• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog
, ,

Čo vám nikto nepovie o rozdieloch medzi nižšou a vyššou úrovňou pokút podľa GDPR (a prečo na tom záleží)

14. mája 2026

Späť na Blog

Čo vám nikto nepovie o rozdieloch medzi nižšou a vyššou úrovňou pokút podľa GDPR (a prečo na tom záleží)

Keď sa povie GDPR, väčšina podnikateľov si okamžite predstaví astronomické pokuty, ktoré môžu zlikvidovať aj stredne veľkú firmu. Málokto však skutočne rozumie tomu, že európske nariadenie o ochrane osobných údajov nepracuje s jednou paušálnou sadzbou sankcií. Systém trestov je v skutočnosti sofistikovane rozdelený do dvoch základných úrovní, ktoré reflektujú závažnosť porušenia povinností. Rozdiel medzi nimi nie je len v číslach na papieri, ale najmä v type pochybenia, ktorého sa prevádzkovateľ dopustil. Zatiaľ čo nižšia úroveň sa zameriava skôr na administratívne a technické nedostatky, vyššia úroveň nekompromisne trestá porušenie základných princípov ochrany súkromia a práv jednotlivcov. Pochopenie tejto hranice je kľúčové pre nastavenie interných procesov tak, aby ste sa neocitli v hľadáčiku dozorného orgánu. V tomto článku sa pozrieme do hĺbky na to, čo tieto úrovne znamenajú v praxi a aké faktory rozhodujú o tom, do ktorej kategórie vaše pochybenie spadne.

Dva stupne sankcií: Prečo GDPR rozlišuje medzi „malým“ a „veľkým“ pochybením?

Zákonodarcovia pri tvorbe GDPR (Všeobecné nariadenie o ochrane údajov) vychádzali z logiky, že nie každá chyba má rovnaký dopad na dotknutú osobu. Existuje zásadný rozdiel medzi tým, ak firma zabudne viesť záznamy o spracovateľských činnostiach, a tým, ak vedome predáva databázu klientov bez ich súhlasu. Práve preto článok 83 nariadenia definuje dve kategórie správnych pokút. Nižšia úroveň slúži ako varovný prst pri procesných zlyhaniach, zatiaľ čo vyššia úroveň je určená na potieranie systémových porušení základných práv.

Cieľom tohto rozdelenia nie je len represia, ale najmä prevencia. Dozorné orgány, ako napríklad Úrad na ochranu osobných údajov SR, majú pri rozhodovaní o výške pokuty brať do úvahy povahu, závažnosť a trvanie porušenia. Tento dvojúrovňový model im umožňuje flexibilne reagovať na mieru zavinenia. Je však dôležité zdôrazniť, že aj „nižšia“ úroveň môže byť pre mnohé firmy likvidačná, preto by sa žiadna z povinností nemala podceňovať.

Nižšia úroveň pokút: Keď zlyháva administratíva a technické zabezpečenie

Do prvej, nižšej kategórie spadajú porušenia, ktoré sa týkajú najmä povinností prevádzkovateľov a sprostredkovateľov. Ak porušíte tieto pravidlá, hrozí vám pokuta do výšky 10 000 000 EUR alebo v prípade podniku do 2 % celkového svetového ročného obratu za predchádzajúci finančný rok (podľa toho, ktorá suma je vyššia).

Čo konkrétne sem patrí? Medzi najčastejšie prehrešky v tejto kategórii radíme:

  • Zanedbanie ochrany súkromia už od návrhu (Privacy by Design): Ak vyvíjate aplikáciu alebo systém a neriešite ochranu údajov už v procese tvorby.
  • Absencia záznamov o spracovateľských činnostiach: Mnohé firmy podceňujú dokumentáciu, no podľa článku 30 je to jedna zo základných povinností.
  • Nenahlásenie bezpečnostného incidentu: Ak dôjde k úniku dát a vy to neoznámite úradu do 72 hodín, riskujete práve túto úroveň pokuty.
  • Nevymenovanie zodpovednej osoby (DPO): Ak je vaša organizácia povinná mať DPO a túto funkciu neobsadíte, porušujete nariadenie.
  • Chýbajúce zmluvy so sprostredkovateľmi: Ak poveríte inú firmu spracovaním údajov bez riadnej písomnej zmluvy podľa článku 28.

I keď sa tieto body môžu zdať ako čisto byrokratické záležitosti, pre dozorný orgán sú dôkazom toho, že firma nemá pod kontrolou svoje vnútroorganizačné procesy. Nedostatočná dokumentácia je často prvým signálom, že v spoločnosti nefunguje ani faktická ochrana dát.

Vyššia úroveň pokút: Červená čiara, ktorú nesmiete prekročiť

Vyššia úroveň sankcií je vyhradená pre porušenia, ktoré zasahujú do samotnej podstaty práva na ochranu súkromia. Tu sa sumy šplhajú až do výšky 20 000 000 EUR alebo 4 % celkového svetového ročného obratu. Táto kategória je postrachom technologických gigantov, ale aj lokálnych firiem, ktoré ignorujú základné pravidlá hry.

Kedy sa dostávate do tohto „nebezpečného pásma“? Ide najmä o tieto situácie:

  • Porušenie základných zásad spracúvania: Patria sem princípy zákonnosti, spravodlivosti, transparentnosti, obmedzenia účelu či minimalizácie údajov.
  • Absencia právneho základu: Ak spracúvate údaje bez súhlasu, bez zmluvy alebo bez existencie oprávneného záujmu.
  • Porušenie práv dotknutých osôb: Ak ignorujete žiadosti občanov o výmaz údajov (právo na zabudnutie), o prístup k údajom alebo o opravu.
  • Nezákonný prenos údajov do tretích krajín: Ak posielate dáta mimo EÚ (napr. do USA) bez primeraných záruk (ako sú štandardné zmluvné doložky).
  • Nesplnenie príkazu dozorného orgánu: Ak vám úrad nariadi niečo napraviť alebo zastaviť spracúvanie a vy to neurobíte, automaticky padáte do vyššej sadzby.

Rozdiel je tu zrejmý: zatiaľ čo nižšia úroveň trestá „ako“ spracúvate, vyššia úroveň trestá „či vôbec“ ste mali právo spracúvať a „ako hrubo“ ste zasiahli do práv človeka. Práve porušenie práv dotknutých osôb je v súčasnosti najčastejším dôvodom pre rekordné pokuty v Európskej únii.

Rozhodujúce faktory: Ako dozorný orgán určuje konečnú sumu?

Je dôležité rozumieť, že horná hranica (10 alebo 20 miliónov) nie je automatická suma. Úrad pri každom prípade posudzuje individuálne okolnosti. Existuje súbor kritérií, ktoré môžu pokutu buď znížiť k symbolickej hranici, alebo ju vyhnať k maximu. Pritiažujúce okolnosti zahŕňajú úmyselné zavinenie, veľký rozsah zasiahnutých osôb, citlivú povahu dát (napr. zdravotné záznamy) alebo fakt, že firma z porušenia finančne profitovala.

Naopak, poľahčujúce okolnosti môžu firme výrazne pomôcť. Ak ste prijali okamžité opatrenia na zmiernenie škody, ak ste s úradom proaktívne spolupracovali alebo ak ste v minulosti nemali žiadne porušenia, výsledná sankcia môže byť na spodnej hranici. Rozhodujúce je aj to, či ste mali zavedené certifikované kódexy správania. Zaujímavým faktom je, že úrad posudzuje aj finančnú silu prevádzkovateľa – cieľom pokuty je byť „účinná, primeraná a odradzujúca“, nie však nutne likvidačná pre každého drobného živnostníka, pokiaľ nešlo o extrémny exces.

3 najčastejšie mýty o GDPR pokutách, ktoré vás môžu vyjsť draho

Okolo rozdielov v úrovniach pokút koluje množstvo poloprávd. Poďme si objasniť tie najrozšírenejšie:

Mýtus 1: „Malé firmy dostávajú len malé pokuty.“
Skutočnosť je taká, že percentuálny podiel z obratu (2 % alebo 4 %) sa uplatňuje len vtedy, ak je táto suma vyššia ako fixná hranica (10 alebo 20 miliónov). Pre malú firmu s nízkym obratom to znamená, že teoreticky môže dostať pokutu až do výšky celých 20 miliónov eur. Úrady sú síce k malým podnikom zhovievavejšie, ale zákonná možnosť tu existuje.

Mýtus 2: „Keď nemám únik dát, nehrozí mi vyššia úroveň pokuty.“
Toto je nebezpečný omyl. Vyššia úroveň pokuty sa vzťahuje aj na netransparentné informovanie o spracúvaní údajov. Ak sú vaše „Podmienky ochrany súkromia“ na webe nejasné alebo zavádzajúce, porušujete princíp transparentnosti, čo spadá pod vyššiu úroveň (článok 5 GDPR).

Mýtus 3: „Pokuta je to jediné, čoho sa musím báť.“
Okrem samotnej pokuty z oboch úrovní má úrad právomoc udeliť aj nápravné opatrenia. To môže znamenať úplný zákaz spracúvania údajov, čo pre firmu závislú od digitálneho marketingu alebo databáz znamená okamžité ukončenie činnosti. Okrem toho poškodení občania môžu od vás súdne vymáhať nemateriálnu škodu, čo je proces nezávislý od pokuty úradu.

Ako sa vyhnúť obom úrovniam sankcií? Strategický prístup k prevencii

Základom úspechu je nebrať GDPR ako jednorazový projekt, ale ako kontinuálny proces. Prvým krokom by mala byť dôkladná GAP analýza, ktorá odhalí rozdiely medzi vaším súčasným stavom a požiadavkami nariadenia. Zamerajte sa najmä na revíziu právnych základov – máte skutočne platné súhlasy? Máte jasne definovaný oprávnený záujem? Týmto pokryjete riziká spadajúce do vyššej úrovne pokút.

Následne riešte technickú a administratívnu stránku. Zabezpečte, aby každý zamestnanec vedel, čo má robiť v prípade podozrenia na únik dát. Nastavte procesy pre vybavovanie žiadostí dotknutých osôb tak, aby ste stíhali zákonnú 30-dňovú lehotu. Investícia do kvalitného poradenstva alebo softvéru na správu GDPR dokumentácie je zlomkom sumy, ktorú by ste zaplatili aj pri tej najnižšej možnej pokute. Pamätajte, že v očiach dozorného orgánu je najlepšou obranou preukázateľná snaha o súlad so zákonom.

Pochopenie rozdielu medzi nižšou a vyššou úrovňou pokút podľa GDPR je pre moderné podnikanie nevyhnutnosťou. Nižšia úroveň (do 10 miliónov EUR) nás učí poriadku v dokumentácii a technickej precíznosti, zatiaľ čo vyššia úroveň (do 20 miliónov EUR) stráži etiku a základné ľudské práva v digitálnom priestore. Pre prevádzkovateľa z toho vyplýva jasný záver: zatiaľ čo procesné chyby vám úrad môže s istou dávkou tolerancie odpustiť alebo vyriešiť napomenutím, zásah do právomocí jednotlivca a ignorovanie základných princípov spracúvania dát sa v dnešnej dobe trestá mimoriadne prísne. Prevencia v podobe pravidelných auditov, vzdelávania zamestnancov a transparentnej komunikácie voči klientom nie je len zákonnou povinnosťou, ale aj strategickou konkurenčnou výhodou. Firma, ktorej zákazníci veria, že ich údaje sú v bezpečí, nielenže minimalizuje riziko likvidačných sankcií, ale buduje aj dlhodobú hodnotu svojej značky. V konečnom dôsledku nie je cieľom len vyhnúť sa pokute, ale vytvoriť prostredie, kde ochrana osobných údajov prirodzene dopĺňa kvalitu poskytovaných služieb. Implementácia GDPR by preto nemala byť vnímaná ako strašiak, ale ako mapa, ktorá vás bezpečne prevedie svetom dátovej ekonomiky bez ohľadu na to, o ktorej úrovni sankcií sa práve hovorí v správach.

Kategórie:
Témy

autor

/ Blog /

Súvisiace články

, ,
Čo vám nikto nepovie o riešení incidentov s osobnými údajmi v sociálnych službách a hrozbe straty dôvery rodín klientov

autor

14. mája 2026

, ,
Skrytá pravda o správe zdravotných záznamov: Prečo zastaraná dokumentácia v sociálnych zariadeniach potichu ohrozuje životy?

autor

14. mája 2026

, ,
Skrytá pravda o nelegálnom profilovaní: Ako Rakúska pošta tajne obchodovala s politickými preferenciami občanov

autor

14. mája 2026

, ,
Ako moderné firmy využívajú generatívnu AI a prečo pritom nevedome riskujú likvidačné pokuty za porušenie GDPR

autor

13. mája 2026

Skrytá pravda o biometrii v nemocniciach: Získavame rýchlejšiu diagnostiku alebo dobrovoľne odovzdávame svoje najintímnejšie údaje?

autor

12. mája 2026

, ,
Ako kyberzločinci používajú doxing na psychickú likvidáciu obetí a čo s tým môžete urobiť

autor

11. mája 2026

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.