Podpora 24/7
FAQ
 Ovládací panel
Zůstatek účtu:    
Budíček pro hostingy: Proč vás v 2025 čekají GDPR pokuty přímo doma

Budíček pro hostingy: Proč vás v 2025 čekají GDPR pokuty přímo doma

Dub 10, 2026 gdpr data protection hosting compliance data processor liability regulatory enforcement cloud security saas compliance data retention cyber risk management

Změna, kterou nikdo nečekal (ale dalo se tušit)

Pokud provozujete hostingové služby, zpracováváte data zákazníků z EU nebo nabízíte platformy pro data, čtěte dál pozorně. Starý předpoklad, že za GDPR odpovídají jen vaši klienti? Ten končí.

Prvních sedm let po zavedení GDPR to vypadalo jednoduše: při únicích dat dostal pokutu ten, kdo měl přímý kontakt se zákazníky. Hostingoví poskytovatelé, cloudové služby nebo infrastruktuřa? Ti se objevili v zprávách, ale trest vždy dopadl jinde. To platilo od 2018 do 2024.

V roce 2025 se všechno změnilo. Důkaz? Dvě rozhodnutí úřadů, která by měla znepokojit každého šéfa v oboru.

Případ 1: Selhání v NHS za 3,07 milionu liber

V březnu 2025 udělal britský úřad ICO něco nového: pokutoval přímo zpracovatele dat.

Společnost Advanced Computer Software Group dodává IT pro britskou Národní zdravotní službu. V srpnu 2022 se do jejich systémů dostali hackeři ransomwarem přes účet bez dvoufázového ověření. Ohroženo bylo 900 zdravotních záznamů z domácí péče, celkem data 82 946 lidí.

Klíčové je: pokutu dostali ne za vztah k pacientům, ale za to, že nechránili data, která měli podle smlouvy zabezpečit.

Vyšetřování odhalilo chyby:

  • Žádné dvoufázové ověření v systémech s citlivými daty
  • Chybělo pravidelné skenování zranitelností
  • Špatné řízení aktualizací

Původní pokuta byla 6,1 milionu liber. Po dohodě a spolupráci klesla na 3,07 milionu. Zpráva je jasná: Článek 32 britské GDPR žádá "vhodná technická a organizační opatření". Pokud data zpracováváte na základě smlouvy, zodpovídáte za jejich bezpečnost. Bodka.

NHS pokutováno nebylo. Šlo o zpracovatele.

Případ 2: Past s uchováváním dat za milion eur

O pět měsíců později francouzský CNIL rozhodl o britské SaaS firmě Mobius Solutions, která spravovala reklamní data pro hudební stream Deezer.

Po skončení smlouvy Mobius udělal chybu, která děsí celý hostingový svět: data si nechal.

Navíc je použil k vylepšení svých služeb bez souhlasu Deezeru.

CNIL našel tři porušení:

  1. Uchovávání dat po skončení smlouvy (porušení čl. 28(3)(g))
  2. Zpracování mimo instrukce klienta (porušení čl. 28(3)(a))
  3. Chybějící záznamy o zpracování (porušení čl. 30)

Pokuta: 1 milion eur.

Pro hosting je to důležité kvůli rozsahu – 46 milionů uživatelských záznamů z Deezeru. Mobius neměl v EU sídlo, což usnadnilo CNIL přímou akci. Vyšetřování trvalo tři roky (2022–2025) a mířilo rovnou na zpracovatele.

Proč to ovlivní váš hostingový byznys

Tohle nejsou výjimky. Jsou to precedenty. Zde je, co stanovují:

Za bezpečnost odpovídáte přímo vy. Smlouva o zpracování dat (DPA) přenáší povinnosti, ne riziko pokut. Pokud selžete v technických opatřeních, úřad potrestá vás.

Mazání dat je povinnost. Po ukončení smlouvy musíte data smazat podle dohody. Uchovávat je "pro jistotu" nebo na vlastní užití vede k pokutám. Mobius to dokazuje.

Bezpečnostní standardy jsou nutnost. MFA, správa zranitelností, aktualizace, kontroly přístupu – v roce 2025 to není volitelné. Audit odhalí díry, úřad je potrestá.

Dokumentace je klíč. Mobius prohrál i kvůli chybějícím záznamům. Vaše logy, audity, záznamy o incidentech a pravidlech uchovávání slouží jako důkaz. Bez nich jste v nevýhodě.

Co udělat hned teď

Pokud nabízíte hosting, spravované služby nebo SaaS s EU daty, postupujte takto:

  1. Zkontrolujte bezpečnost. Máte MFA, šifrování, segmentaci sítě a skenování zranitelností na všech datech? Pokud ne, jste v riziku.

  2. Prověřte uchovávání dat. Automatizace skutečně maže data po skončení smlouvy? Definujte lhůty a dodržujte je.

  3. Zlepšete DPA smlouvy. Specifikujte bezpečnost, mazání a práva na audity. Žádné obecnosti.

  4. Zaveďte logování a monitoring. Dokážte, co zpracováváte, kdo má přístup a jak chráníte. To je vaše štít.

  5. Zvažte pojištění proti kyberútokům. Pokuty rostou. Není to vše, ale součást strategie.

  6. Konzultujte právníky. Nové precedenty vyžadují experty na tech i právo.

Ne příjemná pravda

Pravidla pro odpovědnost zpracovatelů platí od GDPR v roce 2018. Úřady je ale doteď nutili jen u controllerů – to bylo jednodušší.

V 2025 pochopily, že mohou cílit na ty, kdo data drží a chrání. A dělají to.

Advanced a Mobius nastavili směr. Nebudou poslední. Každý hosting, SaaS nebo cloud s EU daty je teď na mušce.

Otázka není, jestli přijdou pokuty pro zpracovatele. Přišly. Otázka je, jestli jste připraveni vy.

V NameOcean jsme Vibe Hosting postavili s důrazem na shodu, protože toto prostředí známe. Ale compliance nekoupíte – musíte ji vestavět do infrastruktury, dokumentů i procesů.

Začněte hned. Precedent platí.

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN