Pokuty a sankcie za nedodržanie GDPR – príklady z praxe

Photo of author
Napísal Webpomoc

Ponúkam strategické poradenstvo a riešenia šité na mieru s cieľom pomôcť organizáciám chrániť súkromie a záujmy zamestnancov.

GDPR už dávno nie je „nová“ téma. Napriek tomu sa v praxi stále stretávam s firmami, ktoré majú spracovanie osobných údajov nastavené len približne. Často je to zmes starých šablón, neaktuálnych súhlasov, zle nastavených prístupov a viery, že „nás sa to netýka“ alebo „to nejako prejde“.

Lenže práve takto vznikajú incidenty, sťažnosti a následne kontroly. A tie môžu skončiť nielen pokutou, ale aj zákazom spracúvania, príkazom na nápravu, povinnosťou informovať dotknuté osoby či reputačnou škodou, ktorá bolí viac ako samotná sankcia.

V tomto článku zhrniem:

  • aké sankcie GDPR pozná a ako sa ukladajú,
  • čo v praxi najčastejšie vedie ku kontrolám,
  • a hlavne konkrétne, reálne príklady porušení z praxe v EÚ (na ktorých sa dá dobre pochopiť logika úradov).

Cieľ je jednoduchý: aby firmy zbytočne neriskovali, nemali problémy s legislatívou a uľahčili si byrokraciu tým, že budú mať GDPR nastavené funkčne, nie formálne.

Aké pokuty umožňuje GDPR (a prečo nejde len o „maximá“)

GDPR nastavuje dve základné úrovne administratívnych pokút:

  1. Do 10 mil. EUR alebo do 2 % celosvetového ročného obratu (podľa toho, čo je vyššie)
  2. Typicky ide o porušenia ako nedostatočné zabezpečenie, chýbajúce záznamy o spracovateľských činnostiach, nesplnenie povinností spracovateľa, nedodržanie povinností pri DPO a podobne.
  3. Do 20 mil. EUR alebo do 4 % celosvetového ročného obratu
  4. Sem spadajú „ťažšie“ porušenia, napríklad nezákonný právny základ, porušenie princípov spracúvania (minimalizácia, účelové viazanie, transparentnosť), porušenie práv dotknutých osôb alebo neoprávnené prenosy do tretích krajín.

Dôležité je, že úrad pri pokute vždy hodnotí okolnosti podľa článku 83 GDPR: závažnosť, úmysel/zanedbanie, mieru spolupráce, prijaté technické a organizačné opatrenia, históriu porušení, kategórie údajov, počet dotknutých osôb a podobne.

V praxi to znamená:

  • pokuta sa dá výrazne znížiť, ak firma vie preukázať reálny systém ochrany údajov a rýchlu nápravu,
  • naopak, „papierové GDPR“ bez procesov často

Sankcie nie sú len pokuty: čo vám môže úrad nariadiť

Z pohľadu firmy je niekedy najväčší problém nie pokuta, ale operatívny dopad opatrení, ktoré úrad uloží. Typické zásahy:

  • príkaz uviesť spracúvanie do súladu v konkrétnej lehote,
  • zákaz spracúvania (napríklad do vyriešenia právneho základu),
  • obmedzenie spracúvania alebo príkaz vymazať údaje,
  • príkaz informovať dotknuté osoby (čo môže spôsobiť reputačný problém a vlnu žiadostí),
  • auditné požiadavky, pravidelné reportovanie, doplnenie procesov,
  • v niektorých prípadoch aj verejné zverejnenie rozhodnutia.

A potom sú tu sekundárne dopady:

  • náklady na právnikov, forenznú analýzu, IT nápravu,
  • výpadky systémov a procesov,
  • strata dôvery zákazníkov a partnerov,
  • riziko žalôb o náhradu škody (GDPR s tým priamo počíta).

Čo najčastejšie vedie k pokutám (a je to prekvapivo „banálne“)

Pri kontrolách sa opakujú rovnaké vzorce. Najčastejšie problémy:

  1. Zlý alebo neexistujúci právny základ
  2. Firma sa spolieha na súhlas, aj keď by mala mať zmluvu alebo oprávnený záujem. Alebo má súhlas „vynútený“ a netransparentný.
  3. Nedostatočná transparentnosť
  4. Chýbajúce informácie v informačných povinnostiach, nejasné účely, nejasné doby uchovávania, nejasní príjemcovia.
  5. Nezvládnuté práva dotknutých osôb
  6. Firma nevie vybaviť prístup, výmaz alebo námietku v lehote. Alebo nevie overiť identitu a spraví chybu (napríklad pošle údaje nesprávnej osobe).
  7. Slabé zabezpečenie a prístupy
  8. Heslá, zdieľané účty, chýbajúce logovanie, priveľa ľudí s prístupom, zlé nastavenie cloudov, nezašifrované zálohy.
  9. Chýbajúce zmluvy so spracovateľmi
  10. Dodávateľ spracúva údaje, ale neexistuje spracovateľská zmluva podľa článku 28.
  11. Nesprávne nastavená retencia (uchovávanie)
  12. Údaje sa držia „navždy“, lebo nikto nemá proces mazania a archívovania.
  13. Cookies a online tracking bez súladu
  14. Marketingové cookies bez súhlasu, alebo „opt-out“ model, ktorý GDPR a ePrivacy neakceptujú tak, ako si firmy myslia.

Príklady z praxe: reálne sankcie a čo z nich vyplýva pre firmy

Nižšie uvádzam známe prípady z EÚ, ktoré sa často citujú aj v odborných diskusiách. Neberte ich ako strašenie, ale ako mapu: ukazujú, čo úrady vnímajú ako systémový problém a čo ako jednorazové zlyhanie.

1) Amazon Europe Core (Luxembursko): 746 mil. EUR (2021)

Jeden z najznámejších prípadov. Luxemburský úrad uložil Amazonu vysokú pokutu v súvislosti s nastavením spracúvania osobných údajov na reklamné účely a transparentnosťou.

Poučenie pre bežné firmy:

  • marketing a personalizácia sú oblasti, kde úrady očakávajú precízny právny základ a jasné informovanie,
  • „komplexné“ vysvetlenia v podmienkach nestačia, ak bežný človek nevie pochopiť, čo sa deje s jeho údajmi,
  • ak firma stojí na dátach a profilovaní, GDPR sa stáva biznisovým rizikom číslo jeden.
  • Posúdenie oprávneného záujmu pre kamerový systém môže byť kľúčové pre zabezpečenie dodržiavania predpisov.

2) Meta (Írsko): viacero pokút, vrátane 1,2 mld. EUR (2023)

Meta dostala sériu rozhodnutí, pričom zásadná sankcia sa týkala prenosov osobných údajov do USA a otázok okolo právnych mechanizmov prenosu.

Poučenie pre firmy:

  • medzinárodné prenosy nie sú len téma „IT giganta“, týka sa to aj firiem používajúcich cloudové služby,
  • je potrebné vedieť, kde dáta tečú (hosting, analytika, CRM, helpdesk),
  • Transfer Impact Assessment a zmluvné doložky nie sú formalita, musia sedieť na realitu.
  • V takýchto prípadoch je posúdenie vplyvu na ochranu osobných údajov nevyhnutné.

3) WhatsApp (Írsko): 225 mil. EUR (2021)

Rozhodnutie sa týkalo najmä transparentnosti, informácií pre používateľov a toho, ako WhatsApp vysvetľuje spracúvanie údajov a zdieľanie v rámci skupiny spoločností.

Poučenie pre firmy:

  • informačné povinnosti nie sú text, ktorý „niekde zavesím“,
  • musia byť zrozumiteľné, vrstvené a viazané na konkrétne účely,
  • ak používate viac systémov a partnerov, treba vedieť jednoducho opísať kto čo robí a prečo.
  • R

4) Google (Francúzsko): 50 mil. EUR (2019)

CNIL riešil najmä transparentnosť a platnosť súhlasu na personalizáciu reklamy.

Poučenie:

  • súhlas musí byť informovaný, konkrétny a jednoznačný,
  • predvyplnené políčka, zložité nastavenia a „schované“ informácie sú problém,
  • ak firma stavia marketing na súhlase, musí mať kvalitný consent manažment a dôkaznú stopu.

5) H&M (Nemecko): 35,3 mil. EUR (2020)

H&M čelilo pokute za rozsiahle a neprimerané spracúvanie údajov o zamestnancoch (vrátane súkromných informácií) a ich interné používanie.

Poučenie:

  • HR je riziková zóna, lebo sa spracúvajú citlivé a detailné údaje,
  • minimalizácia a prístupové práva musia byť tvrdé pravidlo,
  • interné „zdieľanie informácií“ bez právneho dôvodu je častý problém.

6) British Airways (UK): 20 mil. GBP (2020)

Hoci UK už po Brexite uplatňuje vlastný režim, princípy sú GDPR-ové. Prípad sa týkal kybernetického incidentu a nedostatočných bezpečnostných opatrení.

Poučenie:

  • bezpečnosť nie je len antivírus, ale systém (segmentácia, monitoring, patchovanie, MFA, incident response),
  • úrad hodnotí, či firma urobila primerané opatrenia vzhľadom na riziko,
  • dobrá dokumentácia bezpečnosti a procesov výrazne pomáha pri obhajobe.

7) Marriott (UK): 18,4 mil. GBP (2020)

Podobne, incident a bezpečnostné nedostatky spojené s akvizíciou (integrácia systémov, prevzatie databáz).

Poučenie:

  • pri fúziách a akvizíciách musí byť GDPR due diligence reálna, nie formálna,
  • treba preveriť, čo kupujete: databázy, súhlasy, retencie, bezpečnosť, zmluvy so spracovateľmi,
  • inak kupujete aj budúci problém.

8) Telekomunikačné a e-commerce pokuty: „menšie“, ale typovo veľmi časté

Mnohé sankcie v EÚ sa týkajú:

  • nevyžiadaného marketingu a zlej správy súhlasov,
  • nedostatočného overenia identity pri vybavovaní žiadostí,
  • zlyhaní pri únikoch (oneskorené nahlásenie, slabá analýza dopadov),
  • kamerových systémov (neprimerané snímanie, zlé označenie, retencia).

Poučenie:

  • aj menšia firma môže dostať sankciu, ak sa opakuje rovnaká chyba,
  • často rozhoduje, či firma vie preukázať procesy, nie to, či má „nejaký dokument“.

Ako úrady typicky zistia porušenie (a prečo sa neoplatí čakať)

Najčastejšie spúšťače kontroly sú:

  1. Sťažnosť dotknutej osoby
  2. Nespokojný zákazník alebo zamestnanec je najčastejší katalyzátor.
  3. Únik údajov a povinné oznámenie
  4. Ak nahlásite incident, úrad sa prirodzene pýta: ako ste boli pripravení, čo máte nastavené, čo zlyhalo.
  5. Mediálne prípady a reputačné udalosti
  6. Verejná kauza často vyvolá kontrolu.
  7. Spolupráca úradov v EÚ
  8. Pri cezhraničných spracovaniach sa informácie zdieľajú.

Pre firmu je dôležité uvedomiť si, že „prehliadnuť“ incident alebo žiadosť dotknutej osoby býva drahšie ako priznať problém a riešiť ho procesne.

Čo odporúčam firmám, aby minimalizovali riziko pokút (prakticky a bez zbytočnej byrokracie)

Toto sú kroky, ktoré majú najlepší pomer cena, efekt a zníženie rizika. Zároveň sú to veci, ktoré vedia firmám reálne uľahčiť život, lebo nahradia chaos jednoduchým procesom.

1) Urobte si inventúru spracúvaní a nastavte záznamy (ROPA) tak, aby sa dali používať

Záznamy nemajú byť „pre úrad“. Majú byť pre vás: účely, kategórie údajov, právne základy, príjemcovia, retencie, bezpečnostné opatrenia. Keď príde incident alebo žiadosť, záznamy vám ušetria dni práce.

2) Vyčistite právne základy: súhlas používajte len tam, kde má zmysel

V praxi vidím zneužívanie súhlasu najmä v HR a pri zákazníckych databázach. Správny právny základ často nie je súhlas, ale zmluva, zákonná povinnosť alebo oprávnený záujem. Výsledok: menej odvolaní súhlasov, menej chaosu, lepšia obhájiteľnosť.

3) Nastavte retenciu a jednoduché pravidlá mazania

Najčastejšia otázka pri kontrole: „Ako dlho to držíte a prečo?“

Ak máte jasnú retenčnú politiku a procesy (aj manuálne, ak firma nie je veľká), riziko ide výrazne dole.

4) Zmluvy so spracovateľmi: urobte poriadok v dodávateľoch

CRM, mzdová firma, helpdesk, hosting, cloud, marketingová agentúra, dochádzkový systém. Všade tečú osobné údaje. Spracovateľské zmluvy podľa čl. 28 a prehľad subdodávateľov sú základ.

5) Práva dotknutých osôb: proces, šablóny, zodpovednosť

Nejde o to, aby to riešil právnik pri každej požiadavke. Ide o to, aby firma mala:

  • jasný kontaktný bod,
  • overovanie identity,
  • interné SLA a evidenciu,
  • šablóny odpovedí a rozhodovaciu logiku.

6) Bezpečnosť: prístupy, MFA, logy, školenia, incident plan

Úrady pri únikoch hodnotia primeranosť opatrení. Veľmi často stačí spraviť základné veci poriadne:

  • MFA všade, kde sa dá,
  • roly a prístupy podľa potreby,
  • pravidelné aktualizácie,
  • logovanie prístupov k citlivým údajom,
  • školenia (krátke, praktické) a testované postupy pri incidente.

7) Cookies a marketing: nastavte to tak, aby sa to dalo obhájiť

Dnes už nestačí „banner, ktorý všetko povolí“. Potrebujete:

  • skutočný opt-in pre marketingové cookies,
  • prehľad partnerov,
  • evidenciu súhlasov,
  • konzistentné nastavenie v analytike a reklamných nástrojoch.

Prečo je konzultačný prístup výhodný (a ako firmám šetrí čas aj nervy)

Mnohé firmy skúšajú GDPR riešiť interne „popri práci“ alebo stiahnu šablóny. Výsledok často vyzerá dobre na papieri, ale nefunguje v praxi.

Konzultačný prístup je výhodný hlavne preto, že:

  • nastaví sa primeraná úroveň ochrany podľa reálnych rizík (nie podľa teórie),
  • dokumenty sa pripravia tak, aby sedeli na procesy firmy a dali sa používať,
  • zníži sa byrokracia tým, že sa zjednotia postupy, zodpovednosti a evidencie,
  • firma vie pri kontrole preukázať, že má systém, a nie len „PDF v šuflíku“.

Najväčší prínos je, že GDPR prestane byť strašiak a stane sa bežnou súčasťou riadenia firmy. A to je presne to, čo úrady očakávajú: primerané opatrenia, zodpovednosť a schopnosť reagovať.

Zhrnutie: čo si z praxe odniesť

Pokuty a sankcie za GDPR zvyčajne nevzniknú z jednej maličkosti. Vzniknú z kombinácie:

  • slabých procesov,
  • nedostatočnej dokumentácie,
  • zlej transparentnosti,
  • a reakcií „až keď sa niečo stane“.

Príklady z praxe ukazujú, že úrady neriešia len gigantov. Riešia najmä opakované a systémové zlyhania, ktoré sa dali predísť.

Ak chcete znížiť riziko a zároveň si uľahčiť internú byrokraciu, zamerajte sa na jadro: právne základy, transparentnosť, retenciu, dodávateľov, práva dotknutých osôb a bezpečnosť. Keď to máte nastavené dobre, väčšina „GDPR problémov“ sa vyrieši skôr, než sa z nich stane sankcia.

Často kladené otázky

Čo je GDPR a prečo je dôležité mať ho správne nastavené?

GDPR (General Data Protection Regulation) je nariadenie EÚ na ochranu osobných údajov. Správne nastavenie GDPR pomáha firmám vyhnúť sa incidentom, sťažnostiam, kontrolám a sankciám, ktoré môžu viesť k pokutám, zákazu spracúvania údajov alebo poškodeniu reputácie.

Aké druhy pokút môže firma podľa GDPR dostať?

GDPR umožňuje dve základné úrovne pokút: do 10 miliónov EUR alebo 2 % celosvetového obratu za menej závažné porušenia; a do 20 miliónov EUR alebo 4 % celosvetového obratu za vážnejšie porušenia ako nezákonný právny základ či porušenie práv dotknutých osôb. Výška pokuty závisí od okolností prípadu.

Čo všetko úrad môže firme nariadiť okrem finančnej pokuty?

Okrem pokút môže úrad uložiť príkaz na uvedenie spracúvania do súladu, zákaz alebo obmedzenie spracúvania údajov, povinnosť informovať dotknuté osoby, auditné požiadavky, pravidelné reportovanie či dokonca zverejnenie rozhodnutia. Tieto opatrenia môžu mať výrazný dopad na fungovanie firmy.

Prečo nestačí mať len formálne nastavené GDPR?

Formálne nastavené GDPR bez skutočných procesov a ochranných opatrení často vedie k incidentom a kontrolám. Úrady hodnotia reálny systém ochrany údajov a rýchlu nápravu, preto „papierové“ riešenia môžu viesť k vyšším sankciám a reputačným škodám.

Aké sú najčastejšie príčiny kontrol a pokút podľa GDPR v praxi?

Medzi časté príčiny patrí nedostatočné zabezpečenie osobných údajov, chýbajúce záznamy o spracovaní, nesplnenie povinností spracovateľa, neaktuálne súhlasy a neoprávnené prenosy údajov do tretích krajín. Tieto nedostatky vedú k sťažnostiam a následným kontrolám úradov.

Ako môže firma minimalizovať riziko sankcií podľa GDPR?

Firma by mala mať funkčne nastavený systém ochrany osobných údajov vrátane aktuálnych súhlasov, zabezpečenia dát, jasných procesov a rýchlej reakcie na incidenty. Dôležitá je tiež spolupráca s úradmi pri kontrole a pravidelná aktualizácia dokumentácie podľa platnej legislatívy.

Sankcie a pokuty za GDPR v roku 2026: Čo vás môže stáť nesúlad?

Úloha povinného bezpečnostného dôstojníka (DPO) podľa GDPR

Oslovte nás pre možnosti spolupráce

Radi by sme bližšie preskúmali vaše potreby a ciele, aby sme mohli lepšie porozumieť, ako by sme mohli spolupracovať.

KOntaktujte nás

© 2026 Powered by Webpomoc

Ochrana súkromia