Veille juridique

Sledovacie pixely v e-mailoch: CNIL objasňuje právny rámec

Právny prehľad č. 94 – apríl 2026. 

 

Sledovacie pixely v e-mailoch: CNIL objasňuje právny rámec

CNIL 14. apríla zverejnila svoje odporúčania týkajúce sa sledovacích pixelov v e-mailoch. Odporúčanie je adresované všetkým súkromným a verejným organizáciám, ktoré používajú sledovacie pixely, ako aj poskytovateľom technických služieb, ktorých môžu využívať.

Sledovací pixel je v praxi obrázok, často veľmi malej veľkosti, ktorý sa zobrazí v obsahu e-mailu prostredníctvom hypertextového odkazu.

Zahrnutie pixelu predstavuje pokyn pre terminál používateľa, aby odoslal cielené informácie (identifikátor pixelu, IP adresu atď.) subjektom, ktoré ich umiestnia.

Pixel umožňuje odosielateľovi správy vidieť, či bola správa otvorená alebo nie, a podľa toho upraviť svoju komunikáciu, napríklad pokiaľ ide o frekvenciu odosielania, obsah správ alebo aktualizáciu zoznamu potenciálnych zákazníkov.

CNIL nám pripomína, že takáto prax si vyžaduje predchádzajúci súhlas príjemcov e-mailov podľa článku 5 smernice o súkromí a elektronických komunikáciách, ktorá bola transponovaná do článku 82 francúzskeho zákona o ochrane údajov.

Umožňuje však výnimku pre „transakčné“ e-maily súvisiace so službou požadovanou príjemcom, napríklad na identifikáciu príjemcov, ktorí si už neotvárajú e-maily, a ich odstránenie zo zoznamov adries.

Výnimka sa vzťahuje aj na e-maily týkajúce sa upozornení na účet, oznámení súvisiacich s udalosťami, ako je odoslanie balíka, potvrdenia objednávok a nákupné faktúry, pripomenutia a obnovenia hesla, bezpečnostné upozornenia a oznámenia o narušení bezpečnosti atď.

Okrem týchto výnimiek musí prevádzkovateľ údajov v prípade akejkoľvek adresy zhromaždenej od 14. apríla, dátumu odporúčania CNIL, získať predchádzajúci súhlas príjemcov pred integráciou sledovacieho pixelu do e-mailu.

Tento súhlas by sa dal získať napríklad v čase zhromažďovania adresy alebo prostredníctvom odkazu vloženého do e-mailu bez sledovacieho pixelu.

V prípade adries zhromaždených pred týmto dátumom sa od aktérov požaduje, aby do troch mesiacov jasne informovali príjemcov, aby mohli vzniesť námietky.

Táto publikácia vyvoláva reakcie, pretože núti veľmi veľký počet úradníkov rýchlo prijať opatrenia na dodržiavanie predpisov.

Je dozorný orgán v tejto otázke prísnejší alebo zhovievavejší ako jeho európski kolegovia?

Zdá sa, že teraz je jedným z mála, ktoré jasne uvádzajú, v akom kontexte budú penalizovať sledovacie pixely.

Tento typ spracovania však už roky zdôrazňuje Európsky výbor pre ochranu údajov (EDPB) a pred ním aj jeho predchodca G29 (pozri najmä usmernenia WP118 a 2/2023).

Európske stanovisko je tiež prísnejšie ako stanovisko CNIL, pretože uvádza úplný zákaz sledovacích pixelov bez súhlasu príjemcu správy.

Príspevky prijaté počas verejnej konzultácie k návrhu odporúčania zrejme viedli CNIL k snahe vyhovieť všetkým: preto zmenila svoj postoj smerom k väčšej flexibilite, pokiaľ ide o e-maily súvisiace so službou požadovanou príjemcom.

Implementácia tejto pozície sa však pravdepodobne ukáže ako zložitá.

Objasnenie rozsahu výnimky by bolo vítané, aby sa lepšie identifikovali služby, ktoré z nej profitujú, ako napríklad newslettere alebo iné predplatné, ktoré si príjemcovia uzatvárajú, pričom v súvislosti s nimi zostávajú určité otázky. CNIL (francúzsky úrad na ochranu údajov) uvádza, že bude podporovať prevádzkovateľov údajov, najmä prostredníctvom webinárov. Audity a ukladanie sankcií sa očakáva až v neskoršej fáze, hoci Komisia dnes neposkytuje ďalšie podrobnosti.

 

CNIL (francúzsky úrad pre ochranu údajov) zverejnil vzorový dokument určený na pomoc zodpovedným osobám (DPO) pri vypracovávaní správ o ich činnostiach. Hoci takáto správa nie je podľa GDPR povinná, CNIL ju považuje za užitočný osvedčený postup na monitorovanie dodržiavania predpisov a komunikáciu so zodpovednou osobou.

CNIL 28. apríla schválila aj kódex správania, ktorý predložila Obchodná aliancia (Alliance du Commerce), a ktorého cieľom je poskytnúť konkrétnu pomoc francúzskym maloobchodníkom v odevnom a obuvníckom sektore pri dodržiavaní požiadaviek GDPR.

Cieľom príručky je posilniť ochranu údajov pri predaji a distribúcii, a to v obchodoch aj online.

Toto je prvý národný kódex a tretí sektorový kódex schválený CNIL (francúzskym úradom na ochranu údajov) podľa európskych kódexov CISPE (2021) venovaných cloudovým výpočtom a EUCROF (2024) týkajúcich sa klinických skúšok v zdravotníctve. V Európe bolo zavedených približne pätnásť kódexov, ktoré sú dostupné prostredníctvom tejto infografiky.

Vo svojom dekréte z 24. apríla 2026 sa vláda rozhodla definovať technické modality Národného súboru účtov podvodov (FNC-RF) zameraného na posilnenie boja proti bankovým podvodom, pričom ignorovala odporúčania CNIL týkajúce sa bezpečnosti.

Tento súbor, zdieľaný prostredníctvom Bank of France medzi finančnými inštitúciami, obsahuje čísla IBAN účtov podozrivých z podvodu.

Architektúra schválená vládou predstavuje podľa CNIL maximálne vystavenie rizikám prostredníctvom zdieľania úplných a synchronizovaných kópií údajov v obyčajnom texte s poskytovateľmi platobných služieb a ich subdodávateľmi.

Dňa 17. apríla DGSI (Generálne riaditeľstvo pre vnútornú bezpečnosť) zverejnilo oznámenie varujúce pred rizikami spojenými s používaním zahraničných aplikácií a riešení na pracovisku. „Okrem zvýšeného vystavenia sa rizikám kybernetickej bezpečnosti môžu tieto nástroje, často vyvíjané mimoeurópskymi spoločnosťami, predstavovať aj právne riziká, riziká týkajúce sa bezpečnosti, dôvernosti, závislosti alebo prerušenia služieb.“

V poznámke sa uvádzajú rôzne prípady, ktoré by mali všetkých používateľov povzbudiť k opatrnosti pri zdieľaní informácií a udeľovaní prístupu.

Francúzska Štátna rada 30. apríla zverejnila svoje rozhodnutie o zásade postupného riešenia pre ARCOM, nástupcu Hadopi, a zrušila niekoľko aspektov dekrétu z 5. marca 2010 z dôvodu porušenia práva na súkromie. Cieľom systému bolo bojovať proti pirátstvu hudby a filmov v sieťach P2P. Na základe petície štyroch skupín na ochranu digitálnych práv Štátna rada vyvodila potrebné závery z rozhodnutia Súdneho dvora Európskej únie (SDEÚ) z 30. apríla 2024, ktoré stanovuje, že opakované krížové odkazy medzi identitou a stiahnutými dielami nemožno vykonávať bez nezávislého dohľadu.

Rozhodnutie spoločnosti Anthropic nezverejniť Mythos, svoj najnovší model umelej inteligencie (AI), kvôli jeho kybernetickým rizikám vyvolalo množstvo reakcií.

Mythos je skutočne schopný veľmi efektívne identifikovať zraniteľnosti v počítačovom kóde.

V správe zverejnenej vo štvrtok 23. apríla Rada pre umelú inteligenciu a digitálne technológie (CIANum) vyzýva, aby sa „nepoddali prevládajúcej panike“ a uvádza niekoľko poznámok:

„Prijatie umelej inteligencie na dosiahnutie súladu: verejní a súkromní aktéri, ktorí nevynakladajú neustále úsilie na pochopenie a integráciu týchto nových spôsobov využitia, rýchlo zaostajú.“

Zapojenie ľudí v kľúčových fázach: hoci umelá inteligencia je cennou pomôckou pri vývoji, oprave a testovaní softvéru, úplné zrušenie ľudskej expertízy v súčasnosti zaručuje zlyhanie. 

Predvídanie nových zraniteľností a nasadzovanie záplat podľa nich predstavuje značnú výzvu, najmä preto, že mnohí hráči sú už teraz zahltení.

Národný konzultačný etický výbor pre biologické vedy a zdravie (CCNE) a Národný konzultačný etický výbor pre digitálne technológie (CCNEN) zverejnili 7. apríla spoločné stanovisko venované digitálnym neurotechnológiám a rozhraniam mozog-stroj.

V stanovisku sa zdôrazňuje, že vývoj týchto technológií „vyvoláva závažné etické otázky, najmä pokiaľ ide o dôstojnosť, autonómiu, slobodu myslenia, ochranu súkromia a spravodlivosť“.

Konkrétne otázky sa týkajú použitia neurálnych dát, nemedicínskych aplikácií, potenciálnych vplyvov na identitu a správanie a ochrany detí a dospievajúcich.

Výbory formulujú súbor odporúčaní, ktoré vyzývajú na osobitnú ostražitosť, pokiaľ ide o používanie digitálnych neurotechnológií.

 

Európske inštitúcie a orgány

Európski zákonodarcovia dosiahli 7. mája po prvom neúspešnom pokuse dohoda o „AI Omnibuse“, ktorej cieľom je zmeniť a zjednodušiť európske nariadenie o umelej inteligencii.

Spoločnosti budú mať do konca roka 2027 čas na dodržiavanie pravidiel týkajúcich sa vysoko rizikovej umelej inteligencie, zatiaľ čo dodávatelia strojov poháňaných umelou inteligenciou budú od určitých povinností výslovne oslobodení.

Zároveň Omnibus zavádza nový zákaz týkajúci sa praktík umelej inteligencie súvisiacich s vytváraním sexuálneho a intímneho obsahu alebo detskej pornografie bez súhlasu.

Formálny schvaľovací proces prebieha s cieľom zverejniť konečné zmeny do augusta.

V kontexte, keď rastúci počet krajín má v úmysle obmedziť prístup maloletých k sociálnym sieťam, Európska komisia 29. apríla prijala odporúčanie, v ktorom nalieha na členské štáty, aby urýchlili zavádzanie európskej aplikácie na overovanie veku a sprístupnili ju do konca roka.

Komisia vypracovala pre túto aplikáciu hlavný plán, ktorý je prezentovaný ako šetrný k súkromiu a umožňuje používateľom preukázať, že sú plnoletí, bez toho, aby odhalili svoj presný vek, totožnosť alebo akékoľvek iné osobné údaje.

Konzultant v oblasti kybernetickej bezpečnosti však údajne identifikoval bezpečnostné nedostatky, ktoré by mohli ohroziť celoštátne zavedenie aplikácie.

Európska komisia 29. apríla predbežne dospela k záveru, že platformy Instagram a Facebook spoločnosti Meta porušujú nariadenie o digitálnych službách (DSA), pretože dôkladne neidentifikujú, neposudzujú a nezmierňujú riziká spojené s prístupom maloletých osôb mladších ako 13 rokov k ich službám.

Na svojom plenárnom zasadnutí 22. apríla EDPB prijal usmernenia týkajúce sa spracovania osobných údajov na účely vedeckého výskumu.

Výbor tiež zriadil pracovnú skupinu, ktorej úlohou je urýchliť finalizáciu usmernení o anonymizácii.

Taktiež prijala dve stanoviská k dvom súborom kritérií certifikácie Europrivacy s cieľom ich schválenia ako európskych označení ochrany údajov, z ktorých jedno má slúžiť ako nástroj na prenosy.

Na svojom predchádzajúcom plenárnom zasadnutí EDPB zverejnil ďalší dôležitý dokument: s cieľom uľahčiť organizáciám dodržiavanie GDPR a posilniť konzistentnosť v celej Európe vyvinul model posúdenia vplyvu na ochranu údajov (DPIA). Pripomienky k tomuto dokumentu sú otvorené do 9. júna.

Súdny dvor EÚ 21. apríla rozhodol, že Maďarsko porušilo právo Európskej únie prijatím zákona, ktorý stigmatizuje a marginalizuje LGBTI+ osoby.

Súd tiež poukazuje na to, že názov zákona stavia týchto jednotlivcov na roveň osobám odsúdeným za pedofíliu, čo je „asimilácia, ktorá pravdepodobne zvýši stigmatizáciu prvých menovaných a podporí nenávistné správanie voči nim“.

Súd nakoniec uvádza, že tento zákon porušuje GDPR, keďže novelizoval zákon o registroch trestov s cieľom rozšíriť prístup k informáciám týkajúcim sa osôb odsúdených za pedofíliu.

Hoci takýto prístup môže byť za určitých okolností zákonný, Súd sa domnieva, že „zákon neposkytuje dostatočne presnú definíciu osôb oprávnených na prístup k údajom ani podmienok prístupu potrebných na poskytnutie primeraných záruk práv a slobôd osôb, ktorých údaje sú dotknuté“.

 

Správy z členských krajín Európskej únie.

V Belgicku úrad na ochranu údajov (APD) varoval dve osoby, aby zabezpečili, že ich bezpečnostné kamery už nebudú nahrávať verejné cesty.

Kamera bola nainštalovaná ako odstrašujúci prostriedok proti defektom pneumatík.

APD zistila, že natáčanie verejnej komunikácie je podľa zákona o bezpečnostných kamerách nezákonné a zdôraznila, že zaznamenané snímky porušujú právo na súkromie a právo na ochranu údajov sťažovateľa a jeho rodiny z dôvodu častého spracovania ich osobných údajov vyplývajúceho z umiestnenia kamery.

Španielsky úrad na ochranu údajov (APD) udelil spoločnosti poskytujúcej dopravné služby pokutu vo výške 200 000 eur za to, že nútila svojich zamestnancov používať štyri sledovacie aplikácie na svojich osobných telefónoch na pracovné účely.

APD tiež uložil univerzite pokutu 160 000 eur za to, že nezískala platný súhlas študentov s overením ich totožnosti počas online skúšok prostredníctvom systému využívajúceho rozpoznávanie tváre.

Taliansky úrad na ochranu údajov (APD) uložil spoločnosti Poste Italiane SpA pokutu vo výške 6 624 000 eur a spoločnosti Postepay SpA 5 877 000 eur za nezákonné spracovanie osobných údajov miliónov používateľov.

Aplikácie BancoPosta a Postepay vyžadovali ako povinnú podmienku používania služieb, aby používatelia udelili povolenie na monitorovanie súboru údajov nachádzajúcich sa v mobilných zariadeniach s cieľom odhaliť akýkoľvek škodlivý softvér.

APD zistil, že rozsah dohľadu bol nadmerný vo vzťahu k účelom predchádzania podvodom a poukázal aj na nedostatky v informáciách poskytovaných používateľom, absenciu posúdenia vplyvu (IAPD), nedostatok vhodných bezpečnostných opatrení a politiky uchovávania údajov, ako aj na nezrovnalosti v určení prevádzkovateľa údajov.

Holandský minister pre digitálnu ekonomiku a suverenitu pracuje na vytvorení „digitálnej núdzovej súpravy“, ktorá má pomôcť verejným správam a občanom zvládnuť digitálnu katastrofu, ako je napríklad výpadok celoštátneho internetu.

Krajina je stále nebezpečne závislá od amerických technologických spoločností, pokiaľ ide o jej základnú infraštruktúru, od cloudového hostingu až po daňové systémy.

Vláda chce, aby si občania mohli uspokojovať svoje potreby nezávisle počas 72 hodín bez internetu, telefónu a digitálnych platobných metód.

Britská vláda 23. apríla potvrdila, že zdravotné záznamy 500 000 účastníkov jedného z hlavných vedeckých programov Spojeného kráľovstva, UK Biobank, boli uvedené na predaj online na webovej stránke Alibaba. Hoci ohrozené informácie neobsahovali mená, adresy, kontaktné údaje ani telefónne čísla, mohli zahŕňať pohlavie, vek, mesiac a rok narodenia, socioekonomické postavenie, životný štýl a merania biologických vzoriek. Nešlo o žiadny kybernetický útok, ale skôr o masívne sťahovanie údajov legitímne akreditovanou organizáciou. Databáza je skutočne prístupná výskumníkom. Vedenie Biobanky uviedlo, že od incidentu zaviedlo opatrenia na obmedzenie veľkosti sťahovaných súborov a monitorovanie podozrivých exportov súborov.

 

Britská vláda 23. apríla potvrdila, že zdravotné záznamy 500 000 účastníkov jedného z hlavných vedeckých programov Spojeného kráľovstva, UK Biobank, boli dané na predaj online na webovej stránke Alibaba. Hoci ohrozené informácie neobsahujú mená, adresy, kontaktné údaje ani telefónne čísla, môžu zahŕňať pohlavie, vek, mesiac a rok narodenia, socioekonomické postavenie, životný štýl a merania biologických vzoriek.

Nešlo o žiadny kybernetický útok, ale skôr o masívne sťahovanie údajov legitímne akreditovanou organizáciou. Databáza je skutočne prístupná výskumníkom.

Vedenie Biobanky uviedlo, že od incidentu zaviedlo opatrenia obmedzujúce veľkosť sťahovaných súborov a monitorujúce podozrivé exporty súborov.

Americká federácia spotrebiteľov (CFA) podala 21. apríla hromadnú žalobu proti spoločnosti Meta, v ktorej tvrdila, že spoločnosť nechráni svojich používateľov pred podvodnými reklamami na Facebooku a Instagrame v rozpore so svojimi záväzkami a že z týchto reklám profituje na úkor svojich používateľov.

CFA žiada o náhradu škody, vrátenie nezákonne získaného zisku a súdny zákaz v prospech spotrebiteľov vo Washingtone, D.C.

Od Kanady cez Európsku úniu až po pobrežie Tichého oceánu sa objavuje globálna dynamika v prospech digitálnej suverenity, čo je téma, ktorá bola ústredným bodom nedávneho svetového summitu IAPP 2026 vo Washingtone, D.C. „Počas niekoľkých workshopov sa účastníci snažili objasniť a nuansovať diskusiu o digitálnej suverenite a zároveň ponúkli svoje názory na to, ako súčasný geopolitický kontext bude túto diskusiu v nasledujúcich rokoch formovať.“

Stránka 01.net podrobne popisuje najnovšie projekty spoločnosti Anthropic v oblasti umelej inteligencie.

Spoločnosť 14. apríla zverejnila vyhradenú stránku na overenie identity pre svojho LLM Clauda. Niektoré funkcie, bezpečnostné akcie alebo „kontroly integrity platformy“ teraz spúšťajú žiadosť o oficiálny preukaz totožnosti a živú selfie.

Toto oznámenie prichádza len niekoľko týždňov po úniku informácií, ktorý naznačuje, že Anthropic detekuje vulgarizmy, urážky a prejavy frustrácie v správach a zaznamenáva ich ako signály negatívneho sentimentu používateľov. „V kombinácii s novou požiadavkou na pas a selfie je obraz závratný. Anthropic vie, čo hovoríte, keď kričíte.“

V sobotu 19. apríla spoločnosť Palantir zverejnila na X 22-bodové zhrnutie publikácie Technologická republika, akési geopolitické krédo tejto spoločnosti, ktorej hlavnou činnosťou je poskytovanie softvéru na sledovanie a analýzu údajov západným armádam, spravodajským službám a imigračným agentúram (vrátane Francúzska).

Podľa tohto manifestu prežitie liberálnych demokracií teraz závisí od softvérovej sily, „odzbrojenie“ Nemecka a Japonska po roku 1945 bolo historickou chybou, éra jadrového odstrašovania sa končí a musí ho nahradiť nové odstrašovanie založené na umelej inteligencii.

Výskumníčka Chiara Galleseová hlási zraniteľnosť týkajúcu sa agenta umelej inteligencie prevádzkovaného spoločnosťou Meta.

Tento agent údajne konal bez ľudských pokynov a zverejnil citlivé firemné a používateľské údaje neoprávneným zamestnancom.

Spoločnosť Meta údajne klasifikovala tento incident ako „Sev 1“, čo je druhý najvyšší stupeň závažnosti z hľadiska bezpečnosti. Výskumník poukazuje na to, že na jednej strane niektorí agenti umelej inteligencie spoločnosti Meta ignorujú pokyny ľudského dohľadu, zatiaľ čo zároveň spoločnosť Meta získava platformy, ktoré umožňujú agentom umelej inteligencie navzájom komunikovať (Moltbook).

Riziká budú pretrvávať dovtedy, kým sa ľudský dohľad nestane prísnou architektonickou požiadavkou agentových systémov umelej inteligencie: dnes sa ľudské overovanie považuje za preferenciu a nie za obmedzenie autonómnych systémov umelej inteligencie.

Austrálsky riaditeľstvo pre signály / ACSC spolu s niekoľkými medzinárodnými partnermi vrátane NSA v publikácii z 1. mája odporučilo opatrné prijímanie agentových služieb umelej inteligencie.

Dokument zdôrazňuje, že v kritických infraštruktúrach autonómia agentov zvyšuje riziko chýb, nepredvídanej eskalácie a ohrozenia reťazca akcií.

Hlavným odporúčaním je obmedziť autonómiu, zaznamenávať akcie, kontrolovať prístup a definovať bezpečnostné opatrenia pred akýmkoľvek operačným nasadením agentovej umelej inteligencie.

sk_SKSK