Jak na to byl rok 2025 z pohledu GDPR?
Z výroční zprávy Evropského sboru pro ochranu osobních údajů za rok 2025 je zjevné, že objem pokut za porušení GDPR se v rámci Evropské unie zvyšuje. Podívejme se na některá čísla trochu blíže.
Dozorové úřady pro ochranu osobních údajů v roce 2025 uložily celkem 2.172 pokut za porušení GDPR. Průměrná výše pokuty byla 527.000 euro, ale toto číslo musíme opravdu brát jako pouhý aritmetický průměr. Některé státy ukládají hodně pokut v nízkých objemech (například Slovensko), jiné dozorové úřady zase uloží pokut méně, ale s výrazně vyšší sankcí (například Irsko nebo Francie). Každopádně dohromady dozorové úřady v roce 2025 uložily pokuty za 1,15 miliardy euro.
Prohlubuje se také mezinárodní spolupráce. V loňském roce dozorové úřady řešily více než 400 přeshraničních kontrol. Tedy kontrol, které se týkaly zpracování osobních údajů s dopadem na obyvatele více členských států EU.
Častá témata kontrol
Jaké oblasti a povinnosti podle GDPR dozorové úřady nejčastěji kontrolovaly? A za jaká porušení nejčastěji dávaly pokuty?
Zde se nic nového neodehrálo. Mezi nejčastější kontrolované GDPR povinnosti stále patří otázka legality (právního důvodu zpracování), využití dat k dalším účelům, transparentnost (informování o náležitostech zpracování osobních údajů), zabezpečení dat a dodržování pravidel pro přenos osobních dat do třetích zemí. Nedodržení pravidel pro předávání dat mimo EU se v roce 2025 zhmotnilo v pokutě 530 milionů, kterou irský dozorový úřad uložil provozovateli sociální sítě TikTok. Ten tvrdil, uživatelům a nejdříve i dozorovému úřadu, že žádná data nikam nepředává. A už vůbec ne do Číny. Ale, jak se při kontrole ukázalo, osobní údaje unijních uživatelů TikToku byly pro čínské zaměstnance provozovatele dostupné, k předávání do třetí země tak fakticky docházelo.
Elektronická identita musí být bezpečná
Podívejme se na několik konkrétních případů ve větším detailu.
Finský úřad pro ochranu osobních údajů uložil bance Aktia Bank pokutu ve výši 865.000 euro za nedostatečné zabezpečení silného elektronického ověřování totožnosti. V důsledku chyby po technické úpravě systému došlo po omezenou dobu k záměně identit uživatelů, takže někteří klienti získali přístup k osobním údajům jiných osob při přihlašování do různých veřejných i soukromých služeb. Dotčené systémy obsahovaly mimo jiné údaje o zdravotním stavu nebo finanční situaci subjektu údajů, porušení zabezpečení se týkalo přibližně 350 osob.
Vyšetřování ukázalo, že banka při úpravě autentizačního systému nezajistila odpovídající řízení změn. Podle úřadu měla být změna lépe připravena, důkladněji ověřena a lépe testována před samotným nasazením.
A zase ti dodavatelé...
Polský úřad pro ochranu osobních údajů uložil společnosti McDonald’s Polska pokutu ve výši 4,02 milionu euro za neoprávněné zveřejnění databáze obsahující například jména, rodná čísla (PESEL), čísla pasů, údaje o pracovní době, směnách a dovolených zaměstnanců a franšízantů. Vyšetřování dozorového úřadu ukázalo, že společnost svěřila zpracování těchto údajů externímu dodavateli, aniž by nad jeho činností vykonávala dostatečný dohled.
Polský dozorový úřad dále konstatoval, že ani správce ani zpracovatel v tomto případě neprovedli odpovídající analýzu rizik a nezavedli technická a organizační opatření přiměřená rozsahu zpracování. K úniku údajů přispěla nesprávná konfigurace serveru, nedostatečná kontrola dodavatelského řetězce i skutečnost, že pověřenec pro ochranu osobních údajů nebyl do klíčových rozhodnutí zapojen a nemohl se k nim vyjádřit.
I tato pokuta opět potvrzuje, že odpovědnost za dodržení souladu s GDPR nelze outsourcovat. Správce je ten, kdo je za zpracování odpovědný a kdo si musí své dodavatele, zpracovatele, pečlivě vybrat, ověřit a průběžně kontrolovat, zda dodržují podmínky dle smlouvy a obecně závazných právních předpisů.
Míchání servisní a marketingové komunikace se nevyplácí
Francouzský úřad pro ochranu osobních údajů (CNIL) uložil telekomunikačnímu operátorovi Orange pokutu ve výši 50 milionů euro za porušení pravidel týkajících se elektronického marketingu a používání cookies. Kontrola zjistila, že společnost při provozování e-mailové služby Mail Orange zobrazovala v doručené poště reklamní sdělení stylizovaná jako běžné e-maily, aniž by k tomu disponovala jasným a informovaným souhlasem svých klientů.
Další pochybení se týkalo cookies. Úřad zjistil, že i po odvolání souhlasu s využitím cookies konkrétním uživatelem docházelo na webu společnosti k přístupu k již uloženým cookies. Podle CNILu tím Orange porušil požadavky francouzských právních předpisů na ochranu soukromí. Kromě samotné pokuty CNIL společnosti Orange závazně uložil, aby tuto praxi do tří měsíců ukončila, jinak jí hrozila sankce ve výši 100.000 euro denně!
Je GDPR po 10 letech stále něčím novým?
GDPR bylo schváleno již před 10 lety, v roce 2016. V účinnost pak vstoupilo v roce 2018. Přesto se někdy zdá, že i velké společnosti či státní organizace chybují stále v základních povinnostech a pravidlech. Zabezpečení, souhlas, oprávněný zájem, kontrola dodavatelů, cookies...
Čím to je? Nedostatečné povědomí o GDPR? Záplava nové regulace, ve které se organizace už tak trochu ztrácejí? Nízké pokuty, někdy málo efektivní dozorové úřady? Podcenění zdánlivě banálních úkonů, jako je outsourcing nebo projektové řízení?
Podle mého soudu to by kombinace všeho. Což v praxi i nyní, 10 let po schválení GDPR, vede k tomu, že některé organizace nevědí, jaké osobní údaje zpracovávají, komu je zpřístupňují, jak je mají chránit a co má vlastně dělat jejich pověřenec pro ochranu osobních údajů. Pak stačí jedna drobná chybka, incident, nebo informovaný stěžovatel (třeba whistleblower) a problém je na světě.
