anonym.legal
Zpět na blogGDPR a shoda

GDPR pokuty pro americké společnosti...

Americké společnosti zaplatily od roku 2018 přes 4 miliardy EUR na pokutách GDPR. Naučte se, jak Meta, Google a Amazon selhaly a jak chránit svou firmu.

February 19, 20268 min čtení
GDPRdata protectionSchrems IIcross-border transfers

GDPR a americké společnosti: Reálné náklady

Od zavedení GDPR v roce 2018 uložily evropské orgány na ochranu dat americkým tech gigantům pokuty přesahující 4 miliardy EUR. Přesto mnoho amerických firem stále podceňuje své povinnosti vyplývající z GDPR.

Tento přehled analyzuje největší případy, identifikuje vzorce a ukazuje, jak mohou firmy všech velikostí splňovat požadavky GDPR.

Top 5 pokut GDPR pro americké společnosti

1. Meta – 1,2 miliardy EUR (2023)

Irský DPC uložil Metě rekordní pokutu za přenos osobních dat uživatelů z EU do USA.

Klíčové pochybení:

  • Přenos dat do USA bez odpovídajících záruk po zrušení Privacy Shield
  • Více než 390 milionů dotčených uživatelů
  • 5leté šetření před rozhodnutím

2. Amazon – 746 milionů EUR (2021)

Lucemburská CNPD pokutovala Amazon za porušení zákonného základu pro zpracování dat.

Klíčové pochybení:

  • Behaviorální reklama bez platného souhlasu
  • Nejasné zásady ochrany osobních údajů
  • Nedostatečná transparentnost zpracování dat

3. Google (Ireland) – 150 milionů EUR (2022)

Francouzský CNIL pokutoval Google za to, že odmítnutí souborů cookie bylo složitější než jejich přijetí.

Klíčové pochybení:

  • Tlačítko „Odmítnout vše" chybí na první stránce
  • Design uživatelského rozhraní zvýhodňující souhlas
  • Porušení zásady svobodného souhlasu

4. WhatsApp – 225 milionů EUR (2021)

Irský DPC pokutoval WhatsApp za nedostatečnou transparentnost ohledně sdílení dat s Metou.

Klíčové pochybení:

  • Uživatelé nevěděli, jak jsou jejich data sdílena
  • Nedostatečné informování o zpracování dat
  • Záměrně složité zásady ochrany osobních údajů

5. TikTok – 345 milionů EUR (2023)

Irský DPC pokutoval TikTok za nedostatečnou ochranu dat dětí.

Klíčové pochybení:

  • Nastavení „veřejný" jako výchozí pro dětské účty
  • Nedostatečné ověření věku
  • Nesprávné uchování dat nezletilých

Vzorce v GDPR pokutách

Analýza 100+ pokut GDPR pro americké společnosti odhaluje konzistentní vzorce:

Kategorie porušení% případůPrůměrná pokuta
Zákonný základ zpracování34 %67 milionů EUR
Mezinárodní přenosy dat28 %124 milionů EUR
Práva subjektů18 %12 milionů EUR
Bezpečnost dat12 %8 milionů EUR
Transparentnost8 %4 miliony EUR

Proč americké firmy neustále selhávají

Mylný předpoklad 1: „GDPR se na nás nevztahuje"

GDPR platí pro jakoukoli organizaci zpracovávající data osob v EU – bez ohledu na to, kde je organizace sídlem. Pokud vaši webové stránky shromažďují evropský provoz, podléháte GDPR.

Mylný předpoklad 2: „Naši právníci to mají pod kontrolou"

Technická implementace, nejen právní dokumentace, musí odpovídat požadavkům GDPR. Soulad s GDPR není pouze čtení zasad ochrany osobních údajů – je to zákonem vynucená technická ochrana dat.

Mylný předpoklad 3: „Jsme příliš malí na to, aby nás zaměřili"

I malé firmy dostávají pokuty GDPR. V roce 2024 obdrželo pokuty přes 5 000 organizací v EU, přičemž průměrná pokuta pro menší subjekty byla 28 000 EUR.

Praktický soulad: Kde začít

Krok 1: Mapování dat

Identifikujte veškerá osobní data, která zpracováváte:

  • Co shromažďujete?
  • Kde to ukládáte?
  • Jak to sdílíte?
  • Jak dlouho to uchováváte?

Krok 2: Zákonný základ

Pro každý případ zpracování určete zákonný základ:

  • Souhlas (musí být svobodný, konkrétní, informovaný, jednoznačný)
  • Smlouva
  • Zákonná povinnost
  • Životně důležité zájmy
  • Veřejný zájem
  • Oprávněné zájmy

Krok 3: Technická opatření

Implementujte privacy by design:

  • Minimalizace dat: shromažďujte jen to, co potřebujete
  • Pseudonymizace a anonymizace
  • Šifrování v klidu i při přenosu
  • Kontroly přístupu a protokoly auditu

Krok 4: Dokumentace

Udržujte záznamy o zpracování pro každý případ zpracování dat.

Jak anonym.legal pomáhá při souladu s GDPR

Anonymizace PII přímo řeší nejčastější příčiny pokut GDPR:

Minimalizace dat: Anonymizované záznamy splňují požadavky GDPR tím, že data jsou nepřiřaditelná k fyzickým osobám.

Bezpečnost: Anonymizovaná data nevyžadují stejnou úroveň ochrany jako osobní data.

Přenosy dat: Anonymizovaná data mohou být volně přenášena – GDPR se nevztahuje na skutečně anonymní data.

Práva subjektů: Anonymizovaná data jsou vyjmuta z žádostí o přístup, výmaz a přenositelnost.

Závěr

GDPR pokuty pro americké společnosti jsou stále vyšší a přísnější. Poselství regulátorů je jasné: technická implementace ochrany dat musí odpovídat právní dokumentaci.

Nejúčinnějším přístupem je anonymizace PII, která redukuje objem osobních dat, která vaše organizace zpracovává – a tím i vaše expozici pokutám GDPR.

Zdroje:

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce