Právny prehľad č. 91 – január 2026. 

 

Zabezpečenie údajov vzhľadom na sankciu „France Travail“.

Sankcia, ktorú 29. januára prijala CNIL proti organizácii France Travail, je príkladná v tom, že nám pripomína základné prvky účinnej bezpečnostnej politiky.

V kontexte rastúceho hromadného narušenia údajov CNIL zdôrazňuje tri základné aspekty ochrany údajov:

• Robustná autentifikácia,
• Efektívna ťažba dreva,
• Autorizačná politika prispôsobená zodpovednostiam agentov.

Sankcia CNIL vo výške 5 miliónov eur je najnovším krokom v prípade, ktorý sa začal v roku 2024, keď sa hackerom podarilo získať prístup k účtom poradcov spoločnosti Cap Emploi.

Tento prístup im umožnil pripojiť sa k údajom všetkých ľudí registrovaných vo France Travail alebo tých, ktorí boli registrovaní v posledných 20 rokoch, ako aj ľudí s kandidátskym priestorom na francetravail.fr.

To znamená, že hackeri si mohli stiahnuť údaje viac ako 36 miliónov ľudí.

Pokiaľ ide o zodpovednosť, treba poznamenať, že hoci sa CNIL nevyhýba zodpovednosti poradcov Cap Emploi, trvá na hlavnej zodpovednosti organizácie France Travail.

• Spoločnosť France Travail je zodpovedná za „iniciatívu na zavedenie a riadenie opatrení určených na zaistenie bezpečnosti informačného systému, ku ktorému sprístupnila spoločnosti Cap Emploi (...).“
• Bola to aj organizácia France Travail, ktorá sa rozhodla ignorovať predchádzajúce odporúčania analýzy vplyvu týkajúce sa autentifikácie.

Časové obmedzenia spojené s technickými ťažkosťami pri implementácii by ho prinútili ignorovať tieto opatrenia.

V tejto súvislosti CNIL opakuje svoju doktrínu o autentifikácii a špecifikuje, že používanie hesiel musí byť doplnené dodatočnými opatreniami (captcha, časové oneskorenie prístupu alebo blokovanie účtu po maximálne desiatich nesprávnych pokusoch), pokiaľ heslo nie je zložené z: minimálne 12 znakov vrátane veľkých písmen, malých písmen, číslic a špeciálnych znakov; alebo minimálne 14 znakov vrátane veľkých písmen, malých písmen a číslic bez povinných špeciálnych znakov; alebo frázy obsahujúcej minimálne 7 slov.

V tomto konkrétnom prípade malo heslo iba osem znakov a autentifikačná politika stanovovala prahovú hodnotu 50 neúspešných pokusov pred uzamknutím prístupu k virtuálnym počítačom poradcov. 

Spoločnosť France Travail, ktorá spracováva veľké množstvo citlivých údajov, ktoré sa týkajú napríklad pôvodu zdravotného postihnutia, obmedzení pracovnej stanice, vývoja situácie so zdravotným postihnutím a podmienok prístupu, mala byť oveľa prísnejšia.

Mali najmä zabezpečiť viacfaktorové overovanie, čo je doktrína, ktorá je podľa CNIL nevyhnutná najmä pre spracovanie citlivých údajov a spracovanie alebo operácie, ktoré predstavujú riziko pre dotknuté osoby.

„Ťažkosti s používaním telefónu ako druhého faktora z dôvodu nezávislosti spoločnosti Cap Emploi sa dali prekonať inými opatreniami, napríklad distribúciou kalkulačiek OTP (jednorazových hesiel) zamestnancom (...).“

CNIL tiež zdôrazňuje zásadnú úlohu opatrení týkajúcich sa ťažby dreva.

Tieto opatrenia neumožnili odhaliť abnormálne správanie informačného systému, v tomto prípade abnormálne objemy sťahovaných údajov.

Spravodajca CNIL kritizuje France Travail za nedostatok pravidelného automatického monitorovania protokolov na odhaľovanie a analýzu bezpečnostných incidentov a na zabezpečenie rýchlej a účinnej reakcie.

„Vykonané operácie boli veľmi abnormálne vzhľadom na načasovanie a frekvenciu žiadostí, značný objem extrahovaných údajov (25 GB údajov typu „text“), mieru chybovosti určitých požiadaviek (69 % na jednom z kompromitovaných účtov (...) a skutočnosť, že údaje boli extrahované, hoci činnosť poradcov Cap Emploi si nevyžaduje významnú spotrebu zdrojov ani významnú extrakciu údajov (napríklad len v utorok 6. februára 2024 bolo extrahovaných 9 GB údajov, čo by zodpovedalo viac ako 13 miliónom záznamov pre jedného poradcu za jediný deň).“

CNIL nakoniec trvá na dôležitosti obmedzenia prístupových oprávnení na potreby a funkcie zamestnancov.

Poznamenáva, že nastavenia účtov poradcov boli definované príliš široko, čo im umožňovalo prístup k údajom ľudí, ktorým nevenovali podporu, čo zvýšilo objem údajov dostupných útočníkom.

CNIL odôvodňuje výšku pokuty rozhodnutím spoločnosti France Travail nevykonať odporúčania z jej analýzy vplyvu, čo viedlo k ohrozeniu osobných údajov viac ako 36,8 milióna ľudí vrátane údajov podliehajúcich osobitnej ochrane, ako je NIR, ktoré predstavujú špecifické riziká uzurpácie alebo prepojenia z dôvodu ich významnej, jedinečnej a trvalej povahy.

Môže sa zdať samozrejmé, že na zaistenie bezpečnosti systému by sa nemalo čakať na narušenie údajov.

Treba tiež poznamenať, že CNIL pravidelne sankcionuje porušenia bezpečnostnej povinnosti bez toho, aby boli nevyhnutne príčinou úniku údajov, ako napríklad nedostatočne robustná politika hesiel.

Bezpečnosť údajov patrila aj medzi hlavné predmety sankcií dozorného orgánu v roku 2025, ako sa uvádza v jeho správe zverejnenej začiatkom februára.

 

Únik údajov, ktorý zostal osemnásť mesiacov bez povšimnutia, zasiahol jednu z hlavných digitálnych dôveryhodných spoločností vo Francúzsku.

Platforma na overovanie identity a predchádzanie podvodom Sumsub hlási, že v júli 2024 došlo k „bezpečnostnému incidentu“.

Spoločnosť sa o narušení dozvedela až po bezpečnostnom audite, ktorý sa uskutočnil v januári 2026. Kybernetický útok je, rovnako ako v prípade spoločnosti France Travail, založený na kompromitácii tretej strany.

Medzi ohrozené údaje patria mená, e-mailové adresy a telefónne čísla.

Dňa 30. decembra 2025 CNIL uložila pokutu vo výške 3,5 milióna eur. spoločnosti, ktorej meno, žiaľ, nezverejňuje, za to, že počas šiestich rokov pravidelne prenášala údaje členov svojho vernostného programu na sociálnu sieť na účely cielenej reklamy bez platného súhlasu.

Po verejnej konzultácii zverejnila CNIL 16. januára svoje odporúčania týkajúce sa získavania súhlasu z viacerých zariadení. (naprieč zariadeniami) v kontexte používania súborov cookie a iných sledovacích nástrojov.

Cieľom je pomôcť zainteresovaným stranám získať súhlas, ktorý je v súlade s požiadavkami GDPR, a najmä zabezpečiť transparentný zber súhlasu.

Komisia 14. januára zverejnila aj dve mapy so zoznamom schválených certifikácií a kódexov správania. vnútroštátnymi orgánmi alebo Európskym výborom pre ochranu údajov (EDPB) od nadobudnutia účinnosti GDPR s cieľom uľahčiť identifikáciu dostupných nástrojov na zabezpečenie súladu.

Napokon, v kontexte komunálnych volieb 15. a 22. marca nám CNIL pripomína osvedčené postupy v politickej kampani a znovu aktivuje svoje volebné pozorovateľské stredisko.

Jeho cieľom je zabezpečiť, aby politické strany a kandidáti vo svojej praxi zohľadňovali právne predpisy o ochrane údajov.

Umožňuje najmä monitorovanie žiadostí adresovaných CNIL v kontexte volebných kampaní, ako sú napríklad žiadosti o poradenstvo od kandidátov alebo hlásenia o nekalých praktikách.

Začiatkom februára štát prijal tri záväzky v prospech digitálnej suverenity:

• Pokiaľ ide o zdravotné údaje, vyhlásil výzvu na predkladanie ponúk na zverenie zdravotných údajov francúzskych občanov „bezpečnej európskej platforme“.
• Vo všeobecnosti sa štát zaviazal masívne smerovať svoje verejné obstarávanie k francúzskym a európskym riešeniam a investovať do nich 4,5 miliardy eur.

Podľa Davida Amiela, ministra delegáta pre štátnu službu, „je naliehavo potrebné detoxikovať sa od amerických riešení.“

• Napokon, nedávno zverejnený obežník premiéra stanovuje, že administratívy by mali uprednostňovať trhové riešenia (namiesto interného vývoja) za predpokladu, že spĺňajú kritériá suverenity a bezpečnosti.

Štátna rada 30. januára 2026 rozhodla v prospech CNIL v kontexte sporu týkajúceho sa algoritmického sledovania, v ktorom CNIL stála proti mestu Nice.

Potvrdzuje, že algoritmické spracovanie obrazov z CCTV kamier umiestnených pri vchodoch do škôl, ktoré zaviedla obec, nie je podľa súčasných zákonov povolené. 

Hoci zákon o vnútornej bezpečnosti povoľuje implementáciu systémov video monitorovania vo verejných priestoroch, nemožno ho svojím mlčaním „vykladať tak, že povoľuje implementáciu algoritmického spracovania umožňujúceho systematickú a automatizovanú analýzu obrazov zhromaždených vo verejných priestoroch prostredníctvom takýchto systémov. Žiadne iné ustanovenie nepovoľuje implementáciu takéhoto spracovania.“

„Náhodní“ Američania žiadajú CNIL o pozastavenie prenosu ich bankových údajov do Spojených štátov.

V súlade so zákonom o daňovej povinnosti v oblasti zahraničných účtov (FATCA) musia francúzske bankové inštitúcie poskytovať americkým daňovým úradom veľké množstvo citlivých údajov o sebe, aby mohli bojovať proti možným podvodom – Američania musia skutočne deklarovať svoj príjem v Spojených štátoch bez ohľadu na to, kde na svete bývajú.

Asociácia náhodne stratených Američanov odsudzuje súčasnú dohodu medzi Spojenými štátmi a Francúzskom, ktorá upravuje podmienky zdieľania týchto informácií.

 

Európske inštitúcie a orgány

Európska komisia 20. januára 2026 navrhla nový balík opatrení v oblasti kybernetickej bezpečnosti zameraných na posilnenie odolnosti EÚ a zlepšenie jej schopnosti zvládať hrozby.

Projekt zahŕňa návrh na revíziu nariadenia o kybernetickej bezpečnosti, ktoré posilňuje bezpečnosť dodávateľských reťazcov informačných a komunikačných technológií (IKT) v EÚ.

Zabezpečuje, aby boli produkty určené pre občanov EÚ kyberneticky bezpečné už od fázy návrhu prostredníctvom zjednodušeného certifikačného procesu.

Taktiež uľahčuje dodržiavanie existujúcich pravidiel EÚ v oblasti kybernetickej bezpečnosti a posilňuje Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA) v jej úlohe podporovať členské štáty a EÚ pri riadení kybernetických hrozieb.

Európska komisia a Brazília prijali 27. januára dve vzájomné rozhodnutia o primeranosti, ktorými potvrdili, že ich úrovne ochrany údajov sú porovnateľné.

„Uznávajúc vysoké štandardy ochrany údajov, ktoré chránia spotrebiteľov a občanov na oboch stranách, tieto dohody teraz umožňujú podnikom, verejným orgánom a výskumníkom voľne si vymieňať údaje medzi EÚ a Brazíliou.“

Komisia začala 26. januára nové formálne vyšetrovanie proti spoločnosti X podľa nariadenia o digitálnych službách (DSA).

Má podozrenie, že funkcie Grok integrované do X nesú neprehodnotené a nezmiernené riziká generovania a distribúcie nelegálneho obsahu, ako sú sexuálne explicitné manipulované obrázky vrátane obsahu, ktorý môže predstavovať detskú pornografiu.

Taktiež predĺžila formálne konanie začaté v decembri 2023 proti spoločnosti X s cieľom určiť, či spoločnosť riadne posúdila a zmiernila všetky systémové riziká súvisiace s jej systémami odporúčania obsahu.

Taktiež 26. januára Európska komisia oficiálne označila WhatsApp za veľmi veľkú online platformu (VLOP) v rámci DSA, keďže jej funkcia „Kanály“ dosiahla požadovaný limit najmenej 45 miliónov používateľov v EÚ.

Spoločnosť Meta má štyri mesiace, do polovice mája 2026, na to, aby zabezpečila, že WhatsApp bude spĺňať dodatočné povinnosti uložené zákonom o digitálnych službách.

Tieto povinnosti zahŕňajú posudzovanie a zmierňovanie akýchkoľvek systémových rizík, ako sú porušovanie základných ľudských práv a slobody prejavu, manipulácia s voľbami, šírenie nelegálneho obsahu a problémy so súkromím, ktoré vyplývajú z jej služieb.

Európsky výbor pre ochranu údajov (EDPB) a Európsky dozorný úradník pre ochranu údajov (EDPS) prijali 21. januára spoločné stanovisko k návrhu Európskej komisie na „Digitálny omnibus o umelej inteligencii“, ktorého cieľom je zjednodušiť implementáciu určitých harmonizovaných pravidiel stanovených v nariadení o umelej inteligencii s cieľom zabezpečiť jeho účinné uplatňovanie.

Oba orgány podporujú cieľ riešiť praktické výzvy súvisiace s vykonávaním právnych predpisov, ale zdôrazňujú, že administratívne zjednodušenie nesmie znížiť ochranu základných práv. Regulačné orgány sa domnievajú, že niektoré z navrhovaných zmien by mohli ohroziť ochranu jednotlivcov v kontexte umelej inteligencie.

 

Správy z členských krajín Európskej únie.

V Grécku vydal Úrad na ochranu údajov (DPA) varovanie pred zavádzaním systému „inteligentnej polície“, ktorý zahŕňa používanie inteligentných nositeľných zariadení hliadkami na zisťovanie a overovanie totožnosti občanov podstupujúcich kontroly na mieste pomocou biometrických údajov. DPA považuje toto spracovanie za nezákonné, pretože nie je výslovne stanovené v súčasných právnych predpisoch.

Španielsky úrad na ochranu údajov (APD) udelil skupine nemocníc a zdravotníctva IDCQ pokutu vo výške 1 200 000 eur. za príliš rýchle vymazanie údajov o pacientoch, čo jej zabránilo splniť si povinnosť informovať dotknuté osoby.

Nórsky úrad na ochranu údajov (APD) udelil spoločnosti Timegrip AS pokutu 250 000 NOK (približne 25 000 eur) za to, že nezákonne odmietla bývalým zamestnancom prístup k záznamom o ich pracovnom čase po tom, čo ich zamestnávateľ vyhlásil bankrot, a za to, že sa falošne prezentovala ako obyčajný subdodávateľ, pričom vykonávala efektívnu kontrolu nad osobnými údajmi.

Spoločnosť Timegrip najmä po vyhlásení bankrotu prevzala postavenie zodpovednej strany, keďže bola jediným subjektom, ktorý vykonával technickú a praktickú kontrolu nad údajmi.

Predseda poľského úradu na ochranu údajov (APD) uložil spoločnosti Poczta Polska SA administratívnu pokutu vo výške 978 000 PLN (250 000 EUR) za to, že nezaručila nezávislosť zodpovednej osoby (DPO).

Dozorný orgán zistil, že spoločnosť pri výkone povinností zodpovednej osoby umožnila konflikt záujmov.

V Spojenom kráľovstve uložil úrad pre finančnú politiku (APD) spoločnosti ZMLUK Limited, ktorá sa zaoberá sprostredkovaním financií a reklamou, pokutu 105 000 libier (120 000 eur) za odoslanie viac ako 67 miliónov nevyžiadaných e-mailov s priamym marketingom bez súhlasu dotknutých osôb alebo bez platnej výnimky.

Švédsky úrad na ochranu údajov (APD) udelil subdodávateľovi, spoločnosti Sportadmin i Skandinavien AB, pokutu vo výške 6 000 000 SEK (560 000 EUR). poskytovateľ digitálnych služieb pre športové kluby a združenia po kybernetickom útoku, ktorý odhalil osobné údaje viac ako 2,1 milióna ľudí.

Subdodávateľ bol uznaný vinným z nezavedenia dostatočných bezpečnostných opatrení, čím porušil článok 32 GDPR.

Švajčiarska vláda chce rozšíriť online dohľad revíziou nariadenia o dohľade nad poštovou korešpondenciou a telekomunikáciami.

Návrh by výrazne zvýšil množstvo uchovávaných osobných údajov tým, že by od veľkých poskytovateľov komunikačných služieb vyžadoval uchovávanie metadát a prakticky všetkým poskytovateľom služieb by sa uložila povinnosť identifikovať používateľa.

Tieto organizácie by mali tieto údaje uchovávať najmenej šesť mesiacov a pomôcť orgánom činným v trestnom konaní dešifrovať ich obsah. Devätnásť organizácií občianskej spoločnosti zaslalo list švajčiarskemu Federálnemu ministerstvu spravodlivosti a polície, v ktorom vyjadrilo svoje obavy.

 

V Spojenom kráľovstve uložil úrad pre finančnú politiku (APD) spoločnosti ZMLUK Limited, ktorá sa zaoberá sprostredkovaním financií a reklamou, pokutu 105 000 libier (120 000 eur) za odoslanie viac ako 67 miliónov nevyžiadaných e-mailov s priamym marketingom bez súhlasu dotknutých osôb alebo bez platnej výnimky.

Švajčiarska vláda chce rozšíriť online dohľad revíziou nariadenia o sledovaní poštovej korešpondencie a telekomunikácií.

Návrh by výrazne zvýšil množstvo uchovávaných osobných údajov tým, že by od veľkých poskytovateľov komunikačných služieb vyžadoval uchovávanie metadát a prakticky všetkým poskytovateľom služieb by sa uložila povinnosť identifikovať používateľa.

Tieto údaje by mali uchovávať najmenej šesť mesiacov a pomôcť orgánom činným v trestnom konaní dešifrovať ich obsah.

19 organizácií občianskej spoločnosti zaslalo list švajčiarskemu federálnemu ministerstvu spravodlivosti a polície, v ktorom vyjadrili svoje obavy.

Dňa 3. februára 2026 zverejnil Výbor pre súdnictvo Snemovne reprezentantov Spojených štátov správu, v ktorej útočí na Európsky zákon o digitálnych službách (DSA) a označuje ho za nástroj cenzúry. „Hrozba zahraničnej cenzúry, časť II: Desaťročná európska kampaň za cenzúru globálneho internetu a jej škodlivé dôsledky pre slobodu prejavu v Spojených štátoch“

V tejto správe je niekoľko európskych mimovládnych organizácií vrátane Bits of Freedom a Justice for Prosperity označených za „mimovládne organizácie zaoberajúce sa cenzúrou“.

Päť sankcií, o ktorých sme už informovali v tomto bulletine, už bolo uvalených vo forme zákazov vstupu do Spojených štátov voči Európanom zapojeným do uplatňovania DSA, výskumu a kritiky vplyvu platforiem.

Európska komisia reagovala prostredníctvom svojho hovorcu pripomenula, že zákon o digitálnych službách (DSA) kladie zodpovednosť tam, kam patrí, a to na online platformy.

Zákaz sociálnych médií pre maloletých mladších ako 16 rokov v Austrálii sa stal medzinárodným modelom. napriek nedostatkom zisteným v počiatočných fázach jeho implementácie. Európska únia, Spojené kráľovstvo a Spojené štáty preto pozorne sledujú skúsenosti Austrálie, pričom niektoré krajiny už predložili podobné legislatívne návrhy, ako uviedla IAPP (Medzinárodná asociácia profesionálov v oblasti ochrany súkromia) v článku z 5. februára.