Pravni nadzor br. 88 – listopad 2025. 

 

Video nadzor, glavna meta sankcija CNIL-a.

CNIL je učinio poanta u listopadu o svom pojednostavljenom postupku sankcija.

Šesnaest sankcija nametnutih od prošlog svibnja popraćeno je novčanim kaznama u ukupnom iznosu od 108.000 eura, uz 104.000 eura iz 10 odluka izražen od siječnja.

Osim video nadzora, sankcije obuhvaćaju komercijalne prakse istraživanja podataka provedene bez pristanka dotičnih osoba i nesuradnju prilikom zahtjeva za ostvarivanje prava predviđenih GDPR-om (pravo na pristup, ispravak ili prigovor).

Video nadzor ostaje glavna tema sankcija, posebno kada se odvija na radnom mjestu.

CNIL sustavno ukazuje na neuspjeh kontrolora podataka u poštivanju načela minimizacije podataka.

Farmaceutska tvrtka i bolnica sankcionirane su zbog snimanja sindikalnih prostorija i njihovog izravnog pristupa, što je kršenje članka 5.1.c GDPR-a koji određuje da podaci moraju biti adekvatni, relevantni i ograničeni na ono što je potrebno za željenu svrhu.

CNIL nas podsjeća da CCTV kamere postavljene na radnim mjestima, bez obzira jesu li otvorene za javnost ili ne, moraju poštivati privatnost zaposlenika.

"Kamere ni pod kojim uvjetima ne smiju snimati prostorije sindikata ili njihove izravne pristupne točke."

Svako pretjerano zadiranje u privatnost snimljenih osoba stoga krši ovo načelo minimizacije, kao što je CNIL također primijetio u internatu čiji je sustav video nadzora snimao učenike tijekom doručka i u dvorištu.

Kamere se ne mogu instalirati na radnom mjestu.

• Samo ako teže legitimnom cilju kao što je sigurnost imovine i ljudi,
• U ograničenim i neinvazivnim područjima kao što su ulazi i izlazi iz zgrada, prolazi ili skladišta.

Također su potrebne obveze sigurnosti i transparentnosti:

• Pristup slikama mora biti siguran i dostupan samo ovlaštenom osoblju, a podaci se moraju čuvati ograničeno vrijeme, u načelu od nekoliko dana do mjesec dana.
• Nadležna osoba mora unaprijed obavijestiti i konzultirati se s predstavnicima zaposlenika te osigurati da se istakne obavijest za zaposlenike i javnost.

Iznimke u pogledu obveza transparentnosti i dalje su moguće: u iznimnim okolnostima i pod određenim uvjetima, voditelj obrade podataka može privremeno instalirati kamere koje nisu vidljive zaposlenicima, pod uvjetom da se analizira kompatibilnost uređaja s GDPR-om i da se to može opravdati.

Zbog nedostatka takve analize utjecaja i nedostatka uključenosti njezine službenice za zaštitu podataka u implementaciju skrivenog sustava video nadzora, CNIL je prošlog rujna sankcionirao La Samaritaine.

Tvrtka je prijavila postojanje krađa počinjenih u rezervama i objasnila da je sustav privremen, ali nije provela nikakvu prethodnu analizu niti dokumentirala privremenu prirodu instalacije.

Zbog neuspjeha u održavanju ravnoteže između željenog cilja i zaštite privatnosti zaposlenika, tvrtka je kažnjena sa 100.000 eura.

Konačno, treba napomenuti da za mjesta dostupna javnosti uređaj mora odobriti prefekt odjela ili policijski prefekt u Parizu.

 

      

Revizorski sud objavio je 31. listopada izvješće o "pitanjima suvereniteta državnih civilnih informacijskih sustava".

Ona iznosi nekoliko zapažanja:

• Neka ministarstva koriste neeuropska IT rješenja, ponekad za osjetljive podatke, na štetu digitalnog suvereniteta.

U izvješću se u tom smislu spominje platforma za zdravstvene podatke koju već više od pet godina hostira američka tvrtka.

Također napominje da privatni operateri nude javne usluge bez istih obveza kao država.

• Ne postoji mapiranje osjetljivih podataka od strane uprave, što bi predstavljalo referentni okvir koji bi omogućio identifikaciju onih čiji suverenitet mora biti očuvan kao prioritet.
• Prihvaćanje suverenog računarstva u oblaku od strane vladinih agencija ostaje ograničeno, interni državni oblaci teško dostižu dovoljnu veličinu, a usklađivanje zahtjeva za suverenitetom s imperativima performansi pokazalo se složenim.
• DINUM upravlja dvjema suverenim infrastrukturama: međuministarskom mrežom države (RIE) i sustavom digitalnog identiteta (FranceConnect), koji se smatraju uspjesima iako je još uvijek potreban napredak, posebno u pogledu otpornosti.
• Osim kontrole osjetljivih podataka, država ne teži potpunom suverenitetu, već uspostavljanju dovoljno visoke razine povjerenja korištenjem javne nabave, udruživanja kupnji i validacije od strane ANSSI-ja kako bi se ograničili rizici.

Državno vijeće je 15. listopada potvrdilo kaznu od 8.000.000 eura koju je CNIL izrekao Appleu zbog obrade podataka francuskih korisnika u svrhu personaliziranog oglašavanja bez njihovog pristanka.

• Državno vijeće smatralo je da sankcija nije nesrazmjerna s obzirom na broj dotičnih osoba - gotovo 27,5 milijuna korisnika između srpnja 2020. i srpnja 2021. - i ekonomsku težinu skupine.
• Također je potvrdio nadležnost CNIL-a da odlučuje o njegovim aktivnostima u Francuskoj, čime je odbacio argument tvrtke da samo njegov irski entitet spada pod nadležnost europskog regulatora.

Ministarstvo rada i solidarnosti, CNIL i AFCDP povjerili su AFPA-i provedbu novog istraživanja opservatorija profesije DPO-a o utjecaju umjetne inteligencije na ovu profesiju.

Istraživanje istražuje modele upravljanja umjetnom inteligencijom unutar organizacija, ulogu službenika za zaštitu podataka (DPO), glavne izazove s kojima se suočavaju DPO-i te njihove potrebe u pogledu alata i obuke. Rezultati će biti objavljeni u prvoj polovici 2026. godine.

Dana 28. listopada, CNIL je objavio izvješće o svom događaju od 20. svibnja pod nazivom "GDPR: kakav ekonomski utjecaj?". 

Događaj je okupio ekonomiste, kao i francuske (CNIL) i europske (britansko tijelo za zaštitu podataka, Europska komisija) regulatore, koji su doprinijeli ex post evaluaciji provedbe GDPR-a.

Nakon što su se suočili s presudom o prenosivosti podataka vezanih uz programe vjernosti, sredinom listopada je također precizirano koje se informacije moraju prenositi, posebno u vezi s barkodom i podacima vezanim uz promocije kojima su kupci imali pristup.

 

Europske institucije i tijela

Izmjene GDPR-a planirane u Zakonu o digitalnom omnibusu mogle bi ići dalje od prvobitno najavljenog, prema neformalnoj verziji dokumenta koju je kružio tisak.

Prijedlog, za koji se očekuje da će biti službeno objavljen 19. studenog, pojasnio bi (i ograničio) određene ključne definicije, ublažio određena pravila u vezi s povjerljivošću i odobrio korištenje osobnih podataka za obuku umjetne inteligencije.

Civilno društvo već je reagiralo ističući opasnosti takvog pojednostavljenja za temeljna prava.

U četvrtak, 9. listopada, Europska komisija najavila je pokretanje javnih konzultacija o nacrtu smjernica koje se odnose na interakciju između Uredbe o digitalnim tržištima (DMA) i GDPR-a.

Ovaj je projekt razvijen u suradnji s Europskim odborom za zaštitu podataka (EDPB).

Članak 5(2) je srž ovih smjernica: DMA zahtijeva od "čuvara pristupa" da dobiju privolu korisnika za dijeljenje njihovih podataka između različitih usluga, ali ne definira precizne uvjete te privole.

Tekst sada precizira da ta privola mora biti valjana u smislu GDPR-a, ali prije svega da se mora zasebno zatražiti za svaku zasebnu svrhu obrade (personalizacija sadržaja i ciljano oglašavanje).

Konzultacije su otvorene do 4. prosinca.

Europska komisija je 24. listopada preliminarno zaključila da Meta i TikTok krše Zakon o digitalnim uslugama (DSA).

Tvrtke ne dopuštaju istraživačima odgovarajući pristup javno dostupnim podacima.

Komisija također preliminarno zaključuje da Facebook i Instagram nisu ispunili svoje obveze (1) da korisnicima pruže jednostavne mehanizme za prijavu ilegalnog sadržaja, poput dječje pornografije ili terorističkog sadržaja, i (2) da korisnicima omoguće učinkovito osporavanje odluka o moderiranju sadržaja koje je donio Meta.

TikTok i Meta imaju mogućnost pristupa i odgovaranja na istražnu datoteku.

Europska komisija objavila je svoj okvir za suvereni oblak za tijela javne nabave.

Dokument se temelji na nekoliko europskih inicijativa, uključujući Europski okvir za certifikaciju kibernetičke sigurnosti (ENISA, NIS2, DORA).

Također se odnosi na nacionalne politike poput "oblaka u središtu" u Francuskoj sa SecNumCloudom tvrtke Anssi i njemačkim Sovereign Cloudom.

Komisija predlaže ocjenu suverenosti za ponude usluga u oblaku, temeljenu na različitim kriterijima, što izaziva različite reakcije.

Metoda ne zadovoljava osobito europske pružatelje usluga u oblaku okupljene unutar udruženja Cispe, koji je smatraju netransparentnom i, u sadašnjem obliku, pogodujućom stranim igračima.

Zastupnici Europskog parlamenta pozivaju na istragu DSA-e o Sheinu, Temuu i AliExpressu.

Nakon što je pariško tužiteljstvo pokrenulo istragu protiv ove četiri tvrtke zbog prodaje "lutaka za seks nalik djeci", više od 40 zastupnika u Europskom parlamentu pozvalo je Komisiju da pokrene istragu, prema izvješću Euractiva.

Prijedlog CSAM-a za uredbu usmjerenu na sprječavanje i borbu protiv seksualnog zlostavljanja djece ponovno je bio na dnevnom redu sastanka Europskog vijeća 14. listopada.

Njemačka, koja je prethodno snažno podržavala prijedlog zakona, povukla je svoju podršku nacrtu uredbe, pa je glasovanje odgođeno.

Kontroverzni prijedlog predviđao je skeniranje komunikacija na korisnikovom terminalu prije slanja, element koji je dansko predsjedništvo Vijeća uklonilo kako bi dobilo dovoljnu podršku država članica.

Danska bi ipak namjeravala na neodređeno vrijeme produžiti trenutno privremeno odobrenje za „dobrovoljne“ analize CSAM-a, a „od pružatelja usluga visokog rizika […] i dalje bi se moglo zahtijevati da poduzmu korake za razvoj relevantnih tehnologija za ublažavanje rizika od seksualnog zlostavljanja djece identificirane putem njihovih usluga“.

Ministri unutarnjih poslova EU-a trebali bi se ponovno sastati početkom prosinca.

Na svojoj plenarnoj sjednici u listopadu, EDPB je odabrao temu za svoju petu koordiniranu akciju o kontrolama, koja će se usredotočiti na usklađenost s obvezama transparentnosti i informiranja predviđenima GDPR-om.

Uredba osigurava da su dotične osobe obaviještene kada se njihovi podaci obrađuju (u skladu s člancima 12., 13. i 14.).

EDPB ponavlja da je ovo pravo na informacije središnji element transparentnosti i jamči pojedincima bolju kontrolu nad njihovim podacima.

Sudjelujuća tijela za zaštitu podataka pridružit će se ovoj akciji na dobrovoljnoj osnovi u nadolazećim tjednima, a sama akcija bit će pokrenuta tijekom 2026. godine.

Istraga o posrednicima u obradi osobnih podataka, koju su proveli belgijski dnevni list L'Echo, njemačka specijalizirana publikacija Netzpolitik.org, nizozemska radio postaja BNR, njemačka radio postaja BR i Le Monde, pokazuje opseg nadzora koji omogućuju geolocirani podaci o oglašavanju.

Ovi podaci, koje su prikupili "Le Monde" i njegovi partneri, omogućili su identifikaciju i praćenje nekoliko dostojanstvenika Europske unije, ponekad čak i do njihovih domova.

 

Vijesti iz zemalja članica Europske unije.

Njemačka savezna država Schleswig-Holstein napustila je svoje vladine sustave e-pošte i kalendara u korist softvera otvorenog koda.

Migracija, koja je trajala šest mjeseci, zamijenila je Microsoft Exchange i Outlook s Open-Xchangeom i Mozilla Thunderbirdom.

Prijenos je obuhvatio više od 40 000 e-mail računa i više od 100 milijuna poruka i unosa u kalendar.

U Austriji, nevladina organizacija Noyb izvještava da je tijelo za zaštitu podataka izdalo presudu kojom se zaključuje da Microsoft 365 Education nezakonito prati učenike i koristi njihove podatke za vlastite potrebe Microsofta.

Softverski div također nije odgovorio na zahtjev za pristup koji se odnosi na Microsoft 365 Education, koji se široko koristi u europskim školama.

Austrijski sud potvrdio je kaznu od 1.500.000 eura izrečenu tvrtki IKEA zbog nezakonitog i prekomjernog video nadzora u i oko jedne od njezinih poslovnica, kojim se, između ostalog, snimaju kupci kako unose svoje PIN kodove.

Time je poništio odluku APD-a kojom je samo prodavatelj bio odgovoran za prekršaje počinjene tijekom kupnje.

U Belgiji je Belgijsko tijelo za zaštitu podataka (APD) također ukorilo tvrtku zbog nezakonitog zadržavanja adrese e-pošte i telefonskog broja bivšeg zaposlenika nakon isteka ugovora o radu. APD je utvrdio da je voditelj obrade podataka prekršio nekoliko odredbi GDPR-a, uključujući načelo ograničenja svrhe, načela minimiziranja podataka i ograničenja pohrane, načela informiranja ispitanika te pravo na brisanje.

Konačno, više nije postojala pravna osnova za nastavak obrade tih podataka.

U Španjolskoj je APD kaznio tvrtku za financijske usluge (Servicios Financieros Carrefour) s 1.500.000 eura zbog toga što nije osigurala sigurnost i povjerljivost obrade podataka u kontekstu kršenja podataka koje je rezultiralo slanjem brojnih phishing e-poruka.

U Irskoj je imenovanje bivše lobistice Meta Niamh Sweeney za povjerenicu irskog tijela za zaštitu podataka nedavno ponovno privuklo pozornost.

Irsko vijeće za građanske slobode (ICCL) podnijelo je 25. listopada pritužbu protiv Irske Europskoj komisiji, tvrdeći da Irska nije pružila dovoljna jamstva u vezi s neovisnošću i nepristranošću svog postupka nominacije.

Europska komisija navodno je odgovorila izjavom da nema nadležnosti u vezi s nacionalnim imenovanjima u vezi sa službenom razvojnom pomoći.

Nizozemska Agencija za zaštitu podataka (APD) kaznila je Experian Nederland s 2,7 milijuna eura zbog višestrukih kršenja GDPR-a.

Do 1. siječnja 2025. Experian je svojim klijentima pružao procjene kreditne sposobnosti za koje je prikupljao podatke o, na primjer, negativnom ponašanju u plaćanju, neplaćenim dugovima ili stečajevima.

APD je primijetio nedostatak valjane pravne osnove za prikupljanje informacija i neobavještavanje dotičnih osoba.

Tvrtka je morala prekinuti poslovanje u zemlji i obećala je izbrisati cijelu svoju osobnu bazu podataka prije kraja godine.

 

 

Britansko tijelo za zaštitu podataka (DPA) kaznilo je pružatelja poslovnih usluga specijaliziranog za upravljanje mirovinama i njegovog podizvođača s 8.000.000 funti, odnosno 6.000.000 funti, nakon kibernetičkog napada koji je neovlaštenim trećim stranama omogućio pristup podacima više od 6 milijuna ljudi.

APD je primijetio nedostatak odgovarajućih sigurnosnih mjera.

IAPP izvještava da je Međunarodna organizacija za standardizaciju prvi put od 2019. ažurirala svoj međunarodni standard za upravljanje programima usklađenosti s privatnošću, ISO 27701.

Standard je sada samostalni sustav upravljanja, što znači da organizacije više neće morati imati sustav upravljanja sigurnošću informacija certificiran prema ISO 27001.

Međutim, oni sa SGSI-jem moći će integrirati oba sustava upravljanja.

Standard detaljno opisuje visoke zahtjeve za implementaciju PIMS-a, koje mora ispuniti i implementirati svaka organizacija koja traži certifikaciju.

Iako se ne može smatrati zamjenom za zakonodavstvo, ostaje usko usklađen s GDPR-om EU i Ujedinjenog Kraljevstva.

U Sjedinjenim Državama imigracijska policija skenira lica ljudi na ulici kako bi provjerila njihovo državljanstvo.

Prema američkom mediju 404, videozapisi koji kruže društvenim mrežama prikazuju agente ICE-a (Immigration and Customs Enforcement) i CBP-a (Carina i granična zaštita) kako koriste tehnologiju prepoznavanja lica na prolaznicima na terenu.

Aplikacija Mobile Fortify povezivala bi lica s bazom podataka od 200 milijuna slika iz baza podataka FBI-a, State Departmenta i drugih agencija.

Aplikacija bi također mogla vršiti unakrsne pretrage vozila, telefona, adresa i vatrenog oružja.

Dok Ministarstvo domovinske sigurnosti odbija potvrditi ili poreći mogućnosti "Mobile Fortifyja", CBP navodno priznaje da se oslanja na "različite tehnološke alate za poboljšanje učinkovitosti agenata".

Konkurencija raste u integraciji umjetne inteligencije u internetske preglednike i u osporavanju dominantnog položaja sada već klasičnog Google Chromea.

Microsoft je tako integrirao svoj alat Copilot AI u preglednik Edge.

Predložene "radnje" omogućuju Copilotu ispunjavanje obrazaca ili rezerviranje hotela, a "Putovanja" omogućuju Copilotu praćenje veza između kartica koje je korisnik otvorio.

Microsoftova objava uslijedila je dva dana nakon sličnog lansiranja tvrtke OpenAI, koja je predstavila svoj novi preglednik Atlas, vizualno vrlo sličan Microsoftovom.