„Legal Watch“ Nr. 91 – 2026 m. sausio mėn. 

 

Duomenų apsauga atsižvelgiant į „Prancūzijos darbo“ sankciją.

Sausio 29 d. CNIL priimta sankcija France Travail yra pavyzdinė tuo, kad primena mums esminius veiksmingos saugumo politikos elementus.

Atsižvelgdama į didėjantį masinių duomenų nutekėjimų skaičių, CNIL pabrėžia tris esminius duomenų apsaugos aspektus:

• Patikimas autentifikavimas,
• Efektyvus medienos ruošimas,
• Autorizacijos politika, pritaikyta prie agentų pareigų.

CNIL skirta 5 milijonų eurų sankcija yra naujausias veiksmas byloje, kuri prasidėjo 2024 m., kai įsilaužėliams pavyko pasiekti „Cap Emploi“ patarėjų paskyras.

Ši prieiga leido jiems prisijungti prie visų „France Travail“ užsiregistravusių arba per pastaruosius 20 metų užsiregistravusių asmenų, taip pat asmenų, turinčių kandidatų vietą svetainėje francetravail.fr, duomenų.

Tai reiškia, kad įsilaužėliai galėjo atsisiųsti daugiau nei 36 milijonų žmonių duomenis.

Kalbant apie atsakomybę, reikėtų pažymėti, kad nors CNIL nevengia „Cap Emploi“ patarėjų atsakomybės, ji tvirtina, kad pagrindinė atsakomybė tenka „France Travail“.

• „France Travail“ yra atsakinga už „iniciatyvą diegti ir valdyti priemones, skirtas informacinės sistemos, prie kurios ji atvėrė prieigą „Cap Emploi“ (...), saugumui užtikrinti“.
• Taip pat būtent „France Travail“ nusprendė nepaisyti ankstesnių poveikio analizės rekomendacijų dėl autentifikavimo.

Laiko apribojimai, susiję su techniniais įgyvendinimo sunkumais, būtų paskatinę jį nepaisyti šių atsargumo priemonių.

Šiuo atžvilgiu CNIL pakartoja savo doktriną dėl autentifikavimo ir nurodo, kad slaptažodžių naudojimas turi būti papildytas papildomomis priemonėmis („captcha“, prieigos laiko atidėjimas arba paskyros blokavimas po ne daugiau kaip dešimties neteisingų bandymų), nebent slaptažodį sudaro: arba mažiausiai 12 simbolių, įskaitant didžiąsias raides, mažąsias raides, skaičius ir specialiuosius simbolius; arba mažiausiai 14 simbolių, įskaitant didžiąsias raides, mažąsias raides ir skaičius, be privalomų specialiųjų simbolių; arba frazė, sudaryta iš mažiausiai 7 žodžių.

Šiuo konkrečiu atveju slaptažodis buvo tik aštuonių simbolių ilgio, o autentifikavimo politika numatė 50 nesėkmingų bandymų ribą, prieš užblokuojant prieigą prie konsultantų virtualių mašinų. 

„France Travail“, kuri tvarko didelį kiekį jautrių duomenų, susijusių, pavyzdžiui, su negalios kilme, darbo vietos apribojimais, negalios situacijos raida, prieigos sąlygos turėjo būti daug griežtesnės.

Visų pirma, jos turėjo numatyti daugiafaktorinį autentifikavimą – doktriną, kuri, anot CNIL, yra būtina visų pirma tvarkant neskelbtinus duomenis ir tvarkant ar vykdant operacijas, kurios kelia pavojų atitinkamiems asmenims.

„Sunkumas naudoti telefoną kaip antrą veiksnį dėl „Cap Emploi“ nepriklausomumo galėjo būti įveiktas kitomis priemonėmis, pavyzdžiui, darbuotojams išdalinant vienkartinio slaptažodžio (OTP) skaičiuotuvus (...).“

CNIL taip pat pabrėžia esminį miško kirtimo priemonių vaidmenį.

Šios priemonės neleido aptikti neįprasto informacinės sistemos elgesio, šiuo atveju – neįprastų duomenų atsisiuntimo kiekių.

CNIL pranešėja kritikuoja „France Travail“ už tai, kad ši nereguliariai automatiškai stebi žurnalus, kad būtų galima aptikti ir analizuoti saugumo incidentus bei greitai ir veiksmingai į juos reaguoti.

„Atliktos operacijos buvo labai neįprastos, atsižvelgiant į užklausų laiką ir dažnumą, didelį išgautų duomenų kiekį (25 GB „teksto“ tipo duomenų), tam tikrų užklausų klaidų lygį (69 % vienoje iš pažeistų paskyrų (...) ir tai, kad duomenys buvo išgauti, nors „Cap Emploi“ konsultantų veiklai nereikia didelių išteklių sąnaudų ar didelio duomenų išgavimo (pavyzdžiui, vien 2024 m. vasario 6 d., antradienį, buvo išgauti 9 GB duomenų, o tai atitiktų daugiau nei 13 milijonų vieno konsultanto įrašų per vieną dieną).“

Galiausiai CNIL pabrėžia, kaip svarbu apriboti prieigos leidimus darbuotojų poreikiams ir funkcijoms.

Ji pažymi, kad patarėjų paskyrų nustatymai buvo apibrėžti pernelyg plačiai, leidžiant jiems pasiekti tų žmonių, kuriems jie nepadėjo, duomenis, todėl padidėjo užpuolikams prieinamų duomenų kiekis.

CNIL baudos dydį grindžia tuo, kad „France Travail“ nusprendė neįgyvendinti savo poveikio analizės rekomendacijų, dėl ko buvo pažeisti daugiau nei 36,8 mln. žmonių asmens duomenys, įskaitant duomenis, kuriems taikoma speciali apsauga, pavyzdžiui, NIR, kurie dėl savo reikšmingo, unikalaus ir nuolatinio pobūdžio kelia specifinę uzurpacijos ar susiejimo riziką.

Gali atrodyti akivaizdu, kad norint užtikrinti sistemos saugumą, nereikėtų laukti duomenų saugumo pažeidimo.

Taip pat reikėtų atkreipti dėmesį, kad CNIL reguliariai skiria sankcijas už saugumo įsipareigojimų pažeidimus, kurie nebūtinai yra duomenų saugumo pažeidimo priežastis, pavyzdžiui, nepakankamai patikima slaptažodžių politika.

Duomenų saugumas taip pat buvo viena iš pagrindinių priežiūros institucijos sankcijų sričių 2025 m., kaip nurodyta vasario pradžioje paskelbtoje ataskaitoje.

 

Duomenų nutekėjimas, kuris aštuoniolika mėnesių buvo nepastebėtas, smogė vienai iš pagrindinių skaitmeninio pasitikėjimo bendrovių Prancūzijoje.

Tapatybės patvirtinimo ir sukčiavimo prevencijos platforma „Sumsub“ praneša, kad 2024 m. liepos mėn. patyrė „saugumo incidentą“.

Bendrovė apie įsilaužimą sužinojo tik po 2026 m. sausio mėn. atlikto saugumo audito. Kibernetinė ataka, kaip ir „France Travail“ atveju, paremta trečiosios šalies įsilaužimu.

Pažeisti duomenys apima vardus, pavardes, el. pašto adresus ir telefono numerius.

2025 m. gruodžio 30 d. CNIL skyrė 3,5 mln. eurų baudą. bendrovei, kurios pavadinimo ji, deja, neslepia, nes ji šešerius metus reguliariai perdavė savo lojalumo programos narių duomenis socialiniam tinklui reklamos tikslais be galiojančio sutikimo.

Po viešų konsultacijų CNIL sausio 16 d. paskelbė savo rekomendacijas dėl sutikimo rinkimo iš kelių įrenginių. (skirtinguose įrenginiuose) slapukų ir kitų sekimo priemonių naudojimo kontekste.

Tikslas – padėti suinteresuotiesiems subjektams gauti sutikimą, kuris atitiktų BDAR reikalavimus, ir visų pirma užtikrinti skaidrų sutikimų rinkimą.

Komisija taip pat sausio 14 d. paskelbė du žemėlapius, kuriuose išvardyti patvirtinti sertifikatai ir elgesio kodeksai. nacionalinių institucijų arba Europos duomenų apsaugos valdybos (EDAV) nuo BDAR įsigaliojimo, siekiant palengvinti turimų atitikties priemonių nustatymą.

Galiausiai, kovo 15 ir 22 d. vyksiančių savivaldos rinkimų kontekste CNIL primena gerąją politinės agitacijos praktiką ir atnaujina savo rinkimų observatorijos veiklą.

Įkurta 2012 m., jos tikslas – užtikrinti, kad politinės partijos ir kandidatai savo veikloje atsižvelgtų į duomenų apsaugos teisės aktus.

Visų pirma, tai leidžia stebėti CNIL adresuotus prašymus rinkimų kampanijų kontekste, pavyzdžiui, kandidatų prašymus pateikti patarimus arba pranešimus apie blogą praktiką.

Vasario pradžioje valstybė prisiėmė tris įsipareigojimus dėl skaitmeninio suvereniteto:

• Kalbant apie sveikatos duomenis, jis paskelbė konkursą, pagal kurį Prancūzijos piliečių sveikatos duomenys būtų patikėti „saugiai Europos platformai“.
• Apskritai valstybė yra įsipareigojusi masiškai nukreipti savo viešuosius pirkimus į Prancūzijos ir Europos sprendimus, investuodama į juos 4,5 milijardo eurų.

Pasak valstybės tarnybos ministro delegato Davido Amielio, „reikia skubiai atsikratyti amerikietiškų sprendimų“.

• Galiausiai, neseniai paskelbtame ministro pirmininko aplinkraštyje nurodoma, kad administracijos turėtų teikti pirmenybę rinkos sprendimams (o ne kurti juos viduje), jei jie atitinka suvereniteto ir saugumo kriterijus.

Valstybės taryba 2026 m. sausio 30 d. priėmė sprendimą CNIL naudai ginče dėl algoritminio stebėjimo, kuriame ji ir Nicos miestas buvo supriešinti.

Jis patvirtina, kad savivaldybės įdiegtas algoritminis mokyklų įėjimuose įrengtų vaizdo stebėjimo kamerų vaizdų apdorojimas nėra leidžiamas pagal galiojančius įstatymus. 

Nors Vidaus saugumo kodeksas leidžia diegti vaizdo stebėjimo sistemas viešosiose erdvėse, dėl to, kad jame nieko nepaminėta, jis negali būti „interpretuojamas kaip leidžiantis diegti algoritminį apdorojimą, leidžiantį sistemingai ir automatiškai analizuoti vaizdus, surinktus viešosiose erdvėse naudojant tokias sistemas. Jokia kita nuostata neleidžia įgyvendinti tokio apdorojimo“.

„Atsitiktiniai“ amerikiečiai prašo CNIL sustabdyti jų bankininkystės duomenų perdavimą į Jungtines Valstijas.

Pagal Užsienio sąskaitų mokesčių atitikties įstatymą (FATCA), Prancūzijos bankai privalo perduoti didelį kiekį neskelbtinų duomenų apie save Amerikos mokesčių administratoriams, siekdami kovoti su galimu sukčiavimu – amerikiečiai iš tiesų privalo deklaruoti savo pajamas Jungtinėse Valstijose, nepriklausomai nuo to, kurioje pasaulio vietoje jie gyvena.

Atsitiktinių amerikiečių asociacija pasmerkia dabartinį Jungtinių Valstijų ir Prancūzijos susitarimą, kuris reglamentuoja šios informacijos mainų sąlygas.

 

Europos institucijos ir įstaigos

2026 m. sausio 20 d. Europos Komisija pasiūlė naują kibernetinio saugumo priemonių paketą, kuriuo siekiama sustiprinti ES atsparumą ir pagerinti jos gebėjimą valdyti grėsmes.

Projekte pateikiamas pasiūlymas peržiūrėti kibernetinio saugumo reglamentą, kuriuo stiprinamas ES informacinių ir ryšių technologijų (IRT) tiekimo grandinių saugumas.

Taikant supaprastintą sertifikavimo procesą, užtikrinama, kad ES piliečiams skirti produktai būtų kibernetiniu požiūriu saugūs nuo pat projektavimo etapo.

Tai taip pat palengvina galiojančių ES kibernetinio saugumo taisyklių laikymąsi ir sustiprina Europos Sąjungos kibernetinio saugumo agentūros (ENISA) vaidmenį remiant valstybes nares ir ES valdant kibernetinio saugumo grėsmes.

Sausio 27 d. Europos Komisija ir Brazilija priėmė du abipusius sprendimus dėl tinkamumo, patvirtinančius, kad jų duomenų apsaugos lygis yra panašus.

„Pripažįstant aukštus duomenų apsaugos standartus, kurie apsaugo abiejų pusių vartotojus ir piliečius, šie susitarimai dabar leidžia įmonėms, valdžios institucijoms ir tyrėjams laisvai keistis duomenimis tarp ES ir Brazilijos.“

Komisija sausio 26 d. pradėjo naują oficialų tyrimą prieš X pagal Skaitmeninių paslaugų reglamentą (DSR).

Ji įtaria, kad į X integruotos „Grok“ funkcijos kelia neįvertintą ir nesumažintą neteisėto turinio, pavyzdžiui, seksualiai provokuojančių manipuliuojamų vaizdų, įskaitant turinį, kuris gali būti vaikų pornografija, kūrimo ir platinimo riziką.

Ji taip pat pratęsė 2023 m. gruodžio mėn. prieš X pradėtą oficialią procedūrą, siekdama nustatyti, ar bendrovė tinkamai įvertino ir sušvelnino visas sistemines rizikas, susijusias su jos turinio rekomendavimo sistemomis.

Taip pat sausio 26 d. Europos Komisija oficialiai paskelbė „WhatsApp“ labai didele internetine platforma (VLOP) pagal DSA, nes jos „kanalų“ funkcija pasiekė reikiamą bent 45 milijonų vartotojų ribą ES.

„Meta“ turi keturis mėnesius, iki 2026 m. gegužės vidurio, kad užtikrintų, jog „WhatsApp“ laikytųsi papildomų DSA nustatytų įsipareigojimų.

Šie įsipareigojimai apima bet kokios sisteminės rizikos, kylančios dėl jos paslaugų, vertinimą ir mažinimą, pavyzdžiui, pagrindinių žmogaus teisių ir saviraiškos laisvės pažeidimų, rinkimų manipuliavimo, neteisėto turinio platinimo ir privatumo problemų.

Europos duomenų apsaugos valdyba (EDAV) ir Europos duomenų apsaugos priežiūros pareigūnas (EDPP) sausio 21 d. priėmė bendrą nuomonę dėl Europos Komisijos pasiūlymo dėl „Skaitmeninio dirbtinio intelekto omnibuso“, kuriuo siekiama supaprastinti tam tikrų suderintų Dirbtinio intelekto reglamente numatytų taisyklių įgyvendinimą, siekiant užtikrinti veiksmingą jo taikymą.

Abi institucijos pritaria tikslui spręsti praktinius iššūkius, susijusius su teisės aktų įgyvendinimu, tačiau pabrėžia, kad administracinis supaprastinimas neturi sumažinti pagrindinių teisių apsaugos. Reguliavimo institucijos mano, kad kai kurie siūlomi pakeitimai galėtų pakenkti asmenų apsaugai dirbtinio intelekto kontekste.

 

Naujienos iš Europos Sąjungos šalių narių.

Graikijoje Duomenų apsaugos tarnyba (DPA) paskelbė įspėjimą dėl „išmaniosios policijos“ sistemos, apimančios išmaniuosius nešiojamus įrenginius, kuriuos patruliai naudoja piliečių, atliekančių patikrinimus vietoje, tapatybei nustatyti ir patikrinti naudodami biometrinius duomenis, diegimo. DPA mano, kad šis duomenų tvarkymas yra neteisėtas, nes tai nėra konkrečiai numatyta galiojančiuose teisės aktuose.

Ispanijos duomenų apsaugos tarnyba (APD) skyrė 1 200 000 eurų baudą „IDCQ Hospitals and Health“ grupei. už per greitą pacientų duomenų ištrynimą, dėl ko ji negalėjo įvykdyti savo pareigos informuoti atitinkamus asmenis.

Norvegijos duomenų apsaugos tarnyba (APD) skyrė 250 000 NOK (maždaug 25 000 eurų) baudą bendrovei „Timegrip AS“ už neteisėtą atsisakymą suteikti buvusiems darbuotojams prieigą prie jų darbo laiko įrašų po to, kai jų darbdavys bankrutavo, ir už tai, kad ši melagingai prisistatė tik subrangovu, nors iš tikrųjų kontroliavo asmens duomenis.

Visų pirma, „Timegrip“ po bankroto prisiėmė atsakingos šalies statusą, būdama vienintele įmone, techniškai ir praktiškai kontroliuojančia duomenis.

Lenkijos duomenų apsaugos tarnybos (APD) pirmininkas skyrė 978 000 PLN (250 000 EUR) administracinę baudą bendrovei „Poczta Polska SA“ už tai, kad ji neužtikrino duomenų apsaugos pareigūno (DAP) nepriklausomumo.

Priežiūros institucija nustatė, kad bendrovė leido kilti interesų konfliktui vykdant duomenų apsaugos pareigūno pareigas.

Jungtinėje Karalystėje APD skyrė 105 000 svarų sterlingų (120 000 eurų) baudą finansų maklerio ir reklamos agentūrai „ZMLUK Limited“ už tai, kad ši išsiuntė daugiau nei 67 mln. nepageidaujamų tiesioginės rinkodaros el. laiškų be atitinkamų asmenų sutikimo arba be pagrįstos išimties.

Švedijos duomenų apsaugos tarnyba (APD) skyrė subrangovui „Sportadmin i Skandinavien AB“ 6 000 000 Švedijos kronų (560 000 eurų) baudą. skaitmeninių paslaugų teikėja sporto klubams ir asociacijoms po kibernetinės atakos, paviešintos daugiau nei 2,1 mln. žmonių asmens duomenys.

Subrangovas buvo pripažintas kaltu dėl nepakankamų saugumo priemonių įdiegimo, pažeidžiant BDAR 32 straipsnį.

Šveicarijos vyriausybė nori išplėsti stebėjimą internete, peržiūrėdama pašto korespondencijos ir telekomunikacijų stebėjimo potvarkį.

Pasiūlymas gerokai padidintų saugomų asmens duomenų kiekį, įpareigojant didelius ryšių paslaugų teikėjus saugoti metaduomenis ir praktiškai visiems paslaugų teikėjams nustatant naudotojų identifikavimo reikalavimus.

Šios organizacijos turėtų saugoti šiuos duomenis mažiausiai šešis mėnesius ir padėti teisėsaugos institucijoms iššifruoti jų turinį. Devyniolika pilietinės visuomenės organizacijų išsiuntė laišką Šveicarijos federaliniam teisingumo ir policijos departamentui, išreikšdamos savo susirūpinimą.

 

Jungtinėje Karalystėje APD skyrė 105 000 svarų sterlingų (120 000 eurų) baudą finansų maklerio ir reklamos agentūrai „ZMLUK Limited“ už tai, kad ši išsiuntė daugiau nei 67 mln. nepageidaujamų tiesioginės rinkodaros el. laiškų be atitinkamų asmenų sutikimo arba be pagrįstos išimties.

Šveicarijos vyriausybė nori išplėsti internetinę stebėseną peržiūrint įsakymą dėl pašto korespondencijos ir telekomunikacijų stebėjimo.

Pasiūlymas gerokai padidintų saugomų asmens duomenų kiekį, įpareigojant didelius ryšių paslaugų teikėjus saugoti metaduomenis ir praktiškai visiems paslaugų teikėjams nustatant naudotojų identifikavimo reikalavimus.

Jie turėtų saugoti šiuos duomenis mažiausiai šešis mėnesius ir padėti teisėsaugos institucijoms iššifruoti jų turinį.

19 pilietinės visuomenės organizacijų išsiuntė laišką Šveicarijos federaliniam teisingumo ir policijos departamentui, kuriame išreiškė savo susirūpinimą.

2026 m. vasario 3 d. Jungtinių Valstijų Atstovų Rūmų Teismų komitetas paskelbė ataskaitą, kurioje puolamas Europos skaitmeninių paslaugų įstatymas (DSA), pavadindamas jį cenzūros įrankiu. „Užsienio cenzūros grėsmė, II dalis: dešimt metų Europos kampanija cenzūruoti pasaulinį internetą ir jos žalingos pasekmės saviraiškos laisvei Jungtinėse Valstijose“

Šioje ataskaitoje kelios Europos NVO, įskaitant „Bits of Freedom“ ir „Justice for Prosperity“, apibūdinamos kaip „cenzūros NVO“.

Penkios sankcijos, apie kurias anksčiau buvo pranešta šiame naujienlaiškyje, jau buvo pritaikytos europiečiams, dalyvaujantiems taikant DSA, atliekant tyrimus ir kritikuojant platformų galią, taikant draudimus atvykti į Jungtines Valstijas.

Europos Komisija per savo atstovą spaudai atsakė primindama, kad Skaitmeninių paslaugų akte atsakomybė priskiriama ten, kur ji ir priklauso, būtent internetinėms platformoms.

Australijos draudimas naudotis socialiniais tinklais jaunesniems nei 16 metų asmenims tapo tarptautiniu modeliu. nepaisant ankstyvuosiuose įgyvendinimo etapuose nustatytų trūkumų. Todėl Europos Sąjunga, Jungtinė Karalystė ir Jungtinės Valstijos atidžiai stebi Australijos patirtį, o kai kurios šalys jau pateikė panašius teisėkūros pasiūlymus, kaip vasario 5 d. straipsnyje pažymėjo IAPP (Tarptautinė privatumo specialistų asociacija).