Riziko nedodržiavania GDPR: čo musí každý manažér pochopiť pred rokom 2026

Pochopenie rizika nedodržiavania GDPR pre spoločnosť

O čom presne hovoríme?

Všeobecné nariadenie o ochrane údajov (GDPR) upravuje od mája 2018 všetky operácie vykonávané s osobnými údajmi: zhromažďovanie, uchovávanie, prenos, profilovanie a vymazávanie. Do jeho pôsobnosti patrí každá organizácia, ktorá tieto údaje spracováva – zákazníci, potenciálni zákazníci, zamestnanci, dodávatelia – bez ohľadu na jej veľkosť alebo odvetvie.

Nedodržanie GDPR nie je len administratívna chyba. Pre prevádzkovateľa, ktorým je najčastejšie samotná spoločnosť a jej zákonný zástupca, predstavuje občianskoprávnu, administratívnu a niekedy aj trestnoprávnu zodpovednosť.

Kto je skutočne postihnutý?

Toto pravidlo je široké: ak vaša spoločnosť spracúva osobné údaje fyzických osôb s bydliskom v Európskej únii, ste dotknutí. To sa vzťahuje na miestneho predajcu spravujúceho vernostný program, ako aj na holdingovú spoločnosť spravujúcu medzinárodnú skupinu.

V popredí sú traja aktéri: prevádzkovatelia údajov, spracovatelia údajov (poskytovatelia IT služieb, marketingové agentúry, poskytovatelia hostingu) a prípadní spoloční prevádzkovatelia. Každý z nich môže byť sankcionovaný nezávisle, čo je skutočnosť, o ktorej si mnohé spoločnosti neuvedomujú.

Prečo sa táto téma opäť stáva horúcou témou?

Dlho sa zdalo, že uplatňovanie GDPR je nerovnomerné. Tieto časy sú preč. V roku 2022 zaviedol CNIL (francúzsky úrad pre ochranu údajov) zjednodušený sankčný postup, ktorý mu umožňuje rýchlo ukladať pokuty až do výšky 20 000 eur bez zverejnenia identity organizácie. V dôsledku toho bolo v roku 2024 udelených 69 zjednodušených sankcií, čo je takmer trikrát viac ako v roku 2023.

Vo významných prípadoch sumy prudko stúpajú. Len v roku 2025 predstavovali dve rozhodnutia týkajúce sa súborov cookie sumu 475 miliónov eur, z toho 325 miliónov eur pre Google a 150 miliónov eur pre Shein. Posolstvo je jasné: menej prípadov, ale exemplárne sankcie.

Aká sankcia sa vzťahuje na spoločnosť, ktorá nedodržiava GDPR?

Administratívne pokuty uložené CNIL

GDPR stanovuje dva stropy. Prvý, do 10 miliónov EUR alebo 2 % globálneho ročného obratu, sa zameriava na porušenia, ako je absencia registra spracovania alebo nevykonanie posúdenia vplyvu. Druhý, do 20 miliónov EUR alebo 4 % globálneho obratu, penalizuje najzávažnejšie porušenia: nedostatok právneho základu, porušenie práv dotknutých osôb a neregulované medzinárodné prenosy.

Najvýznamnejšou pokutou CNIL v posledných rokoch nie je pokuta vo výške niekoľkých miliónov eur, ale skôr pokuta uložená v decembri 2024 spoločnosti Amazon France Logistique: 32 miliónov eur za sledovanie, ktoré bolo považované za neprimerané sledovaniu vychystávačov objednávok. Posolstvo je jasné: aj systém prezentovaný ako „produktívny“ môže prekročiť hranicu nezákonnosti, ak narúša súkromie zamestnancov.

Trestné sankcie za GDPR

Okrem administratívnych aspektov francúzsky trestný zákonník stanovuje tresty súvisiace s GDPR až do výšky piatich rokov odňatia slobody a pokutu 300 000 eur pre fyzické osoby a 1,5 milióna eur pre právnické osoby. Tieto sankcie sa vzťahujú na podvodné zhromažďovanie údajov, spracovanie citlivých údajov bez právneho základu a zneužitie údajov. Hoci sú takéto trestné stíhania zriedkavé, možno ich pridať do postupu CNIL (francúzskeho úradu na ochranu údajov).

Nepriame dôsledky, často tie najnákladnejšie

Sankcia podľa GDPR má náklady, ktoré ďaleko presahujú samotnú pokutu: poškodenie imidžu, najmä na trhoch B2B, kde sa súlad stal kritériom nákupu; strata zmlúv, keďže niektorí klienti teraz požadujú formálny dôkaz o súlade vo svojich výzvach na predkladanie ponúk; žaloby o nápravu zo strany dotknutých osôb, individuálne alebo prostredníctvom hromadných žalôb; interné náklady na nápravu často prevyšujúce samotnú pokutu.

Ako sa spúšťa audit CNIL?

Zdroje a formy kontroly

Audit CNIL môže byť iniciovaný sťažnosťou (CNIL ich v roku 2024 dostala takmer 17 800), oznámením o porušení zaslaným spoločnosťou, každoročným prioritným problémom alebo negatívnym mediálnym pokrytím. Existujú štyri formáty: kontrola na mieste, vypočutie, online preskúmanie a preskúmanie dokumentov. Druhý uvedený, s použitím podrobného dotazníka, je najčastejší a najviac podceňovaný.

Postup

Ak sa zistia porušenia, CNIL najprv vydá formálne oznámenie s termínom. V roku 2024 bolo vydaných 180 formálnych oznámení. Toto je často posledná šanca vyhnúť sa verejnej sankcii. V opačnom prípade užší panel začne konanie, ktoré môže trvať šesť až osemnásť mesiacov. Viac informácií nájdete na Viqtorov sprievodca auditom súladu s GDPR.

Najčastejšie oblasti zraniteľnosti v podnikaní

Chybná správa údajov

Toto je primárny rizikový faktor. Mnoho spoločností v roku 2018 vypracovalo politiku GDPR, archivovalo ju a nikdy sa k nej nevrátilo. Nástroje, poskytovatelia služieb a toky údajov sa však neustále vyvíjajú. Bez neustáleho monitorovania sa priepasť s realitou zväčšuje. Táto otázka spadá výlučne do kompetencie manažmentu: zásada zodpovednosti zakotvená v článku 5.2 GDPR vyžaduje preukázanie súladu kedykoľvek. Nejde o povinnosť prostriedkov, ale o povinnosť dôkazu.

Absencia alebo zlé umiestnenie zodpovednej osoby

Vymenovanie zodpovednej osoby (DPO) je povinné pre verejné orgány, organizácie spracúvajúce citlivé údaje vo veľkom rozsahu alebo tie, ktoré systematicky monitorujú jednotlivcov. V praxi mnohé spoločnosti profitujú z vymenovania zodpovednej osoby aj bez formálnej povinnosti, pretože to posilňuje reťazec zodpovednosti. DPO však musí mať potrebné zdroje na konanie: priamy prístup k vedeniu, rozpočet, nezávislosť a zapojenie sa do projektov. Niekoľko nedávnych sankcií sa konkrétne zameralo na spoločnosti, ktoré vymenovali čisto formálnu DPO.

Nedostatočné technické zabezpečenie

Toto sa stalo hlavným dôvodom pre významné sankcie. V roku 2025 sa 29 % európskych pokút týkalo nedostatočných technických a organizačných opatrení. Prípad Free and Free Mobile, sankcionovaný v januári 2026 celkovou sumou 42 miliónov eur, tento bod dokonale ilustruje: absencia viacfaktorového overovania pri prístupe k VPN a neefektívnosť systémov detekcie únikov boli považované za závažné porušenia po tom, čo narušenie ohrozilo 24 miliónov zmlúv.

Na štruktúrovanie tohto rozmeru, Modul riadenia GDPR od spoločnosti Viqtor ponúka priamo použiteľný operačný rámec biblickej jednoduchosti.