Sankcie a pokuty za GDPR v roku 2026: Čo vás môže stáť nesúlad?

Pokuty za porušenie GDPR patria medzi najprísnejšie sankcie v celej európskej legislatíve. Nový zákon o ochrane osobných údajov (Návrhy zákonov LP/2025/305 a LP/2025/306 sú momentálne v legislatívnom procese) na Slovensku pre rok 2026 síce prináša niektoré zjednodušenia, ale v oblasti sankcií zostáva tvrdý. Čo vás môže nesúlad s GDPR stáť a ako sa tomu vyhnúť?

Výška pokút – čísla, ktoré budú bolieť

GDPR umožňuje uložiť pokuty až do:

Kategória 1 – Ťažšie porušenia

Až 20 miliónov EUR alebo 4 % celosvetového ročného obratu (podľa toho, čo je vyššie)

Týka sa porušení týchto zásad:

• Základné princípy spracovania (zákonnosť, spravodlivosť, transparentnosť)
• Práva dotknutých osôb (prístup, vymazanie, prenosnosť)
• Medzinárodné prenosy údajov
• Povinnosti vyplývajúce z národného zákona
• Nedodržanie príkazu dozorného úradu

Kategória 2 – „Ľahšie“ porušenia

Až 10 miliónov EUR alebo 2 % celosvetového ročného obratu

Týka sa porušení:

• Povinností prevádzkovateľa a sprostredkovateľa (privacy by design, DPIA)
• Povinností ustanoviť DPO
• Oznamovacích povinností pri porušení
• Požiadaviek na certifikačné orgány

POZOR: Aj „ľahšie“ porušenia môžu znamenať milióny eur!

Príklady reálnych pokút z praxe

Aby ste videli, že to nie sú len teoretické hrozby:

Amazon – 746 miliónov EUR (2021)

Porušenie pravidiel pre cielený marketing a cookies.

Google – 90 miliónov EUR (2022, Francúzsko)

Komplikovaný proces odmietnutia cookies, zatiaľ čo prijatie bolo jednoduché.

Meta (Facebook) – 390 miliónov EUR (2023, Írsko)

Neoprávnené spracovanie údajov na behaviorálnu reklamu.

H&M – 35 miliónov EUR (2020, Nemecko)

Nadmerné monitorovanie zamestnancov a zneužívanie osobných informácií.

British Airways – 22 miliónov EUR (2020, UK)

Kybernetický útok s únikom údajov 400 000 zákazníkov kvôli nedostatočnej bezpečnosti.

Slovenské prípady (nižšie sumy, ale stále citeľné):

• Menšie firmy: 5 000 – 50 000 EUR
• Stredné firmy: 50 000 – 200 000 EUR
• Väčšie firmy/inštitúcie: 200 000+ EUR

Čo ovplyvňuje výšku pokuty?

Úrad pri určovaní výšky sankcie zohľadňuje:

Priťažujúce faktory (zvyšujú pokutu):

• ❌ Rozsah porušenia – koľko osôb bolo dotknutých
• ❌ Závažnosť škody – aký vážny dopad to malo
• ❌ Úmyselnosť – vedeli ste o porušení a ignorovali ho
• ❌ Opakovanie – nie je to prvýkrát
• ❌ Kategórie údajov – citlivé údaje (zdravotné, biometrické) = vyššia pokuta
• ❌ Nespolupráca s úradom – odmietali ste poskytnúť informácie
• ❌ Zisk z porušenia – profitovali ste z nezákonného spracovania

Poľahčujúce faktory (znižujú pokutu):

• ✅ Minimalizácia škody – rýchlo ste reagovali a napravili situáciu
• ✅ Súčinnosť s úradom – aktívne ste spolupracovali
• ✅ Predchádzajúca compliance – prvýkrát porušenie, inak ste zodpovední
• ✅ Technické a organizačné opatrenia – snažili ste sa zabezpečiť údaje
• ✅ Notifikácia úradu – sami ste incident nahlásili
• ✅ Malý podnik – veľkosť firmy a finančná situácia sa zohľadňujú
• ✅ Dobrovoľné nápravné opatrenia – zaviedli ste zlepšenia ešte pred kontrolou

NOVINKA 2026: Zníženie pokuty pri súčinnosti

Nový zákon zavádza zaujímavú možnosť:

Ak subjekt do 15 dní od doručenia rozhodnutia:

• Vzdá sa opravných prostriedkov (neodvolá sa)
• Uhradí 80 % uloženej pokuty

Potom sa pokuta považuje za uhradenú v plnej výške.

Praktický príklad:

• Pôvodná pokuta: 100 000 EUR
• Subjekt sa neodvolá a do 15 dní zaplatí: 80 000 EUR
• Pokuta je považovaná za uhradenú

Výhody:

• Ušetríte 20 % (20 000 EUR)
• Rýchlejšie uzavretie veci
• Žiadne ďalšie právne spory a náklady

Nevýhody:

• Nemôžete sa odvolať
• Musíte súhlasiť s porušením

Najčastejšie dôvody pokút

1. Nedostatočný právny základ (30 % prípadov)

Problém:

• Spracovávate údaje bez súhlasu alebo iného právneho základu
• Máte neplatný súhlas (predvyplnený checkbox, nejasné znenie)
• Používate údaje na iný účel, než bol pôvodný

Ako sa vyhnúť:

• Jasne definujte právny základ pre každé spracovanie
• Súhlasy musia byť výslovné, konkrétne, informované
• Dokumentujte všetky súhlasy s timestampom

2. Nedostatočná bezpečnosť (25 % prípadov)

Problém:

• Únik údajov kvôli slabým heslám
• Nešifrované databázy
• Chýbajúce zálohy
• Nezabezpečené API

Ako sa vyhnúť:

• Implementujte základné bezpečnostné opatrenia (pozri blog o technickej bezpečnosti)
• Pravidelné bezpečnostné audity
• Penetračné testovanie
• Školenie zamestnancov o phishingu

3. Nesprávne vybavenie práv dotknutých osôb (20 % prípadov)

Problém:

• Ignorovanie žiadostí o prístup/vymazanie
• Prekročenie 30-dňovej lehoty
• Neúplné informácie v odpovedi
• Odmietnutie bez rázdneho dôvodu

Ako sa vyhnúť:

• Nastavte efektívny proces (pozri blog o právach dotknutých osôb)
• Automatické potvrdenie prijatia
• Kalendárne upozornenia na lehoty
• Vzory odpovedí

4. Chýbajúca transparentnosť (15 % prípadov)

Problém:

• Nejasné alebo chýbajúce informačné povinnosti
• Skryté spracovanie údajov
• Komplikovaný jazyk v podmienkach
• Chýbajúce oznámenia o zmenách

Ako sa vyhnúť:

• Jasné a zrozumiteľné Zásady ochrany osobných údajov
• Informovanie priamo pri zbere údajov
• Vrstvený prístup (krátke zhrnutie + detaily)
• Notifikácie pri zmenách

5. Chýbajúca DPIA (10 % prípadov)

Problém:

• Nerealizovali ste DPIA pri rizikových spracovaniach
• DPIA je povrchná a nekvalitná
• Nereagovali ste na zistené riziká

Ako sa vyhnúť:

• Identifikujte rizikové spracovávania
• Vypracujte kvalitnú DPIA (pozri blog o DPIA)
• Implementujte navrhnuté opatrenia
• Pravidelne aktualizujte

Iné sankcie okrem pokút

1. Príkazy a zákazy

Úrad môže nariadiť:

• Ukončiť spracovanie údajov
• Vymazať údaje
• Obmedziť spracovanie
• Pozastaviť medzinárodné prenosy

Dopad: Môže paralyzovať celý biznis!

2. Varovania a pokarhania

Pri prvých alebo menších porušeniach môže úrad:

• Udeliť varovanie
• Vytknúť nedostatky
• Stanoviť lehotu na nápravu

Výhoda: Šanca napraviť bez pokuty, ale zaznamená sa v evidencii.

3. Periodické penále

Ak nesplníte príkaz úradu, môže uložiť:

• Penále za každý deň omeškania
• Až do výšky stanovených limitov

4. Trestnoprávna zodpovednosť

V extrémnych prípadoch:

• Trestný čin neoprávneného získania, použitia a sprevádzkovania osobných údajov
• Až 3 roky väzenia

Ako minimalizovať riziko pokuty?

Preventívne opatrenia

1. Compliance audit (najmenej ročne)

• Systematické preverenie všetkých procesov
• Identifikácia medzier
• Akčný plán nápravy
• Monitoring implementácie

2. Dokumentácia

• Register spracovateľských činností
• DPIA pre rizikové spracovanie
• Záznamy o súhlasoch
• Zmluvy so sprostredkovateľmi
• Interné politiky a postupy

3. Školenia

• Pravidelné vzdelávanie zamestnancov
• Špecializované tréningy pre kľúčové pozície
• Simulácie incidentov
• Testovanie znalostí

4. Technické zabezpečenie

• Šifrovanie
• Prístupové kontroly
• Monitoring a logovanie
• Pravidelné zálohovanie
• Patch management

5. Incident Response Plan

• Pripravený postup pre únik údajov
• Jasné zodpovednosti
• Kontakty (IT, právnik, PR)
• Testované procesy

Ak príde kontrola

Čo robiť:

1. ✅ Buďte kooperatívni – nespolupráca zvýši pokutu
2. ✅ Požiadajte o čas na prípravu – máte právo na primerané prípravy
3. ✅ Pripravte dokumentáciu – register, DPIA, politiky
4. ✅ Určte kontaktnú osobu – DPO alebo zodpovedný manažér
5. ✅ Zaznamenávajte priebeh – zápisnice, korešpondencia
6. ✅ Konzultujte s právnikom – pri zložitých prípadoch

Čo NEROBIŤ:

1. ❌ Odmieta spoluprácu
2. ❌ Klamať alebo skrývať informácie
3. ❌ Panikáriť a unáhlene konať
4. ❌ Vymazať dokumenty (môže to byť trestný čin)
5. ❌ Obviňovať zamestnancov bez dôkazov

Ak dostanete rozhodnutie o pokute

Vaše možnosti:

1. Akceptovať a zaplatiť – využiť 20 % zľavu pri skorej úhrade
2. Odvolať sa – v lehote 15 dní, suspenduje vykonateľnosť
3. Navrhnúť splátkový kalendár – pri finančných problémoch

Odvolanie má zmysel ak:

• Veríte, že rozhodnutie je nespravodlivé
• Máte nové dôkazy, ktoré úrad nemal
• Pokuta je neprimerane vysoká vzhľadom na okolnosti

Odvolanie nemá zmysel ak:

• Porušenie je jasné a preukázané
• Chcete využiť 20 % zľavu
• Náklady na právne zastupovanie by boli vyššie

Poistenie proti pokutám

Existuje kyber poistenie, ktoré môže pokrývať:

• Pokuty za porušenie GDPR (často s limitmi)
• Náklady na PR krízovú komunikáciu
• Právne poradenstvo
• Notifikáciu dotknutých osôb
• Forensickú analýzu

Náklady: 500 – 5000 EUR ročne (podľa veľkosti a rizika)

POZOR: Väčšina poistní nepokrýva pokuty za úmyselné porušenia!

Reálne prípadové štúdie zo Slovenska

Prípad 1: Malá e-commerce firma

Porušenie: Zasielanie marketingových emailov bez súhlasu Pokuta: 8 000 EUR Poučenie: Aj malé firmy dostanú pokutu. Vždy získavajte súhlas!

Prípad 2: Stredná IT firma

Porušenie: Únik údajov kvôli slabým heslám, neohlásili úradu Pokuta: 45 000 EUR Poučenie: Zabezpečte údaje a vždy hláste incidenty!

Prípad 3: Veľká telekomunikačná spoločnosť

Porušenie: Systematické ignorovanie žiadostí o vymazanie Pokuta: 150 000 EUR Poučenie: Práva dotknutých osôb musíte rešpektovať!

Záver

Sankcie za porušenie GDPR v roku 2026 zostávajú prísne a môžu ohroziť existenciu firmy. Ale dobrá správa je, že pokuty nie sú náhodné – dosť vysoké dávajú pri dobrej vôli, prevencii a spolupráci s úradom. Investícia do GDPR compliance je ďaleko lacnejšia než riešenie pokút, právnych sporov a poškodennej reputácie.

Kľúčom k minimalizácii rizika je:

• Preventívne opatrenia (audit, dokumentácia, školenia)
• Technické zabezpečenie
• Rýchla reakcia na incidenty
• Transparentnosť a spolupráca s úradom

Neberte GDPR ako zlo, ale ako príležitosť zlepšiť svoje procesy a budovať dôveru zákazníkov. Firmy, ktoré to pochopia, budú v roku 2026 a nasledujúcich rokoch prosperovať.

Potrebujete compliance audit, aby ste identifikovali riziká vo vašej organizácii? Kontaktujte GDPR odborníkov, ktorí vám pomôžu pripraviť sa a minimalizovať riziko pokút.