Õiguslik järelevalve nr 91 – jaanuar 2026. 

 

Andmete kaitsmine "Prantsusmaa töö" sanktsiooni valguses.

CNIL-i 29. jaanuaril France Travaili vastu võetud sanktsioon on eeskujulik, kuna see tuletab meile meelde tõhusa julgeolekupoliitika olulisi elemente.

Massiliste andmelekete sagenemise kontekstis rõhutab CNIL andmekaitse kolme põhiaspekti:

• Tugev autentimine,
• Tõhus metsaraie,
• Agentide kohustustele kohandatud autoriseerimispoliitika.

CNIL-i 5 miljoni euro suurune sanktsioon on viimane samm juhtumis, mis sai alguse 2024. aastal, kui häkkeritel õnnestus pääseda ligi Cap Emploi nõustajate kontodele.

See juurdepääs võimaldas neil luua ühenduse kõigi France Travail'is registreeritud või viimase 20 aasta jooksul registreerunud inimeste andmetega, samuti inimeste andmetega, kellel on francetravail.fr-is kandidaadikoht.

See tähendab, et häkkerid suutsid alla laadida enam kui 36 miljoni inimese andmeid.

Vastutuse osas tuleb märkida, et kuigi CNIL ei väldi Cap Emploi nõustajate vastutust, rõhutab ta France Travaili peamist vastutust.

• France Travail vastutab "algatuse eest juurutada ja hallata meetmeid, mille eesmärk on tagada infosüsteemi turvalisus, millele ta on avanud juurdepääsu Cap Emploile (...)."
• Samuti oli just France Travail see, kes otsustas autentimise osas mõjuanalüüsi eelnevaid soovitusi eirata.

Ajalised piirangud, mis olid seotud rakendamise tehniliste raskustega, oleksid sundinud teda neid ettevaatusabinõusid eirama.

Sellega seoses kordab CNIL oma autentimise doktriini ja täpsustab, et paroolide kasutamist tuleb täiendada lisameetmetega (captcha, juurdepääsu viivitus või konto blokeerimine pärast maksimaalselt kümmet valet katset), välja arvatud juhul, kui parool koosneb: kas vähemalt 12 tähemärgist, mis sisaldavad suurtähti, väiketähti, numbreid ja erimärke; või vähemalt 14 tähemärgist, mis sisaldavad suurtähti, väiketähti ja numbreid, ilma kohustuslike erimärkideta; või fraasist, mis sisaldab vähemalt 7 sõna.

Sel konkreetsel juhul oli parool vaid kaheksa tähemärki pikk ja autentimispoliitika sätestas 50 ebaõnnestunud katse lävendi enne nõustajate virtuaalsetele masinatele juurdepääsu lukustamist. 

France Travail, mis töötleb suures koguses tundlikke andmeid, mis on seotud näiteks puude päritolu, tööjaama piirangute, puude olukorra arenguga, oleksid juurdepääsutingimused pidanud olema palju rangemad.

Eelkõige oleksid nad pidanud ette nägema mitmefaktorilise autentimise, mis on CNIL-i sõnul oluline eelkõige tundlike andmete töötlemiseks ja töötlemiseks või toiminguteks, mis kujutavad endast ohtu asjaomastele isikutele.

„Telefoni kui teise teguri kasutamise raskust, mis tulenes Cap Emploi iseseisvusest, oleks saanud ületada muude meetmetega, näiteks jagades töötajatele OTP (ühekordse parooli) kalkulaatoreid (…).“

CNIL rõhutab ka metsaraiemeetmete olulist rolli.

Need meetmed ei võimaldanud tuvastada infosüsteemis ebanormaalset käitumist, antud juhul ebanormaalseid andmete allalaadimismahtusid.

CNILi raportöör kritiseerib France Travaili logide regulaarse automaatse jälgimise puudumise pärast, et tuvastada ja analüüsida turvaintsidente ning neile kiiresti ja tõhusalt reageerida.

„Teostatud toimingud olid äärmiselt ebatavalised, arvestades päringute ajastust ja sagedust, väljavõetud andmete märkimisväärset mahtu (25 GB tekstitüüpi andmeid), teatud päringute veamäära (69 % ühel ohustatud kontol (...)) ja asjaolu, et andmed väljavõeti, kuigi Cap Emploi nõustajate tegevus ei nõua märkimisväärset ressursikasutust ega andmete väljavõtmist (näiteks ainuüksi teisipäeval, 6. veebruaril 2024 väljavõeti 9 GB andmeid, mis vastaks ühe nõustaja kohta ühe päeva jooksul enam kui 13 miljonile kirjele).“

Lõpuks rõhutab CNIL juurdepääsuõiguste piiramise olulisust töötajate vajaduste ja funktsioonidega.

Ta märgib, et nõustajate konto seaded olid liiga laialt määratletud, võimaldades neil pääseda ligi ka nende inimeste andmetele, keda nad ei toetanud, mis suurendas ründajatele kättesaadavate andmete hulka.

CNIL põhjendab karistuse suurust France Travaili otsusega mitte rakendada oma mõjuanalüüsi soovitusi, mis viis enam kui 36,8 miljoni inimese isikuandmete, sealhulgas erikaitse all olevate andmete, näiteks riikliku isikuandmete registri (NIR) ohtu sattumiseni, mis oma olulise, ainulaadse ja püsiva olemuse tõttu kujutab endast spetsiifilisi omastamise või omastamise ohte.

Võib tunduda ilmselge järeldada, et süsteemi turvalisuse tagamiseks ei tohiks oodata andmetega seotud rikkumist.

Samuti tuleb märkida, et CNIL karistab regulaarselt turvakohustuse rikkumisi, ilma et need oleksid tingimata andmetega seotud rikkumise põhjuseks, näiteks ebapiisavalt tugev paroolipoliitika.

Andmeturve oli ka 2025. aastal järelevalveasutuse sanktsioonide peamiste objektide hulgas, nagu märgiti selle veebruari alguses avaldatud aruandes.

 

Poolteist aastat märkamata jäänud andmeleke on tabanud ühte Prantsusmaa peamist digitaalse usalduse ettevõtet.

Identiteedi tuvastamise ja pettuste ennetamise platvorm Sumsub teatas, et 2024. aasta juulis toimus turvaintsident.

Ettevõte sai sissetungist teada alles pärast 2026. aasta jaanuaris läbi viidud turvaauditit. Küberrünnak põhineb, nagu ka France Travaili puhul, kolmanda osapoole kompromiteerimisel.

Ohustatud andmete hulgas on nimed, e-posti aadressid ja telefoninumbrid.

30. detsembril 2025 määras CNIL 3,5 miljoni euro suuruse trahvi. ettevõttele, mille nime ta kahjuks varjab, kuna on edastanud oma lojaalsusprogrammi liikmete andmeid regulaarsete ajavahemike järel kuue aasta jooksul sotsiaalvõrgustikule reklaami sihtimise eesmärgil ilma kehtiva nõusolekuta.

Pärast avalikku konsultatsiooni avaldas CNIL 16. jaanuaril oma soovitused mitme seadme nõusoleku kogumise kohta. (seadmeteülene) küpsiste ja muude jälgimisvahendite kasutamise kontekstis.

Eesmärk on aidata sidusrühmadel saada isikuandmete kaitse üldmääruse (GDPR) nõuetele vastav nõusolek ja eelkõige tagada läbipaistev nõusoleku kogumine.

Komisjon avaldas 14. jaanuaril ka kaks kaarti, kus on loetletud heakskiidetud sertifikaadid ja käitumisjuhendid. riiklike ametiasutuste või Euroopa Andmekaitsenõukogu (EDPB) poolt alates isikuandmete kaitse üldmääruse jõustumisest, et hõlbustada olemasolevate vastavusvahendite kindlakstegemist.

Lõpetuseks, 15. ja 22. märtsi kohalike valimiste kontekstis tuletab CNIL meile meelde poliitilise agitatsiooni häid tavasid ja taasaktiveerib oma valimisvaatluskeskuse.

See asutati 2012. aastal ja selle eesmärk on tagada, et erakonnad ja kandidaadid võtaksid oma tegevuses arvesse andmekaitsealaseid õigusakte.

Eelkõige võimaldab see jälgida CNIL-ile valimiskampaaniate kontekstis esitatud päringuid, näiteks kandidaatide nõuannete taotlusi või halbade tavade kohta käivaid teateid.

Veebruari alguses võttis riik digitaalse suveräänsuse toetuseks kolm lubadust:

• Terviseandmete osas algatas ta pakkumismenetluse, et usaldada Prantsuse kodanike terviseandmed "turvalisele Euroopa platvormile".
• Üldisemalt on riik pühendunud oma avalike ostude ulatuslikule suunamisele Prantsuse ja Euroopa lahenduste poole, investeerides neisse 4,5 miljardit eurot.

Avaliku teenistuse ministri delegaadi David Amieli sõnul on "pakiline vajadus vabaneda Ameerika lahendustest".

• Lõpuks täpsustab peaministri hiljuti avaldatud ringkiri, et valitsused peaksid eelistama turupõhiseid lahendusi (mitte sisemiselt arendatud lahendusi), tingimusel et need vastavad suveräänsuse ja julgeoleku kriteeriumidele.

Riiginõukogu langetas 30. jaanuaril 2026 otsuse CNIL-i kasuks algoritmilise jälgimise vaidluse kontekstis, milles vastamisi seisis CNIL Nice'i linn.

Ta kinnitab, et koolide sissepääsude juurde paigutatud turvakaamerate piltide algoritmiline töötlemine, mida omavalitsus rakendab, ei ole kehtiva seaduse kohaselt lubatud. 

Kuigi sisejulgeolekukoodeks lubab avalikes kohtades videovalvesüsteemide paigaldamist, ei saa seda oma vaikimise tõttu "tõlgendada nii, et see lubab rakendada algoritmilist töötlemist, mis võimaldab selliste süsteemide abil avalikes kohtades kogutud piltide süstemaatilist ja automatiseeritud analüüsi. Ükski teine säte ei luba sellist töötlemist".

„Kogemata“ sattunud ameeriklased paluvad CNIL-il peatada oma pangandusandmete edastamine Ameerika Ühendriikidesse.

Välismaiste kontode maksukohustuse täitmise seaduse (FATCA) kohaselt peavad Prantsuse pangandusasutused edastama Ameerika maksuhaldurile hulgaliselt enda kohta tundlikke andmeid, et võidelda võimalike pettuste vastu – ameeriklased peavad tõepoolest deklareerima oma sissetuleku Ameerika Ühendriikides olenemata sellest, kus nad maailmas elavad.

Juhuslike ameeriklaste ühing mõistab hukka Ameerika Ühendriikide ja Prantsusmaa vahelise kehtiva lepingu, mis reguleerib selle teabe jagamise tingimusi.

 

Euroopa institutsioonid ja organid

20. jaanuaril 2026 esitas Euroopa Komisjon uue küberturvalisuse meetmete paketi, mille eesmärk on tugevdada ELi vastupanuvõimet ja parandada selle võimet ohte hallata.

Projekt hõlmab ettepanekut küberturvalisuse määruse läbivaatamiseks, mis tugevdab ELi info- ja kommunikatsioonitehnoloogia (IKT) tarneahelate turvalisust.

See tagab lihtsustatud sertifitseerimisprotsessi abil, et ELi kodanikele mõeldud tooted on juba projekteerimisetapist alates küberturvalised.

See hõlbustab ka kehtivate ELi küberturvalisuse eeskirjade järgimist ja tugevdab Euroopa Liidu Küberturvalisuse Ameti (ENISA) rolli liikmesriikide ja ELi toetamisel küberturvalisuse ohtude haldamisel.

Euroopa Komisjon ja Brasiilia võtsid 27. jaanuaril vastu kaks vastastikust piisavusotsust, kinnitades, et nende andmekaitse tasemed on võrreldavad.

„Tunnistades mõlema poole tarbijaid ja kodanikke kaitsvaid kõrgeid andmekaitsestandardeid, võimaldavad need lepingud nüüd ettevõtetel, avaliku sektori asutustel ja teadlastel ELi ja Brasiilia vahel vabalt andmeid vahetada.“

Komisjon algatas X suhtes uue ametliku uurimise 26. jaanuaril digiteenuste määruse (DSA) alusel.

Ta kahtlustab, et X-i integreeritud Groki funktsioonid kätkevad endas hindamata ja leevendamata riske ebaseadusliku sisu, näiteks seksuaalselt ilmse manipuleeritud piltide, sealhulgas lastepornograafiat kujutada võiva sisu loomiseks ja levitamiseks.

Samuti pikendas see 2023. aasta detsembris X vastu algatatud ametlikku menetlust, et teha kindlaks, kas ettevõte on nõuetekohaselt hinnanud ja leevendanud kõiki oma sisusoovitussüsteemidega seotud süsteemseid riske.

Samuti 26. jaanuaril nimetas Euroopa Komisjon WhatsAppi ametlikult DSA alusel väga suureks veebiplatvormiks (VLOP), kuna selle „Kanalid” funktsioon saavutab nõutava vähemalt 45 miljoni kasutaja künnise ELis.

Metal on neli kuud, kuni 2026. aasta mai keskpaigani, et tagada WhatsAppi vastavus DSA-ga kehtestatud lisakohustustele.

Need kohustused hõlmavad teenustest tulenevate süsteemsete riskide, näiteks põhiliste inimõiguste ja sõnavabaduse rikkumiste, valimistega manipuleerimise, ebaseadusliku sisu levitamise ja privaatsusprobleemide hindamist ja leevendamist.

Euroopa Andmekaitsenõukogu (EDPB) ja Euroopa Andmekaitseinspektor (EDPS) võtsid 21. jaanuaril vastu ühisarvamuse Euroopa Komisjoni ettepaneku kohta tehisintellekti kohta, mille eesmärk on lihtsustada tehisintellekti määruses sätestatud teatavate ühtlustatud eeskirjade rakendamist, et tagada selle tõhus kohaldamine.

Mõlemad ametiasutused toetavad eesmärki tegeleda õigusaktide rakendamisega seotud praktiliste väljakutsetega, kuid rõhutavad, et halduslik lihtsustamine ei tohi vähendada põhiõiguste kaitset. Reguleerivad asutused usuvad, et mõned kavandatud muudatused võivad kahjustada üksikisikute kaitset tehisintellekti kontekstis.

 

Uudised Euroopa Liidu liikmesriikidest.

Kreekas on andmekaitseamet (DPA) andnud hoiatuse nn nutika politseisüsteemi kasutuselevõtu eest, mis hõlmab patrullide poolt nutikate kantavate seadmete kasutamist kohapealsete kontrollide läbivate kodanike isikusamasuse tuvastamiseks ja kontrollimiseks biomeetriliste andmete abil. Andmekaitseamet peab seda töötlemist ebaseaduslikuks, kuna see ei ole kehtivate õigusaktidega otseselt ette nähtud.

Hispaania andmekaitseamet (APD) määras IDCQ haiglate ja tervishoiu grupile 1 200 000 euro suuruse trahvi. patsiendiandmete liiga kiire kustutamise eest, mis takistas tal täitmast oma kohustust teavitada asjaomaseid isikuid.

Norra andmekaitseamet (APD) määras Timegrip AS-ile 250 000 Norra krooni (umbes 25 000 euro) suuruse trahvi endiste töötajate tööajaarvestusele ebaseaduslikult keelamise eest pärast tööandja pankrotti ning end vääralt alltöövõtjana esitlemise eest, kuigi tal oli isikuandmete üle tegelik kontroll.

Eelkõige võttis Timegrip pärast pankrotti vastutava osapoole staatuse, olles ainus üksus, kellel oli andmete üle tehniline ja praktiline kontroll.

Poola andmekaitseameti (APD) president määras Poczta Polska SA-le 978 000 zlotti (250 000 eurot) suuruse haldustrahvi andmekaitseametniku sõltumatuse tagamata jätmise eest.

Järelevalveasutus leidis, et ettevõte oli lubanud huvide konflikti andmekaitseametniku ülesannete täitmisel.

Ühendkuningriigis trahvis APD finantsvahendus- ja reklaamiagentuuri ZMLUK Limited 105 000 naela (120 000 euro) suuruse trahviga enam kui 67 miljoni soovimatu otseturundusmeili saatmise eest ilma asjaomaste isikute nõusolekuta või ilma kehtiva erandita.

Rootsi andmekaitseamet (APD) trahvis alltöövõtjat Sportadmin i Skandinavien AB 6 000 000 Rootsi krooni (560 000 euro) suuruse trahviga. spordiklubide ja -ühingute digitaalse teenuse pakkuja pärast küberrünnakut, mille käigus avalikustati enam kui 2,1 miljoni inimese isikuandmed.

Alltöövõtja mõisteti süüdi piisavate turvameetmete rakendamata jätmises, rikkudes GDPR-i artiklit 32.

Šveitsi valitsus soovib laiendada internetijälgimist, muutes posti ja telekommunikatsiooni jälgimist käsitlevat määrust.

Ettepanek suurendaks märkimisväärselt hoitavate isikuandmete hulka, nõudes suurtelt sideteenuste pakkujatelt metaandmete säilitamist ja kehtestades praktiliselt kõigile teenusepakkujatele kasutajate tuvastamise nõuded.

Need organisatsioonid peaksid neid andmeid säilitama vähemalt kuus kuud ja aitama õiguskaitseorganitel nende sisu dekrüpteerida. Üheksateist kodanikuühiskonna organisatsiooni on saatnud Šveitsi föderaalsele justiits- ja politseiministeeriumile kirja, milles väljendavad oma muret.

 

Ühendkuningriigis trahvis APD finantsvahendus- ja reklaamiagentuuri ZMLUK Limited 105 000 naela (120 000 euro) suuruse trahviga enam kui 67 miljoni soovimatu otseturundusmeili saatmise eest ilma asjaomaste isikute nõusolekuta või ilma kehtiva erandita.

Šveitsi valitsus soovib laiendada internetijälgimist postikirjavahetuse ja telekommunikatsiooni jälgimise korralduse muutmise teel.

Ettepanek suurendaks märkimisväärselt hoitavate isikuandmete hulka, nõudes suurtelt sideteenuste pakkujatelt metaandmete säilitamist ja kehtestades praktiliselt kõigile teenusepakkujatele kasutajate tuvastamise nõuded.

Nad peaksid neid andmeid säilitama vähemalt kuus kuud ja aitama õiguskaitseorganitel nende sisu dekrüpteerida.

19 kodanikuühiskonna organisatsiooni on saatnud Šveitsi föderaalsele justiits- ja politseiministeeriumile kirja, milles väljendavad oma muret.

3. veebruaril 2026 avaldas Ameerika Ühendriikide Esindajatekoja justiitskomitee aruande, milles ründas Euroopa digitaalteenuste seadust (DSA), nimetades seda tsensuuri vahendiks. "Välismaiste tsensuuri oht, II osa: Euroopa kümneaastane kampaania globaalse interneti tsenseerimiseks ja selle kahjulikud tagajärjed sõnavabadusele Ameerika Ühendriikides"

Selles aruandes kirjeldatakse mitmeid Euroopa vabaühendusi, sealhulgas Bits of Freedom ja Justice for Prosperity, kui „tsensuuri toetavaid vabaühendusi“.

Viis selles uudiskirjas varem kajastatud sanktsiooni on juba kehtestatud USA-sse sisenemiskeeldude näol eurooplaste suhtes, kes on seotud DSA rakendamise, platvormide võimu uurimise ja kriitikaga.

Euroopa Komisjon vastas oma pressiesindaja kaudu, tuletades meelde, et digitaalteenuste seadus asetab vastutuse sinna, kuhu see kuulub, nimelt veebiplatvormidele.

Austraalia sotsiaalmeedia keelust alla 16-aastastele on saanud rahvusvaheline eeskuju. vaatamata selle rakendamise algstaadiumis tuvastatud puudustele. Seetõttu jälgivad Euroopa Liit, Ühendkuningriik ja Ameerika Ühendriigid tähelepanelikult Austraalia kogemust ning mõned riigid on juba esitanud sarnaseid seadusandlikke ettepanekuid, nagu märkis IAPP (International Association of Privacy Professionals) 5. veebruari artiklis.