Kalkulačka maximální výše správní pokuty za porušení GDPR — Level 1: max 10 mil. EUR nebo 2 % obratu, Level 2: max 20 mil. EUR nebo 4 % obratu (čl. 83 GDPR).
GDPR pokuta 2026 — čl. 83 GDPR
Maximální výše správní pokuty za porušení GDPR
Právní základ
- § 62 zákon o zpracování os. údajů (GDPR) (110/2019 Sb.) ↗
správní pokuta GDPR
Účinné od: 24. 4. 2019
Stručně k tématu
Stručně k tématu: GDPR správní pokuty v ČR
GDPR (General Data Protection Regulation — nařízení (EU) 2016/679) je přímo účinné nařízení EU o ochraně osobních údajů, platné od 25. 5. 2018. Jedním z klíčových nástrojů vymáhání je systém správních pokut dle čl. 83 GDPR. V ČR jsou pokuty udělovány Úřadem pro ochranu osobních údajů (ÚOOÚ), který rovněž vydává metodické pokyny a rozhoduje stížnosti subjektů údajů.
Dva stupně pokut — Level 1 a Level 2
GDPR rozlišuje dvě úrovně pokut. Level 1 (čl. 83 odst. 4): max. 10 mil. EUR nebo 2 % celosvětového ročního obratu — pro technická porušení (záznamy o zpracování, DPO, bezpečnost). Level 2 (čl. 83 odst. 5–6): max. 20 mil. EUR nebo 4 % obratu — pro závažná porušení (nezákonné zpracování, chybějící souhlas, porušení práv subjektů, neoprávněné přenosy do třetích zemí). Vždy platí vyšší z obou stropů (procento z obratu vs. fixní částka). Pro malé podniky s nízkým obratem tak platí fixní strop; pro velké korporace může procento z obratu výrazně překročit fixní max.
Faktory ovlivňující výši pokuty
Čl. 83 odst. 2 GDPR vyjmenovává faktory, k nimž dozorový úřad přihlíží: povaha a závažnost porušení, počet postižených osob, výše způsobené škody, úmyslnost nebo nedbalost, opatření přijatá ke zmírnění škody, spolupráce s dozorovým úřadem, kategorie dotčených osobních údajů, zda šlo o první porušení. Dobrovolné hlášení porušení zabezpečení (data breach) a rychlá náprava zpravidla vedou k nižší pokutě.
ÚOOÚ v ČR — praxe pokut
ÚOOÚ uděluje pokuty za GDPR od roku 2018. Nejvyšší dosud uložené pokuty v ČR se pohybují v řádu milionů Kč. Zákon č. 110/2019 Sb. (zákon o zpracování osobních údajů) provádí GDPR v ČR a v § 62 upřesňuje kompetence ÚOOÚ. Kurz EUR/CZK použitý pro přepočet v kalkulačce je orientační — aktuální kurz ČNB naleznete na cnb.cz.
Časté dotazy
Co jsou správní pokuty za porušení GDPR a kdo je uděluje?
Správní pokuty za porušení GDPR (nařízení EU 2016/679) uděluje příslušný dozorový úřad. V ČR je to Úřad pro ochranu osobních údajů (ÚOOÚ). Pokuty jsou stanoveny v čl. 83 GDPR a platí v celé EU od 25. 5. 2018. ÚOOÚ může pokuty udělovat správcům i zpracovatelům osobních údajů — jak právnickým, tak fyzickým osobám. Výše pokuty závisí na závažnosti porušení, úmyslu, škodě a spolupráci s dozorovým úřadem.
Jaký je rozdíl mezi pokutou Level 1 a Level 2 dle čl. 83 GDPR?
Level 1 (čl. 83 odst. 4 GDPR): maximálně 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu za předchozí rok — platí vyšší z obou. Týká se technických a organizačních porušení: záznamy o zpracování (čl. 30), DPO (čl. 37–39), technická bezpečnost (čl. 32), kodex chování (čl. 42), certifikace (čl. 43). Level 2 (čl. 83 odst. 5–6): max 20 000 000 EUR nebo 4 % obratu. Týká se závažnějších porušení: základní zásady zpracování (čl. 5–7), zpracování citlivých kategorií (čl. 9), práva subjektů (čl. 12–22), přenosy do třetích zemí (čl. 44–49).
Na koho se GDPR a hrozba pokut vztahují?
GDPR se vztahuje na všechny subjekty, které zpracovávají osobní údaje fyzických osob v EU — bez ohledu na sídlo. Platí tedy pro: české firmy a podnikatele (i OSVČ), školy, spolky, obce a jiné orgány veřejné moci, ale i zahraniční firmy, pokud nabízejí zboží/služby v EU. Výjimkou jsou fyzické osoby zpracovávající údaje pro osobní potřebu. Pro malé podniky a neziskovky platí stejné maximální sazby, ale ÚOOÚ přihlíží k finanční situaci pachatele.
Může být skutečná pokuta nižší než zákonné maximum?
Ano. Zákon stanovuje pouze strop — dozorový úřad musí pokutu individualizovat dle kritérií v čl. 83 odst. 2 GDPR: povaha, závažnost a trvání porušení, počet postižených, výše škody, úmyslnost, spolupráce s úřadem, kategorie osobních údajů, zda šlo o první porušení. V praxi ÚOOÚ uděluje pokuty zpravidla výrazně pod zákonným maximem, zejména u prvních porušení a při dobrovolné nápravě.
Co dělat, když dostanu pokutu za porušení GDPR?
Proti rozhodnutí ÚOOÚ o pokutě lze podat rozklad (odvolání) k předsedkyni/předsedovi ÚOOÚ do 15 dní. Pokud rozklad neuspěje, lze podat správní žalobu k Městskému soudu v Praze (dle § 7 soudního řádu správního). Soud přezkoumá zákonnost i přiměřenost pokuty. V průběhu řízení je vhodné přijmout nápravná opatření a prokázat spolupráci s ÚOOÚ — to může vést ke snížení pokuty.