• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog
, ,

20 miliónov eur alebo 4 % z obratu? Pravda o tom, ako sa v skutočnosti udeľujú maximálne GDPR pokuty.

19. mája 2026

Späť na Blog

20 miliónov eur alebo 4 % z obratu? Pravda o tom, ako sa v skutočnosti udeľujú maximálne GDPR pokuty.

Odkedy vstúpilo všeobecné nariadenie o ochrane údajov (GDPR) v máji 2018 do platnosti, stalo sa strašiakom pre podnikateľov všetkých veľkostí. Najčastejšie skloňovanou hrozbou sú astronomické sankcie, ktoré môžu dosiahnuť až 20 miliónov eur alebo 4 % z celkového celosvetového ročného obratu za predchádzajúci finančný rok. Mnohí manažéri a majitelia firiem však žijú v omyle, že tieto sumy sú udeľované automaticky pri akomkoľvek pochybení. Realita je však omnoho komplexnejšia a riadi sa prísnymi metodikami Európskeho výboru pre ochranu údajov (EDPB). Úrady na ochranu osobných údajov neudeľujú pokuty náhodne, ale prechádzajú viacstupňovým procesom posudzovania závažnosti incidentu, počtu dotknutých osôb a miery zavinenia. Tento článok vám podrobne vysvetlí, ako sa v skutočnosti vypočítava výška sankcie, aký je rozdiel medzi dvoma úrovňami pokút a prečo sa giganti ako Meta či Amazon pohybujú v úplne iných číslach než bežné európske spoločnosti.

Dva stupne sankcií: Prečo nie je každé porušenie rovnako drahé?

GDPR striktne rozlišuje medzi menej závažnými administratívnymi pochybeniami a vážnym porušením základných princípov ochrany údajov. Práve toto rozdelenie určuje, ktorá „maximálna hranica“ sa na daný subjekt uplatní. V praxi hovoríme o dvoch základných kategóriách sankcií podľa článku 83 nariadenia:

Prvá kategória sa týka porušení povinností prevádzkovateľa a sprostredkovateľa, ako sú napríklad nedostatky v záznamoch o spracovateľských činnostiach, chýbajúce zmluvy so sprostredkovateľmi alebo nevykonanie posúdenia vplyvu na ochranu údajov (DPIA). V týchto prípadoch je horná hranica pokuty stanovená na 10 miliónov eur alebo 2 % z celkového svetového ročného obratu, podľa toho, ktorá suma je vyššia.

Druhá, prísnejšia kategória, zahŕňa porušenia základných zásad spracúvania, práv dotknutých osôb alebo nezákonný prenos údajov do tretích krajín. Ak firma ignoruje požiadavku klienta na vymazanie údajov alebo spracúva citlivé informácie bez platného právneho základu, riskuje pokutu až do výšky 20 miliónov eur alebo 4 % z celkového svetového ročného obratu. Kľúčové je slovné spojenie „podľa toho, čo je vyššie“, ktoré umožňuje regulátorom postihovať nadnárodné korporácie sumami, ktoré skutočne pocítia.

Definícia celosvetového obratu: Pasca pre dcérske spoločnosti

Častou otázkou v právnej praxi je, z akého základu sa vlastne percentuálna pokuta vypočítava. Ak má slovenská s.r.o. obrat jeden milión eur, ale je súčasťou globálneho holdingu s obratom v miliardách, hrozba sa rapídne zvyšuje. Podľa judikatúry Súdneho dvora EÚ sa pod pojmom „podnik“ rozumie hospodárska jednotka, ktorá môže zahŕňať materskú spoločnosť aj všetky jej dcérske firmy.

Tento prístup zabezpečuje, že sankcia bude mať odradzujúci účinok. Ak by sa pokuta počítala len z obratu malej lokálnej pobočky, ktorá však profituje zo zdrojov a infraštruktúry obrovskej matky, trest by stratil svoju efektivitu. Pri výpočte sa berie do úvahy hrubý ročný obrat celého holdingu, čo vysvetľuje, prečo pokuty pre technologických gigantov dosahujú stovky miliónov eur, hoci k pochybeniu mohlo dôjsť len v určitej divízii.

5 kľúčových faktorov, ktoré rozhodujú o finálnej sume

Dozorné orgány, ako napríklad Úrad na ochranu osobných údajov SR, nie sú pri rozhodovaní o výške pokuty ponechané na ľubovôľu. Musia povinne zohľadniť kritériá stanovené priamo v texte GDPR. Medzi tie najdôležitejšie patria:

  • Povaha, závažnosť a trvanie porušenia: Úrad skúma, koľko ľudí bolo zasiahnutých, aká veľká škoda im vznikla a ako dlho tento stav trval. Masívny únik zdravotných údajov bude vždy posudzovaný prísnejšie než krátkodobá technická chyba pri odosielaní newslettera.
  • Zavinenie (úmysel verzus nedbanlivosť): Je obrovský rozdiel, ak firma vedome predáva databázu klientov tretej strane bez súhlasu, alebo ak sa stane obeťou sofistikovaného hackerského útoku napriek tomu, že mala zabezpečenie na vysokej úrovni.
  • Kroky podniknuté na zmiernenie škody: Ak prevádzkovateľ ihneď po zistení úniku informuje dotknuté osoby a prijme technické opatrenia na zastavenie úniku, úrad to pri výpočte pokuty zohľadní ako poľahčujúcu okolnosť.
  • Miera spolupráce s dozorným orgánom: Proaktívna komunikácia a priznanie si chyby spravidla vedú k nižším sankciám než obštrukcie a zatajovanie faktov počas kontroly.
  • Predchádzajúce porušenia: Recidíva sa v oblasti GDPR nevypláca. Ak firma opakovane zlyháva v tých istých oblastiach, každá ďalšia pokuta bude smerovať k hornému limitu sadzby.

Nová metodika EDPB: Matematika za udeľovaním pokút

V roku 2023 prijala Európska rada pre ochranu údajov (EDPB) nové usmernenia k výpočtu pokút, ktoré priniesli do celého procesu viac predvídateľnosti. Tento proces má tri hlavné kroky. Najskôr úrad určí štartovací bod na základe závažnosti porušenia (nízka, stredná alebo vysoká). Pre stredne závažné porušenie môže byť tento základ nastavený na 10 % až 20 % z teoretického zákonného maxima.

V druhom kroku sa zohľadňuje obrat spoločnosti. Čím je firma väčšia, tým viac sa základná suma zvyšuje smerom nahor, aby bol zachovaný represívny účinok. V poslednej fáze sa pripočítavajú priťažujúce alebo poľahčujúce okolnosti, ako napríklad finančný prospech, ktorý firma porušením pravidiel získala. Táto metodika má za cieľ zjednotiť postup úradov v celej EÚ, aby firma v Nemecku nedostala za rovnaký prečin desaťnásobne vyššiu pokutu než firma v Poľsku.

Praktické príklady: Prečo málokto dostane absolútne maximum?

Hoci médiá radi informujú o rekordných sankciách, v drvivej väčšine prípadov sa udelené pokuty pohybujú v dolnej časti zákonného rozpätia. Pre malé a stredné podniky (SME) na Slovensku sa pokuty za bežné pochybenia, ako je nesprávne nastavený kamerový systém alebo chýbajúca informačná povinnosť na webe, zvyčajne pohybujú v stovkách až jednotkách tisícov eur.

Maximálne sadzby sú rezervované pre prípady systémového zlyhania, arogancie voči právam občanov alebo pre globálnych hráčov, kde 4 % z obratu predstavujú miliardy eur. Napríklad rekordná pokuta pre spoločnosť Meta (1,2 miliardy eur v roku 2023) bola udelená za prenosy údajov z EÚ do USA, ktoré prebiehali dlhodobo napriek jasným upozorneniam regulátorov. Pre bežnú slovenskú firmu je dôležitejšie než strašenie 20 miliónmi pochopiť, že úrad hľadá primeranosť. Cieľom nie je likvidácia podnikateľa, ale vynútenie nápravy a rešpektu k súkromiu.

Maximálne hranice pokút definované v nariadení GDPR, teda 20 miliónov eur alebo 4 % z celosvetového obratu, slúžia predovšetkým ako mantinely pre najzávažnejšie prípady ohrozenia súkromia miliónov ľudí. Pre priemernú spoločnosť nie je najväčším rizikom samotná horná hranica sadzby, ale skôr proces výpočtu, ktorý trestá nepripravenosť, ignoranciu a nedostatok transparentnosti. Rozhodovanie dozorných orgánov sa opiera o jasne definované kritériá, kde sa kladie dôraz na to, či firma urobila maximum pre zabezpečenie údajov, ako rýchlo na incident reagovala a či s úradom konštruktívne spolupracovala. Je dôležité si uvedomiť, že ochrana osobných údajov nie je len o čisto formálnom splnení zákonných požiadaviek, ale o budovaní dôvery medzi firmou a jej klientmi či zamestnancami. Správne nastavené procesy, pravidelné audity a vzdelávanie zamestnancov sú tou najlepšou investíciou, ktorá vás ochráni pred sankciami. Pokuta totiž často nepredstavuje len priamy finančný náklad, ale aj nenapraviteľné poškodenie reputácie značky na trhu. V konečnom dôsledku je GDPR o zodpovednosti a v dobe digitálnej transformácie sa schopnosť bezpečne narábať s dátami stáva jednou z najhodnotnejších konkurenčných výhod každého moderného podniku.

Kategórie:
Témy

autor

/ Blog /

Súvisiace články

, ,
Zabudnite na staré antivírusy: Prečo bez umelej inteligencie vaše firemné dáta neprežijú ani rok?

autor

19. mája 2026

, ,
Monitoring 24/7 alebo špehovanie? Prečo by sa mal každý športovec báť o svoje súkromné údaje

autor

19. mája 2026

, ,
Koniec výhovorkám o byrokracii: Pozrite sa, kto naozaj musí viesť záznamy o spracovateľských činnostiach a ako na to bez stresu.

autor

19. mája 2026

, ,
Čo vám nikto nepovie o monitoringu siete v reálnom čase a skutočných nákladoch na nesprávne zvolené nástroje

autor

18. mája 2026

, ,
Ako moderní lídri v potravinárstve využívajú GDPR na ovládnutie trhu a budovanie nepriestrelnej dôvery

autor

18. mája 2026

, ,
Skrytá pravda o GDPR: 5 kritických chýb pri spracovaní osobných údajov, ktoré potichu likvidujú slovenské e-shopy

autor

18. mája 2026

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.