Od vstupu General Data Protection Regulation (GDPR) v účinnost v roce 2018 patří ochrana osobních údajů mezi klíčová témata evropského práva. Nařízení nastavilo vysoký standard ochrany, avšak jeho skutečná efektivita závisí především na tom, jak důsledně je v praxi vynucováno.
Role dozorových orgánů a evropské koordinace
Základním pilířem vynucování GDPR jsou národní dozorové úřady, které spolupracují prostřednictvím European Data Protection Board (EDPB). Tento orgán nejen koordinuje přeshraniční případy, ale také zveřejňuje souhrnné statistiky o ukládání pokut.
Právě přehledy EDPB ukazují, že vynucování GDPR je v EU živý a dynamický proces, přičemž počet i objem sankcí v čase rostou.
Pokuty jako hlavní nástroj vynucování
Podle dostupných přehledů EDPB (včetně dat za rok 2025) dosahují pokuty uložené podle GDPR miliardových hodnot v eurech. Tyto sankce jsou ukládány za široké spektrum porušení – od nedostatečného právního základu pro zpracování až po selhání v oblasti bezpečnosti dat.
Mezi nejčastěji sankcionované subjekty patří velké technologické společnosti jako Meta Platforms, Google nebo Amazon, ale významná část pokut dopadá i na menší organizace, včetně veřejného sektoru.
Data z EDPB zároveň potvrzují několik trendů:
Rostoucí počet rozhodnutí – dozorové orgány jsou aktivnější než v prvních letech po přijetí GDPR
Zvyšující se výše pokut – zejména v případech velkých přeshraničních porušení
Široká škála porušení – nejde jen o „big tech“, ale i o běžné administrativní chyby
Nerovnoměrné vynucování v rámci EU
Navzdory rostoucím číslům ukazují přehledy EDPB také zásadní problém: nerovnoměrnost vynucování mezi členskými státy.
Některé úřady ukládají pokuty častěji a systematičtěji, zatímco jiné jsou výrazně méně aktivní. Tento rozdíl je patrný nejen v počtu rozhodnutí, ale i v jejich finančním objemu.
Mechanismus „one-stop-shop“ navíc soustředí rozhodování o velkých technologických firmách do několika málo jurisdikcí, což vede k přetížení těchto orgánů a zpomalování řízení.
Strukturální výzvy
Z kombinace právní praxe a dat EDPB lze identifikovat několik klíčových problémů:
Kapacitní omezení dozorových úřadů
Dlouhá délka řízení, zejména v přeshraničních případech
Nejednotná interpretace GDPR
Komplexnost případů zahrnujících globální technologické firmy
Tyto faktory snižují odstrašující účinek sankcí, i když jejich absolutní výše roste.
Směřování do budoucna
Evropská unie reaguje na tyto nedostatky postupným posilováním regulačního rámce. Vedle GDPR vstoupily v účinnost nové předpisy, jako Digital Services Act a Digital Markets Act, které doplňují ochranu dat o širší dohled nad digitální ekonomikou.
Zároveň se diskutuje o procesních reformách, které by měly zrychlit rozhodování a posílit efektivitu spolupráce mezi dozorovými orgány.
Závěr
Data prezentovaná European Data Protection Board jasně ukazují, že GDPR není „mrtvým právem“, a že pokuty jsou reálně ukládány a jejich objem roste. Přesto však přetrvávají významné rozdíly v jejich aplikaci napříč EU.
Budoucnost vynucování GDPR tak bude záviset především na schopnosti Evropské unie zajistit rychlejší, jednotnější a kapacitně silnější dohled, který bude odpovídat ambicím tohoto nařízení.
