Pravni nadzor br. 92 – veljača 2026. 

 

Podizvođač, između slabe karike i strateškog igrača.

Dana 9. veljače, CNIL je predstavio svoje izvješće za 2025. godinu o sankcijama i korektivnim mjerama: kolačići, praćenje zaposlenika i sigurnost podataka glavne su teme sankcija nametnutih 2025. godine, a kumulativni iznos kazni predstavlja ukupan iznos od 486.839.500 eura.

Među sankcijama primjećujemo značajan broj slučajeva koji uključuju podizvođače, zbog nepoštivanja obveza u vezi s podacima koji su im povjereni.

CNIL nas podsjeća da podizvođač mora:

• Obrađivati podatke samo prema uputama kontrolora podataka;
• Provesti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti;
• I izbrisati podatke na kraju ugovornog odnosa s voditeljem obrade podataka.

Podizvođač također mora pomoći kontroloru u provedbi određenih obveza iz uredbe: procjena utjecaja na privatnost, obavješćivanje o povredi podataka, sigurnost, doprinos revizijama.

Također mora voditi evidenciju o aktivnostima obrade, a u određenim slučajevima imenovati službenika za zaštitu podataka.

Članak 28. GDPR-a, koji se bavi sklapanjem posebnog ugovora između kontrolora i obrađivača, određuje obvezne odredbe koje moraju biti uključene u ugovor.

To se može u cijelosti ili djelomično temeljiti na standardnim ugovornim klauzulama poput onih koje je odobrila Europska komisija ili jedna od država članica EU-a.

Preporučljivo je jasno definirati odgovarajuće odgovornosti izvođača i podizvođača u ovim klauzulama. Ti detalji mogu biti korisni u slučaju neizvršenja obveza jedne od stranaka.

Vrijedi zapamtiti da su mnoge nedavne povrede podataka, koje su utjecale i na javni i na privatni sektor, uzrokovane sigurnosnim propustom od strane podizvođača.

Često je uzrok ljudska pogreška, a točnije, krađa zaposlenikovih vjerodajnica.

Dvofaktorska autentifikacija i korištenje složenih lozinki ostaju ključni načini zaštite od takvih napada, što smo ponovili u komentaru o nedavnoj sankciji CNIL-a "France travail".

Podizvođači doista imaju posebne obveze u vezi sa sigurnošću, povjerljivošću i dokumentacijom.

Kako bi se jamčila učinkovita zaštita podataka, prilagođena rizicima, moraju uvesti sve korisne mjere od samog dizajna usluge ili proizvoda pa sve do zadanih postavki („privacy by design & by default“).

Nadalje, svako kršenje podataka mora se prijaviti kontroloru podataka u zakonskim rokovima.

Konačno, brisanje podataka na kraju ugovora nije samo obveza, već je i najbolji način zaštite od kršenja podataka nakon završetka ugovornog odnosa, na što je podsjetila kazna od milijun eura koju je CNIL krajem prosinca izrekao tvrtki Mobius Solutions.

Tvrtka je zadržala kopiju podataka više od 46 milijuna korisnika Deezera nakon završetka njihovog ugovornog odnosa, unatoč obvezi brisanja svih tih podataka na kraju ugovora, što je omogućilo veliko kršenje podataka.

 

CNIL je 2. ožujka objavio ažuriranu verziju svojih tablica o zaštiti podataka. 

Ove tablice prikupljaju i organiziraju bitnu sudsku praksu i praksu donošenja odluka u vezi sa zaštitom osobnih podataka na nacionalnoj i europskoj razini.

Krajem veljače, izvješće France 2 upozorilo je na povredu medicinskih podataka, a točnije na hakiranje softvera "MonLogicielMedical" od strane tvrtke Cegedim.

Napad je omogućio hakeru prikupljanje medicinskih podataka 11 do 15 milijuna Francuza, dostupnih na darknetu.

CNIL je već u rujnu 2024. sankcionirao tvrtku novčanom kaznom od 800.000 eura, posebno zbog obrade zdravstvenih podataka bez odobrenja.

Dana 18. veljače 2026., Glavna uprava za javne financije (DGFiP) u priopćenju za javnost izvijestila je da je otkriven nezakonit pristup nacionalnoj datoteci bankovnih računa (FICOBA) nakon uzurpacije identifikatora ovlaštenog agenta.

Haker je dobio vjerodajnice računa prije kibernetičkog napada: Ministarstvo gospodarstva nije implementiralo dvofaktorsku autentifikaciju.

Predmetni podaci odnose se na otprilike 1,2 milijuna računa i uključuju, posebno, identitet vlasnika računa, njihovu adresu, njihovu banku i njihov IBAN.

01net izvještava o procjeni koju je provela tvrtka Surfshark u vezi s curenjem podataka u Francuskoj.

„Do 2025. godine, 425,7 milijuna računa bit će hakirano diljem svijeta. Najpogođenija zemlja su Sjedinjene Američke Države, s 34 milijuna globalnih povreda podataka. Na drugom mjestu je Francuska, a slijede Indija, Njemačka i Rusija. Do 2025. godine, francuski korisnici interneta će u prosjeku doživjeti gotovo jedno hakiranje računa u sekundi.“

Francuska se također ističe "gustoćom kršenja zakona 12 puta većom od svjetskog prosjeka". Ističe se nedostatak ulaganja u sigurnost, bilo od strane tvrtki ili javnih subjekata.

Posrednici podataka, koji pretražuju web kako bi preprodali tako prikupljene osobne podatke, također su glavna meta hakera.

 

Europske institucije i tijela

Prijedlog Europske komisije pod nazivom "Omnibus" za pojednostavljenje GDPR-a doživio je neuspjeh u Vijeću EU-a.

U dokumentu od 20. veljače Vijeće namjerava ukloniti prijedlog o izmjeni definicije osobnih podataka.

Nadalje, prema Euractivu, Vijeće također želi ukloniti prijedlog Komisije o proširenju vlastitih ovlasti, što bi joj omogućilo da utvrdi što predstavlja dovoljno pseudonimizirane podatke.

Kompromisni tekst, koji je pripremilo ciparsko predsjedništvo Vijeća, poslužit će kao osnova za pregovore između nacionalnih vlada.

Očekuje se da će Vijeće razmotriti tekst 27. veljače.

Dana 11. veljače, Europski odbor za zaštitu podataka (EDPB) i Europski nadzornik za zaštitu podataka (EDPS) već su usvojili dugo očekivano zajedničko mišljenje o aspektima zaštite podataka ovog Omnibus prijedloga.

U svom priopćenju za javnost, regulatori inzistiraju da pojednostavljenje ne smije doći na štetu zaštite ljudi.

Pozivaju suzakonodavce da ne usvoje predložene izmjene definicije osobnih podataka, jer bi one značajno smanjile njezin opseg i bile bi u suprotnosti sa sudskom praksom Suda EU-a.

„Moramo osigurati da sve izmjene GDPR-a i Opće uredbe o zaštiti podataka uistinu razjasne obveze i pruže pravnu sigurnost, a istovremeno očuvaju povjerenje i visoku razinu zaštite individualnih prava i sloboda.“

U zajedničkom mišljenju također se naglašava potreba za jasnom kontrolom tijela za zaštitu podataka u vezi s kolačićima i ponovnom upotrebom podataka javnog sektora.

EDPB je objavio izvješće o svojoj koordiniranoj akciji u vezi s primjenom prava na zaborav.

Ovo pravo je jedno od najčešće korištenih.

To je dovelo do brojnih pritužbi i sve većeg broja odluka tijela za zaštitu podataka.

Izvješće ističe sedam glavnih izazova za organizacije, uključujući nedostatak internih postupaka. Također pruža praktične preporuke koje će organizacijama pomoći u rješavanju tih izazova.

Odbor je također objavio izvješće o događaju održanom 12. prosinca 2025. u vezi s anonimizacijom i pseudonimizacijom.

Izvješće sažima povratne informacije od oko stotinu sudionika okupljenih kako bi raspravljali o primjeni GDPR-a na ove tehnike nakon presude Suda EU u slučaju EDPS protiv SRB-a.

Ističe praktične nesigurnosti u određivanju kada podaci ostaju „identifikirani“ ovisno o akterima i kontekstima, te pitanje „sredstava za koja je razumno vjerojatno“ da će se koristiti za ponovnu identifikaciju osobe.

Dokument ne pruža konačne smjernice, već identificira ključna pitanja koja će voditi buduće smjerove EDPB-a u pogledu anonimizacije i pseudonimizacije u njegovom programu rada.

EDPB je usvojio svoj program rada za razdoblje 2026.-2027.

Radit će na nekoliko modela usmjerenih na olakšavanje usklađenosti s GDPR-om: obavijesti o kršenju podataka, procjene utjecaja na zaštitu podataka, procjena legitimnog interesa, registar obrade i obavijest/politika privatnosti.

Sud je 10. veljače u predmetu C-97/23 P | WhatsApp Ireland protiv Europskog odbora za zaštitu podataka presudio da je tužba koju je Whatsapp podnio protiv odluke EDPB-a dopuštena.

Budući da Sud Europske unije još nije ispitao meritum slučaja, Sud poništava osporenu odluku i vraća predmet Sudu.

Europski sud za ljudska prava presudio je 17. veljače u slučaju Zeleni savez protiv Bugarske – 6580/22 da bugarski propisi koji ovlašćuju nacionalnu sigurnosnu agenciju da koristi "tajne agente" krše članak 8. Europske konvencije o ljudskim pravima, jer dopuštaju tajni nadzor organizacija bez dovoljnih zaštitnih mjera ili kontrola.

 

Vijesti iz zemalja članica Europske unije.

U Njemačkoj, prema Heise.de i Table.Media, Bundestag intenzivno radi na temeljitom restrukturiranju svoje digitalne arhitekture. Parlament se želi osloboditi tehnološkog stiska američkih tvrtki poput Microsofta kako bi u kriznim vremenima djelovao otpornije i, prije svega, neovisno o trećim zemljama.

Austrijsko tijelo za zaštitu podataka (DPA) kaznilo je kontrolora podataka s 1500 eura zbog nezakonitog snimanja javnog pločnika CCTV kamerom i objavljivanja slika osumnjičenog lopova na društvenim mrežama, čime je prekršio načela minimizacije podataka i transparentnosti, kao i pravila koja reguliraju obradu pravosudnih podataka.

Dansko tijelo za zaštitu podataka (DPA) izdalo je opomenu 51 općini i istovremeno ih upozorilo na korištenje Googleovih proizvoda u osnovnim i nižim srednjim školama. Točnije, utvrđeno je da općine nisu adekvatno dokazale da osiguravaju odgovarajuću razinu zaštite osobnih podataka obrađenih izvan EU-a.

Irska agencija za zaštitu podataka (DPA) objavila je 17. veljače da je otvorila istragu protiv tvrtke X, koju vodi Elon Musk. Istraga se odnosi na stvaranje i objavljivanje "potencijalno štetnih, intimnih i/ili seksualno eksplicitnih slika, bez pristanka, koje sadrže ili uključuju obradu osobnih podataka ispitanika iz EU/EGP-a, uključujući djecu", na platformi X, korištenjem generativne značajke umjetne inteligencije povezane s jezičnim modelom Grok. Nekoliko zemalja već je odlučilo potpuno zabraniti Elon Muskov chatbot s umjetnom inteligencijom, a Europska komisija pokrenula je istragu 26. siječnja.

U Nizozemskoj je sud presudio da nizozemsko tijelo za zaštitu podataka (APD) nije dovoljno obrazložilo odbacivanje pritužbe protiv kina koje više nije prihvaćalo gotovinska plaćanja. Prema sudu, APD nije procijenio je li zahtjev za plaćanje karticama slijedio dovoljno konkretan i opravdan cilj prema GDPR-u.

U Slovačkoj je Ustavni sud poništio zakon kojim se od nevladinih organizacija zahtijeva objavljivanje podataka o njihovim suradnicima, utvrdivši da on krši privatnost, informacijsko samoodređenje i slobodu udruživanja, a istovremeno nameće pretjerana opterećenja.

 

Britansko tijelo za zaštitu podataka (ICO) kaznilo je Reddit s 14,47 milijuna funti (otprilike 16,6 milijuna eura) zbog nepoštivanja svojih obveza u vezi s privatnošću podataka o djeci.

ICO smatra da Redditova provjera dobi nije dovoljna te da platforma "stoga nije imala pravnu osnovu za obradu osobnih podataka djece mlađe od 13 godina".

Nadalje, Reddit "nije proveo procjenu utjecaja na zaštitu podataka (DPIA) kako bi procijenio i ublažio rizike za djecu prije siječnja 2025."

ICO je također 5. veljače najavio kaznu od 247.590 funti protiv MediaLab.AI, Inc., tvrtke koja stoji iza platforme za dijeljenje slika Imgur.

MediaLab je dopustio djeci korištenje Imgura bez provedbe osnovnih zaštitnih mjera koje zahtijeva zakonodavstvo Ujedinjenog Kraljevstva o zaštiti podataka.

Indija je u veljači 2026. odlučila proširiti korištenje Aadhaara, najvećeg svjetskog sustava digitalnog identiteta, na svakodnevnu privatnost putem nove aplikacije i sustava za offline provjeru.

Promjene bi trebale omogućiti pojedincima da dokažu svoj identitet bez provjere u stvarnom vremenu u bazi podataka, integrirajući privatne usluge provjere kao što su Google Wallet i Apple Wallet.

Kampanja civilnog društva tvrdi da sustav offline provjere riskira ponovno uvođenje korištenja Aadhaara u privatnom sektoru, što je Vrhovni sud već osudio. 

Sustav također omogućuje „indijskim državama i policiji da povežu sve vrste osobnih podataka s Aadhaar brojem: GPS koordinate, telefonske brojeve, društvene mreže, karticu za registraciju birača, putovnicu, kredite, socijalne naknade, ponekad čak i imena rođaka ili čak imena partnera na određenim policijskim obrascima.“

Prema izvješću CNBC-a od 19. veljače, Accenture povezuje promaknuća svojih viših rukovoditelja s redovitom upotrebom svojih AI alata.

Navodno su zamjenici direktora i viši menadžeri obaviješteni da će za pristup vodećim pozicijama biti potrebna "redovita upotreba" umjetne inteligencije.

Glasnogovornik tvrtke za CNBC rekao je da strategija tvrtke za umjetnu inteligenciju "zahtijeva usvajanje najnovijih alata i tehnologija kako bismo našim klijentima pružili najučinkovitije usluge".

Dana 11. veljače 2026., glavni državni odvjetnik Kalifornije objavio je rekordnu nagodbu s tvrtkom Walt Disney Company od 2,75 milijuna dolara. kako bi se riješili navodi da tvrtka nije u dovoljnoj mjeri poštovala prigovore potrošača na obradu njihovih podataka, prema kalifornijskom Zakonu o privatnosti potrošača.

U članku od 13. veljače, New York Times izvještava da Meta, matična tvrtka Facebooka, planira već ove godine dodati funkcionalnost prepoznavanja lica svojim pametnim naočalama, koje proizvodi u suradnji s vlasnikom Ray-Bana i Oakleysa.

Ova značajka, interno nazvana "Name Tag", omogućila bi korisnicima pametnih naočala da identificiraju ljude i dobiju informacije o njima putem Metinog asistenta za umjetnu inteligenciju. U internom dopisu objavljenom prošle godine, Meta je navodno izjavio da će politički nemiri u Sjedinjenim Državama odvratiti pozornost od kritičara izlaska te značajke.

Dana 23. veljače 2026. 61 tijelo za zaštitu podataka objavilo je zajedničku izjavu o slikama generiranim umjetnom inteligencijom.

Ova zajednička izjava odnosi se na zabrinutost zbog sustava umjetne inteligencije sposobnih generirati realistične slike i videozapise koji prikazuju prepoznatljive osobe bez njihovog znanja ili pristanka.

Dana 19. veljače 2026. Organizacija za ekonomsku suradnju i razvoj (OECD) objavila je nove smjernice kako bi pomogla organizacijama u provedbi Smjernica OECD-a za multinacionalna poduzeća i Načela OECD-a o umjetnoj inteligenciji.

Ove smjernice namijenjene su pomoći organizacijama u upravljanju rizicima povezanim s umjetnom inteligencijom i usklađivanju s međunarodnim standardima odgovornog poslovnog ponašanja.

Razvoj AI agenata, iako namijenjen olakšavanju mnogih administrativnih zadataka, također postavlja ozbiljna sigurnosna pitanja.

OpenClaw, najnoviji primjer, je projekt otvorenog koda koji se vrti oko autonomnog AI agenta sposobnog upravljati računalom umjesto korisnika.

Nedavno preuzet od strane OpenAI-a, OpenClaw je sada meta ozbiljnih sigurnosnih napada.

Više od 30 000 OpenClaw instanci kompromitirano je od strane kibernetičkih kriminalaca u roku od nekoliko tjedana, s lažnim skriptama koje omogućuju instalaciju virusa i zlonamjernog softvera sposobnog za snimanje svega što se tipka na tipkovnici na Windows računalima. 

„Sve više lidera startupa zabranjuje autonomne agente na uređajima tvrtke, bojeći se curenja povjerljivih podataka. Sigurnosni stručnjaci izražavaju ozbiljnu zabrinutost zbog nedostatka revizije, perspektive, stvarnih zaštitnih mjera i transparentnosti u vezi s umjetnom inteligencijom, dok sve više zaposlenika već integrira umjetnu inteligenciju u svoje svakodnevne zadatke u potrazi za produktivnošću.“

Ova upozorenja prenijela je 12. veljače nizozemska Agencija za zaštitu podataka (APD), koja upozorava korisnike i organizacije da ne koriste OpenClaw i slične eksperimentalne sustave zbog kritičnih sigurnosnih ranjivosti.

Međunarodno udruženje stručnjaka za zaštitu privatnosti (IAPP) objavilo je 5. veljače ažuriranu verziju svog globalnog imenika zakona o privatnosti i tijela za zaštitu podataka.

IAPP napominje da se režimi zaštite podataka nastavljaju razvijati i sazrijevati diljem svijeta. „U proteklih 12 mjeseci Indija je uvela nova pravila provedbe kako bi implementirala Zakon o zaštiti digitalnih osobnih podataka, Bangladeš i Gambija su usvojili ili razmatraju usvajanje novih sveobuhvatnih zakona, a druge zemlje, uključujući Ekvador i Indoneziju, osnovale su nove agencije za tumačenje i provedbu postojećih zakona o privatnosti.“