Právny prehľad č. 92 – február 2026. 

 

Subdodávateľ, medzi slabým článkom a strategickým hráčom.

CNIL 9. februára predstavila svoju správu za rok 2025 týkajúcu sa sankcií a nápravných opatrení: súbory cookie, monitorovanie zamestnancov a bezpečnosť údajov sú hlavnými predmetmi sankcií uložených v roku 2025, ktorých kumulatívna výška pokút predstavuje celkovú sumu 486 839 500 eur.

Spomedzi sankcií sa značný počet prípadov týka subdodávateľov za nedodržanie povinností týkajúcich sa údajov, ktoré im boli zverené.

CNIL nám pripomína, že subdodávateľ musí:

• Spracovávať údaje iba na základe pokynov prevádzkovateľa údajov;
• Zaviesť vhodné technické a organizačné opatrenia na zabezpečenie primeranej úrovne bezpečnosti;
• A vymazať údaje na konci zmluvného vzťahu s prevádzkovateľom údajov.

Subdodávateľ musí tiež pomáhať prevádzkovateľovi pri plnení určitých povinností vyplývajúcich z nariadenia: posúdenie vplyvu na súkromie, oznamovanie porušenia ochrany údajov, bezpečnosť, prispievanie k auditom.

Musí tiež viesť záznamy o činnostiach spracovania a v určitých prípadoch vymenovať zodpovednú osobu.

Článok 28 GDPR, ktorý sa zaoberá uzatvorením osobitnej zmluvy medzi prevádzkovateľom a sprostredkovateľom, špecifikuje povinné ustanovenia, ktoré musia byť súčasťou zmluvy.

Toto môže byť úplne alebo čiastočne založené na štandardných zmluvných doložkách, ako sú napríklad tie, ktoré schválila Európska komisia alebo jeden z členských štátov EÚ.

V týchto doložkách je vhodné jasne definovať príslušné zodpovednosti dodávateľa a subdodávateľa. Tieto podrobnosti sa môžu ukázať ako užitočné v prípade neplnenia záväzkov jednou zo strán.

Je potrebné pripomenúť, že mnohé nedávne úniky údajov, ktoré postihli verejný aj súkromný sektor, boli spôsobené bezpečnostným zlyhaním zo strany subdodávateľa.

Príčinou je často ľudská chyba, a konkrétnejšie krádež poverení zamestnanca.

Dvojfaktorová autentifikácia a používanie zložitých hesiel zostávajú základnými spôsobmi ochrany pred takýmito útokmi, ako sme už uviedli v komentári k nedávnej sankcii CNIL za „pracovnú neschopnosť Francúzska“.

Subdodávatelia majú skutočne špecifické povinnosti týkajúce sa bezpečnosti, dôvernosti a dokumentácie.

Aby sa zaručila účinná ochrana údajov prispôsobená rizikám, musia zaviesť všetky užitočné opatrenia od návrhu služby alebo produktu až po štandardné nastavenie („ochrana súkromia už od návrhu a štandardne“).

Okrem toho musí byť akékoľvek porušenie ochrany údajov oznámené prevádzkovateľovi údajov v lehotách stanovených zákonom.

Napokon, vymazanie údajov na konci zmluvy nie je len povinnosťou, ale aj najlepším spôsobom ochrany pred únikom údajov po skončení zmluvného vzťahu, ako pripomína pokuta vo výške jedného milióna eur, ktorú koncom decembra uložila CNIL spoločnosti Mobius Solutions.

Spoločnosť si po skončení zmluvného vzťahu uchovávala kópiu údajov viac ako 46 miliónov používateľov služby Deezer, a to aj napriek svojej povinnosti vymazať všetky tieto údaje na konci zmluvy, čo umožnilo závažný únik údajov.

 

CNIL zverejnila aktualizovanú verziu svojich tabuliek o ochrane údajov 2. marca. 

Tieto tabuľky zhromažďujú a organizujú základnú judikatúru a rozhodovaciu prax týkajúcu sa ochrany osobných údajov na národnej a európskej úrovni.

Koncom februára správa televízie France 2 varovala pred únikom zdravotných údajov, konkrétnejšie pred hackerským útokom na softvér „MonLogicielMedical“ spoločnosťou Cegedim.

Útok umožnil hackerovi zhromaždiť zdravotné údaje 11 až 15 miliónov Francúzov, ktoré boli dostupné na darknete.

CNIL už v septembri 2024 udelila spoločnosti pokutu vo výške 800 000 eur, najmä za spracovanie zdravotných údajov bez povolenia.

Generálne riaditeľstvo pre verejné financie (DGFiP) 18. februára 2026 v tlačovej správe informovalo, že v národnom súbore bankových účtov (FICOBA) bol zistený nelegitímny prístup po zneužití identifikátorov oprávneného zástupcu.

Hacker získal prihlasovacie údaje k účtu pred kybernetickým útokom: ministerstvo hospodárstva nezaviedlo dvojfaktorové overovanie.

Predmetné údaje sa týkajú približne 1,2 milióna účtov a zahŕňajú najmä totožnosť majiteľov účtov, ich adresu, ich banku a ich IBAN.

01net informuje o hodnotení, ktoré vykonala spoločnosť Surfshark v súvislosti s únikmi údajov vo Francúzsku.

„Do roku 2025 bude na celom svete napadnutých 425,7 milióna účtov hackermi. Najviac postihnutou krajinou nie sú nikto iný ako Spojené štáty s 34 miliónmi prípadov úniku údajov na celom svete. Na druhom mieste je Francúzsko, nasledované Indiou, Nemeckom a Ruskom. Do roku 2025 francúzski používatelia internetu zažijú v priemere takmer jeden útok na účet za sekundu.“

Francúzsko tiež vyniká „hustotou porušení 12-krát vyššou ako je svetový priemer“. Zdôrazňuje sa nedostatok investícií do bezpečnosti, či už zo strany spoločností alebo verejných subjektov.

Hlavným cieľom hackerov sú aj dátoví makléri, ktorí prehľadávajú web, aby ďalej predávali takto zhromaždené osobné údaje.

 

Európske inštitúcie a orgány

Návrh Európskej komisie na zjednodušenie GDPR s názvom „Omnibus“ utrpel v Rade EÚ neúspech.

V dokumente z 20. februára má Rada v úmysle stiahnuť návrh na zmenu definície osobných údajov.

Okrem toho, podľa Euractivu, chce Rada tiež stiahnuť návrh Komisie na rozšírenie vlastných právomocí, čo by jej umožnilo určiť, čo predstavuje dostatočne pseudonymizované údaje.

Kompromisný text, ktorý vypracovalo cyperské predsedníctvo Rady, bude slúžiť ako základ pre rokovania medzi národnými vládami.

Očakáva sa, že Rada preskúma text 27. februára.

Európsky výbor pre ochranu údajov (EDPB) a Európsky dozorný úradník pre ochranu údajov (EDPS) už 11. februára prijali dlho očakávané spoločné stanovisko k aspektom ochrany údajov v tomto návrhu Omnibus.

Regulačné orgány vo svojej tlačovej správe trvajú na tom, že zjednodušenie nesmie nastať na úkor ochrany ľudí.

Naliehavo vyzývajú spoluzákonodarcov, aby neprijali navrhované zmeny definície osobných údajov, pretože by výrazne obmedzili jej rozsah pôsobnosti a boli by v rozpore s judikatúrou Súdneho dvora EÚ.

„Musíme zabezpečiť, aby akékoľvek zmeny GDPR a všeobecného nariadenia o ochrane údajov skutočne objasnili povinnosti a poskytli právnu istotu a zároveň zachovali dôveru a vysokú úroveň ochrany individuálnych práv a slobôd.“

V spoločnom stanovisku sa tiež zdôrazňuje potreba jasnej kontroly zo strany orgánov na ochranu údajov, pokiaľ ide o bannery súborov cookie a opätovné použitie údajov verejného sektora.

EDPB zverejnil správu o svojich koordinovaných opatreniach týkajúcich sa uplatňovania práva byť zabudnutý.

Toto právo patrí medzi najčastejšie uplatňované.

To viedlo k početným sťažnostiam a rastúcemu počtu rozhodnutí orgánov na ochranu údajov.

Správa zdôrazňuje sedem hlavných výziev pre organizácie vrátane nedostatku interných postupov. Poskytuje tiež praktické odporúčania, ktoré organizáciám pomôžu tieto výzvy riešiť.

Výbor tiež zverejnil správu o podujatí, ktoré sa konalo 12. decembra 2025 a ktoré sa týkalo anonymizácie a pseudonymizácie.

Správa sumarizuje spätnú väzbu od približne stovky účastníkov, ktorí sa zhromaždili, aby diskutovali o uplatňovaní GDPR na tieto techniky po rozhodnutí Súdneho dvora EÚ vo veci EDPS proti SRB.

Zdôrazňuje praktické neistoty pri určovaní, kedy údaje zostávajú „identifikovateľné“ v závislosti od aktérov a kontextu, a otázku „prostriedkov, ktoré sa s primeranou pravdepodobnosťou“ použijú na opätovnú identifikáciu osoby.

Dokument neposkytuje definitívne usmernenia, ale identifikuje kľúčové otázky, ktorými sa bude riadiť EDPB v jeho budúcom smerovaní v oblasti anonymizácie a pseudonymizácie v jeho pracovnom programe.

EDPB prijal svoj pracovný program na roky 2026 – 2027.

Bude pracovať na niekoľkých modeloch zameraných na uľahčenie dodržiavania GDPR: oznámenia o porušení údajov, posúdenia vplyvu na ochranu údajov, posúdenie oprávnených záujmov, register spracovania a oznámenie/zásady ochrany osobných údajov.

Súdny dvor 10. februára vo veci C-97/23 P | WhatsApp Ireland v. Európsky výbor pre ochranu údajov rozhodol, že žaloba podaná spoločnosťou Whatsapp proti rozhodnutiu EDPB je prípustná.

Keďže Súdny dvor Európskej únie ešte nepreskúmal vec samotnú, zrušil napadnuté uznesenie a vrátil vec späť Súdnemu dvoru.

Európsky súd pre ľudské práva 17. februára v prípade Zelená aliancia v. Bulharsko – 6580/22 rozhodol, že bulharské predpisy, ktoré oprávňujú národnú bezpečnostnú agentúru používať „tajných agentov“, porušujú článok 8 Európskeho dohovoru o ľudských právach, pretože umožňujú tajné sledovanie organizácií bez dostatočných záruk alebo kontrol.

 

Správy z členských krajín Európskej únie.

V Nemecku podľa Heise.de a Table.Media Bundestag intenzívne pracuje na dôkladnej reštrukturalizácii svojej digitálnej architektúry. Parlament sa chce oslobodiť spod technologického zovretia amerických spoločností ako Microsoft, aby mohol v časoch krízy konať odolnejšie a predovšetkým nezávisle od tretích krajín.

Rakúsky úrad na ochranu údajov (DPA) udelil prevádzkovateľovi údajov pokutu 1 500 eur za nelegálne natáčanie verejného chodníka kamerou CCTV a zverejnenie záberov podozrivého zlodeja na sociálnych sieťach, čím porušil zásady minimalizácie údajov a transparentnosti, ako aj pravidlá upravujúce spracovanie súdnych údajov.

Dánsky úrad na ochranu údajov (DPA) vydal napomenutie 51 obciam a súčasne ich varoval pred používaním produktov spoločnosti Google na základných a nižších stredných školách. Konkrétne zistil, že obce dostatočne nepreukázali, že zabezpečili primeranú úroveň ochrany osobných údajov spracovávaných mimo EÚ.

Írsky úrad na ochranu údajov (DPA) 17. februára oznámil, že začal vyšetrovanie spoločnosti X, ktorú vlastní Elon Musk. Vyšetrovanie sa týka vytvorenia a zverejnenia „potenciálne škodlivých, intímnych a/alebo sexuálne explicitných obrázkov na platforme X bez súhlasu, ktoré obsahujú alebo zahŕňajú spracovanie osobných údajov dotknutých osôb z EÚ/EHP vrátane detí“ s použitím generatívnej funkcie umelej inteligencie spojenej s jazykovým modelom Grok. Niekoľko krajín sa už rozhodlo úplne zakázať chatbota Elona Muska s umelou inteligenciou a Európska komisia začala vyšetrovanie 26. januára.

V Holandsku súd rozhodol, že holandský úrad na ochranu údajov (APD) dostatočne neodôvodnil zamietnutie sťažnosti proti kinu, ktoré už neprijímalo platby v hotovosti. Podľa súdu APD neposúdil, či požiadavka na platby kartou sledovala dostatočne konkrétny a odôvodnený cieľ podľa GDPR.

Na Slovensku Ústavný súd zrušil zákon, ktorý vyžadoval od mimovládnych organizácií zverejňovanie údajov o ich prispievateľoch, pričom dospel k záveru, že porušuje súkromie, informačné sebaurčenie a slobodu združovania a zároveň ukladá nadmernú záťaž.

 

Britský úrad pre ochranu údajov (ICO) udelil spoločnosti Reddit pokutu vo výške 14,47 milióna libier (približne 16,6 milióna eur) za nedodržanie svojich povinností týkajúcich sa ochrany súkromia údajov detí.

ICO sa domnieva, že overenie veku na Reddite je nedostatočné a že platforma „preto nemala právny základ na spracovanie osobných údajov detí mladších ako 13 rokov“.

Okrem toho Reddit „nevykonal posúdenie vplyvu na ochranu údajov (DPIA) s cieľom posúdiť a zmierniť riziká pre deti pred januárom 2025“.

ICO tiež 5. februára oznámila pokutu vo výške 247 590 libier pre spoločnosť MediaLab.AI, Inc., ktorá stojí za platformou na zdieľanie obrázkov Imgur.

Spoločnosť MediaLab umožnila deťom používať Imgur bez toho, aby implementovala základné záruky požadované britskými právnymi predpismi o ochrane údajov.

India sa vo februári 2026 rozhodla rozšíriť používanie systému Aadhaar, najväčšieho systému digitálnej identity na svete, na každodenné súkromie prostredníctvom novej aplikácie a offline overovacieho systému.

Zmeny by mali umožniť jednotlivcom preukázať svoju totožnosť bez overovania v reálnom čase v databáze, a to integráciou súkromných overovacích služieb, ako sú Google Wallet a Apple Wallet.

Kampaň občianskej spoločnosti tvrdí, že offline overovací systém predstavuje riziko opätovného zavedenia používania systému Aadhaar v súkromnom sektore, čo už Najvyšší súd odsúdil. 

Systém tiež umožňuje „indickým štátom a polícii prepojiť s číslom Aadhaar všetky druhy osobných údajov: súradnice GPS, telefónne čísla, sociálne siete, preukazy voličov, cestovné pasy, pôžičky, sociálne dávky, niekedy dokonca aj mená príbuzných alebo dokonca mená partnerov na určitých policajných formulároch.“

Podľa správy CNBC z 19. februára spoločnosť Accenture spája povýšenie svojich vrcholových manažérov s pravidelným používaním nástrojov umelej inteligencie.

Údajne boli zástupcovia riaditeľov a vrcholoví manažéri informovaní, že na získanie vedúcich pozícií bude potrebné „pravidelné používanie“ umelej inteligencie.

Hovorca spoločnosti pre CNBC uviedol, že stratégia spoločnosti v oblasti umelej inteligencie „vyžaduje prijatie najnovších nástrojov a technológií, aby sme mohli slúžiť našim zákazníkom čo najefektívnejším spôsobom“.

11. februára 2026 kalifornský generálny prokurátor oznámil rekordné vyrovnanie so spoločnosťou Walt Disney Company vo výške 2,75 milióna dolárov. s cieľom vyriešiť obvinenia, že spoločnosť primerane nerešpektovala námietky spotrebiteľov voči spracovaniu ich údajov podľa kalifornského zákona o ochrane súkromia spotrebiteľov.

V článku z 13. februára denník New York Times informuje, že spoločnosť Meta, materská spoločnosť Facebooku, plánuje už tento rok pridať funkciu rozpoznávania tváre do svojich inteligentných okuliarov, ktoré vyrába v spolupráci s majiteľom značiek Ray-Ban a Oakleys.

Táto funkcia, interne nazývaná „Name Tag“, by umožnila používateľom inteligentných okuliarov identifikovať ľudí a získať o nich informácie prostredníctvom asistenta umelej inteligencie od spoločnosti Meta. V internej správe zverejnenej minulý rok spoločnosť Meta údajne uviedla, že politické nepokoje v Spojených štátoch odvedú pozornosť od kritikov vydania tejto funkcie.

Dňa 23. februára 2026 zverejnilo 61 orgánov na ochranu údajov spoločné vyhlásenie o obrázkoch generovaných umelou inteligenciou.

Toto spoločné vyhlásenie sa zaoberá obavami týkajúcimi sa systémov umelej inteligencie schopných generovať realistické obrázky a videá zobrazujúce identifikovateľné osoby bez ich vedomia alebo súhlasu.

Organizácia pre hospodársku spoluprácu a rozvoj (OECD) zverejnila 19. februára 2026 nové usmernenia, ktoré majú organizáciám pomôcť pri implementácii usmernení OECD pre nadnárodné podniky a zásad OECD pre umelú inteligenciu.

Tieto usmernenia majú pomôcť organizáciám riadiť riziká súvisiace s umelou inteligenciou a dodržiavať medzinárodné štandardy zodpovedného obchodného správania.

Vývoj agentov umelej inteligencie, hoci má uľahčiť mnohé administratívne úlohy, vyvoláva aj vážne bezpečnostné otázky.

OpenClaw, najnovší projekt s otvoreným zdrojovým kódom, ktorý sa zameriava na autonómneho agenta s umelou inteligenciou, ktorý dokáže riadiť počítač namiesto používateľa.

OpenClaw, ktorý nedávno získala spoločnosť OpenAI, sa stal terčom vážnych bezpečnostných útokov.

Kyberzločinci v priebehu niekoľkých týždňov napadli viac ako 30 000 inštancií OpenClaw, pričom falošné skripty umožňovali inštaláciu vírusov a malvéru schopného zaznamenávať všetko, čo sa napíše na klávesnici počítačov so systémom Windows. 

„Stále viac a viac lídrov startupov zakazuje autonómnych agentov na firemných zariadeniach z obavy z úniku dôverných údajov. Bezpečnostní experti vyjadrujú vážne obavy z nedostatku auditu, perspektívy, skutočných záruk a transparentnosti v oblasti umelej inteligencie, zatiaľ čo čoraz viac zamestnancov ju už integruje do svojich každodenných úloh v snahe o zvýšenie produktivity.“

Tieto varovania vydal 12. februára holandský úrad pre ochranu údajov (APD), ktorý upozorňuje používateľov a organizácie na používanie OpenClaw a podobných experimentálnych systémov z dôvodu kritických bezpečnostných zraniteľností.

Medzinárodná asociácia odborníkov na ochranu súkromia (IAPP) zverejnila 5. februára aktualizovanú verziu svojho globálneho adresára zákonov o ochrane súkromia a orgánov na ochranu údajov.

IAPP poznamenáva, že režimy ochrany údajov sa na celom svete neustále vyvíjajú a dozrievajú. „Za posledných 12 mesiacov India zaviedla nové pravidlá presadzovania zákona o ochrane digitálnych osobných údajov, Bangladéš a Gambia prijali alebo zvažujú prijatie nových komplexných zákonov a ďalšie krajiny vrátane Ekvádoru a Indonézie vytvorili nové agentúry na interpretáciu a presadzovanie existujúcich zákonov o ochrane súkromia.“