GDPR uredba stupa na snagu 25. svibnja 2018. godine, a novim ili jačim pravilima bit će obuhvaćene one djelatnosti koje se bave obradom osobnih podataka visokog rizika za koje će biti potrebno provesti procjenu učinka. Navedene obrade odnose se na: nove tehnologije, obradu posebnih kategorija osobnih podataka tzv. osjetljivih podataka, automatiziranu obradu podataka te neautomatiziranu obradu podataka koji čine dio sustava pohrane ili im je to namjena. To su djelatnosti koje spadaju u zdravstveni, turistički, financijski, odgojno-obrazovni sektor te djelatnosti koje se bave obradom podataka dobivenih putem video nadzornih sustava, biometrijom i slično. „Uredba o zaštiti osobnih podataka stupa na snagu 25. svibnja 2018. g. No, to ne znači da poslovni subjekti trebaju tada započeti usklađivanje s njom. Republika Hrvatska još uvijek nije donijela Zakon o provedbi Uredbe, a ako ga ne bude donijela ni do navedenog datuma, Uredba se svejedno primjenjuje, a u nadzor provođenja mogu doći i ovlaštena tijela iz drugih država članica. Visina iznosa kazni je tolika da u slučaju kažnjavanja pojedini subjekti neće moći to podnijeti i morat će zatvoriti svoje poslovanje. Stoga su edukacije koje provodimo s AZOP-om izuzetno važne kako bi se na vrijeme upoznali s novom regulativom i uskladili svoje poslovanje.“ - izjavila je Milica Jovanović, pravna savjetnica HUP-a. Marija Pušić, viša savjetnica iz Agencije za zaštitu osobnih podataka naglasila je da kod primjene uredbe ne postoje jedinstvena rješenja primjenjiva na sve subjekte: „Svaki poslovni subjekt ima svoje specifičnosti pa je u skladu s time i u okviru svog djelovanja dužan uskladiti svoje poslovanje s GDPR-om te utvrditi: koje osobne podatke obrađuje, koja je pravna svrha obrade tih podataka, koje sustave pohrane podataka ima i kojima se koristi, koliki je rok čuvanja podataka, koja je zakonitost iznošenja u treće zemlje, jeli se ti podaci prosljeđuju trećim osobama te temeljem koje zakonske osnove, tko ima pristup tim podacima, jesu li tehničke mjere sigurnosti usklađene s odredbama iz čl. 32. Uredbe i drugim povezanim člancima i posebnim propisima.“ Uredba će se primjenjivati na sva trgovačka, dionička, jednostavna i ostala društva tj. tvrtke bez iznimaka. Također i na sve državne institucije koje su dužne obrađivati osobne podatke u okviru njenih odredaba, osim u slučajevima kaznenopravnih aktivnosti, poput sprečavanja kaznenih djela ili progona počinitelja istih te u područjima izvan nadležnosti prava EU-a. Obveza svih tijela javne vlasti je imenovati službenika za zaštitu osobnih podataka.