praktično i relativno sigurno u slučaju da samo vlasnik podataka, ali ne i pružatelj usluge u oblaku, ima pristup ključevima za dekriptiranje.

Evidencija o aktivnostima obrade

Evidencija o aktivnostima obrade mora se voditi, a treba uključivati svrhu obrade, kategorije podataka koje se obrađuju i procijenjene vremenske rokove trajanja obrade i držanja podataka. Zapisi se na zahtjev trebaju pružiti nadzornome tijelu (čl. 30.).[4]

Izuzeća

Slučajevi koji slijede nisu pokriveni uredbom:[4]

  • zakonito presretanje podataka, državna sigurnost, vojska, policija, pravosuđe
  • obrada u statističke i znanstvene svrhe (u nekim slučajevima)
  • podaci umrlih (za njih važe nacionalni propisi)
  • odnosi između poslodavaca i zaposlenika reguliraju se dodatnim zakonima
  • obrada osobnih podataka od strane fizičke osobe u osnovne svrhe ili za potrebe kućanstva

Rasprave i kritike

Prijedlog novih propisa izazvao je kontroverze,[16] a predloženo je više od tisuću amandmana.[17] Jedinstvenu skup propisa i uklanjanje administrativnih zahtjeva za cilj je trebalo imati smanjenje troškova, no kako je pokazalo istraživanje TrustArca i Dimensional Researcha iz svibnja 2017.[18], IT stručnjaci očekuju da će prilagodba s GDPR-om iziskivati dodatne troškove: preko 80 posto ispitanika smatra da će oni iznositi barem 100 000 dolara.[19] Kritike su upućene i ostalim zahtjevima:

  • Zahtjev za imenovanjem službenika za zaštitu podataka novost je u mnogim zemljama EU-a i predmet je kritika zbog administrativnog tereta.
  • GDPR je razvijen s društvenim mrežama i pružateljima usluga u oblaku na umu, bez dovoljnog razmatranja posebnih potreba za rukovanjem podacima zaposlenika.
  • Iako je smanjenje količine podataka službeni zahtjev, a pseudonimizacija jedan od načina za ostvarenje tog cilja, GDPR ne daje savjete o odgovarajućim mjerama de-identifikacije podataka, a pitanje adekvatne pseudonimizacije ostaje u sivoj zoni.[20][21]
  • Za zaštitu od automatiziranog donošenja odluka u čl. 22., preuzetu iz čl. 15. postojeće Direktive, tvrdi se da pruža zaštitu od sve većeg broja algoritamski donesenih odluka. Otvoreno je pitanje nude li postojeći propisi adekvatnu zaštitu.[8]
  • Javljaju se poteškoće oko nalaženja odgovarajućeg kadra za nadzorna tijela, jer se građani EU-a više ne moraju obraćati određenom nadzornom tijelu u svojoj državi, već se mogu obratiti izravno nadzornome tijelu zaduženom za tu tvrtku. Nadzorna tijela dužna su sama koordinirati suradnju s ostalim tijelima u drugim zemljama.[22]
  • Osobni podaci ne smiju se prenijeti u treće zemlje, osim ako iste jamče istu razinu zaštite.[23]
  • Primjena GDPR-a u sustavima ulančanih blokova otvoreno je pitanje, jer su transparentni i neizmjenjivi zapisi s ulančanih blokova (uključujući i kriptovalute) u suprotnosti sa srži GDPR-a.[24]
  • Najveći izazovi za implementaciju GDPR-a mogli bi biti:
    • Nedostatak stručnjaka za privatnost već je osjetan, pa bi novi zahtjevi mogli pogoršati stanje. Zato je obrazovanje u tu svrhu jedan od ključnih faktora uspješnosti GDPR-a.
    • Europska komisija i nadzorna tijela moraju imati dovoljno resursa za provođenje uredbe u praksi.[22]
    • Treba se osigurati ujednačena primjena mjera GDPR-a između 28 nadzornih tijela kako ne bi došlo do različitih mišljenja i, posljedično, drugačijeg provođenja zakona.
    • Međunarodna trgovinska politika EU-a još nije usklađena s GDPR-om.[25]

Važni datumi

  • 25. siječnja 2012.: Donesen je prijedlog GDPR-a.
  • 21. listopada 2013.: Odbor za građanske slobode, pravosuđe i unutarnje poslove Europskog parlamenta (LIBE) izvršio orijentacijsko glasovanje.
  • 15. prosinca 2015.: Donesen zajednički prijedlog u trijalogu između Europskog parlamenta, Vijeća i Komisije.
  • 17. prosinca 2015.: LIBE glasao za rezultat dogovora između triju strana.
  • 8. travnja 2016.: Vijeće EU-a prihvaća prijedlog.[26] Austrija je jedina zemlja koja je glasala protiv, smatravši da je u nekim pogledima stupanj zaštite manji nego u Direktivi iz 1995.[27][28]
  • 14. travnja 2016.: Europski parlament prihvaća prijedlog.[29]
  • 24. svibnja 2016.: Uredba stupa na snagu dvadesetog dana od datuma objave u Službenom listu Europske unije.[4]
  • 25. svibnja 2018.: Propisi će se početi primijenjivati u svim državama članicama dvije godine nakon stupanja na snagu Uredbe.[4]

Jedinstveno digitalno tržište EU-a

Jedinstveno digitalno tržište EU-a i omogućavanje prekograničnog pružanja javnih usluga.

Strategija jedinstvenog digitalnog tržišta za cilj ima stvaranje novih digitalih prilika za obose i tvrtke te poboljšavanje položaja Europske unije kao predvodnika digitalnog gospodarstva.[30]

Kao dio te strategije, GDPR i Direktiva o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije počet će se primjenjivati od 25. svibnja 2018. I nova Uredba o ePrivatnosti, koja je u izradi, dio je ove strategije, kao i Uredba eIDAS (Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu).

Vidi i:

Popis izvora

  1. PREUSMJERI Predložak:Izvori

Vanjske poveznice

  1. Predsjedništvo Vijeća: "Nekoliko djelomičnih općih pristupa imalo je ključnu ulogu u približavanju mišljenja Vijeća o Prijedlogu opće uredbe o zaštiti podataka u cijelosti. Tekst o Uredbi koji predsjedništvo dostavlja na odobrenje kao opći pristup nalazi se u Prilogu." http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. 2,0 2,1 "DIREKTIVA 95/46/EZ EUROPSKOG PARLAMENTA I VIJEĆA od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka". http://eur-lex.europa.eu/legal-content/HR/TXT/HTML/?uri=CELEX:31995L0046&from=hr 
  3. "Vodič kroz GDPR za početnike". https://gdprinformer.com/hr/vodic-kroz-gdpr Pristupljeno 27. ožujka 2018. 
  4. 4,00 4,01 4,02 4,03 4,04 4,05 4,06 4,07 4,08 4,09 4,10 4,11 "Opća uredba o zaštiti podataka". Službeni list Europske unije. 4. svibnja 2016.. http://eur-lex.europa.eu/legal-content/HR/TXT/HTML/?uri=CELEX:32016R0679&from=EN 
  5. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, svibanj 2015, str. 14
  6. Sample, Ian (27. siječnja 2017.). "AI watchdog needed to regulate automated decision-making, say experts" (engl.). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2017/jan/27/ai-artificial-intelligence-watchdog-needed-to-prevent-discriminatory-automated-decisions Pristupljeno 15. srpnja 2017. 
  7. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28. prosinca 2016.). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. https://papers.ssrn.com/abstract=2903469  (engleski)
  8. 8,0 8,1 Edwards, Lilian; Veale, Michael (2017). "Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for". Duke Law and Technology Review. doi:10.2139/ssrn.2972855. SSRN 2972855. https://ssrn.com/abstract=2972855 
  9. Članak 8. stavak 1.:"Kada se primjenjuje članak 6. stavak 1. točka (a), u pogledu nuđenja usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom."
  10. "Smjernice WP29 o privoli - GDPR Informer". GDPR Informer. 26. veljače 2018.. https://gdprinformer.com/hr/gdpr-clanci/smjernice-wp29-o-privolama Pristupljeno 29. ožujka 2018. 
  11. Radna skupina za zaštitu podataka iz čl. 29.. "Smjernice o službenicima za zaštitu podataka". http://azop.hr/images/dokumenti/217/wp243rev01_hr.pdf 
  12. Baldry, Tony; Hyams, Oliver. "The Right to Be Forgotten". 1 Essex Court. http://1essexcourt.wordpress.com/2014/05/15/the-right-to-be-forgotten/  (engleski)
  13. Smjernice o pravu na prenosivost podataka. 2017. http://azop.hr/images/dokumenti/217/wp242rev01_hr.pdf 
  14. "The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4". Bloomberg BNA. 12. veljače 2016.. http://www.bna.com/final-european-union-n57982067329/#!  (Napomena: čl. 18 iz Prijedloga GDPR-a postao je čl. 20. u završnoj verziji)
  15. "Privacy and Data Protection by Design — ENISA" (engl.). https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design Pristupljeno 4. travnja 2017. 
  16. House of Commons Justice Committee (Studeni 2012). The Committee's Opinion on the EU Data Protection Framework Proposals. House of Commons, U.K.. str. 32. https://books.google.com/books?id=Q9rJ9M-8oo4C&pg=PA33&lpg=PA33&dq=data+protection+officer+as+a+burden&source=bl&ots=JcEBF9_CkJ&sig=KRdgQUPNBgN7W7qrkPZ4mbcHTi0&hl=en&sa=X&ved=0ahUKEwi4n7iq3NTWAhUSmoMKHWN_Axo4ChDoAQhHMAE#v=onepage&q=data%20protection%20officer%20as%20a%20burden&f=false Pristupljeno 3. listopada 2017.. "Još jedno pitanje koje je izazvalo velik broj komentara... jest obveza imenovanja službenika za zaštitu podataka." 
  17. Overview of amendments. Pregled amandmana. LobbyPlag.
  18. Dimensional Research (1. svibnja 2017.). "Privacy and the EU GDPR: 2017 Survey of Privacy Professionals" (PDF). TrustArc Inc.. https://download.trustarc.com/dload.php/?f=JT190EEP-669 Pristupljeno 4. listopada 2017. 
  19. Babel, Chris (11. srpnja 2017.). "The High Costs of GDPR Compliance". UBM Technology Group. https://www.darkreading.com/endpoint/the-high-costs-of-gdpr-compliance/a/d-id/1329263? Pristupljeno 4. listopada 2017. 
  20. IAPP, Matt Wes, 25. travnja 2017, Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization. (engleski)
  21. Laura Tarhonen (2017.). "Pseudonimizacija podataka prema GDPR-u" (engl.). https://www.edilex.fi/viestintaoikeus/18073 
  22. 22,0 22,1 HGK: Uloga nadzornih institucija u implementaciji GDPR-a mora biti savjetodavna. https://www.hgk.hr/hgk-uloga-nadzornih-institucija-u-implementaciji-gdpr-a-mora-biti-savjetodavna 
  23. Europska komisija. "Prijenos podataka izvan EU" (engl.). https://ec.europa.eu/info/law/law-topic/data-protection_hr Pristupljeno 3. siječnja 2018. 
  24. Colm Gorey (23. studenoga 2017.). "Are financial institutions ready for blockchain and GDPR?" (engl.). Silicon Republic. https://www.siliconrepublic.com/enterprise/blockchain-gdpr-report-bai Pristupljeno 29. ožujka 2018. 
  25. "Irion, K., S. Yakovleva, M. Bartl: Trade and Privacy: Complicated Bedfellows? How to achieve data protection-proof free trade agreements". Institute for Information Law (IViR), University of Amsterdam. 22. rujna 2016.. http://ivir.nl/publicaties/download/1807 
  26. "Data protection reform: Council adopts position at first reading - Consilium". http://www.consilium.europa.eu/en/press/press-releases/2016/04/08-data-protection-reform-first-reading/ 
  27. Adoption of the Council's position at first reading, Votewatch.eu
  28. Written procedure, (Pisana procedura), Vijeće Europske unije, 8. travnja 2016. (engleski)
  29. "Reforma zaštite podataka - EP odobrio nova pravila | Vijesti | European Parliament" (engl.). http://www.europarl.europa.eu/news/hr/press-room/20160407IPR21776/reforma-zastite-podataka-ep-odobrio-nova-pravila Pristupljeno 29. ožujka 2018. 
  30. "Jedinstveno digitalno tržište" (engl.). https://ec.europa.eu/digital-single-market/en