GDPR není bezzubé nařízení. Od roku 2018 bylo v Evropské unii uděleno přes 5 miliard EUR na pokutách za porušení ochrany osobních údajů. Pro mnohé firmy – od technologických gigantů po malé e-shopy – se nedodržování GDPR stalo extrémně nákladnou záležitostí. Podívejme se podrobně na největší případy, analyzujme, proč k nim došlo, a hlavně se poučme z chyb ostatních, abychom se podobným sankcím vyhnuli.

Jak funguje systém pokut v GDPR?

Než se podíváme na konkrétní případy, je důležité pochopit, jak systém pokut v GDPR funguje. Nařízení rozlišuje dvě úrovně sankcí:

Nižší úroveň – až 10 milionů EUR nebo 2 % ročního obratu
Tato úroveň se vztahuje na porušení povinností správce a zpracovatele, jako je nedostatečné zabezpečení dat, chybějící záznamy o zpracování nebo nenahlášení bezpečnostního incidentu.

Vyšší úroveň – až 20 milionů EUR nebo 4 % ročního obratu
Tato přísnější sankce se uplatňuje při porušení základních práv subjektů údajů – například zpracování dat bez právního základu, porušení práv na výmaz, nebo nezákonný přenos dat mimo EU.

Vždy se počítá ta vyšší částka. U nadnárodních korporací s miliardovými obraty tak pokuta může dosáhnout astronomických hodnot. Dozorové úřady při stanovení výše pokuty zohledňují závažnost porušení, dobu trvání, počet dotčených osob, míru spolupráce firmy a také to, zda firma z porušení profitovala.

Největší pokuty v historii GDPR

Podívejme se na rekordní pokuty, které otřásly technologickým světem a jasně ukázaly, že evropské úřady to s vymáháním GDPR myslí vážně.

Meta (Facebook) – 1,2 miliardy EUR (2023)
Irský Data Protection Commission (DPC) udělil v květnu 2023 absolutně rekordní pokutu společnosti Meta za přenos osobních údajů občanů EU do Spojených států bez dostatečných právních záruk. Případ se táhl od rozhodnutí Soudního dvora EU v kauze Schrems II, které zneplatnilo mechanismus Privacy Shield. Meta přesto pokračovala v přenosu dat na základě standardních smluvních doložek, které však podle irského úřadu neposkytovaly dostatečnou ochranu před americkými zpravodajskými službami. Kromě pokuty bylo Metě nařízeno ukončit přenos dat do USA do šesti měsíců.

Amazon – 746 milionů EUR (2021)
Lucemburský dozorový úřad CNPD potrestal Amazon za rozsáhlé zpracování osobních údajů pro účely behaviorálního cílení reklamy bez platného souhlasu. Stížnost původně podala francouzská organizace La Quadrature du Net jménem více než 10 000 osob. Úřad konstatoval, že Amazon zpracovával data o nákupním chování, prohlížení produktů a kliknutí na reklamy způsobem, který vyžadoval výslovný souhlas uživatelů – ten však nebyl řádně získán.

Google – 90 milionů EUR (2021)
Francouzský CNIL potrestal Google za to, že na YouTube ztížil uživatelům možnost odmítnout cookies. Zatímco pro přijetí všech cookies stačilo jedno kliknutí, odmítnutí vyžadovalo projít několika obrazovkami a kliknout na nejméně pět tlačítek. CNIL tento postup označil za „dark pattern" a porušení principu rovnocennosti volby.

WhatsApp – 225 milionů EUR (2021)
Irský DPC pokutoval WhatsApp za netransparentní informování uživatelů o zpracování jejich dat. Firma nedostatečně vysvětlovala, jak sdílí data s mateřskou společností Meta, a její zásady ochrany osobních údajů byly označeny za nepřehledné a matoucí.

H&M – 35 milionů EUR (2020)
Hamburský dozorový úřad udělil pokutu módnímu řetězci H&M za systematické sledování zaměstnanců. Vedoucí pracovníci shromažďovali podrobné informace o zdravotním stavu, rodinných problémech a náboženském vyznání zaměstnanců a ukládali je do interní databáze. Případ vyšel najevo po technické chybě, která zpřístupnila databázi všem zaměstnancům.

Pokuty za cookies a consent

Značná část pokut se týká právě nesprávného získávání souhlasu s cookies. Tato oblast je pro provozovatele webů obzvlášť relevantní, protože cookie lišta je první bod kontaktu s GDPR, který návštěvníci vidí.

  • Google France – 150 milionů EUR za „dark patterns" v cookie banneru – tlačítko pro odmítnutí bylo záměrně méně viditelné než tlačítko pro přijetí
  • Microsoft Ireland – 60 milionů EUR za nedostatečné informace o cookies a jejich účelu na platformě Bing
  • TikTok – 5 milionů EUR za matoucí cookie banner, který ztěžoval odmítnutí neesenciálních cookies
  • Criteo – 40 milionů EUR za zpracování dat pro cílenou reklamu bez řádného souhlasu
  • Clearview AI – 20 milionů EUR od italského Garante za nelegální sběr biometrických dat z veřejných zdrojů

Průměrná pokuta za porušení GDPR v roce 2024 činila přes 2,5 milionu EUR. Ale pozor – i „malé" pokuty v řádu tisíců eur mohou být pro malé firmy likvidační.

Nejčastější důvody pokut

Analýza pokut udělených od roku 2018 ukazuje jasné vzorce. Nejčastějšími důvody jsou:

1. Nedostatečný právní základ pro zpracování (čl. 6 GDPR)
Firma zpracovává osobní údaje bez platného souhlasu, smlouvy nebo jiného zákonného důvodu. Typický příklad: marketingové e-maily bez opt-in souhlasu.

2. Porušení práv subjektů údajů (čl. 12–22 GDPR)
Firma nereaguje na žádosti o přístup k datům, výmaz nebo přenositelnost. GDPR stanoví lhůtu 30 dnů pro odpověď.

3. Nedostatečná bezpečnost dat (čl. 32 GDPR)
Úniky dat způsobené slabým zabezpečením – nešifrované databáze, slabá hesla, chybějící dvoufaktorová autentizace.

4. Nezákonný přenos dat mimo EU (čl. 44–49 GDPR)
Po zneplatnění Privacy Shield v roce 2020 mnoho firem pokračovalo v přenosu dat do USA bez odpovídajících záruk.

5. Nesprávné získávání souhlasu s cookies
Cookie bannery s dark patterns, předvyplněnými souhlasy nebo chybějící možností odmítnout cookies.

Situace v České republice

Úřad pro ochranu osobních údajů (ÚOOÚ) je ve srovnání s úřady v západní Evropě tradičně mírnější, ale situace se postupně mění. V posledních letech ÚOOÚ výrazně zvýšil aktivitu a počet kontrol.

  • Nejvyšší pokuta ÚOOÚ: 6 milionů Kč – udělena za opakované zasílání nevyžádaných obchodních sdělení
  • Běžné pokuty za cookies: 50 000 – 500 000 Kč – za chybějící nebo nefunkční cookie lištu
  • Kontroly e-shopů: ÚOOÚ systematicky kontroluje největší české e-shopy a portály
  • Stížnosti občanů: Počet stížností na ÚOOÚ roste každoročně o 15–20 %

V roce 2024 ÚOOÚ provedl rozsáhlou kontrolu cookies compliance u 50 největších českých webů. Výsledky byly alarmující – více než 60 % webů mělo závažné nedostatky v cookie lištách. Úřad následně zahájil správní řízení s několika provozovateli.

Český ÚOOÚ také začal aktivněji spolupracovat s ostatními evropskými úřady v rámci mechanismu konzistence EDPB (Evropský sbor pro ochranu osobních údajů). To znamená, že české firmy mohou být předmětem šetření i ze strany zahraničních úřadů, pokud zpracovávají údaje občanů jiných členských států.

Praktické příklady z českého prostředí

I když ÚOOÚ nezveřejňuje všechna rozhodnutí, z dostupných informací víme o několika typických případech:

E-shop s módou: Pokuta 200 000 Kč za cookie lištu, která načítala Google Analytics a Facebook Pixel ještě před udělením souhlasu. E-shop argumentoval, že „to tak dělají všichni", ale ÚOOÚ tento argument samozřejmě neuznal.

Realitní portál: Pokuta 350 000 Kč za nemožnost odmítnout marketingové cookies. Banner obsahoval pouze tlačítka „Přijmout vše" a „Nastavení", přičemž v nastavení chyběla možnost odmítnutí.

Zpravodajský server: Pokuta 150 000 Kč za „cookie wall" – web neumožňoval přístup k obsahu bez souhlasu s cookies, a to bez nabídky alternativy (např. předplatného).

Kdo podává stížnosti?

Zajímavé je, kdo stížnosti na porušení GDPR podává. Vedle běžných občanů existují organizace, které systematicky kontrolují weby a podávají hromadné stížnosti:

  • noyb (None of Your Business) – organizace založená Maxem Schremsem, která podala stovky stížností po celé EU, včetně ČR
  • Iuridicum Remedium – česká neziskovka zaměřená na ochranu soukromí
  • Konkurenti – v praxi se stává, že konkurenční firma podá stížnost na ÚOOÚ jako formu konkurenčního boje
  • Nespokojení zákazníci – po negativní zkušenosti s firmou si lidé často všimnou i porušení GDPR

Finanční dopad nad rámec pokuty

Samotná pokuta je často jen špičkou ledovce. Firmy čelí dalším nákladům:

  • Právní náklady: Obhajoba ve správním řízení může stát statisíce korun
  • Reputační škody: Médii propíraná pokuta odrazuje zákazníky
  • Nápravná opatření: Úřad může nařídit kompletní přepracování systémů
  • Žaloby subjektů údajů: Poškozené osoby mohou žádat odškodnění u soudu
  • Ztráta obchodních partnerů: Velké firmy požadují GDPR compliance od svých dodavatelů

Jak se vyhnout pokutě?

Většina pokut vzniká kvůli základním chybám, které se dají snadno napravit. Zde je kontrolní seznam:

  • Cookie lišta musí být funkční a kompletní – musí blokovat všechny neesenciální cookies do udělení souhlasu
  • Žádné předvyplněné souhlasy – checkboxy musí být ve výchozím stavu nezaškrtnuté
  • Rovnocenná možnost odmítnutí – tlačítko „Odmítnout" musí být stejně viditelné jako „Přijmout"
  • Transparentní informace – uživatel musí vědět, jaké cookies používáte a proč
  • Možnost změnit souhlas – uživatel musí mít možnost souhlas kdykoliv odvolat
  • Dokumentace souhlasů – musíte být schopni prokázat, že souhlas byl řádně udělen
  • Pravidelný audit – kontrolujte, že skripty třetích stran nepřidávají nové cookies bez vašeho vědomí

Trendy v pokutách – co očekávat?

Na základě vývoje v posledních letech lze očekávat několik trendů:

Vyšší pokuty pro menší firmy: Dosud se úřady zaměřovaly hlavně na velké korporace. S rostoucí kapacitou dozorových úřadů se kontroly rozšiřují i na střední a malé podniky.

Automatizované kontroly: Dozorové úřady investují do nástrojů pro automatické skenování webů a detekci porušení – například kontrola, zda cookies nejsou nastaveny před udělením souhlasu.

Přísnější přístup k cookies: Cookie compliance se stává prioritou. CNIL ve Francii udělil jen v roce 2023 pokuty za cookies v celkové výši přes 200 milionů EUR.

Spolupráce úřadů: Mechanismus „one-stop-shop" se zlepšuje a úřady lépe koordinují přeshraniční případy.

Hromadné stížnosti organizací: Organizace jako noyb podávají stovky koordinovaných stížností ročně. V roce 2024 noyb podal přes 800 stížností na cookie bannery v celé EU, včetně desítek v České republice. Tento trend bude jen sílit a zvyšuje pravděpodobnost, že i menší české weby budou předmětem šetření.

Rostoucí povědomí spotřebitelů: Čeští spotřebitelé jsou stále informovanější o svých právech. Počet stížností podaných přímo na ÚOOÚ vzrostl v roce 2025 meziročně o 25 %. Lidé si stěžují zejména na nevyžádané e-maily, nefunkční cookie lišty a nemožnost smazat svá data.

S Consentio máte jistotu, že vaše cookie lišta splňuje všechny požadavky. Automatická detekce cookies, správné blokování skriptů a plná dokumentace souhlasů – to vše vám pomůže vyhnout se pokutám a soustředit se na to, co děláte nejlépe.