Úniky údajov: CNIL bije na poplach a my s tým súhlasíme.
Pred dvoma týždňami mi jeden manažér v panike zavolal. Jeden z jeho poskytovateľov služieb práve utrpel kybernetický útok. Súbory jeho zákazníkov, o ktorých si myslel, že sú dobre chránené „certifikovaným“ poskytovateľom SaaS, boli na verejnosti. Prvá otázka, ktorú mi položil, bola: „No, to je ich problém, však?“ Nuž, nie. Je to aj jeho problém. A presne to je jeden z kľúčových poznatkov z výročnej správy, ktorú zverejnila spoločnosť... CNIL 18. mája: úniky údajov explodovať a subdodávateľský reťazec je takmer vždy v rovnici.
6 167 oznámení o únik údajov zaznamenaných v roku 2025. Rekordných 9,5 % viac ako v roku 2024 a prvý štvrťrok 2026 už sleduje rovnaký trend s 2 730 incidentmi. Za týmito číslami stoja milióny postihnutých Francúzov, otrasené podniky a jasný odkaz od Marie-Laure Denisovej, prezidentky CNIL tam kybernetická bezpečnosť situácia štátu, ako aj situácia spoločností, je „ďaleko od uspokojivej“.
Stručne povedané
- Absolútny rekord úniky údajov Vo Francúzsku v roku 2025: 6 167 oznámení, +9,5 % za jeden rok a prvý štvrťrok 2026 tento trend potvrdzuje.
- THE úniky údajov sú čoraz rozsiahlejšie, pričom v popredí je verejná správa, a veľmi často zahŕňajú poskytovateľa služieb.
- Hodnotiaci a zmluvný rámec Subdodávateľ GDPR stali sa primárnou povinnosťou: a DPA Základom je dodržiavanie predpisov, audity a monitorovanie.
- Viacfaktorové overovanie (MFA) je teraz mierou, ktorou CNIL štandardne čaká. V roku 2026 sa 50 % svojich ovládacích prvkov zameria na kybernetická bezpečnosť.
- Postup oznámenie o porušení testované, aktualizácia register spracovateľských činností a realizácia AIPD urobte v ten veľký deň veľký rozdiel.
- Súlad sa nepreukazuje úmyslami, ale dokumentmi: presne o to ide.zodpovednosť.
Čo (naozaj) hovorí výročná správa CNIL
„Čoraz masívnejšie“ porušenia
Správa nielenže počíta. Vykresľuje obraz. Približne štyridsať incidentov v roku 2025 postihlo viac ako milión ľudí – o desať viac ako v roku 2024. Verejná správa je na čele s 19 miliónmi hlásených incidentov, nasledovaná zdravotníctvom, sociálnymi službami a potom finančnými a poisťovacími činnosťami. A to nie je všetko: toto číslo nezahŕňa ani kybernetické útoky na softvér Weda a Harvest, ktoré samy o sebe vygenerovali viac ako 11 600 oznámení zákazníkom. Jeden incident v hornej časti siete, tisíce podnikov v hornej časti siete. To hovorí za všetko.
Tri lekcie, ktoré si treba osvojiť
Tam CNIL Vyplývajú tri kľúčové poznatky, ktoré by mal každý líder uviesť na prominentnom mieste vo výkonnom výbore. Po prvé: nikto nie je ušetrený. Športové federácie, hotelové reťazce, vzájomné poisťovne, miestne samosprávy, malé a stredné podniky, ako aj veľké korporácie – táto hrozba už nemá typický profil. Po druhé: úniky údajov Týkajú sa čoraz väčších objemov. Po tretie, a tu sa téma nadväzuje na naše predchádzajúce články: tieto incidenty sa často týkajú poskytovateľov služieb. Subdodávateľ GDPR sa stal najexponovanejším odkazom.
Metóda útočníkov sa stáva bežnou.
Hacking predstavuje polovicu všetkých hlásených incidentov. Za týmto slovom sa skrýva celá škála problémov: ransomvér, phishing, zneužitie prihlasovacích údajov, krádež legitímnych používateľských účtov. Popri tom 13 incidentov pramení z nesprávneho príjemcu, ktorý bol skopírovaný v e-maile, 7 z výpadku hardvéru a 7 z náhodného odoslania. Stručne povedané, ľudská chyba zostáva významným faktorom. A potom je tu generatívna umelá inteligencia, ktorá, podľa slov prezidenta CNILPrípad ANTS, v ktorom je po hackerskom útoku na agentúru pre zabezpečené dokumenty zapletený 15-ročný neplnoletý – „nie zázračné dieťa,“ spresnil prokurátor, je toho mrazivou ukážkou.
Prečo sú vaši subdodávatelia (stále) jadrom problému
Keď poskytovateľ služieb zlyhá, zlyhávajú s ním aj jeho klienti.
Vráťme sa k príbehu softvéru Weda a Harvest. Išlo o dva kybernetické útoky, ale úrad dostal 11 600 oznámení. Pretože zakaždým za vydavateľom softvéru stoja stovky lekárskych praxí, stovky poradcov pre správu majetku, ktorí sú tiež postihnutí. prevádzkovateľ údajov a musia únik nahlásiť svojim vlastným zákazníkom. Presne toto je scenár subdodávateľa Mobius/Deezer, že CNIL Do konca roka 2025 dostala pokutu jeden milión eur – až na to, že tu sa náklady znásobujú. Jeden útok, tisíc profesionálnych obetí, milióny postihnutých ľudí.
Predbežné posúdenie: vaša najlepšia (a jediná) ochrana
GDPR nenecháva priestor na pochybnosti: a prevádzkovateľ údajov „využíva iba subdodávateľov, ktorí ponúkajú dostatočné záruky.“ Táto povinnosť stanovená v článku 28 odseku 1 nie je zbožným prianím. Je to to, čo inšpektori budú hľadať. Konkrétne, posielate hodnotiaci dotazník každému poskytovateľovi služieb? Pýtate sa na ich bezpečnostnú politiku, ich register spracovateľských činností, ich meno DPOIch certifikácie? Identifikovali ste svoje prenosy údajov Mimo EÚ? Ak je odpoveď na ktorúkoľvek z týchto otázok „ehm“, máte svoju prvú operačnú prioritu.
Samotná zmluva nestačí, ani audit, ale oboje spolu áno.
A Subdodávateľská zmluva podľa GDPR dobre napísané – teda DPA Opakovanie ôsmich povinných ustanovení článku 28 §3 – je východiskovým bodom. Nie konečným cieľom. Dôležité je aj dlhodobé riadenie: ročné audity, kontroly následných subdodávateľov, monitorovanie technické a organizačné opatrenia efektívne aplikované. Na štruktúrovanie tohto prístupu sa Modul subdodávateľov Viqtor centralizuje hodnotenia, zmluvy, audity a históriu transakcií v jednom úložisku. Ide o druh dôkazov, ktoré prevádzkovateľ CNIL Rád vidím.
Sú vaše zmluvy a hodnotenia so subdodávateľmi aktuálne? Získajte fakty od experta Viqtor
Čo robí vláda – a čo by ste mali urobiť aj vy
200 miliónov eur a nová digitálna autorita
Koncom apríla predstavil premiér Sébastien Lecornu svoj plán: 200 miliónov eur na posilnenie kybernetická bezpečnosť štátu, zlúčenie medzirezortného riaditeľstva pre digitálne záležitosti a riaditeľstva pre verejnú transformáciu s cieľom vytvoriť digitálny úrad pripojený k úradu predsedu vlády. NásledneANSSI zverejnila nové usmernenia pre ministerstvá: každé z nich musí vymenovať poradcu kybernetická bezpečnosťTo nie je zanedbateľné. Keď sa štát reorganizuje na tejto úrovni, znamená to, že považuje dom za horiaci. V rámci reťazca však vládne oddelenia zadávajú veľkú časť práce externým firmám – a každý poskytovateľ služieb je potenciálnym vstupným bodom.
Viacfaktorová autentifikácia: opatrenie, ktoré mohlo zabrániť mnohým tragédiám
Tam CNIL zdôrazňuje jednoduché posolstvo: väčšine nedávnych veľkých útokov sa dalo vyhnúť viacfaktorové overovanie správne nasadené. MFAPráve tento dvojitý faktor robí veľkú časť techník neúčinnou. vyplnením poverení a phishingÚrad zverejnil svoje odporúčanie už v marci 2025, čím organizáciám poskytol čas na prispôsobenie sa, a teraz oznamuje cielené kontroly. V roku 2026 sa 50 % opatrení na presadzovanie práva zameria na kybernetická bezpečnosťv porovnaní so štvrtinou až tretinou v roku 2025. Pre základne, ktoré obsahujú viac ako milión ľudí, budú kontroly prioritou.
Tento týždeň sa spustí niekoľko konkrétnych projektov
Bez nadmerného zaťaženia tímov existuje niekoľko opatrení, ktoré sa dajú podniknúť rýchlo a v prípade incidentu skutočne zmeniť situáciu. Tu je to, čo odporúčam svojim klientom z radov manažérov, keď sa ma pýtajú, kde začať.
- Aktivujte MFA na všetkých privilegovaných účtoch a na prístupe k nástrojom obsahujúcim osobné údaje.
- Aktualizujte si zoznam subdodávateľov a overte si, či každý z nich má DPA podpísané a identifikovať tých, ktorí vykonávajú prenosy údajov mimo EÚ.
- Otestujte si svoj postup oznámenie o porušení Kto koho informuje? Viete vysledovať reťazec udalostí až k... CNIL v zákonnej lehote 72 hodín ?
- Dokumentovanie AIPD (analýza vplyvu) pre vaše vysokorizikové liečby – to je ďalší bod, ktorý CNIL systematické kontroly.
- Pozrite sa ešte raz rýchlo na svoje register spracovateľských činností : zriedkakedy je to také aktuálne, ako by si niekto myslel.
A čo sa stane po úniku? Riadenie incidentov, od ktorého závisí všetko.
Prvých 72 hodín rozhodne o zvyšku
Keď vás poskytovateľ služieb upozorní, máte 72 hodín upozorniť CNIL ak únik údajov predstavuje riziko pre ľudí. Nie tri týždne. Nie je dostatok času na zvolanie riadiaceho výboru. Postup musí byť pripravený, napísaný, otestovaný a pripravený na aktiváciu v nedeľu večer. Naša stránka venovaná vyhlásenie o porušení údajov podrobne popisuje kroky, ako sa vyhnúť opakovaniu v opačnom poradí.
Informovanie dotknutých, okamih pravdy
Ak porušenie predstavuje vysoké riziko pre práva a slobody jednotlivcov, GDPR tiež vyžaduje, aby bol každý jednotlivec priamo informovaný. V tomto bode má krízová komunikácia často prednosť pred právnymi krokmi. Ak je zle riadená, dôvera sa zrúti – Marie-Laure Denis dokonca hovorí o „erózii puta dôvery medzi štátom a jeho občanmi“ v súvislosti s únikmi informácií z vlády. Pre súkromnú spoločnosť to znamená, že zákazník odíde a prichádza právnik.
Sankcia a čo hovorí o zrelosti organizácie
Tam CNIL Netrestá samotný akt úteku; trestá zlyhania, ktoré ho umožnili alebo ho zhoršili. Absenciaviacfaktorové overovanieneúplný register, všeobecné subdodávateľské zmluvy, oneskorené oznámenie, zodpovednosť neexistujúce. Tu sa buduje obrana – alebo odsúdenie. Aby bola celá táto štruktúra spoľahlivá, naša Kompletný sprievodca auditmi súladu s GDPR načrtáva metodiku, ktorú používajú naši konzultanti.
Často kladené otázky
Došlo k úniku údajov od môjho poskytovateľa služieb. Som za to zodpovedný/á?
Keďže prevádzkovateľ údajovÁno, zostávate právne zodpovední za spracovanie údajov, aj keď únik pochádza od vášho subdodávateľa. Musíte analyzovať riziko a informovať CNIL ak je to potrebné v 72 hodína v prípade potreby informovať dotknuté osoby. Váš subdodávateľská zmluva GDPR musíte naplánovať, ako vás poskytovateľ služieb upozorní a ako s vami bude spolupracovať.
Je viacfaktorové overovanie povinné?
V GDPR to nie je výslovne uvedené, ale CNIL považuje to za očakávané technické opatrenie pre akýkoľvek prístup k osobné údaje citlivé alebo rozsiahle. Jeho odporúčanie z marca 2025 je explicitné a audity v roku 2026 sa zamerajú predovšetkým na organizácie, ktoré ho neimplementovali. Stručne povedané: už to nie je voliteľné.
Aká je lehota na oznámenie porušenia ochrany údajov CNIL?
72 hodín od okamihu nahlásenia incidentu, pokiaľ nie je pravdepodobné, že porušenie bude predstavovať riziko pre práva a slobody jednotlivcov. Po tomto bode musí byť oneskorené oznámenie odôvodnené. Hlásenie sa podáva prostredníctvom online služby CNIL a musí opísať povahu porušenia, kategórie dotknutých údajov a prijaté opatrenia.
Aké sú prvé kroky, ktoré treba zaviesť pre MSP?
Mapovanie ošetrení a udržiavanie register spracovateľských činností udržiavať aktuálne informácie, identifikovať a riadne uzatvárať zmluvy s každým subdodávateľom prostredníctvom DPAnasadiť MFAnapíšte postup pre oznámenie o porušenía určiť referenta alebo DPOTýchto päť stavenísk pokrýva základné kontrolné body. CNIL.
Aký je účel posúdenia vplyvu na ochranu údajov (DPIA) a kedy by sa malo vykonať?
L'AIPD (analýza vplyvuPosúdenie rizík je povinné pre činnosti spracovania, ktoré predstavujú vysoké riziko pre práva a slobody: rozsiahle sledovanie, citlivé údaje, automatizované profilovanie atď. Dokumentuje riziká, opatrenia na ich zmiernenie a preukazuje váš prístup k riadeniu rizík.zodpovednosťToto je jeden z prvých dokumentov, ktoré CNIL žiadosť v prípade kontroly.
Chcete tieto ponaučenia premeniť na konkrétny akčný plán?
Ak sa chcete dozvedieť viac, všetky naše zdroje nájdete na správa údajov a súlad s GDPR na Platforma Viqtor.