Juridiskā uzraudzība Nr. 91 — 2026. gada janvāris. 

 

Datu aizsardzība, ņemot vērā sankcijas "Francija strādā".

CNIL 29. janvārī pieņemtā sankcija pret France Travail ir priekšzīmīga, jo tā atgādina mums par efektīvas drošības politikas būtiskajiem elementiem.

Pieaugot masveida datu noplūžu skaitam, CNIL uzsver trīs datu aizsardzības pamataspektus:

• Stabila autentifikācija,
• Efektīva mežizstrāde,
• Autorizācijas politika, kas pielāgota aģentu pienākumiem.

CNIL sankcija 5 miljonu eiro apmērā ir jaunākais akts lietā, kas sākās 2024. gadā, kad hakeriem izdevās piekļūt Cap Emploi konsultantu kontiem.

Šī piekļuve ļāva viņiem pieslēgties visu to cilvēku datiem, kuri reģistrējušies France Travail vai ir reģistrējušies pēdējo 20 gadu laikā, kā arī to cilvēku datiem, kuriem ir kandidātu vieta vietnē francetravail.fr.

Tas nozīmē, ka hakeri varēja lejupielādēt vairāk nekā 36 miljonu cilvēku datus.

Runājot par atbildību, jāatzīmē, ka, lai gan CNIL neizvairās no Cap Emploi padomdevēju atbildības, tā uzstāj uz France Travail galveno atbildību.

• Uzņēmums “France Travail” ir atbildīgs par “iniciatīvu ieviest un pārvaldīt pasākumus, kas paredzēti informācijas sistēmas drošības nodrošināšanai, kurai tas ir atvēris piekļuvi uzņēmumam “Cap Emploi” (...).”
• Tieši France Travail nolēma neņemt vērā iepriekšējos ietekmes analīzes ieteikumus attiecībā uz autentifikāciju.

Laika ierobežojumi, kas saistīti ar tehniskām grūtībām ieviešanā, būtu pamudinājuši viņu ignorēt šos piesardzības pasākumus.

Šajā sakarā CNIL atkārto savu autentifikācijas doktrīnu un norāda, ka paroļu lietošanai ir nepieciešami papildu pasākumi (captcha, piekļuves laika aizkave vai konta bloķēšana pēc ne vairāk kā desmit nepareiziem mēģinājumiem), ja vien parole nesastāv no: vai nu vismaz 12 rakstzīmēm, tostarp lielajiem burtiem, mazajiem burtiem, cipariem un speciālajām rakstzīmēm; vai vismaz 14 rakstzīmēm, tostarp lielajiem burtiem, mazajiem burtiem un cipariem, bez obligātajām speciālajām rakstzīmēm; vai frāzes, kas ietver vismaz 7 vārdus.

Šajā konkrētajā gadījumā parole bija tikai astoņas rakstzīmes gara, un autentifikācijas politika noteica 50 neveiksmīgu mēģinājumu slieksni, pirms tika bloķēta piekļuve konsultantu virtuālajām mašīnām. 

France Travail, kas apstrādā lielu apjomu sensitīvu datu, piemēram, kas attiecas uz invaliditātes izcelsmi, darbstacijas ierobežojumiem, invaliditātes situācijas attīstību, piekļuves nosacījumiem vajadzēja būt daudz stingrākiem.

Jo īpaši tiem vajadzēja paredzēt daudzfaktoru autentifikāciju, kas, pēc CNIL domām, ir būtiska jo īpaši sensitīvu datu apstrādei un apstrādei vai darbībām, kas rada risku attiecīgajām personām.

“Grūtības izmantot telefonu kā otro faktoru, ņemot vērā Cap Emploi neatkarību, varēja pārvarēt ar citiem pasākumiem, piemēram, izplatot darbiniekiem vienreizējās paroles (OTP) kalkulatorus (…).”

CNIL uzsver arī mežizstrādes pasākumu būtisko lomu.

Šie pasākumi neļāva atklāt informācijas sistēmas anomālu darbību, šajā gadījumā — anomālu datu lejupielādes apjomu.

CNIL referents kritizē France Travail par regulāras automātiskas žurnālu uzraudzības trūkumu, lai atklātu un analizētu drošības incidentus un nodrošinātu ātru un efektīvu reaģēšanu.

“Veiktās darbības bija ļoti neparastas, ņemot vērā pieprasījumu laiku un biežumu, ievērojamo iegūto datu apjomu (25 GB “teksta” tipa datu), dažu pieprasījumu kļūdu līmeni (69 % vienā no kompromitētajiem kontiem (...)) un faktu, ka dati tika iegūti, lai gan Cap Emploi konsultantu darbība neprasa ievērojamu resursu patēriņu vai ievērojamu datu ieguvi (piemēram, tikai otrdien, 2024. gada 6. februārī, tika iegūti 9 GB datu, kas atbilstu vairāk nekā 13 miljoniem ierakstu vienam konsultantam vienas dienas laikā).”

Visbeidzot, CNIL uzstāj, ka ir svarīgi ierobežot piekļuves atļaujas darbinieku vajadzībām un funkcijām.

Viņa norāda, ka konsultantu kontu iestatījumi bija definēti pārāk plaši, ļaujot viņiem piekļūt to cilvēku datiem, kurus viņi neatbalstīja, kas palielināja uzbrucējiem pieejamo datu apjomu.

CNIL soda apmēru pamato ar France Travail izvēli neīstenot ietekmes analīzes ieteikumus, kā rezultātā tika apdraudēti vairāk nekā 36,8 miljonu cilvēku personas dati, tostarp dati, kuriem piemērojama īpaša aizsardzība, piemēram, NIR, kas sava būtiskā, unikālā un pastāvīgā rakstura dēļ rada īpašus uzurpācijas vai savstarpējas sasaistes riskus.

Varētu šķist acīmredzams secināt, ka nevajadzētu gaidīt datu noplūdi, lai nodrošinātu sistēmas drošību.

Jāatzīmē arī, ka CNIL regulāri piemēro sankcijas par drošības pienākumu pārkāpumiem, kas ne vienmēr ir datu noplūdes cēlonis, piemēram, nepietiekami spēcīga paroļu politika.

Datu drošība bija arī viens no galvenajiem uzraudzības iestādes sankciju tematiem 2025. gadā, kā norādīts februāra sākumā publicētajā ziņojumā.

 

Datu noplūde, kas pusotru gadu palika nepamanīta, ir skārusi vienu no galvenajiem digitālās uzticības uzņēmumiem Francijā.

Identitātes verifikācijas un krāpšanas novēršanas platforma Sumsub ziņo, ka 2024. gada jūlijā tā cieta "drošības incidentā".

Uzņēmums par ielaušanos uzzinājis tikko pēc drošības audita, kas tika veikts 2026. gada janvārī. Kiberuzbrukums, tāpat kā France Travail gadījumā, ir balstīts uz trešās puses kompromitāciju.

Apdraudētie dati ietver vārdus, e-pasta adreses un tālruņu numurus.

2025. gada 30. decembrī CNIL uzlika 3,5 miljonu eiro sodu. uzņēmumam, kura nosaukumu tas diemžēl neatklāj, par to, ka sešu gadu laikā regulāri ir nosūtījis savas lojalitātes programmas dalībnieku datus sociālajam tīklam reklāmas mērķauditorijas atlases nolūkos bez derīgas piekrišanas.

Pēc publiskās apspriešanas CNIL 16. janvārī publicēja savus ieteikumus par piekrišanas iegūšanu no vairākām ierīcēm. (vairākās ierīcēs) sīkfailu un citu izsekotāju izmantošanas kontekstā.

Mērķis ir palīdzēt ieinteresētajām personām iegūt piekrišanu, kas atbilst GDPR prasībām, un jo īpaši nodrošināt pārredzamu piekrišanas vākšanu.

Komisija 14. janvārī publicēja arī divas kartes, kurās uzskaitītas apstiprinātās sertifikācijas un rīcības kodeksi. ko kopš VDAR stāšanās spēkā veikušas valsts iestādes vai Eiropas Datu aizsardzības kolēģija (EDAK), lai atvieglotu pieejamo atbilstības rīku noteikšanu.

Visbeidzot, saistībā ar 15. un 22. marta pašvaldību vēlēšanām CNIL atgādina mums par labu politiskās aģitācijas praksi un atjauno vēlēšanu novērošanas centra darbību.

Izveidota 2012. gadā, tās mērķis ir nodrošināt, lai politiskās partijas un kandidāti savā darbībā ņemtu vērā datu aizsardzības tiesību aktus.

Jo īpaši tas ļauj uzraudzīt CNIL adresētos pieprasījumus vēlēšanu kampaņu kontekstā, piemēram, pieprasījumus pēc konsultācijām no kandidātiem vai ziņojumus par sliktu praksi.

Februāra sākumā valsts uzņēmās trīs saistības digitālās suverenitātes labā:

• Runājot par veselības datiem, viņš izsludināja konkursu, lai uzticētu Francijas pilsoņu veselības datus "drošai Eiropas platformai".
• Vispārīgāk runājot, valsts ir apņēmusies masveidā novirzīt savus publiskos iepirkumus Francijas un Eiropas risinājumiem, ieguldot tajos 4,5 miljardus eiro.

Kā norāda Deivids Amiels, civildienesta ministrs, "ir steidzami jāatbrīvojas no amerikāņu risinājumiem".

• Visbeidzot, nesen publicētā premjerministra apkārtrakstā ir norādīts, ka administrācijām būtu jādod priekšroka tirgus risinājumiem (nevis iekšējai izstrādei), ja vien tie atbilst suverenitātes un drošības kritērijiem.

Valsts padome 2026. gada 30. janvārī lēma par labu CNIL strīdā par algoritmisko uzraudzību, kurā tā tika nostādīta pretī Nicas pilsētai.

Viņš apstiprina, ka pašvaldības īstenotā algoritmiskā attēlu apstrāde no videonovērošanas kamerām, kas novietotas pie skolu ieejām, nav atļauta saskaņā ar spēkā esošajiem likumiem. 

Lai gan tas atļauj ieviest videonovērošanas sistēmas sabiedriskās vietās, Iekšējās drošības kodekss, tā kā tajā nav minēts, "nevar tikt interpretēts kā tāds, kas atļauj ieviest algoritmisku apstrādi, kas ļauj sistemātiski un automatizēti analizēt attēlus, kas savākti sabiedriskās vietās, izmantojot šādas sistēmas. Neviens cits noteikums neļauj ieviest šādu apstrādi".

"Nejauši" amerikāņi lūdz CNIL apturēt viņu banku datu pārsūtīšanu uz Amerikas Savienotajām Valstīm.

Saskaņā ar Ārvalstu kontu nodokļu atbilstības likumu (FATCA) Francijas banku iestādēm ir jānosūta liels daudzums sensitīvu datu par sevi Amerikas nodokļu iestādēm, lai apkarotu iespējamu krāpšanu – amerikāņiem patiešām ir jādeklarē savi ienākumi Amerikas Savienotajās Valstīs neatkarīgi no tā, kur viņi dzīvo pasaulē.

Nejaušo amerikāņu asociācija nosoda pašreizējo vienošanos starp Amerikas Savienotajām Valstīm un Franciju, kas regulē šīs informācijas apmaiņas nosacījumus.

 

Eiropas iestādes un struktūras

2026. gada 20. janvārī Eiropas Komisija ierosināja jaunu kiberdrošības pasākumu paketi, kuras mērķis ir stiprināt ES noturību un uzlabot tās spēju pārvaldīt apdraudējumus.

Projektā ir iekļauts priekšlikums pārskatīt kiberdrošības regulējumu, kas stiprina ES informācijas un komunikācijas tehnoloģiju (IKT) piegādes ķēžu drošību.

Tas nodrošina, ka ES pilsoņiem paredzētie produkti ir kiberdroši jau no izstrādes posma, izmantojot vienkāršotu sertifikācijas procesu.

Tas arī veicina atbilstību spēkā esošajiem ES kiberdrošības noteikumiem un stiprina Eiropas Savienības Kiberdrošības aģentūru (ENISA) tās lomā atbalstīt dalībvalstis un ES kiberdrošības apdraudējumu pārvaldībā.

Eiropas Komisija un Brazīlija 27. janvārī pieņēma divus savstarpējus lēmumus par atbilstību, apstiprinot, ka to datu aizsardzības līmeņi ir salīdzināmi.

"Atzīstot augstos datu aizsardzības standartus, kas aizsargā patērētājus un pilsoņus abās pusēs, šie nolīgumi tagad ļauj uzņēmumiem, valsts iestādēm un pētniekiem brīvi apmainīties ar datiem starp ES un Brazīliju."

Komisija 26. janvārī uzsāka jaunu oficiālu izmeklēšanu pret X saskaņā ar Digitālo pakalpojumu regulu (DPA).

Viņai ir aizdomas, ka X integrētās Grok funkcijas rada nenovērtētus un nemazinātus riskus saistībā ar nelegāla satura, piemēram, seksuāli nepiedienīgu manipulētu attēlu, tostarp satura, kas varētu būt bērnu pornogrāfija, ģenerēšanu un izplatīšanu.

Tā arī pagarināja 2023. gada decembrī pret X uzsākto oficiālo procedūru, lai noteiktu, vai uzņēmums ir pienācīgi novērtējis un mazinājis visus sistēmiskos riskus, kas saistīti ar tā satura ieteikšanas sistēmām.

Tāpat 26. janvārī Eiropas Komisija oficiāli atzina WhatsApp par ļoti lielu tiešsaistes platformu (VLOP) saskaņā ar DSA, jo tās “kanālu” funkcija sasniedz nepieciešamo slieksni – vismaz 45 miljonus lietotāju ES.

Uzņēmumam Meta ir četri mēneši, līdz 2026. gada maija vidum, lai nodrošinātu, ka WhatsApp ievēro DSA noteiktās papildu saistības.

Šie pienākumi ietver jebkādu sistēmisku risku, piemēram, cilvēka pamattiesību un vārda brīvības pārkāpumu, vēlēšanu manipulāciju, nelegāla satura izplatīšanas un privātuma problēmu, kas izriet no tā pakalpojumiem, novērtēšanu un mazināšanu.

Eiropas Datu aizsardzības kolēģija (EDAK) un Eiropas Datu aizsardzības uzraudzītājs (EDAU) 21. janvārī pieņēma kopīgu atzinumu par Eiropas Komisijas priekšlikumu "Digitālajam omnibusam par mākslīgo intelektu", kura mērķis ir vienkāršot dažu saskaņotu noteikumu, kas paredzēti mākslīgā intelekta regulā, īstenošanu, lai nodrošinātu tās efektīvu piemērošanu.

Abas iestādes atbalsta mērķi risināt ar tiesību aktu īstenošanu saistītās praktiskās problēmas, taču uzsver, ka administratīvā vienkāršošana nedrīkst mazināt pamattiesību aizsardzību. Regulatori uzskata, ka daži no ierosinātajiem grozījumiem varētu apdraudēt personu aizsardzību mākslīgā intelekta kontekstā.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Grieķijā Datu aizsardzības iestāde (DPA) ir izdevusi brīdinājumu par "viedās policijas" sistēmas ieviešanu, kas paredz patruļu viedierīču izmantošanu, lai, izmantojot biometriskos datus, noteiktu un pārbaudītu to pilsoņu identitāti, kuriem tiek veiktas pārbaudes uz vietas. DPA uzskata šo apstrādi par nelikumīgu, jo tā nav īpaši paredzēta spēkā esošajos tiesību aktos.

Spānijas Datu aizsardzības iestāde (APD) ir piespriedusi IDCQ Hospitals and Health grupai 1 200 000 eiro sodu. par pārāk ātru pacientu datu dzēšanu, kas tai liedza izpildīt savu pienākumu informēt attiecīgās personas.

Norvēģijas Datu aizsardzības iestāde (APD) ir piespriedusi uzņēmumam Timegrip AS 250 000 NOK (aptuveni 25 000 eiro) sodu par nelikumīgu bijušo darbinieku piekļuves liegšanu viņu darba laika uzskaitei pēc tam, kad viņu darba devējs pasludināja bankrotu, un par nepatiesu sevis uzdošanu tikai par apakšuzņēmēju, lai gan tam bija faktiska kontrole pār personas datiem.

Proti, pēc bankrota Timegrip uzņēmās atbildīgās personas statusu, būdama vienīgā vienība, kas īstenoja tehnisko un praktisko kontroli pār datiem.

Polijas Datu aizsardzības iestādes (APD) prezidents uzlika Poczta Polska SA administratīvo sodu 978 000 PLN (250 000 eiro) apmērā par datu aizsardzības speciālista (DPO) neatkarības negarantēšanu.

Uzraudzības iestāde konstatēja, ka uzņēmums ir pieļāvis interešu konfliktu DAS pienākumu izpildē.

Apvienotajā Karalistē APD sodīja finanšu brokeru un reklāmas aģentūru ZMLUK Limited ar 105 000 mārciņu (120 000 eiro) sodu par vairāk nekā 67 miljonu nevēlamu tiešā mārketinga e-pasta ziņojumu nosūtīšanu bez attiecīgo personu piekrišanas vai bez pamatota izņēmuma.

Zviedrijas Datu aizsardzības iestāde (APD) ir sodījusi apakšuzņēmēju Sportadmin i Skandinavien AB ar 6 000 000 SEK (560 000 eiro) sodu. digitālo pakalpojumu sniedzējs sporta klubiem un asociācijām pēc tam, kad kiberuzbrukuma rezultātā tika atklāti vairāk nekā 2,1 miljona cilvēku personas dati.

Apakšuzņēmējs tika atzīts par vainīgu pietiekamu drošības pasākumu neieviešanā, tādējādi pārkāpjot GDPR 32. pantu.

Šveices valdība vēlas paplašināt tiešsaistes uzraudzību, pārskatot rīkojumu par pasta korespondences un telekomunikāciju uzraudzību.

Priekšlikums būtiski palielinātu glabāto personas datu apjomu, pieprasot lieliem sakaru pakalpojumu sniedzējiem saglabāt metadatus un nosakot lietotāju identifikācijas prasības praktiski visiem pakalpojumu sniedzējiem.

Šīm organizācijām šie dati būtu jāglabā vismaz sešus mēnešus un jāpalīdz tiesībaizsardzības iestādēm atšifrēt to saturu. Deviņpadsmit pilsoniskās sabiedrības organizācijas ir nosūtījušas vēstuli Šveices Federālajai Tieslietu un policijas departamentam, paužot savas bažas.

 

Apvienotajā Karalistē APD sodīja finanšu brokeru un reklāmas aģentūru ZMLUK Limited ar 105 000 mārciņu (120 000 eiro) sodu par vairāk nekā 67 miljonu nevēlamu tiešā mārketinga e-pasta ziņojumu nosūtīšanu bez attiecīgo personu piekrišanas vai bez pamatota izņēmuma.

Šveices valdība vēlas paplašināt tiešsaistes uzraudzību pārskatot rīkojumu par pasta korespondences un telekomunikāciju uzraudzību.

Priekšlikums būtiski palielinātu glabāto personas datu apjomu, pieprasot lieliem sakaru pakalpojumu sniedzējiem saglabāt metadatus un nosakot lietotāju identifikācijas prasības praktiski visiem pakalpojumu sniedzējiem.

Viņiem šie dati jāglabā vismaz sešus mēnešus un jāpalīdz tiesībaizsardzības iestādēm atšifrēt to saturu.

19 pilsoniskās sabiedrības organizācijas ir nosūtījušas vēstuli Šveices Federālajai Tieslietu un policijas ministrijai, paužot savas bažas.

2026. gada 3. februārī Amerikas Savienoto Valstu Pārstāvju palātas Tieslietu komiteja publicēja ziņojumu, kurā kritizēja Eiropas digitālo pakalpojumu likumu (DSA), nosaucot to par cenzūras instrumentu. "Ārzemju cenzūras draudi, II daļa: Eiropas desmit gadus ilgā kampaņa globālā interneta cenzēšanai un tās kaitīgās sekas vārda brīvībai Amerikas Savienotajās Valstīs"

Šajā ziņojumā vairākas Eiropas NVO, tostarp “Bits of Freedom” un “Justice for Prosperity”, tiek raksturotas kā “cenzūras NVO”.

Piecas sankcijas, par kurām iepriekš ziņots šajā informatīvajā biļetenā, jau ir noteiktas ieceļošanas aizliegumu veidā Amerikas Savienotajās Valstīs pret eiropiešiem, kas iesaistīti DSA piemērošanā, platformu ietekmes izpētē un kritikā.

Eiropas Komisija ar sava pārstāvja starpniecību atbildēja, atgādinot, ka DSA uzliek atbildību tur, kur tai jābūt, proti, tiešsaistes platformām.

Austrālijas aizliegums sociālajos tīklos personām, kas jaunākas par 16 gadiem, ir kļuvis par starptautisku modeli. neskatoties uz trūkumiem, kas tika konstatēti tā ieviešanas sākumposmā. Tādēļ Eiropas Savienība, Apvienotā Karaliste un Amerikas Savienotās Valstis rūpīgi uzrauga Austrālijas pieredzi, un dažas valstis jau ir iesniegušas līdzīgus likumdošanas priekšlikumus, kā 5. februāra rakstā atzīmēja IAPP (Starptautiskā privātuma speciālistu asociācija).