Pravni nadzor br. 91 – siječanj 2026. 

 

Zaštita podataka u svjetlu sankcije "France Travail".

Sankcija koju je CNIL usvojio 29. siječnja protiv France Travaila uzorna je jer nas podsjeća na bitne elemente učinkovite sigurnosne politike.

U kontekstu sve većih masovnih povreda podataka, CNIL naglašava tri temeljna aspekta zaštite podataka:

• Robusna autentifikacija,
• Učinkovita sječa drva,
• Politika autorizacije prilagođena odgovornostima agenata.

Sankcija CNIL-a, u iznosu od 5 milijuna eura, najnoviji je čin u slučaju koji je započeo 2024. godine kada su hakeri uspjeli pristupiti računima savjetnika Cap Emploija.

Taj im je pristup omogućio povezivanje s podacima svih osoba registriranih na France Travailu ili onih koje su registrirane u posljednjih 20 godina, kao i osoba s prostorom za kandidate na francetravail.fr.

To znači da su hakeri uspjeli preuzeti podatke više od 36 milijuna ljudi.

Što se tiče odgovornosti, treba napomenuti da iako CNIL ne izbjegava odgovornost savjetnika Cap Emploija, inzistira na glavnoj odgovornosti organizacije France Travail.

• France Travail je odgovoran za "inicijativu za implementaciju i upravljanje mjerama osmišljenim za osiguranje sigurnosti informacijskog sustava, kojem je otvorio pristup za Cap Emploi (...)."
• Također je France Travail odlučio zanemariti prethodne preporuke analize utjecaja u vezi s autentifikacijom.

Vremenska ograničenja, povezana s tehničkim poteškoćama u provedbi, natjerala bi ga da zanemari ove mjere opreza.

U tom smislu, CNIL ponavlja svoju doktrinu o autentifikaciji i navodi da korištenje lozinki mora biti dopunjeno dodatnim mjerama (captcha, vremensko kašnjenje pristupa ili blokiranje računa nakon najviše deset netočnih pokušaja), osim ako se lozinka sastoji od: najmanje 12 znakova, uključujući velika slova, mala slova, brojeve i posebne znakove; ili najmanje 14 znakova, uključujući velika slova, mala slova i brojeve, bez obveznih posebnih znakova; ili fraze koja uključuje najmanje 7 riječi.

U ovom konkretnom slučaju, lozinka je bila dugačka samo osam znakova, a politika autentifikacije propisivala je prag od 50 neuspješnih pokušaja prije zaključavanja pristupa virtualnim strojevima savjetnika. 

France Travail, koji obrađuje veliku količinu osjetljivih podataka, koji se odnose na primjer na podrijetlo invaliditeta, ograničenja radne stanice, razvoj situacije s invaliditetom, uvjeti pristupa trebali su biti puno stroži.

Posebno su trebali predvidjeti višefaktorsku autentifikaciju, doktrinu koja je, prema CNIL-u, ključna posebno za obradu osjetljivih podataka i obradu ili operacije koje predstavljaju rizik za dotične osobe.

„Teškoća korištenja telefona kao drugog faktora, zbog neovisnosti Cap Emploija, mogla se prevladati drugim mjerama, na primjer distribucijom kalkulatora OTP-a (jednokratne lozinke) zaposlenicima (...).“

CNIL također naglašava bitnu ulogu mjera sječe.

Ove mjere nisu omogućile otkrivanje abnormalnog ponašanja informacijskog sustava, u ovom slučaju, abnormalnih količina preuzimanja podataka.

Izvjestitelj CNIL-a kritizira France Travail zbog nedostatka redovitog automatskog praćenja logova radi otkrivanja i analize sigurnosnih incidenata te pružanja brzog i učinkovitog odgovora.

„Provedene operacije bile su vrlo neuobičajene s obzirom na vrijeme i učestalost zahtjeva, znatnu količinu izvučenih podataka (25 GB podataka tipa „tekst“), stopu pogrešaka određenih zahtjeva (69 % na jednom od kompromitiranih računa (...) i činjenicu da su podaci izvučeni iako aktivnost savjetnika Cap Emploi ne zahtijeva značajnu potrošnju resursa ili značajno izvlačenje podataka (na primjer, samo u utorak, 6. veljače 2024., izvučeno je 9 GB podataka, što bi odgovaralo više od 13 milijuna zapisa za jednog savjetnika u jednom danu).“

Konačno, CNIL inzistira na važnosti ograničavanja ovlaštenja za pristup potrebama i funkcijama zaposlenika.

Napominje da su postavke računa savjetnika bile preširoko definirane, što im je omogućilo pristup podacima ljudi koje nisu podržavali, što je povećalo količinu podataka dostupnih napadačima.

CNIL opravdava visinu kazne odlukom tvrtke France Travail da ne provede preporuke svoje analize učinka, što je dovelo do kompromitiranja osobnih podataka više od 36,8 milijuna ljudi, uključujući podatke koji su predmet posebne zaštite kao što je NIR, koji predstavlja specifične rizike uzurpacije ili međusobnog povezivanja zbog svoje značajne, jedinstvene i trajne prirode.

Može se činiti očitim zaključiti da ne treba čekati na povredu podataka kako bi se osigurala sigurnost sustava.

Također treba napomenuti da CNIL redovito sankcionira kršenja sigurnosne obveze bez da su ta kršenja nužno uzrok povrede podataka, poput nedovoljno robusne politike lozinki.

Sigurnost podataka također je bila među glavnim predmetima sankcija nadzornog tijela u 2025. godini, kako je naznačeno u njegovom izvješću objavljenom početkom veljače.

 

Curenje podataka koje je prošlo nezapaženo osamnaest mjeseci pogodilo je jednu od glavnih tvrtki za digitalno povjerenje u Francuskoj.

Platforma za provjeru identiteta i sprječavanje prijevara Sumsub izvještava da je pretrpjela "sigurnosni incident" u srpnju 2024.

Tvrtka je tek postala svjesna upada nakon sigurnosne revizije provedene u siječnju 2026. Kibernetički napad temelji se, kao u slučaju France Travail, na kompromitaciji treće strane.

Ugroženi podaci uključuju imena, adrese e-pošte i telefonske brojeve.

Dana 30. prosinca 2025. CNIL je izrekao kaznu od 3,5 milijuna eura. tvrtki čije ime nažalost ne otkriva, zbog toga što je u redovitim intervalima tijekom šest godina bez valjane suglasnosti prenosila podatke članova svog programa vjernosti društvenoj mreži u svrhu ciljanog oglašavanja.

Nakon javnih konzultacija, CNIL je 16. siječnja objavio svoje preporuke o prikupljanju privole za korištenje više uređaja. (na više uređaja) u kontekstu korištenja kolačića i drugih alata za praćenje.

Cilj je pomoći dionicima da dobiju privolu koja je u skladu sa zahtjevima GDPR-a, a posebno osigurati transparentno prikupljanje privola.

Komisija je 14. siječnja također objavila dvije karte s popisom odobrenih certifikata i kodeksa ponašanja. od strane nacionalnih tijela ili Europskog odbora za zaštitu podataka (EDPB) od stupanja na snagu GDPR-a, kako bi se olakšala identifikacija dostupnih alata za usklađenost.

Konačno, u kontekstu općinskih izbora 15. i 22. ožujka, CNIL nas podsjeća na dobre prakse u političkoj kampanji i ponovno aktivira svoj izborni opservatorij.

Osnovan je 2012. godine, a cilj mu je osigurati da političke stranke i kandidati u svojim praksama uzimaju u obzir zakonodavstvo o zaštiti podataka.

Posebno omogućuje praćenje zahtjeva upućenih CNIL-u u kontekstu izbornih kampanja, kao što su zahtjevi za savjet od kandidata ili izvješća o lošim praksama.

Početkom veljače, država je preuzela tri obveze u korist digitalnog suvereniteta:

• Što se tiče zdravstvenih podataka, pokrenuo je poziv za podnošenje ponuda kako bi povjerio zdravstvene podatke francuskih građana "sigurnu europsku platformu".
• Općenito govoreći, država je predana masovnom usmjeravanju svojih javnih nabava prema francuskim i europskim rješenjima, ulažući u njih 4,5 milijardi eura.

Prema riječima Davida Amiela, ministra delegata za državnu službu, "Hitno je potrebno detoksicirati se od američkih rješenja."

• Konačno, nedavno objavljena okružnica premijera navodi da bi uprave trebale favorizirati tržišna rješenja (umjesto internog razvoja) pod uvjetom da ispunjavaju kriterije suvereniteta i sigurnosti.

Državno vijeće je 30. siječnja 2026. presudilo u korist CNIL-a u kontekstu spora oko algoritamskog nadzora koji ga je suprotstavio gradu Nici.

Potvrđuje da algoritamska obrada slika s CCTV kamera postavljenih na ulazu u škole, koju provodi općina, nije dopuštena prema važećem zakonu. 

Iako dopušta implementaciju sustava video nadzora u javnim prostorima, Zakon o unutarnjoj sigurnosti, svojom šutnjom, ne može se "tumačiti kao odobrenje implementacije algoritamske obrade koja omogućuje sustavnu i automatiziranu analizu slika prikupljenih u javnim prostorima pomoću takvih sustava. Nijedna druga odredba ne odobrava implementaciju takve obrade."

„Slučajni“ Amerikanci traže od CNIL-a da obustavi prijenos njihovih bankovnih podataka u Sjedinjene Države.

U skladu sa Zakonom o usklađenosti s porezom na inozemne račune (FATCA), francuske bankarske institucije moraju američkim poreznim vlastima prenijeti veliku količinu osjetljivih podataka o sebi kako bi se borile protiv mogućih prijevara – Amerikanci doista moraju prijaviti svoje prihode u Sjedinjenim Državama bez obzira na to gdje u svijetu žive.

Udruga slučajno stradalih Amerikanaca osuđuje trenutni sporazum između Sjedinjenih Država i Francuske koji uređuje uvjete za dijeljenje ovih informacija.

 

Europske institucije i tijela

Europska komisija je 20. siječnja 2026. predložila novi paket mjera kibernetičke sigurnosti usmjerenih na jačanje otpornosti EU-a i poboljšanje njezine sposobnosti upravljanja prijetnjama.

Projekt uključuje prijedlog za reviziju uredbe o kibernetičkoj sigurnosti, koja jača sigurnost lanaca opskrbe informacijskom i komunikacijskom tehnologijom (IKT) u EU.

Osigurava da su proizvodi namijenjeni građanima EU-a kibernetički sigurni od faze dizajna putem pojednostavljenog postupka certificiranja.

Također olakšava usklađenost s postojećim pravilima EU-a o kibernetičkoj sigurnosti i jača Agenciju Europske unije za kibernetičku sigurnost (ENISA) u njezinoj ulozi podrške državama članicama i EU-u u upravljanju kibernetičkim prijetnjama.

Europska komisija i Brazil donijeli su 27. siječnja dvije međusobne odluke o adekvatnosti, potvrđujući da su njihove razine zaštite podataka usporedive.

„Prepoznajući visoke standarde zaštite podataka koji štite potrošače i građane s obje strane, ovi sporazumi sada omogućuju tvrtkama, javnim tijelima i istraživačima slobodnu razmjenu podataka između EU-a i Brazila.“

Komisija je 26. siječnja otvorila novu formalnu istragu protiv X u skladu s Uredbom o digitalnim uslugama (DSA).

Sumnja da značajke Groka integrirane u X nose neprocijenjene i neublažene rizike generiranja i distribucije ilegalnog sadržaja, poput seksualno eksplicitnih manipuliranih slika, uključujući sadržaj koji može predstavljati dječju pornografiju.

Također je produžio formalni postupak pokrenut u prosincu 2023. protiv X kako bi se utvrdilo je li tvrtka pravilno procijenila i ublažila sve sistemske rizike povezane s njezinim sustavima za preporučivanje sadržaja.

Također 26. siječnja, Europska komisija službeno je odredila WhatsApp kao vrlo veliku online platformu (VLOP) u okviru DSA-a, budući da njegova značajka "Kanali" doseže potreban prag od najmanje 45 milijuna korisnika u EU.

Meta ima četiri mjeseca, do sredine svibnja 2026., da osigura da WhatsApp ispunjava dodatne obveze koje nameće DSA.

Te obveze uključuju procjenu i ublažavanje svih sistemskih rizika, kao što su kršenja temeljnih ljudskih prava i slobode izražavanja, manipulacija izborima, širenje ilegalnog sadržaja i problemi s privatnošću, koji proizlaze iz njegovih usluga.

Europski odbor za zaštitu podataka (EDPB) i Europski nadzornik za zaštitu podataka (EDPS) usvojili su 21. siječnja zajedničko mišljenje o prijedlogu Europske komisije za „Digitalni omnibus o umjetnoj inteligenciji“, čiji je cilj pojednostaviti provedbu određenih usklađenih pravila predviđenih uredbom o umjetnoj inteligenciji kako bi se osigurala njezina učinkovita primjena.

Oba tijela podržavaju cilj rješavanja praktičnih izazova povezanih s provedbom zakonodavstva, ali naglašavaju da administrativno pojednostavljenje ne smije smanjiti zaštitu temeljnih prava. Regulatori smatraju da bi neki od predloženih amandmana mogli ugroziti zaštitu pojedinaca u kontekstu umjetne inteligencije.

 

Vijesti iz zemalja članica Europske unije.

U Grčkoj je Agencija za zaštitu podataka (DPA) izdala upozorenje protiv uvođenja sustava "pametnog policijskog djelovanja" koji uključuje korištenje pametnih nosivih uređaja od strane ophodnji za utvrđivanje i provjeru identiteta građana koji se podvrgavaju provjerama na licu mjesta pomoću biometrijskih podataka. DPA smatra ovu obradu nezakonitom jer nije posebno predviđena važećim zakonodavstvom.

Španjolska agencija za zaštitu podataka (APD) kaznila je grupu bolnica i zdravstva IDCQ s 1.200.000 eura. zbog prebrzog brisanja podataka o pacijentima, što ju je spriječilo da ispuni svoju obvezu informiranja dotičnih pojedinaca.

Norveška agencija za zaštitu podataka (APD) kaznila je tvrtku Timegrip AS s 250.000 NOK (otprilike 25.000 eura) zbog nezakonitog uskraćivanja bivšim zaposlenicima pristupa evidenciji o njihovom radnom vremenu nakon što je njihov poslodavac bankrotirao te zbog lažnog predstavljanja kao običnog podizvođača dok je vršio učinkovitu kontrolu nad osobnim podacima.

Konkretno, Timegrip je preuzeo status odgovorne strane nakon stečaja, kao jedini subjekt koji je vršio tehničku i praktičnu kontrolu nad podacima.

Predsjednik poljskog tijela za zaštitu podataka (APD) izrekao je administrativnu kaznu od 978.000 PLN (250.000 €) tvrtki Poczta Polska SA zbog toga što nije jamčila neovisnost službenika za zaštitu podataka (DPO).

Nadzorno tijelo utvrdilo je da je tvrtka dopustila sukob interesa u obavljanju dužnosti DPO-a.

U Ujedinjenom Kraljevstvu, APD je kaznio ZMLUK Limited, financijsku brokersku i reklamnu agenciju, s 105.000 funti (120.000 eura) zbog slanja više od 67 milijuna neželjenih e-poruka izravnog marketinga bez pristanka dotičnih pojedinaca ili bez valjane iznimke.

Švedska agencija za zaštitu podataka (APD) kaznila je podizvođača, Sportadmin i Skandinavien AB, s 6.000.000 SEK (560.000 €). pružatelj digitalnih usluga za sportske klubove i udruge, nakon što je kibernetički napad otkrio osobne podatke više od 2,1 milijuna ljudi.

Podizvođač je proglašen krivim zbog neprovedbe dovoljnih sigurnosnih mjera, što je kršenje članka 32. GDPR-a.

Švicarska vlada želi proširiti online nadzor revizijom uredbe o nadzoru poštanske korespondencije i telekomunikacija.

Prijedlog bi značajno povećao količinu osobnih podataka koji se čuvaju tako što bi se od velikih pružatelja komunikacijskih usluga zahtijevalo zadržavanje metapodataka i nametanjem zahtjeva za identifikaciju korisnika gotovo svim pružateljima usluga.

Te organizacije trebale bi čuvati ove podatke najmanje šest mjeseci i pomoći policiji u dešifriranju njihovog sadržaja. Devetnaest organizacija civilnog društva poslalo je pismo Švicarskom saveznom ministarstvu pravosuđa i policije u kojem izražavaju svoju zabrinutost.

 

U Ujedinjenom Kraljevstvu, APD je kaznio ZMLUK Limited, financijsku brokersku i reklamnu agenciju, s 105.000 funti (120.000 eura) zbog slanja više od 67 milijuna neželjenih e-poruka izravnog marketinga bez pristanka dotičnih pojedinaca ili bez valjane iznimke.

Švicarska vlada želi proširiti online nadzor revidiranjem naredbe o nadzoru poštanske korespondencije i telekomunikacija.

Prijedlog bi značajno povećao količinu osobnih podataka koji se čuvaju tako što bi se od velikih pružatelja komunikacijskih usluga zahtijevalo zadržavanje metapodataka i nametanjem zahtjeva za identifikaciju korisnika gotovo svim pružateljima usluga.

Trebali bi čuvati ove podatke najmanje šest mjeseci i pomoći policiji u dešifriranju njihovog sadržaja.

Devetnaest organizacija civilnog društva poslalo je pismo švicarskom Saveznom ministarstvu pravosuđa i policije kako bi izrazile svoju zabrinutost.

Dana 3. veljače 2026., Odbor za pravosuđe Zastupničkog doma Sjedinjenih Američkih Država objavio je izvješće u kojem napada Zakon o europskim digitalnim uslugama (DSA), nazivajući ga alatom cenzure. "Prijetnja strane cenzure, drugi dio: Desetogodišnja europska kampanja cenzuriranja globalnog interneta i njezine štetne posljedice za slobodu izražavanja u Sjedinjenim Državama"

U ovom izvješću, nekoliko europskih nevladinih organizacija, uključujući Bits of Freedom i Justice for Prosperity, opisane su kao "nevladine organizacije koje se bave cenzurom".

Pet sankcija, o kojima je prethodno izvještavano u ovom biltenu, već je nametnuto u obliku zabrana ulaska u Sjedinjene Države protiv Europljana uključenih u primjenu DSA-a, istraživanje i kritiku moći platformi.

Europska komisija odgovorila je putem svog glasnogovornika podsjećajući da Zakon o digitalnim uslugama (DSA) odgovornost stavlja tamo gdje joj je mjesto, odnosno na online platforme.

Zabrana društvenih mreža za maloljetnike mlađe od 16 godina u Australiji postala je međunarodni model. unatoč nedostacima utvrđenim u ranim fazama njegove provedbe. Europska unija, Ujedinjeno Kraljevstvo i Sjedinjene Američke Države stoga pomno prate australsko iskustvo, a neke su zemlje već uvele slične zakonodavne prijedloge, kako je napomenuo IAPP (Međunarodno udruženje stručnjaka za privatnost) u članku od 5. veljače.