EDPB: přehled GDPR pokut za rok 2025 — 1,15 miliardy eur
Výroční zpráva EDPB za rok 2025
Evropský sbor pro ochranu osobních údajů (EDPB) zveřejnil 9. dubna 2026 výroční zprávu za rok 2025. Celkový objem pokut udělených národními dozorovými úřady (DPA) v celé EU dosáhl 1,15 miliardy eur — výrazný nárůst oproti předchozím rokům.
Od zavedení GDPR v roce 2018 bylo uděleno přes 6 680 pokut v celkové hodnotě přibližně 4,2 miliardy eur.
Které úřady pokutovaly nejvíce
Podle objemu pokut
| Země | DPA | Objem pokut | Počet |
|---|---|---|---|
| Irsko | DPC | ~530 000 000 € | Nízký |
| Francie | CNIL | 486 854 500 € | 84 |
| Německo | Více DPA | 48 117 083 € | 499 |
| Španělsko | AEPD | 45 203 465 € | 324 |
| Slovensko | ÚOOÚ SR | 468 953 € | 542 |
Co čísla říkají
Irsko — Jedna pokuta dominuje celému roku. DPC udělil TikToku pokutu €530 milionů za nelegální přenosy osobních údajů do Číny. Tato jediná pokuta tvoří téměř polovinu celoevropského objemu za celý rok 2025.
Francie — CNIL zůstává jedním z nejaktivnějších dozorových úřadů v Evropě. 84 pokut za rok ukazuje systematický přístup k vymáhání — od malých firem po technologické giganty.
Německo — Nejvyšší počet pokut po Slovensku (499), ale průměrná výše je nízká (~96 000 € na pokutu). Německý decentralizovaný model s 16 zemskými DPA vytváří vysoký objem, ale menší jednotlivé sankce.
Španělsko — AEPD je konzistentně aktivní s 324 pokutami. Zaměřuje se na široké spektrum porušení, včetně nevyžádaných obchodních sdělení.
Slovensko — Překvapivý lídr v počtu pokut (542), ale celkový objem je jen ~469 000 €. Průměrná pokuta činí ~865 € — jde převážně o drobná administrativní porušení.
Kdo pokutuje nejméně
Menší členské státy — včetně Česka — udělují výrazně méně pokut i v absolutním objemu. ÚOOÚ v Česku se historicky zaměřuje spíše na poradenství a doporučení než na vysoké sankce, ačkoliv kontrolní aktivita roste.
Největší jednotlivé pokuty roku 2025
- TikTok — €530 000 000 (Irsko, DPC) — Nelegální přenosy osobních údajů do Číny v rozporu s kapitolou V GDPR.
- SHEIN — €150 000 000 (Francie, CNIL) — Nastavení cookies bez platného souhlasu.
- Google — €150 000 000 (Francie, CNIL) — Dark patterns v cookie banneru, manipulativní design.
Trendy v enforcement
1. Přeshraniční případy dominují
EDPB vydal 572 finálních rozhodnutí v rámci One-Stop-Shop mechanismu a řešil 414 přeshraničních případů. Velké technologické společnosti jsou stále častěji pokutovány prostřednictvím koordinovaných postupů více DPA.
2. Cookies a consent jsou prioritou
Významná část pokut se týká neplatného souhlasu, cookies nastavených před souhlasem a manipulativního designu cookie lišt. CNIL, dánský DPA a další úřady explicitně označily cookie compliance za prioritu kontrol.
3. Automatizovaná detekce přichází
EDPB plánuje nasazení automatizovaných nástrojů pro skenování milionů webů a detekci dark patterns v cookie bannerech. Manuální kontroly doplní strojové skenování — objem detekovaných porušení se dramaticky zvýší.
4. Koordinované vymáhání (CEF)
Koordinovaná akce EDPB za rok 2025 se zaměřila na právo na výmaz (čl. 17 GDPR). 32 DPA se zapojilo a oslovilo 764 správců dat napříč Evropou.
Co to znamená pro české firmy
I když ÚOOÚ historicky uděluje nižší pokuty, riziko roste:
- Přeshraniční dosah — pokud sbíráte data uživatelů z jiných členských států, podléháte jurisdikci jejich DPA.
- Automatické skenování — až EDPB nasadí automatizované nástroje, geografická vzdálenost přestane být ochranou.
- ÚOOÚ přitvrzuje — český úřad zvyšuje počet kontrol zaměřených na cookie lišty a souhlas.
Jak se chránit
Správný consent management je první obrannou linií proti GDPR pokutám:
- Platný souhlas — symetrické tlačítka, žádné přednastavené checkboxy, jeden klik na odmítnutí.
- Blokování cookies před souhlasem — žádné trackery aktivní bez souhlasu.
- Audit-ready záznamy — transparentní logy souhlasů pro případ kontroly.
- Pravidelné kontroly — automatizované skenování webu na přítomnost cookies před souhlasem.
Waulter CMP všechny tyto požadavky splňuje standardně — od prvního dne nasazení.
Zdroje: EDPB Annual Report 2025 (publikováno 9. 4. 2026), GDPR Enforcement Tracker (CMS), DLA Piper GDPR Fines Survey 2025