epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    6. 6. 2022
    ID: 114802upozornění pro uživatele

    Ukládání pokut podle GDPR: dosavadní praxe a nová metodika ke kalkulaci pokut

    Když v květnu 2018, tedy přesně před čtyřmi lety, vstupovalo v účinnost nařízení GDPR[1], nejvíce rezonovaly napříč trhem i odbornou veřejností drakonické pokuty dosahující až 4 % celosvětového obratu. Především v prvních měsících a letech účinnosti panovala napříč EU velká právní nejistota ohledně očekávaných pokut. I přesto, že maximální výše pokut dle GDPR může být drakonická, pokuty v horní hranici maximálních částek jsou ukládány v EU spíše výjimečně za opravdu zásadní porušení GDPR značného rozsahu.

    Dosavadní praxe dozorových úřadů v EU však není jednotná. Ke sjednocení postupu při ukládání pokut nyní zveřejnil Evropský sbor pro ochranu osobních údajů (EDPB) nové stanovisko. Stanovisko je aktuálně podrobeno veřejné konzultaci, jeho znění tedy může dostát změn.  

    Co říká GDPR k ukládání pokut

    Konečné rozhodování o výši konkrétní pokuty za porušení GDPR je ponecháno na správním uvážení dozorového úřadu, přičemž GDPR poskytuje k ukládání pokut obecný návod a ohraničuje maximální výši pokut. Právě k výkladu těchto obecných pravidel směřuje nová metodika EDPB.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    GDPR umožňuje ukládat pokuty za jednotlivá porušení nařízení až do výše 20 milionů EUR či 4 % celkového ročního obratu celosvětově za předchozí finanční rok. Pro rozhodování o výši pokuty GDPR stanoví obecné pravidlo, které říká, že pokuty za porušení GDPR mají být v každém jednotlivém případě účinné, přiměřené a odrazující. GDPR dále stanoví výčet okolností, které mají být jednotlivými úřady zohledněny při rozhodování o výši pokut, mezi které patří například úmysl či nedbalost subjektu, povaha a závažnost porušení GDPR při zohlednění povahy zpracování osobních údajů, kroky podniknuté po zjištění porušení GDPR (například okamžité přijetí nápravných opatření) a míra spolupráce s dozorovým úřadem, předchozí porušení GDPR daným subjektem, splnění nápravných opatření uložených dozorovým úřadem apod.[2]

    Vedle uložení správních pokut GDPR dále stanoví řadu dalších nápravných pravomocí dozorových úřadů, ke kterým lze přistoupit vedle či namísto uložení správní pokuty. Mezi tato opatření patří například upozornění na pravděpodobné porušení GDPR, udělení napomenutí, nařízení vyhovět žádostem subjektů údajů, nařízení uvedení zpracování osobních údajů do souladu s GDPR, uložení omezení či zákazu zpracování osobních údajů, nařízení opravy či výmazu údajů, nařízení přerušení předávání osobních údajů do třetích zemí a podobně. 

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Kalkulace pokut podle návrhu nové metodiky EDPB

    Evropský sbor pro ochranu osobních údajů (EDPB) nedávno zveřejnil nové pokyny ke kalkulaci správních pokut podle GDPR.[3]  Pokyny byly zveřejněny v prvním znění k veřejné konzultaci, která běží od 16. května 2022 do 27. června 2022. Prozatím se tedy nejedná o finální znění a může dojít ke změnám.

    Pokyny mají za cíl harmonizovat metodologii dozorových úřadů při výpočtu výše správních pokut udělovaných dle GDPR. Pokyny mají doplnit již dříve vydané pokyny pracovní skupiny[4] č. WP 253 k uplatňování a stanovování správních pokut pro účely GDPR ze dne 3. října 2017.[5]

    Pokyny zavádí metodu výpočtu správních pokut dle GDPR, která je rozdělena do pěti kroků:

    »   Krok 1: Identifikace jednání porušujícího GDPR

    Než dozorový úřad přikročí k posuzování výše pokuty, je třeba identifikovat jednání a porušení GDPR, které má být postihováno pokutou. Tedy zjistit, k jakému došlo jednání, jaké jsou skutkové okolnosti (například pro posouzení polehčujících a přitěžujících okolností) a jak se toto jednání posoudí z hlediska GDPR, respektive které porušení GDPR způsobí.    

    Metodika dále zavádí pravidla pro posuzování souběhu vícero jednání a porušení (tedy pokud bylo například jedním jednáním porušeno více ustanovení GDPR či zda se jedná o různá jednání zakládající samostatná porušení). Pokud se totiž jedná o stejné či související operace zpracování porušující více ustanovení GDPR, ukládá se dle GDPR pouze jedna pokuta stanovená podle nejzávažnějšího porušení. V tomto směru však není vyloučené, že metodika narazí na hranice národních procesních předpisů a nebude tudíž plně aplikovatelná.   

    »   Krok 2: Stanovení sazby pro další výpočet sankce

    Metodika zavádí princip výpočtu základní sazby pokuty, od které se má odvíjet uložení pokuty. Byť tedy stanovení základní sazby dle pokynů není pro dozorové úřady závazné a nevylučuje uložení pokuty pod či nad hranicí této sazby, dá se očekávat, že povede ke sjednocení výše pokut ukládaných dozorovými úřady.

    Tato základní sazba určená jako procento z maximální výše pokuty se potom určuje podle:

    1. Kategorie porušení GDPR – tedy zda se jedná o porušení, za něž lze uložit pokutu 10 mil. EUR/ 2 % obratu či 20 mil. EUR/ 4 % obratu;
    1. Závažnosti porušení při zohlednění okolností stanovených v článku 83 odst. 2 GDPR, přičemž podle závažnosti rozděluje EDPB porušení do tří základních stupňů, a to podle povahy, závažnosti a trvání porušení GDPR:
      • Nízký stupeň závažnosti – pokuta ve výši 0 – 10 % zákonného maxima;
      • Střední stupeň závažnosti – pokuta ve výši 10 – 20 % zákonného maxima;
      • Vysoký stupeň závažnosti – pokuta ve výši 20 – 100 % zákonného maxima; 
    1. Obratu subjektu – podle obratu subjektu potom EDPB zavádí koeficient, kterým se výše uvedené procentuální hranice mění podle obratu daného subjektu. Hledisko obratu je zavedeno přitom především proto, aby byl naplněn ultimátní cíl uložení účinné, přiměřené a odrazující pokuty. Metodika zatím počítá s šesti stupni (od obratu pod 2 miliony EUR až do obratů převyšujících 250 milionů EUR), přičemž podle výše obratu se výše uvedená základní sazba dále snižuje na 0,2 % do 50 % výše uvedených procentuálních částek ze zákonného maxima.

    Na základě výše uvedené metodiky lze tedy dojít k velmi jednoduché rovnici, na základě které má být vypočten rozsah, ve kterém by měla být výsledná pokuta uložena. Z této rovnice lze potom vyčíst rozsah pokut dle závažnosti porušení a obratu subjektu a vydedukovat tak snížená (byť neformální a nezávazná) „maxima“ pokut za porušení GDPR. Z aktuální verze metodiky lze například vyčíst, že u subjektů s ročním obratem nepřevyšujícím 50 milionů EUR by za méně závažná porušení měla být uložena pokuta nepřevyšující 40 tisíc EUR (v přepočtu cca 1 milion Kč). Vzhledem k veřejné konzultaci očekáváme, že se konkrétní procentuální body či princip výpočtu mohou dále měnit.

    Zavedení metodiky založené na tomto výpočtu by tak výrazně napomohlo právní jistotě napříč EU, neboť subjekty by se již nadále nemusely obávat univerzální drakonické pokuty 20 milionů EUR (či 4 % z obratu) za jakékoli porušení GDPR, ale mohli by předem transparentně rozlišovat rizika dle závažnosti daného porušení GDPR.

    »   Krok 3: Zhodnocení polehčujících a přitěžujících okolností

    Konkrétní výše pokuty v rámci rozsahu vypočteného dle výše popsané kalkulace by potom měla být určena při zohlednění polehčujících a přitěžujících okolností vyjmenovaných v článku 83 odst. 2 GDPR. Mezi tyto okolnosti patří například kroky podniknuté subjektem ke zmírnění škod, míra odpovědnosti subjektu s ohledem na přijatá technická a organizační opatření, předchozí porušení GDPR daným subjektem, míra spolupráce s dozorovým úřadem apod.

    Pro zhodnocení polehčujících a přitěžujících okolností již metodika nepřináší exaktní výpočet ve formě procent či rovnic, neboť zohlednění okolností má být plně ponecháno správnímu uvážení dozorového orgánu. Metodika pouze napomáhá tyto okolnosti lépe interpretovat.

    »   Krok 4: Omezení maximální výše pokuty

    V dalším kroku by měl dozorový úřad zhodnotit, zda vypočtená pokuta nepřekračuje maximální hranici stanovenou GDPR. V tomto směru metodika zejména rozpracovává postup pro výpočet maximální hranice vycházející z celosvětového obratu a nabízí návod k interpretaci pojmů obrat a podnik.

    »   Krok 5: Zhodnocení účinnosti, přiměřenosti a odrazujícího účinku sankce  

    V závěrečném kroku by dozorový úřad měl zhodnotit, zda je finální výše pokuty vypočtená podle stanoveného postupu skutečně účinná, přiměřená a odrazující. Pokud by tyto požadavky nebyly naplněny, může dozorový úřad pokutu dále zvýšit či snížit i bez ohledu na výpočet dle metodiky. Metodika dále interpretuje, co znamená, že je pokuta účinná, přiměřená a odrazující.

    Závěr

    Jak bylo popsáno výše, GDPR stanoví maximální výši pokut a obecná vodítka pro dozorové orgány. I přesto se však doposud značně liší přístup dozorových úřadů napříč Evropskou unií a výše ukládaných pokut za porušení GDPR. Zatímco některé úřady již uložily drakonické pokuty dosahující stovek milionů EUR, jiné úřady ukládají pokuty v nižších desítkách tisíc EUR. Rozdíly jsou samozřejmě výrazně ovlivněny jednotlivými případy, které dané úřady řeší (a zejména tím, že některé úřady vystupují jako vedoucí dozorové úřady globálních hráčů a ukládají drakonické pokuty právě těmto subjektům). Jednou z příčin rozdílů v udělování pokut však může být i rozdílný přístup a metodologie dozorových úřadů při ukládání správních pokut. 

    Přijetí metodiky by mohlo především pozitivně přispět k vyšší právní jistotě a vyšší předvídatelnosti výpočtu pokut napříč EU. Mimo jiné zejména proto, že metodika přináší koncept výpočtu základní sazby pokuty, vypočtené jako procento z maximální výše pokuty podle kategorie porušení, míry závažnosti porušení a výše obratu daného subjektu. Nadále by tak nemusela platit univerzální drakonická pokuta 20 milionů EUR (či 4 % obratu) za porušení GDPR, ale mohlo by být možné transparentním výpočtem předem odhadnout předpokládanou maximální pokutu pro konkrétní porušení (byť tedy nezávazně). Přijetí metodiky by tudíž mohlo přispět ke sjednocení praxe ukládání pokut napříč Evropskou unií.

    Mgr. Štěpánka Havlíková, LL.M.*
    advokátka

     

    Dentons Europe CS LLP, organizační složka

     V Celnici 6
    110 00 Praha 1

     
    Tel.:       +420 236 082 111
    Fax:       +420 236 082 999
    e-mail:    prague@dentons.com

     

    * Autorka působí v advokátní kanceláři Dentons jako advokátka a ve své praxi se specializuje zejména na právo ochrany soukromí a osobních údajů, právo duševního vlastnictví a právo ICT a e-commerce.

    [1] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

    [2] Článek 83 GDPR.

    [3] Guidelines 04/2022 on the calculation of administrative fines under the GDPR publikované dne 16. května 2022 k veřejné konzultaci, dostupné >>> zde [cit. 27.5.2022].

    [4] Pracovní skupina zřízená dle článku 29 původní směrnice 95/46/ES ochraně fyzických osob v souvislosti se zpracováním osobních údajů, která působila jako předchůdce Evropského sboru pro ochranu osobních údajů zřízeném GDPR.

    [5] Pokyny č. WP 253 k uplatňování a stanovování správních pokut pro účely GDPR ze dne 3. října 2017, dostupné >>> zde [cit. 27.5.2022].


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Štěpánka Havlíková, LL.M. (Dentons Europe CS LLP)
    6. 6. 2022

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Rodinná nadace s dceřinou společností: Alternativa ke svěřenskému fondu pro správu rodinného majetku
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Předvídatelnost soudního rozhodování
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • LL.M. kurzy na Právnické fakultě Univerzity Karlovy
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Obchodní vedení společnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • 10 otázek pro ... Jana Kohouta
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Úprava styku rodiče s dítětem nízkého věku v tzv. navykacím režimu a poté
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?

    Soudní rozhodnutí

    Nesprávné označení relevantní stěžovatelovy námitky (exkluzivně pro předplatitele)

    Nejvyšší správní soud nedostojí požadavkům na řádné odůvodnění soudního rozhodnutí vyplývajícím z čl. 36 odst. 1 Listiny základních práv a svobod, pokud nesprávně označí...

    Předběžná vazba (exkluzivně pro předplatitele)

    Při rozhodování o předběžné vazbě podle § 94 zákona o mezinárodní justiční spolupráci musí soudy dostatečně odůvodnit reálné riziko útěku vyžádané osoby, podložené jejím...

    Přeřazení odsouzeného do přísnějšího typu věznice (exkluzivně pro předplatitele)

    Rozhodnutí o přeřazení odsouzeného do věznice s přísnějším režimem představuje omezení práva na osobní svobodu podle článku 8 odst. 1 Listiny základních práv a svobod a obecné...

    Příspěvek na péči

    Příspěvek na péči a jeho právní úprava v zákoně č. 108/2006 Sb., o sociálních službách, je naplněním práva na přiměřené hmotné zabezpečení při nezpůsobilosti k práci podle...

    Střídavá péče (exkluzivně pro předplatitele)

    Nemožnost přítomného účastníka efektivně participovat na jednání prostřednictvím svého advokáta z důvodu jazykových omezení může za určitých okolností vést k porušení jeho...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.