Úřad pro ochranu osobních údajů Slovenské republiky („Úřad“) ve své nejnovější zprávě o stavu ochrany osobních údajů upozorňuje, že mezi nejčastější porušení GDPR na Slovensku patří problémy se zákonností zpracování, nedostatečným informováním subjektů údajů a porušování zásad transparentnosti. Vyplývá to ze zprávy za rok 2025, kterou úřad předložil Národní radě SR.
Podle zprávy bylo v roce 2025 ukončeno 55 kontrol, přičemž ve 37 případech úřad vyhotovil protokol o kontrole se zjištěnými porušeními pravidel ochrany osobních údajů. Úřad zároveň inicioval uložení čtyř pořádkových pokut.
Nejčastější porušení GDPR
Největší počet zjištěných porušení se týkal základních zásad zpracování osobních údajů podle článku 5 GDPR. Nejčastěji šlo o porušení zásady zákonnosti, spravedlnosti a transparentnosti podle článku 5 odst. 1 písm. a), které úřad konstatoval až ve 26 případech.
Druhým nejčastějším problémem bylo porušení principu odpovědnosti podle článku 5 odst. 2 GDPR, které se objevilo v 18 případech. Ve 12 případech úřad zjistil nezákonné zpracování osobních údajů podle článku 6 GDPR a stejný počet porušení se týkal také zásady minimalizace osobních údajů.
Značný počet porušení se týkal také informačních povinností vůči subjektům údajů podle článku 13 GDPR. Úřad upozorňuje, že správci často poskytovali neúplné nebo nesprávné informace při získávání osobních údajů.
Problémy s bezpečností a dokumentací
Zpráva upozorňuje také na nedostatky v oblasti bezpečnosti zpracování údajů podle článku 32 GDPR či při určování pověřenců pro ochranu osobních údajů. Úřad zaznamenal také případy chybějícího posouzení vlivu na ochranu osobních údajů (DPIA) a problémy při zpracování údajů zpracovateli.
Kontroly zároveň odhalily nedostatky při vedení záznamů o činnostech zpracování či při oznamování incidentů ochrany osobních údajů dozorovému orgánu.
Úřad uložil stovky pokut, průměrná výška sankce však zůstává nízká
Výroční zpráva zároveň ukazuje výrazný nárůst sankční činnosti úřadu. Úřad pravomocně uložil celkem 542 pokut v souhrnné výši 468 tisíc eur. Vybral přitom přibližně 410 800 eur, což naznačuje vysokou úspěšnost vymáhání sankcí.
V přepočtu jde o průměrnou pokutu přibližně 863 eur na jeden případ. Přestože celkový počet sankcí působí vysokým dojmem, průměrná výše pokut ukazuje, že slovenský dozorový orgán stále využívá spíše mírnější sankční přístup ve srovnání s velkými evropskými regulátory, jako jsou irský DPC, francouzský CNIL či italský Garante.
Zpráva zároveň naznačuje, že většina porušení se týká „běžných“ GDPR nedostatků (zejména nesplnění informačních povinností, chybějícího právního základu zpracování či nedostatečné interní dokumentace). Úřad proto pravděpodobně ve velké části případů ukládal sankce menším subjektům nebo za méně závažná administrativní pochybení, nikoli za masivní úniky dat nebo systematické nezákonné profilování uživatelů.
Sankce mají být více preventivní než represivní
Úřad ve zprávě opakovaně zdůrazňuje princip proporcionality a individualizace sankce. Při rozhodování zohledňuje zejména:
závažnost a trvání porušení,
počet dotčených osob,
kategorii osobních údajů,
míru zavinění,
spolupráci subjektu s úřadem,
přijatá nápravná opatření.
Ze zprávy vyplývá, že slovenský regulátor vnímá pokuty především jako preventivní nástroj, jehož cílem je přimět správce k zavádění reálných compliance procesů a předcházení opakovaným porušením GDPR.
To je výrazně odlišný přístup od některých západoevropských dozorových orgánů, které v posledních letech využívají vysoké multimilionové sankce také jako systémový tlak na velké technologické platformy.
Slovensko stále nepatří mezi „agresivní“ GDPR regulátory
I přes meziroční růst pokut zůstává slovenský Úřad z pohledu objemu sankcí spíše konzervativním regulátorem. Pro srovnání:
irský regulátor udělil v posledních letech společnostem Meta či TikTok pokuty ve stovkách milionů eur,
francouzský CNIL pravidelně sankcionuje velké technologické firmy pokutami v desítkách milionů eur,
slovenský úřad za celý rok 2025 uložil pokuty v celkové výši necelého půl milionu eur.
To však nemusí automaticky znamenat slabší dohled. Slovenský regulátor působí na výrazně menším trhu a řeší převážně lokální případy týkající se samospráv, škol, menších podnikatelů nebo domácích e-shopů.
Roste tlak na veřejný sektor i malé firmy
Ze zprávy zároveň vyplývá, že Úřad postupně zvyšuje intenzitu kontrolní činnosti. Významným trendem je rostoucí důraz na:
vedení záznamů o činnostech zpracování,
správné nastavení zpracovatelských smluv,
oznamování bezpečnostních incidentů,
posuzování vlivu na ochranu osobních údajů (DPIA),
bezpečnostní opatření podle článku 32 GDPR.
Pro firmy to znamená, že „papírové GDPR“ přestává stačit. Samotná existence vzorových dokumentů už při kontrole nemusí postačovat, pokud organizace nedokáže prokázat reálné fungování bezpečnostních a compliance procesů.
Úřad ve své zprávě zároveň konstatuje, že ochrana osobních údajů zůstává jednou z klíčových regulačních oblastí digitální ekonomiky a veřejné správy. Úřad avizuje pokračování metodické činnosti i přípravu nové legislativy, která má sjednotit současnou „dvoukolejnou“ úpravu GDPR a slovenského zákona o ochraně osobních údajů.
