GDPR 2026: Malý e-shop, velká pokuta. Kolik stojí „jen pár e-mailů“

Porušení ochrany osobních údajů může firmu stát až 20 milionů eur nebo 4 % z ročního obratu. A nejde o teoretickou hrozbu – dozorové úřady včetně českého ukládají sankce pravidelně a částky se počítají v milionech.

Až 20 milionů eur, případně 4 procenta z celosvětového ročního obratu – tuto horní hranici sankcí stanoví článek 83 obecného nařízení o ochraně osobních údajů (GDPR), účinného od roku 2018. Jak dlouhodobě informuje odborný server Lupa.cz při mapování rozhodnutí evropských dozorových úřadů, pokuty nejsou výjimkou, ale běžnou součástí regulace digitální ekonomiky. Text vychází z veřejně dostupných rozhodnutí dozorových orgánů a z platného znění nařízení Evropského parlamentu a Rady (EU) 2016/679.

GDPR dopadá na každého, kdo zpracovává osobní údaje občanů Evropské unie. Nezáleží na tom, zda jde o globální platformu s miliardovým obratem, nebo o malý e-shop, který eviduje jména a e-maily zákazníků. Pokud organizace pracuje s osobními údaji, musí mít právní důvod ke zpracování, plnit informační povinnost a zajistit odpovídající zabezpečení dat.

Satira začíná obvykle větou: „My přece žádná citlivá data nemáme.“ Jenže i obyčejná e-mailová adresa je osobním údajem. A databáze zákazníků uložená bez šifrování, s heslem sdíleným mezi zaměstnanci, už může představovat porušení povinnosti přijmout přiměřená technická a organizační opatření.

Dvě pásma pokut, jedna realita

Nařízení rozlišuje dvě úrovně sankcí. U méně závažných porušení, například nedostatečné dokumentace nebo nesplnění některých procesních povinností, může pokuta dosáhnout až 10 milionů eur nebo 2 procent ročního obratu. U závažnějších porušení, například nezákonného zpracování údajů nebo nerespektování práv subjektů údajů, se horní hranice zvyšuje na 20 milionů eur nebo 4 procenta obratu.

V praxi se samozřejmě neudělují automaticky maximální částky. Dozorový úřad posuzuje konkrétní okolnosti případu – rozsah porušení, počet dotčených osob, citlivost údajů i to, zda firma spolupracovala a přijala nápravná opatření. GDPR stojí na principu odpovědnosti, což znamená, že organizace musí být schopna prokázat, že ochranu dat skutečně řeší.

Český Úřad pro ochranu osobních údajů v minulých letech uložil pokuty v řádech statisíců až milionů korun. Typicky šlo o nevyžádané marketingové rozesílky, nedostatečné zabezpečení databází nebo porušení povinností při zpracování osobních údajů zaměstnanců. V zahraničí pak padly i výrazně vyšší sankce vůči velkým technologickým společnostem.

Nejde jen o peníze

Finanční postih je nejviditelnější částí problému, ale není jediný. Dozorový úřad může nařídit omezení nebo zákaz zpracování osobních údajů. Pro firmu, jejíž podnikání stojí na práci s daty, může takové rozhodnutí znamenat zásadní zásah do provozu.

Dalším faktorem je reputace. Informace o uložených pokutách jsou veřejné a média je sledují. Zákazníci si stále více všímají, jak firmy s jejich údaji nakládají. Ztráta důvěry se přitom obnovuje hůře než databáze po technickém výpadku.

GDPR navíc umožňuje subjektům údajů domáhat se náhrady škody. Pokud únik dat způsobí konkrétní újmu, může poškozený požadovat kompenzaci soudní cestou. V některých evropských zemích se rozvíjejí i kolektivní žaloby, které mohou riziko výrazně navýšit.

Nejčastější prohřešky: pohodlnost a podcenění

Praxe ukazuje, že mnoho porušení nevzniká úmyslně, ale z podcenění rizik. Slabá hesla, absence vícefaktorového ověřování, chybějící smlouvy o zpracování osobních údajů s dodavateli nebo neaktuální interní směrnice patří mezi opakující se nedostatky.

Častým problémem je také marketing. Zasílání obchodních sdělení bez platného souhlasu nebo bez možnosti jednoduchého odhlášení je dlouhodobě jedním z nejčastějších důvodů zásahu úřadu. Argument, že „to tak dělají všichni“, v rozhodnutí obvykle neobstojí.

Specifickou kapitolou jsou bezpečnostní incidenty. GDPR ukládá povinnost oznámit závažný únik osobních údajů do 72 hodin od jeho zjištění. Pokud organizace incident zatají nebo oznámení zbytečně oddálí, může se vystavit dalším sankcím. Transparentní přístup naopak bývá při stanovení výše pokuty zohledněn.

Malé firmy nejsou neviditelné

Představa, že regulátor řeší jen „velké ryby“, je zavádějící. Povinnost dodržovat GDPR platí bez ohledu na velikost podniku. Rozdíl se může projevit při stanovení výše sankce, nikoli v samotné odpovědnosti.

Menší podniky často nemají specializované právní nebo IT oddělení a ochranu osobních údajů řeší okrajově. Přesto nesou plnou odpovědnost za zákonnost zpracování. Pokud spoléhají na externí dodavatele, musí mít uzavřeny odpovídající smlouvy a kontrolovat, jak jsou data zpracovávána.

Ironie celé situace spočívá v tom, že základní princip GDPR není složitý. Osobní údaje mají být zpracovávány zákonně, transparentně a bezpečně. Pokud firma ví, jaká data má, proč je zpracovává a jak je chrání, riziko zásadního postihu výrazně klesá.

GDPR tak není byrokratický strašák, ale právní rámec, který reaguje na realitu digitální ekonomiky. Satira může odlehčit tón, fakta však zůstávají: pravidla platí, sankce se ukládají a odpovědnost nelze ignorovat. Otázka proto nezní, zda se ochrana osobních údajů vyplatí řešit, ale zda si někdo může dovolit ji neřešit.

Redakce fakthusty.cz

FaktHusty.cz je nezávislý online magazín zaměřený na satiru, ironii, komentáře i zajímavosti z domova a ze světa. Naším cílem není vytvářet vlastní realitu, ale s nadsázkou komentovat tu skutečnou. Věříme, že humor a satira patří k nejúčinnějším nástrojům, jak upozornit na absurdity každodenního života, politického dění i společenských událostí.

Redakční tým tvoří autoři se zkušenostmi z médií, publicistiky a online žurnalistiky. Ve svých textech vycházíme z veřejně dostupných a ověřitelných informací, které následně doplňujeme o autorský pohled, ironii a satirický nadhled.

FaktHusty.cz nepatří žádnému miliardáři, vlivnému podnikateli ani velkému mediálnímu domu. Dokonce ani Babišovi. :-) Nejsme součástí žádné politické strany, hnutí ani zájmové skupiny a naše redakce není na nikom politicky ani ideologicky závislá. Díky tomu si můžeme dovolit dělat to, co je satiře vlastní – dělat si legraci úplně ze všech bez rozdílu.

Na FaktHusty.cz si zakládáme na tom, že dobrá satira nemá nahrazovat fakta, ale pomáhat je lépe pochopit.
Chceme čtenáře nejen informovat a pobavit, ale také nabídnout jiný pohled na události, které hýbou Českem i světem.

Featured

Advertisement