Článek
Ta letošní však na první pohled působí paradoxně: pokuty za porušení soukromí výrazně klesly. Znamená to snad, že se situace zlepšuje? Anebo jen odezněl efekt jedné mimořádné kauzy?
Podle veřejných informací udělil Úřad pro ochranu osobních údajů v loňském roce pravomocně pokuty v celkové výši 14,7 milionu korun, a to zhruba ve dvou desítkách správních řízení. Na první pohled jde o relativně nízkou částku, zejména ve srovnání s předchozím rokem, kdy sankce dosáhly astronomických 351,2 milionu korun.
Jenže zde je třeba brzdit jednoduché závěry. Drtivou většinu této „rekordní“ částky totiž tvořila jediná kauza, pokuta uložená společnosti Avast za předávání neanonymizovaných dat uživatelů k marketingovým účelům.
Jakmile citovaný exces odfiltrujeme, dostaneme se zpět na realističtější úroveň, která odpovídá běžné rozhodovací praxi dozorového orgánu.
Kde se chybuje nejčastěji
Zajímavější než celkový objem pokut je jejich struktura. Ta totiž vypovídá o tom, kde správci a zpracovatelé osobních údajů systematicky selhávají.
Nejvyšší jednotlivou sankci, 7,5 milionu korun, představovalo neoprávněné nakládání s rodnými čísly statisíců vlastníků nemovitostí. To je typický příklad situace, kdy dochází k podcenění citlivosti určitého identifikátoru. Rodné číslo přitom zůstává v českém právním prostředí „toxickým údajem“, jehož zpracování vyžaduje mimořádnou opatrnost.
Další významná pokuta směřovala vůči Ministerstvu vnitra, a to za nedostatečné nastavení výmazu osobních údajů ze záznamů policejních odposlechů.
Zde se dostáváme do ještě citlivější roviny, střetu mezi bezpečnostními zájmy státu a právem jednotlivce na ochranu soukromí. Právě v těchto případech bývá aplikace GDPR právně i prakticky nejnáročnější.
A konečně, nemalé sankce dopadly i na soukromý sektor: realitní kancelář poskytovala údaje svých klientů finanční společnosti bez odpovídajícího právního základu.
Citovaný typ deliktu je klasickou ukázkou „propojeného byznysu“, kde se osobní data stávají obchodním artiklem, často bez plného vědomí dotčených osob.
Méně pokut neznamená méně problémů
Z pohledu právníka by bylo chybou interpretovat pokles objemu pokut jako důkaz zlepšení compliance. Spíše se jedná o návrat k normálu po výjimečné kauze.
Agenda ochrany osobních údajů zůstává živá a dynamická, a to jak v oblasti veřejné správy, tak v soukromém sektoru.
Navíc je třeba připomenout, že pokuta je až krajním nástrojem. Úřad často využívá i jiné prostředky: napomenutí, nápravná opatření či metodické vedení. Ty se však do mediálně atraktivních statistik nepromítají, ale z hlediska každodenní praxe mají často větší význam.
Co si z toho odnést?
Pro praxi platí několik poměrně přímočarých závěrů:
Za prvé, práce s osobními údaji není „technická rutina“, ale plnohodnotná právní agenda. Každé předání dat, každé jejich uchování i výmaz musí mít jasný právní titul.
Za druhé, některé údaje, typicky rodné číslo nebo data z trestního řízení, vyžadují zvýšený standard ochrany. Ignorování této skutečnosti se pravidelně promítá do nejvyšších sankcí.
A konečně za třetí, největší rizika často nevznikají z úmyslu, ale z nedbalosti: špatně nastavené procesy, automatizované sdílení dat nebo nedostatečná kontrola partnerů.
Pokles pokut tedy není signálem k uklidnění. Spíše připomínkou, že ochrana soukromí není jednorázový projekt, ale dlouhodobý proces, a že i zdánlivě drobné pochybení může mít milionové následky.
Prameny:
www.uoou.cz
GDPR (nařízení (EU) 2016/679) – základní právní rámec, zejména čl. 5 (zásady zpracování), čl. 6 (právní tituly) a čl. 83 (správní pokuty)
https://advokatnidenik.cz/2026/04/17/urad-loni-udelil-za-poruseni-soukromi-pokuty-za-147-milionu-korun/ (autor ČTK)
https://uoou.gov.cz/media/vyrocni-zpravy/vz-2025-uoou.pdf
