Veille juridique

Pikseli za praćenje u e-porukama: CNIL pojašnjava pravni okvir

Pravni nadzor br. 94 – travanj 2026. 

 

Pikseli za praćenje u e-porukama: CNIL pojašnjava pravni okvir

Dana 14. travnja, CNIL je objavio svoje preporuke o pikselima za praćenje u e-porukama. Preporuka je upućena svim privatnim i javnim organizacijama koje koriste piksele za praćenje, kao i pružateljima tehničkih usluga koje mogu koristiti.

Piksel za praćenje je u praksi slika, često vrlo male veličine, koja će se prikazati u sadržaju e-pošte putem hiperveze.

Uključivanje piksela predstavlja uputu korisnikovom terminalu da pošalje ciljane informacije (identifikator piksela, IP adresu itd.) akterima koji ih pohranjuju.

Piksel omogućuje pošiljatelju poruke da vidi je li poruka otvorena ili ne te da u skladu s tim prilagodi svoju komunikaciju, na primjer u pogledu učestalosti slanja, sadržaja poruka ili ažuriranja popisa potencijalnih klijenata.

CNIL nas podsjeća da takva praksa zahtijeva prethodni pristanak primatelja e-pošte prema članku 5. Direktive o e-privatnosti, prenesenoj u članak 82. francuskog Zakona o zaštiti podataka.

Međutim, dopušta iznimku za "transakcijske" e-poruke povezane s uslugom koju je zatražio primatelj, na primjer za identifikaciju primatelja koji više ne otvaraju svoje e-poruke i njihovo uklanjanje s popisa za slanje pošte.

Iznimka se također odnosi na e-poruke koje se odnose na upozorenja o računu, obavijesti vezane uz događaje poput slanja paketa, potvrde narudžbi i fakture za kupnju, podsjetnike za lozinke i resetiranja, sigurnosna upozorenja i obavijesti o kršenju sigurnosti itd.

Osim ovih iznimaka, za bilo koju adresu prikupljenu od 14. travnja, datuma preporuke CNIL-a, kontrolor podataka mora dobiti prethodnu suglasnost primatelja prije integracije piksela za praćenje u e-poštu.

Ta se privola može, na primjer, dobiti u trenutku prikupljanja adrese ili putem poveznice ugrađene u e-poštu bez piksela za praćenje.

Za adrese prikupljene prije tog datuma, od aktera se traži da u roku od tri mjeseca jasno obavijeste primatelje kako bi mogli uložiti prigovor.

Ova publikacija izaziva reakcije jer prisiljava vrlo velik broj dužnosnika da brzo poduzmu mjere usklađenosti.

Je li nadzorno tijelo strože ili blaže od svojih europskih kolega po ovom pitanju?

Čini se da je sada jedan od rijetkih koji jasno navodi u kojem kontekstu će kažnjavati piksele za praćenje.

Međutim, ovu vrstu obrade godinama ističe Europski odbor za zaštitu podataka (EDPB), a prije njega i njegov prethodnik G29 (vidi posebno smjernice WP118 i 2/2023).

Europski stav je također stroži od CNIL-ovog jer spominje potpunu zabranu piksela za praćenje u nedostatku pristanka primatelja poruke.

Čini se da su doprinosi primljeni tijekom javnih konzultacija o nacrtu preporuke naveli CNIL da pokuša udovoljiti svima: stoga je razvio svoj stav prema većoj fleksibilnosti u vezi s e-porukama povezanim s uslugom koju je zatražio primatelj.

Međutim, provedba ovog stava vjerojatno će se pokazati složenom.

Pojašnjenje o opsegu izuzeća bilo bi dobrodošlo kako bi se bolje identificirale usluge koje od njega imaju koristi, poput biltena ili drugih pretplata koje primatelji preuzimaju, za koje ostaju neka pitanja. CNIL (Francusko tijelo za zaštitu podataka) navodi da će podržati kontrolore podataka, posebno putem webinara. Očekuje se da će se revizije i izricanje sankcija dogoditi tek u kasnijoj fazi, iako Komisija danas ne daje daljnje detalje.

 

CNIL (Francusko tijelo za zaštitu podataka) objavilo je predložak dokumenta osmišljenog kako bi pomogao službenicima za zaštitu podataka (DPO) u izradi izvješća o njihovim aktivnostima. Iako takvo izvješće nije obvezno prema GDPR-u, CNIL ga smatra korisnom najboljom praksom za praćenje usklađenosti i komunikaciju sa službenicima za zaštitu podataka.

Dana 28. travnja, CNIL je također odobrio kodeks ponašanja koji je predložio Alliance du Commerce, a namijenjen je pružanju konkretne pomoći francuskim trgovcima u sektoru odjeće i obuće u usklađivanju sa zahtjevima GDPR-a.

Vodič ima za cilj jačanje zaštite podataka u prodaji i distribuciji, kako u trgovinama tako i na internetu.

Ovo je prvi nacionalni kodeks i treći sektorski kodeks koji je odobrila CNIL (Francuska agencija za zaštitu podataka), slijedeći europske kodekse CISPE (2021.) posvećene računalstvu u oblaku i EUCROF (2024.) koji se odnose na klinička ispitivanja u zdravstvu. U Europi je implementirano petnaestak kodeksa, dostupnih putem ove infografike.

U svojoj uredbi od 24. travnja 2026. vlada je odlučila definirati tehničke modalitete Nacionalne datoteke o računima prijevara (FNC-RF) usmjerene na jačanje borbe protiv bankovnih prijevara, zanemarujući preporuke CNIL-a o sigurnosti.

Ova datoteka, koju financijske institucije dijele putem Banke Francuske, sadrži IBAN brojeve računa za koje se sumnja da su prijevarni.

Arhitektura koju je odobrila vlada, prema CNIL-u, predstavlja maksimalnu izloženost rizicima, putem dijeljenja potpunih i sinkroniziranih kopija podataka u običnom tekstu s pružateljima platnih usluga i njihovim podizvođačima.

Dana 17. travnja, DGSI (Glavna uprava za unutarnju sigurnost) objavila je bilješku u kojoj upozorava na rizike povezane s korištenjem stranih aplikacija i rješenja na radnom mjestu. "Osim povećane izloženosti rizicima kibernetičke sigurnosti, ovi alati, koje često razvijaju tvrtke izvan Europe, mogu predstavljati pravne, sigurnosne, povjerljive, ovisnosne ili rizike prekida usluge."

U bilješci su predstavljeni različiti slučajevi koji bi trebali potaknuti sve korisnike na oprez pri dijeljenju informacija i odobrenom pristupu.

Francusko Državno vijeće objavilo je 30. travnja svoju odluku o načelu postupnog odgovora za ARCOM, nasljednika Hadopija, te poništilo nekoliko aspekata uredbe od 5. ožujka 2010. zbog kršenja prava na privatnost. Sustav je imao za cilj borbu protiv piratstva glazbe i filmova na P2P mrežama. Postupajući na temelju peticije četiriju skupina za zagovaranje digitalnih prava, Državno vijeće izvuklo je potrebne zaključke iz presude Suda Europske unije (CJEU) od 30. travnja 2024., koja precizira da se ponovljeno unakrsno upućivanje između identiteta i preuzetih djela ne može provoditi bez neovisnog nadzora.

Odluka tvrtke Anthropic da ne objavi Mythos, svoj najnoviji model umjetne inteligencije (AI), zbog njegovih rizika za kibernetičku sigurnost izazvala je brojne reakcije.

Mythos je doista sposoban vrlo učinkovito identificirati ranjivosti u računalnom kodu.

U bilješci objavljenoj u četvrtak, 23. travnja, Vijeće za umjetnu inteligenciju i digitalnu tehnologiju (CIANum) poziva na "nepopuštanje prevladavajućoj panici" i daje nekoliko napomena:

„Prihvaćanje umjetne inteligencije radi postizanja usklađenosti: javni i privatni akteri koji ne ulažu stalne napore u razumijevanje i integraciju ovih novih upotreba brzo će zaostati.“

Uključivanje ljudi u ključne faze: iako je umjetna inteligencija vrijedna pomoć u razvoju, ispravljanju i testiranju softvera, čini se da potpuno uklanjanje ljudske stručnosti sada jamči neuspjeh. 

Predviđanje novih ranjivosti i postavljanje zakrpa u skladu s tim predstavlja značajan izazov, posebno jer su mnogi igrači već preopterećeni.

Nacionalni savjetodavni etički odbor za znanosti o životu i zdravstvo (CCNE) i Nacionalni savjetodavni etički odbor za digitalnu tehnologiju (CCNEN) objavili su 7. travnja zajedničko mišljenje posvećeno digitalnim neurotehnologijama i sučeljima mozak-stroj.

U mišljenju se naglašava da razvoj tih tehnologija „pokreće velika etička pitanja, posebno u pogledu dostojanstva, autonomije, slobode misli, zaštite privatnosti i pravednosti.“

Specifična pitanja odnose se na korištenje neuronskih podataka, nemedicinske primjene, potencijalne učinke na identitet i ponašanje te zaštitu djece i adolescenata.

Odbori formuliraju skup preporuka koje pozivaju na posebnu budnost u vezi s korištenjem digitalnih neurotehnologija.

 

Europske institucije i tijela

Dana 7. svibnja, nakon početnog neuspjelog pokušaja, europski su zakonodavci postigli dogovor sporazum o „AI Omnibusu“, čiji je cilj izmjena i pojednostavljenje europske uredbe o umjetnoj inteligenciji.

Tvrtke će imati rok do kraja 2027. da se pridržavaju pravila koja se odnose na visokorizičnu umjetnu inteligenciju, dok će dobavljači strojeva pokretanih umjetnom inteligencijom biti izričito izuzeti od određenih obveza.

Istovremeno, Omnibus uvodi novu zabranu u vezi s praksama umjetne inteligencije povezanim s generiranjem seksualnog i intimnog sadržaja ili dječje pornografije bez pristanka.

Formalni proces odobravanja je u tijeku, s ciljem objave konačnih promjena do kolovoza.

U kontekstu u kojem sve veći broj zemalja namjerava ograničiti pristup maloljetnika društvenim mrežama, Europska komisija je 29. travnja usvojila preporuku kojom poziva države članice da ubrzaju implementaciju europske aplikacije za provjeru dobi i da je učine dostupnom do kraja godine.

Komisija je razvila glavni plan za ovu aplikaciju, koji je predstavljen kao prilagođen privatnosti i omogućuje korisnicima da dokažu da su punoljetni bez otkrivanja svoje točne dobi, identiteta ili bilo kojih drugih osobnih podataka.

Međutim, konzultant za kibernetičku sigurnost navodno je uočio sigurnosne nedostatke koji bi mogli ugroziti uvođenje aplikacije na nacionalnoj razini.

Europska komisija je 29. travnja preliminarno zaključila da Instagram i Facebook platforme tvrtke Meta krše Uredbu o digitalnim uslugama (DSA) jer ne uspijevaju pažljivo identificirati, procijeniti i ublažiti rizike povezane s pristupom maloljetnika mlađih od 13 godina njihovim uslugama.

Na svojoj plenarnoj sjednici 22. travnja, EDPB je usvojio smjernice koje se odnose na obradu osobnih podataka u znanstvenoistraživačke svrhe.

Odbor je također osnovao radnu skupinu zaduženu za ubrzanje finalizacije smjernica o anonimizaciji.

Također je usvojila dva mišljenja o dvama skupovima kriterija za certifikaciju Europrivacy s ciljem njihovog odobrenja kao europskih oznaka zaštite podataka, od kojih je jedno namijenjeno da služi kao alat za prijenose.

Na svojoj prethodnoj plenarnoj sjednici, EDPB je objavio još jedan važan dokument: kako bi se olakšala usklađenost organizacija s GDPR-om i ojačala dosljednost diljem Europe, razvio je model za procjenu utjecaja na zaštitu podataka (DPIA). Ovaj dokument otvoren je za komentare do 9. lipnja.

Sud Europske unije (CJEU) presudio je 21. travnja da je Mađarska donošenjem zakona koji stigmatizira i marginalizira LGBTI+ osobe prekršila pravo Europske unije.

Sud također ističe da naziv zakona izjednačava te osobe s onima osuđenima za pedofiliju, "asimilacija koja vjerojatno povećava stigmatizaciju prvih i potiče mržnju prema njima".

Konačno, Sud navodi da ovaj zakon krši GDPR u mjeri u kojoj je izmijenio zakon o kaznenoj evidenciji kako bi proširio pristup informacijama o osobama osuđenim za pedofiliju.

Iako takav pristup može biti zakonit u određenim okolnostima, Sud smatra da „zakon ne pruža dovoljno preciznu definiciju ni osoba ovlaštenih za pristup podacima ni uvjeta pristupa potrebnih za pružanje odgovarajućih zaštita za prava i slobode osoba čiji su podaci dotični.“

 

Vijesti iz zemalja članica Europske unije.

U Belgiji je tijelo za zaštitu podataka (APD) upozorilo dvije osobe da osiguraju da njihove nadzorne kamere više ne snimaju javne ceste.

Kamera je bila postavljena kao odvraćanje od probijanja guma.

APD je utvrdio da je snimanje javne ceste nezakonito prema Zakonu o nadzornim kamerama te je naglasio da snimljene slike krše pravo na privatnost i pravo na zaštitu podataka podnositelja pritužbe i njegove obitelji zbog česte obrade njihovih osobnih podataka koja proizlazi iz lokacije kamere.

Španjolska Agencija za zaštitu podataka (APD) kaznila je tvrtku za transportne usluge s 200.000 eura jer je prisiljavala svoje zaposlenike da koriste četiri aplikacije za praćenje na svojim osobnim telefonima u poslovne svrhe.

APD je također kaznio sveučilište s 160.000 eura zbog toga što nije dobilo valjanu suglasnost studenata za provjeru identiteta tijekom online ispita putem sustava za prepoznavanje lica.

Talijanska agencija za zaštitu podataka (APD) izrekla je kaznu od 6.624.000 eura tvrtki Poste Italiane SpA i 5.877.000 eura tvrtki Postepay SpA zbog nezakonite obrade osobnih podataka milijuna korisnika.

Aplikacije BancoPosta i Postepay zahtijevale su, kao obvezni uvjet za korištenje usluga, da korisnici daju ovlaštenje za praćenje skupa podataka sadržanih u mobilnim uređajima, kako bi otkrili bilo kakav zlonamjerni softver.

APD je utvrdio da je opseg nadzora bio pretjeran u odnosu na svrhe sprječavanja prijevara, a također je ukazao na nedostatke u informacijama koje se pružaju korisnicima, nedostatak procjene učinka (IAPD), nedostatak odgovarajućih sigurnosnih mjera i politike zadržavanja podataka, kao i nepravilnosti u određivanju voditelja obrade podataka.

Nizozemski ministar za digitalno gospodarstvo i suverenitet radi na uspostavljanju "digitalnog kompleta za hitne slučajeve" kako bi pomogao javnim upravama i građanima da se sami nose sa situacijom u slučaju digitalne katastrofe, poput prekida nacionalne internetske veze.

Zemlja je doista još uvijek opasno ovisna o američkim tehnološkim tvrtkama za svoju bitnu infrastrukturu, od hostinga u oblaku do poreznih sustava.

Vlada želi da građani mogu samostalno zadovoljiti svoje potrebe 72 sata bez interneta, telefona i digitalnih načina plaćanja.

Britanska vlada potvrdila je 23. travnja da su medicinski kartoni 500.000 sudionika jednog od vodećih britanskih znanstvenih programa, UK Biobank, stavljeni na prodaju putem interneta na web stranici Alibabe. Iako kompromitirane informacije nisu uključivale imena, adrese, kontaktne podatke ili telefonske brojeve, mogle su uključivati spol, dob, mjesec i godinu rođenja, socioekonomski status, životne navike i mjerenja bioloških uzoraka. Nije bilo kibernetičkog napada, već masovnog preuzimanja podataka od strane legitimno akreditirane organizacije. Baza podataka doista je dostupna istraživačima. Uprava Biobanke izjavila je da su od incidenta proveli mjere za ograničavanje veličine preuzetih datoteka i praćenje sumnjivih izvoza datoteka.

 

Britanska vlada potvrdila je 23. travnja da su medicinski kartoni 500.000 sudionika jednog od vodećih britanskih znanstvenih programa, UK Biobank, stavljeni na prodaju putem interneta na web stranici Alibabe. Iako kompromitirane informacije ne uključuju imena, adrese, kontaktne podatke ili telefonske brojeve, mogu uključivati spol, dob, mjesec i godinu rođenja, socioekonomski status, životne navike i mjerenja bioloških uzoraka.

Nije bilo kibernetičkog napada, već masovnog preuzimanja podataka od strane legitimno akreditirane organizacije. Baza podataka je doista dostupna istraživačima.

Uprava Biobanke navela je da su od incidenta uveli mjere ograničavanja veličine preuzetih datoteka i praćenja sumnjivih izvoza datoteka.

Dana 21. travnja, Američka federacija potrošača (CFA) podnijela je kolektivnu tužbu protiv tvrtke Meta, tvrdeći da tvrtka nije štitila svoje korisnike od lažnih oglasa na Facebooku i Instagramu suprotno svojim obvezama te da je profitirala od tih oglasa na štetu svojih korisnika.

CFA traži odštetu, povrat nezakonito stečene dobiti i sudsku zabranu u korist potrošača u Washingtonu, D.C.

Pojavljuje se globalna dinamika u korist digitalnog suvereniteta, od Kanade do Europske unije i pacifičke obale, tema koja je bila središnja na nedavnom Svjetskom summitu IAPP 2026 u Washingtonu, DC. „Tijekom nekoliko radionica, sudionici su nastojali pojasniti i nijansirati raspravu o digitalnom suverenitetu, a istovremeno su ponudili svoja stajališta o tome kako će trenutni geopolitički kontekst oblikovati ovu raspravu u godinama koje dolaze.“

01.net detaljno opisuje najnovije Anthropicove AI projekte.

Dana 14. travnja, tvrtka je objavila namjensku stranicu za provjeru identiteta za svog LLM Claudea. Određene značajke, sigurnosne radnje ili "provjere integriteta platforme" sada pokreću zahtjev za službeni identifikacijski dokument i selfie uživo.

Ova objava dolazi samo nekoliko tjedana nakon curenja informacija koje ukazuju na to da Anthropic otkriva psovke, uvrede i izraze frustracije u porukama te ih bilježi kao signale negativnog korisničkog raspoloženja. "U kombinaciji s novim zahtjevom za putovnicu i selfije, slika je vrtoglava. Anthropic zna što govorite kada bjesnite."

U subotu, 19. travnja, Palantir je na X-u objavio sažetak od 22 točke pod nazivom Tehnološka Republika, svojevrsni geopolitički kredo ove tvrtke čija je osnovna djelatnost pružanje softvera za nadzor i analizu podataka zapadnim vojskama, obavještajnim službama i imigracijskim agencijama (uključujući Francusku).

Prema ovom manifestu, opstanak liberalnih demokracija sada ovisi o moći softvera, „razoružanje“ Njemačke i Japana nakon 1945. bila je povijesna pogreška, era nuklearnog odvraćanja bliži se kraju, a novo odvraćanje temeljeno na umjetnoj inteligenciji mora ga zamijeniti.

Istraživačica Chiara Gallese izvještava o ranjivosti koja se odnosi na AI agenta kojim upravlja tvrtka Meta.

Ovaj je agent navodno djelovao bez ljudskih uputa, otkrivajući osjetljive podatke tvrtke i korisnika neovlaštenim zaposlenicima.

Meta je navodno klasificirala ovaj incident kao "Sev 1", drugu najvišu razinu ozbiljnosti u smislu sigurnosti. Istraživač ističe da, s jedne strane, neki od Metinih AI agenata ignoriraju upute ljudskog nadzora, dok istovremeno Meta stječe platforme koje omogućuju AI agentima međusobnu komunikaciju (Moltbook).

Rizici će postojati sve dok ljudski nadzor ne postane strogi arhitektonski zahtjev agentnih AI sustava: danas se ljudska verifikacija tretira kao preferencija, a ne kao ograničenje autonomnih AI sustava.

Australska direkcija za signale / ACSC, zajedno s nekoliko međunarodnih partnera, uključujući NSA, u publikaciji od 1. svibnja preporučila je oprezno usvajanje agentskih usluga umjetne inteligencije.

Dokument naglašava da u kritičnoj infrastrukturi autonomija agenata povećava rizike od pogrešaka, nepredviđene eskalacije i kompromitiranja lanaca djelovanja.

Središnja preporuka je ograničiti autonomiju, evidentirati radnje, kontrolirati pristup i definirati zaštitne mjere prije bilo kakvog operativnog uvođenja agentske umjetne inteligencije.

hrHR