Zpět na novinky

EDPB: přehled GDPR pokut za rok 2025 — 1,15 miliardy eur

· Waulter tým
GDPR EDPB pokuty DPA enforcement compliance statistiky

Výroční zpráva EDPB za rok 2025

Evropský sbor pro ochranu osobních údajů (EDPB) zveřejnil 9. dubna 2026 výroční zprávu za rok 2025. Celkový objem pokut udělených národními dozorovými úřady (DPA) v celé EU dosáhl 1,15 miliardy eur — výrazný nárůst oproti předchozím rokům.

Od zavedení GDPR v roce 2018 bylo uděleno přes 6 680 pokut v celkové hodnotě přibližně 4,2 miliardy eur.

Které úřady pokutovaly nejvíce

Podle objemu pokut

Země DPA Objem pokut Počet
IrskoDPC~530 000 000 €Nízký
FrancieCNIL486 854 500 €84
NěmeckoVíce DPA48 117 083 €499
ŠpanělskoAEPD45 203 465 €324
SlovenskoÚOOÚ SR468 953 €542

Co čísla říkají

Irsko — Jedna pokuta dominuje celému roku. DPC udělil TikToku pokutu €530 milionů za nelegální přenosy osobních údajů do Číny. Tato jediná pokuta tvoří téměř polovinu celoevropského objemu za celý rok 2025.

Francie — CNIL zůstává jedním z nejaktivnějších dozorových úřadů v Evropě. 84 pokut za rok ukazuje systematický přístup k vymáhání — od malých firem po technologické giganty.

Německo — Nejvyšší počet pokut po Slovensku (499), ale průměrná výše je nízká (~96 000 € na pokutu). Německý decentralizovaný model s 16 zemskými DPA vytváří vysoký objem, ale menší jednotlivé sankce.

Španělsko — AEPD je konzistentně aktivní s 324 pokutami. Zaměřuje se na široké spektrum porušení, včetně nevyžádaných obchodních sdělení.

Slovensko — Překvapivý lídr v počtu pokut (542), ale celkový objem je jen ~469 000 €. Průměrná pokuta činí ~865 € — jde převážně o drobná administrativní porušení.

Kdo pokutuje nejméně

Menší členské státy — včetně Česka — udělují výrazně méně pokut i v absolutním objemu. ÚOOÚ v Česku se historicky zaměřuje spíše na poradenství a doporučení než na vysoké sankce, ačkoliv kontrolní aktivita roste.

Největší jednotlivé pokuty roku 2025

  1. TikTok — €530 000 000 (Irsko, DPC) — Nelegální přenosy osobních údajů do Číny v rozporu s kapitolou V GDPR.
  2. SHEIN — €150 000 000 (Francie, CNIL) — Nastavení cookies bez platného souhlasu.
  3. Google — €150 000 000 (Francie, CNIL) — Dark patterns v cookie banneru, manipulativní design.

Trendy v enforcement

1. Přeshraniční případy dominují

EDPB vydal 572 finálních rozhodnutí v rámci One-Stop-Shop mechanismu a řešil 414 přeshraničních případů. Velké technologické společnosti jsou stále častěji pokutovány prostřednictvím koordinovaných postupů více DPA.

2. Cookies a consent jsou prioritou

Významná část pokut se týká neplatného souhlasu, cookies nastavených před souhlasem a manipulativního designu cookie lišt. CNIL, dánský DPA a další úřady explicitně označily cookie compliance za prioritu kontrol.

3. Automatizovaná detekce přichází

EDPB plánuje nasazení automatizovaných nástrojů pro skenování milionů webů a detekci dark patterns v cookie bannerech. Manuální kontroly doplní strojové skenování — objem detekovaných porušení se dramaticky zvýší.

4. Koordinované vymáhání (CEF)

Koordinovaná akce EDPB za rok 2025 se zaměřila na právo na výmaz (čl. 17 GDPR). 32 DPA se zapojilo a oslovilo 764 správců dat napříč Evropou.

Co to znamená pro české firmy

I když ÚOOÚ historicky uděluje nižší pokuty, riziko roste:

  • Přeshraniční dosah — pokud sbíráte data uživatelů z jiných členských států, podléháte jurisdikci jejich DPA.
  • Automatické skenování — až EDPB nasadí automatizované nástroje, geografická vzdálenost přestane být ochranou.
  • ÚOOÚ přitvrzuje — český úřad zvyšuje počet kontrol zaměřených na cookie lišty a souhlas.

Jak se chránit

Správný consent management je první obrannou linií proti GDPR pokutám:

  • Platný souhlas — symetrické tlačítka, žádné přednastavené checkboxy, jeden klik na odmítnutí.
  • Blokování cookies před souhlasem — žádné trackery aktivní bez souhlasu.
  • Audit-ready záznamy — transparentní logy souhlasů pro případ kontroly.
  • Pravidelné kontroly — automatizované skenování webu na přítomnost cookies před souhlasem.

Waulter CMP všechny tyto požadavky splňuje standardně — od prvního dne nasazení.


Zdroje: EDPB Annual Report 2025 (publikováno 9. 4. 2026), GDPR Enforcement Tracker (CMS), DLA Piper GDPR Fines Survey 2025

Chcete mít souhlasy pod kontrolou?

Waulter CMP vám pomůže se správou souhlasů, GDPR compliance a ochranou před pokutami.