Dan varstva osebnih podatkov
Uveljavljanje Splošne uredbe o varstvu podatkov po skoraj osmih letih uporabe skozi analizo evropskih glob prijav kršitev in slovenskega položaja
Poročilo je bilo objavljeno 21. 1. 2026.
28. januar, dan varstva osebnih podatkov, obeležujemo v spomin na sprejetje Konvencije Sveta Evrope št. 108 leta 1981 – prve mednarodne pravno zavezujoče pogodbe na področju varstva osebnih podatkov. Danes ta datum predstavlja priložnost za razmislek o tem, kako se Splošna uredba o varstvu podatkov (GDPR) uveljavlja v praksi.
Eden najbolj oprijemljivih pokazateljev regulatornih prioritet ostajajo upravne globe, ki jih nadzorni organi izrekajo po vsej Evropi.
Družba DLA Piper, mednarodna odvetniška pisarna z obsežno prakso tudi na področju varstva osebnih podatkov, zasebnosti in kibernetske varnosti, je objavila letni pregled GDPR fines and data breach survey. Poročilo ponuja celovit, podatkovno podprt vpogled v višino izrečenih glob, trende nadzora in razvoj regulatornih tveganj v Evropskem gospodarskem prostoru in Združenem kraljestvu v zadnjem letu.
Na evropski ravni poročilo potrjuje, da raven izvrševanja GDPR ostaja visoka. V obdobju med 28. januarjem 2025 in 27. januarjem 2026 so evropski nadzorni organi izrekli globe v skupni višini približno 1,2 milijarde EUR, kar je primerljivo z letom prej. Skupna vrednost vseh glob, izrečenih od začetka uporabe GDPR maja 2018, je do januarja 2026 dosegla približno 7,1 milijarde EUR.
Najvišje zneske še naprej beležijo posamezne jurisdikcije z izrazito čezmejno vlogo. Irska ostaja vodilna po skupnem znesku glob, ki presega 4 milijarde EUR, sledita ji Francija in Luksemburg. Visoki zneski v teh državah v veliki meri posledica njihove vloge vodilnih nadzornih organov za številna velika tehnološka podjetja s sedežem ali glavno evropsko poslovno enoto na njihovem ozemlju, kar pomeni več čezmejnih postopkov in obravnavo primerov z zelo velikim obsegom obdelave osebnih podatkov. Devet od desetih najvišjih posameznih glob v zgodovini GDPR je bilo izrečenih velikim tehnološkim podjetjem, med drugim družbam, kot so Meta Platforms Ireland Limited, Amazon in TikTok, kar kaže na izrazito koncentracijo najodmevnejših postopkov pri omejenem številu primerov in subjektov.
Ta širši evropski kontekst je pomemben tudi za razumevanje regije Srednje in Jugovzhodne Evrope. Države, kot so Slovenija, Hrvaška, Madžarska, Slovaška in Bolgarija, sodijo med jurisdikcije z nižjimi kumulativnimi zneski glob. Poročilo ob tem ne vzpostavlja neposredne povezave med višino glob in intenzivnostjo nadzora, temveč opozarja, da so razlike pogosto posledica velikosti trgov, števila čezmejnih primerov ter postopkovnih pravil in prakse objavljanja odločb.
Slovenija se po podatkih poročila uvršča med države z najnižjimi kumulativnimi zneski glob. Skupna vrednost GDPR glob, izrečenih v Sloveniji od 25. maja 2018 do januarja 2026, znaša približno 91.045 EUR.
Slovenija je v poročilu uvrščena v skupino jurisdikcij z globami do 10 milijonov EUR, skupaj z državami, kot so Malta, Ciper, Islandija in Lihtenštajn. Poročilo hkrati opozarja, da pregled temelji izključno na javno dostopnih informacijah, saj vsi nadzorni organi ne objavljajo podrobnosti o sankcijah, nekatere globe pa so lahko predmet pritožbenih postopkov. Iz teh podatkov ni mogoče sklepati na raven dejanske skladnosti ali na intenzivnost nadzora v posamezni državi. Kljub temu poročilo omogoča vpogled v določene trende, ki so relevantni tudi za Slovenijo.
Edini zanesljiv zaključek, ki ga omogočajo podatki poročila, je, da Slovenija doslej ni bila prizorišče primerov z zelo visokimi globami in da so izrečene sankcije v absolutnem smislu nizke. Poročilo Slovenijo umešča v širši evropski vzorec, kjer je večina najvišjih glob koncentrirana v nekaj jurisdikcijah z izrazito čezmejno vlogo. Hkrati podatki o prijavah kršitev kažejo, da se tudi v Sloveniji postopno povečuje število prijavljenih incidentov, čeprav ostaja absolutno in relativno (na prebivalca) bistveno nižje kot v državah z najvišjimi stopnjami poročanja. V zadnjem poročevalskem obdobju se Slovenija po podatkih DLA Piper uvršča v spodnji del lestvice tako po skupnem številu prijav kot po številu prijav na 100.000 prebivalcev, kar kaže na zmernejši obseg poročanja v primerjavi z državami, kot so Nizozemska, Danska ali Irska.
Pomemben del poročila je namenjen tudi prijavam kršitev varnosti osebnih podatkov. DLA Piper ugotavlja, da se je v obdobju med 28. januarjem 2025 in 27. januarjem 2026 povprečno število prijav kršitev povečalo za približno 22 %, pri čemer je povprečje prvič preseglo 400 prijav na dan. Tudi dolgoročni podatki od začetka uporabe GDPR kažejo na stabilen porast prijav po vsej Evropi. Slovenija je po absolutnem številu prijav umeščena med države z nižjimi številkami, vendar poročilo opozarja, da so primerjave omejene zaradi razlik v metodologiji poročanja, dostopnosti podatkov in nacionalnih praks.
Poročilo posebej poudarja, da porast prijav kršitev ne odraža nujno zgolj večjega števila incidentov, temveč tudi večjo ozaveščenost upravljavcev, povečano regulatorno pozornost in prekrivanje obveznosti poročanja iz drugih regulatornih okvirov, kot so NIS2 in DORA. To pomeni, da prijave kršitev postajajo vse pomembnejši element širšega upravljanja tveganj na področju varstva osebnih podatkov.
Poleg regulatornih sankcij poročilo izpostavlja tudi naraščajoč pomen odškodninskih zahtevkov posameznikov po 82. členu GDPR. Pregled sodne prakse Sodišča Evropske unije in nacionalnih sodišč potrjuje, da lahko nepremoženjska škoda vključuje tudi negativna čustva, kot so strah ali zaskrbljenost, če so ta ustrezno izkazana, hkrati pa poudarja, da zgolj hipotetična ali abstraktna prizadetost ne zadostuje za priznanje odškodnine. Čeprav poročilo ne vsebuje posebnih podatkov za Slovenijo, opozarja, da se pravni standardi na ravni EU razvijajo in da se v določenih jurisdikcijah postopoma znižujejo procesne ovire za vlaganje takšnih zahtevkov.
V tem kontekstu relativno nizki zneski izrečenih glob v Sloveniji ne pomenijo nujno nizkega GDPR tveganja. Poročilo kaže, da se težišče varstva osebnih podatkov premika od osredotočenosti na globe k širšemu razumevanju tveganj, ki vključuje varnostne incidente, prijavne obveznosti in civilnopravno odgovornost. Za DPO-je in pravnike to pomeni vse bolj strateško vlogo, ki presega formalno spremljanje skladnosti in vključuje presojo dejanskih tveganj za pravice posameznikov ter podporo upravljavcem pri sprejemanju sorazmernih in utemeljenih odločitev.
Dan varstva osebnih podatkov je zato predvsem priložnost za realen pogled na GDPR. Podatki DLA Piper poročila za leto 2025 kažejo, da globe ostajajo pomemben kazalnik, niso pa več edini. Porast prijav kršitev, razvoj sodne prakse in vse večja povezanost GDPR z drugimi regulatornimi režimi potrjujejo, da bo učinkovito varstvo osebnih podatkov tudi v prihodnje zahtevalo sistematičen, podatkovno podprt in dolgoročno usmerjen pristop.
Vir: Poročilo DLA Piper: GDPR Fines and Data Breach Survey
Naslovna fotografija: Pexels
