GDPR Kazne — Najvece kazne i kako ih izbeci
Top 10 kazni, struktura penala, faktori za visinu i 10 konkretnih koraka za uskladjenost
€4B+
Ukupno GDPR kazni od 2018.
€1.2B
Najveca kazna (Meta, 2023)
4%
Max kazna od globalnog prometa
2,000+
Izrecenih kazni od 2018.
Sadrzaj
1. Struktura kazni po GDPR-u
GDPR predvidja dva nivoa kazni:
| Nivo | Maksimum | Za krsenja |
|---|---|---|
| Nizi | €10M ili 2% globalnog godisnjeg prometa (sta je vece) | Tehnicke/organizacione obaveze: evidencija obrade, DPO imenovanje, notifikacija o krsenju, certifikacija |
| Visi | €20M ili 4% globalnog godisnjeg prometa (sta je vece) | Osnovni principi: saglasnost, prava korisnika, transfer podataka, krsenje osnova obrade |
4% globalnog prometa: Za Meta to je 4% od ~$117B = ~$4.7B potencijalno. Izrecena kazna od $1.2B je "samo" ~1% prometa. Google sa $307B prometa moze teoretski dobiti kaznu od $12B.
2. Top 10 najvecih GDPR kazni
| # | Kompanija | Kazna | Godina | Razlog | DPA |
|---|---|---|---|---|---|
| 1 | Meta (Facebook) | €1.2B | 2023 | Transfer podataka u SAD bez pravne osnove posle Schrems II | DPC (Irska) |
| 2 | Amazon | €746M | 2021 | Targetiranje korisnika bez validnog consent-a | CNPD (Luksemburg) |
| 3 | TikTok | €345M | 2023 | Obrada podataka dece, nedovoljna transparentnost | DPC (Irska) |
| 4 | €225M | 2021 | Nedovoljna transparentnost o obradi podataka | DPC (Irska) | |
| 5 | Google (cookies) | €150M | 2022 | Cookie consent: tesko odbijanje, dark patterns | CNIL (Francuska) |
| 6 | Google (transparency) | €50M | 2019 | Nedovoljna transparentnost, nevalidan consent | CNIL (Francuska) |
| 7 | Criteo | €40M | 2023 | Nelegalno prikupljanje consent-a za tracking | CNIL (Francuska) |
| 8 | H&M | €35.3M | 2020 | Nadzor zaposlenih, prikupljanje privatnih podataka | HmbBfDI (Nemacka) |
| 9 | British Airways | €22M | 2020 | Data breach — XSS napad, 380K kartica ukradeno | ICO (UK) |
| 10 | Marriott | €20M | 2020 | Data breach — 339M gostiju, neotkriven 4 godine | ICO (UK) |
Trend: Kazne rastu svake godine. 2019: ukupno ~€400M. 2022: ~€2.5B. 2023: ~€2B. Regulatorni organi sve agresivnije sprovode kontrole.
3. 11 faktora za visinu kazne (Cl. 83.2)
GDPR definise 11 faktora koje DPA razmatra pri odredjivanju visine kazne:
| # | Faktor | Primer uticaja |
|---|---|---|
| 1 | Priroda, tezina i trajanje krsenja | Data breach koji traje 4 godine (Marriott) vs jednokratno |
| 2 | Namerno ili nehajno | Namerno ignorisanje GDPR = veca kazna |
| 3 | Mere za ublazavanje stete | Brza reakcija smanjuje kaznu |
| 4 | Tehnicke i organizacione mere | Da li ste imali razumnu zastitu pre incidenta |
| 5 | Prethodni prekrsaji | Ponovljeni prekrsaji = vece kazne |
| 6 | Saradnja sa DPA | Kooperativnost smanjuje kaznu |
| 7 | Kategorije pogodjenh podataka | Zdravstveni, finansijski = veca kazna |
| 8 | Kako je DPA saznao | Samoprijava vs otkrivanje od strane medija |
| 9 | Uskladjenost sa prethodnim nalozima | Da li ste postupili po ranijim upozorenjima |
| 10 | Certifikacije | Posedovanje ISO 27001 ili slicno moze pomoci |
| 11 | Otezavajuce/olaksavajuce okolnosti | Finansijska korist od krsenja = otezavajuce |
4. Male firme i GDPR
Da, male firme MOGU biti kaznjene. GDPR se primenjuje na SVE organizacije bez obzira na velicinu.
- Tipicne kazne za male firme: €1,000 — €50,000
- Najcesci razlozi: Nema Privacy Policy, nema cookie consent, nebezbedno cuvanje podataka
- Primer: Rumunska firma kaznjena sa €3,000 jer je slala marketing email-ove bez consent-a
- Primer: Grcki sajt kaznjen sa €15,000 jer je imao Google Analytics bez cookie consent-a
Proporcionalne kazne: DPA ne daje €20M kaznu malom sajtu sa €5,000 prometa. Kazne su proporcionalne velicini i ozbiljnosti krsenja. Ali €5,000-10,000 kazna moze unistiti mali biznis.
5. Srpski ZZPL — kazne u Srbiji
- Nadlezni organ: Poverenik za informacije od javnog znacaja i zastitu podataka o licnosti
- Kazne za pravna lica: Do 2,000,000 RSD (~€17,000)
- Kazne za odgovorno lice: Do 200,000 RSD (~€1,700)
- Kazne za preduzetnike: Do 500,000 RSD (~€4,300)
- Razlika od GDPR: Srpske kazne su znacajno manje, ali princip je isti
- Trend: Poverenik sve aktivnije sprovodi kontrole — ocekujte rast kazni
Ako vaseg sajt ima korisnike iz EU, primenjuje se GDPR sa punim kaznama (€20M / 4% prometa) bez obzira sto ste iz Srbije.
6. Kako izbeci kazne — 10 konkretnih koraka
- Privacy Policy — Jasna, azurna, dostupna u footeru svake stranice. Vodic
- Cookie consent banner — Pre ucitavanja non-essential kolacica. Vodic
- HTTPS enkripcija — Obavezan za zastitu podataka u prenosu. SSL vodic
- Minimizacija podataka — Prikupljajte SAMO ono sto vam treba. Ne trazite adresu ako nije neophodna.
- Evidencija obrade (ROPA) — Dokumentujte koje podatke prikupljate, zasto, kako dugo cuvate.
- Odgovor na zahteve — Implementirajte proces za DSAR (pristup, brisanje, prenosivost) sa rokom od 30 dana. Vodic
- Notifikacija o krsenju — Prijavite data breach DPA u roku od 72 sata. Obavestite pogodiene korisnike bez odlaganja.
- DPO (Data Protection Officer) — Obavezan za javni sektor i kompanije koje masovno obradjuju osetljive podatke.
- Redovni auditi — Koristite Web Security Scanner za tehnicku proveru + godisnji pravni audit.
- Obuka zaposlenih — Svi koji rade sa podacima moraju razumeti GDPR osnove.
Najvazniji korak: Ako nemate nista od ovoga, pocnite sa #1 (Privacy Policy) i #2 (Cookie consent). Ova dva pokrivaju 80% najcescih krsenja za male sajtove.
7. Najcesci razlozi za kazne
| Razlog | % kazni | Primer |
|---|---|---|
| Nedovoljan pravni osnov | ~30% | Obrada bez consent-a ili legitimnog interesa |
| Neuskladjenost sa principima | ~20% | Minimizacija, transparentnost, tacnost |
| Nedovoljne tehnicke mere | ~18% | Data breach zbog slabe zastite |
| Prava korisnika | ~15% | Neodgovaranje na zahteve u roku |
| Transfer podataka | ~10% | Slanje podataka u SAD bez DPF/SCC |
| Cookie consent | ~7% | Dark patterns, pre-checked, bez "Odbij" |
8. Reference i resursi
- GDPR Enforcement Tracker — Sve kazne
- GDPR Clan 83 — Opsti uslovi za kazne
- EDPB — Guidelines za kalkulaciju kazni
- CMS GDPR Portal — Kazne po zemljama
- Poverenik za informacije — Srbija
- ICO — Enforcement Actions
- CNIL — Sanctions
GDPR Fines — Largest Fines and How to Avoid Them
Top 10 fines, penalty structure, factors and 10 concrete compliance steps
€4B+
Total GDPR fines since 2018
€1.2B
Largest fine (Meta, 2023)
4%
Max fine of global revenue
2,000+
Fines issued since 2018
Table of Contents
1. Fine structure
| Tier | Maximum | For violations of |
|---|---|---|
| Lower | €10M or 2% global revenue | Technical/organizational obligations |
| Upper | €20M or 4% global revenue | Core principles, consent, user rights, transfers |
2. Top 10 largest GDPR fines
| # | Company | Fine | Year | Reason |
|---|---|---|---|---|
| 1 | Meta | €1.2B | 2023 | Data transfers to US post-Schrems II |
| 2 | Amazon | €746M | 2021 | Targeting without valid consent |
| 3 | TikTok | €345M | 2023 | Children's data, transparency |
| 4 | €225M | 2021 | Insufficient transparency | |
| 5 | €150M | 2022 | Cookie consent dark patterns | |
| 6 | €50M | 2019 | Transparency, invalid consent | |
| 7 | Criteo | €40M | 2023 | Illegal consent collection |
| 8 | H&M | €35.3M | 2020 | Employee surveillance |
| 9 | British Airways | €22M | 2020 | Data breach (XSS), 380K cards |
| 10 | Marriott | €20M | 2020 | Data breach, 339M guests |
Trend: Fines grow yearly. 2019: ~€400M total. 2022: ~€2.5B. 2023: ~€2B. Regulators enforce more aggressively each year.
3. 11 factors for fine amount (Art. 83.2)
Nature/gravity/duration, intentional vs negligent, mitigation measures, technical measures, previous infringements, cooperation with DPA, data categories, how DPA learned, compliance with previous orders, certifications, aggravating/mitigating circumstances.
4. Small businesses and GDPR
Yes, small businesses CAN be fined. Typical fines: €1,000-50,000. Common reasons: no Privacy Policy, no cookie consent, insecure data storage. Fines are proportional but can still devastate a small business.
Proportional: DPA won't fine €20M for a site with €5,000 revenue. But €5,000-10,000 can destroy a small business.
5. Serbian ZZPL fines
Commissioner for Information: fines up to 2M RSD (~€17,000) for legal entities. Much lower than GDPR but same principles. If your site has EU users, GDPR's full fines apply regardless of your location.
6. How to avoid fines — 10 steps
- Privacy Policy — clear, updated, footer link on every page
- Cookie consent — before loading non-essential cookies
- HTTPS encryption — mandatory for data in transit
- Data minimization — collect only what you need
- Records of processing (ROPA) — document what, why, how long
- Respond to requests — DSAR process within 30 days
- Breach notification — report to DPA within 72 hours
- DPO if required — public sector, massive sensitive data processing
- Regular audits — Web Security Scanner + annual legal audit
- Employee training — everyone handling data must understand GDPR basics
Start here: If you have nothing, begin with #1 (Privacy Policy) and #2 (Cookie consent). These cover 80% of most common violations for small sites.
7. Most common fine reasons
| Reason | % of fines |
|---|---|
| Insufficient legal basis | ~30% |
| Non-compliance with principles | ~20% |
| Insufficient technical measures | ~18% |
| User rights violations | ~15% |
| Data transfers | ~10% |
| Cookie consent | ~7% |
8. References and resources
- GDPR Enforcement Tracker
- GDPR Article 83 — Fines
- EDPB — Fine Calculation Guidelines
- ICO Enforcement
- CNIL Sanctions