Tveganje neskladnosti z GDPR: kaj mora vsak menedžer razumeti pred letom 2026

Razumevanje tveganja neskladnosti z GDPR za podjetje

O čem točno govorimo?

Splošna uredba o varstvu podatkov (GDPR) od maja 2018 ureja vse postopke, ki se izvajajo v zvezi z osebnimi podatki: zbiranje, shranjevanje, prenos, profiliranje in brisanje. V njeno področje uporabe spada vsaka organizacija, ki obdeluje te podatke – stranke, potencialne stranke, zaposleni, dobavitelji – ne glede na njeno velikost ali sektor.

Neupoštevanje GDPR ni zgolj upravna napaka. Povzroča civilno, upravno in včasih kazensko odgovornost upravljavca podatkov, ki je najpogosteje podjetje samo in njegov zakoniti zastopnik.

Kdo je resnično prizadet?

Pravilo je široko: če vaše podjetje obdeluje osebne podatke posameznikov, ki prebivajo v Evropski uniji, ste prizadeti. To velja tako za lokalnega trgovca na drobno, ki upravlja program zvestobe, kot tudi za holding, ki upravlja mednarodno skupino.

V ospredju so trije akterji: upravljavci podatkov, obdelovalci podatkov (ponudniki IT storitev, marketinške agencije, ponudniki gostovanja) in morebitni skupni upravljavci. Vsakemu je mogoče naložiti neodvisno sankcije, česar se mnoga podjetja ne zavedajo.

Zakaj ta tema spet postaja vroča tema?

Dolgo časa se je zdelo, da je uporaba GDPR neenakomerna. Ti časi so mimo. Leta 2022 je CNIL (francoski organ za varstvo podatkov) uvedel poenostavljen postopek sankcij, ki mu omogoča hitro nalaganje glob do 20.000 EUR, ne da bi razkril identiteto organizacije. Posledično je bilo leta 2024 izdanih 69 poenostavljenih sankcij, kar je skoraj trikrat več kot leta 2023.

V večjih primerih zneski strmo naraščajo. Leta 2025 sta samo dve sodbi v zvezi s piškotki znašali 475 milijonov evrov, vključno s 325 milijoni evrov za Google in 150 milijoni evrov za Shein. Sporočilo je jasno: manj primerov, a zgledne kazni.

Kakšna kazen velja za podjetje, ki ne izpolnjuje pogojev GDPR?

Upravne globe, ki jih naloži CNIL

GDPR določa dve omejitvi. Prva, do 10 milijonov EUR oziroma 2 % globalnega letnega prometa, se nanaša na kršitve, kot sta odsotnost registra obdelave ali neizvedba ocene učinka. Druga, do 20 milijonov EUR oziroma 4 % globalnega prometa, kaznuje najhujše kršitve: pomanjkanje pravne podlage, kršitev pravic posameznika, na katerega se nanašajo osebni podatki, in neregulirane mednarodne prenose.

Najbolj zgovorna kazen CNIL v zadnjih letih ni večmilijonska kazen, temveč tista, ki je bila decembra 2024 naložena podjetju Amazon France Logistique: 32 milijonov evrov za nadzor, ki je bil ocenjen kot nesorazmeren z nadzorom komisionarjev. Sporočilo je jasno: celo sistem, ki je predstavljen kot "produktiven", lahko prestopi mejo nezakonitosti, če krši zasebnost zaposlenih.

Kazenske sankcije za GDPR

Poleg upravnih vidikov francoski kazenski zakonik določa kazenske sankcije, povezane z GDPR, do pet let zapora in globo v višini 300.000 evrov za posameznike ter 1,5 milijona evrov za pravne osebe. Te kazni zajemajo goljufivo zbiranje podatkov, obdelavo občutljivih podatkov brez pravne podlage in zlorabo podatkov. Čeprav so takšni pregoni redki, jih je mogoče dodati postopku CNIL (francoski organ za varstvo podatkov).

Posredne posledice, pogosto najdražje

Sankcija v skladu z GDPR ima stroške, ki daleč presegajo globo: škoda za ugled, zlasti na trgih B2B, kjer je skladnost postala merilo za nakup; izguba pogodb, saj nekatere stranke zdaj zahtevajo formalni dokaz o skladnosti v svojih razpisih za oddajo ponudb; tožbe za odškodnino s strani zadevnih oseb, individualno ali prek skupinskih tožb; notranji stroški sanacije, ki pogosto presegajo samo globo.

Kako se sproži revizija CNIL?

Viri in oblike nadzora

Revizijo CNIL lahko sproži pritožba (CNIL jih je leta 2024 prejel skoraj 17.800), obvestilo o kršitvi, ki ga pošlje podjetje, letna prednostna zadeva ali negativna medijska pokritost. Obstajajo štiri oblike: pregled na kraju samem, zaslišanje, spletni pregled in pregled dokumentov. Slednji, z uporabo podrobnega vprašalnika, je najpogostejši in najbolj podcenjen.

Postopek

Če se ugotovijo kršitve, CNIL najprej izda uradno obvestilo z rokom. Leta 2024 je bilo izdanih 180 uradnih obvestil. To je pogosto zadnja možnost, da se izognemo javni sankciji. V nasprotnem primeru omejeni senat začne postopek, ki lahko traja od šest do osemnajst mesecev. Za več informacij si lahko ogledate Viqtorjev vodnik o reviziji skladnosti z GDPR.

Najpogostejša področja ranljivosti v poslovanju

Pomanjkljivo upravljanje podatkov

To je glavni dejavnik tveganja. Številna podjetja so leta 2018 pripravila politiko GDPR, jo shranila in se je nikoli več niso ponovno lotila. Vendar se orodja, ponudniki storitev in tokovi podatkov nenehno razvijajo. Brez stalnega spremljanja se razkorak z realnostjo povečuje. To vprašanje v celoti spada v pristojnost vodstva: načelo odgovornosti, zapisano v členu 5.2 GDPR, zahteva, da se skladnost kadar koli dokaže. To ni obveznost sredstev, temveč obveznost dokazovanja.

Odsotnost ali slab položaj pooblaščene osebe za varstvo podatkov

Imenovanje pooblaščene osebe za varstvo podatkov (DPO) je obvezno za javne organe, organizacije, ki obdelujejo občutljive podatke v velikem obsegu, ali tiste, ki sistematično spremljajo posameznike. V praksi imajo mnoga podjetja korist od imenovanja pooblaščene osebe tudi brez formalne obveznosti, saj to krepi verigo odgovornosti. Vendar pa mora imeti pooblaščena oseba za varstvo podatkov potrebna sredstva za delovanje: neposreden dostop do vodstva, proračun, neodvisnost in sodelovanje v projektih. Več nedavnih sankcij je bilo posebej usmerjenih proti podjetjem, ki so imenovala zgolj formalno pooblaščeno osebo za varstvo podatkov.

Premalo dimenzionirana tehnična varnost

To je postalo glavni razlog za znatne sankcije. Leta 2025 je bilo 29 % evropskih glob povezanih z neustreznimi tehničnimi in organizacijskimi ukrepi. Primer Free and Free Mobile, ki je bil januarja 2026 sankcioniran s skupno 42 milijoni evrov, to odlično ponazarja: pomanjkanje večfaktorske avtentikacije pri dostopu do VPN in neučinkovitost sistemov za zaznavanje izstopov sta bili ocenjeni kot resni kršitvi, potem ko je vdor ogrozil 24 milijonov pogodb.

Za strukturiranje te dimenzije je Viqtorjev modul za upravljanje GDPR ponuja neposredno uporaben operativni okvir biblijske preprostosti.