Právny prehľad č. 88 – október 2025. 

 

Video dohľad, hlavný cieľ sankcií CNIL.

CNIL to urobila bod v októbri o svojom zjednodušenom postupe udeľovania sankcií.

Šestnásť sankcií uložených od minulého mája bolo sprevádzaných pokutami v celkovej výške 108 000 eur, ktoré sa okrem 104 000 eur z 10 rozhodnutí zvýšili aj na 108 000 eur. vyslovuje sa od januára.

Okrem kamerového dohľadu sa sankcie vzťahujú aj na obchodné praktiky vyhľadávania údajov vykonávané bez súhlasu dotknutých osôb a na nespoluprácu pri žiadosti o uplatnenie práv stanovených v GDPR (právo na prístup, opravu alebo námietku).

Kamerový dohľad zostáva hlavnou témou sankcií, najmä ak sa odohráva na pracovisku.

CNIL systematicky poukazuje na nedodržiavanie zásady minimalizácie údajov zo strany prevádzkovateľov údajov.

Farmaceutická spoločnosť a nemocnica boli sankcionované za natáčanie priestorov odborov a priameho prístupu do nich, čo je v rozpore s článkom 5.1.c GDPR, ktorý stanovuje, že údaje musia byť primerané, relevantné a obmedzené na to, čo je nevyhnutné na sledovaný účel.

CNIL nám pripomína, že CCTV kamery nainštalované na pracoviskách, či už sú otvorené pre verejnosť alebo nie, musia rešpektovať súkromie zamestnancov.

„Kamery nesmú za žiadnych okolností filmovať priestory odborov ani ich priame prístupové body.“

Akékoľvek nadmerné zasahovanie do súkromia natáčaných osôb je teda v rozpore s touto zásadou minimalizácie, ako CNIL tiež poznamenala v internátnej škole, ktorej systém video monitorovania natáčal študentov počas raňajok a na nádvorí.

Kamery nie je možné inštalovať na pracovisku.

• Len ak sledujú legitímny cieľ, ako je bezpečnosť majetku a osôb,
• Vo vymedzených a nerušivých priestoroch, ako sú vchody a východy z budov, chodby alebo sklady.

Vyžadujú sa aj bezpečnostné a transparentné povinnosti:

• Prístup k obrázkom musí byť zabezpečený a prístupný iba oprávneným osobám a údaje sa musia uchovávať po obmedzenú dobu, v zásade od niekoľkých dní do mesiaca.
• Zodpovedná osoba musí vopred informovať a konzultovať so zástupcami zamestnancov a zabezpečiť zverejnenie oznámenia pre zamestnancov a verejnosť.

Výnimky týkajúce sa povinností týkajúcich sa transparentnosti sú stále možné: za výnimočných okolností a za určitých podmienok môže prevádzkovateľ dočasne nainštalovať kamery, ktoré nie sú pre zamestnancov viditeľné, za predpokladu, že sa analyzuje kompatibilita zariadenia s GDPR a že je to možné odôvodniť.

Práve kvôli absencii takejto analýzy vplyvu a nedostatočnému zapojeniu jej zodpovednej osoby do implementácie skrytého systému video monitorovania bola organizácia La Samaritaine v septembri minulého roka sankcionovaná komisiou CNIL.

Spoločnosť nahlásila existenciu krádeží spáchaných v rezervách a vysvetlila, že systém je dočasný, ale nevykonala žiadnu predchádzajúcu analýzu ani nezdokumentovala dočasný charakter inštalácie.

Toto nedodržanie rovnováhy medzi sledovaným cieľom a ochranou súkromia zamestnancov viedlo k uloženiu spoločnosti pokuty vo výške 100 000 eur.

Na záver treba poznamenať, že pre miesta prístupné verejnosti musí byť zariadenie schválené prefektom departmentu alebo policajným prefektom v Paríži.

 

      

Dvor audítorov zverejnil 31. októbra správu o „otázkach suverenity civilných informačných systémov štátu“.

Uvádza niekoľko postrehov:

• Niektoré ministerstvá používajú neeurópske IT riešenia, niekedy aj pre citlivé údaje, na úkor digitálnej suverenity.

Správa v tejto súvislosti cituje platformu pre zdravotné údaje, ktorú už viac ako päť rokov prevádzkuje americká spoločnosť.

Taktiež poznamenáva, že súkromní prevádzkovatelia ponúkajú žiadosti o verejnú službu bez toho, aby podliehali rovnakým povinnostiam ako štát.

• Neexistuje mapovanie citlivých údajov zo strany administratívy, ktoré by predstavovalo referenčný rámec umožňujúci identifikáciu tých, ktorých zvrchovanosť musí byť prioritne zachovaná.
• Prijatie suverénneho cloud computingu vládnymi agentúrami zostáva obmedzené, interné štátne cloudy sa snažia dosiahnuť dostatočný rozsah a zosúladenie požiadaviek na suverenitu s výkonnostnými imperatívmi sa ukazuje ako zložité.
• DINUM spravuje dve suverénne infraštruktúry: medzirezortnú sieť štátu (RIE) a systém digitálnej identity (FranceConnect), ktoré sa považujú za úspechy, aj keď je stále potrebný pokrok, najmä z hľadiska odolnosti.
• Okrem kontroly citlivých údajov sa štát neusiluje o úplnú suverenitu, ale skôr o vytvorenie dostatočne vysokej úrovne dôvery prostredníctvom verejného obstarávania, združovania nákupov a overovania zo strany ANSSI na obmedzenie rizík.

Štátna rada 15. októbra potvrdila pokutu 8 000 000 eur, ktorú CNIL uložila spoločnosti Apple za spracovanie údajov francúzskych používateľov na účely personalizovanej reklamy bez ich súhlasu.

• Štátna rada usúdila, že sankcia nebola neprimeraná vzhľadom na počet dotknutých osôb – takmer 27,5 milióna používateľov medzi júlom 2020 a júlom 2021 – a ekonomickú váhu skupiny.
• Taktiež potvrdil jurisdikciu CNIL rozhodovať o jej aktivitách vo Francúzsku, čím odmietol argument spoločnosti, že pod jurisdikciu európskeho regulátora spadá iba jej írsky subjekt.

Ministerstvo práce a solidarity, CNIL a AFCDP poverili agentúru AFPA vykonaním nového prieskumu observatória profesie DPO, ktorý sa týka vplyvu umelej inteligencie na túto profesiu.

Prieskum skúma modely riadenia umelej inteligencie v organizáciách, úlohu zodpovednej osoby (DPO), hlavné výzvy, ktorým čelia zodpovedné osoby, a ich potreby z hľadiska nástrojov a školení. Výsledky budú zverejnené v prvej polovici roka 2026.

CNIL 28. októbra zverejnila správu o svojom podujatí z 20. mája s názvom „GDPR: aký ekonomický dopad?“. 

Podujatie spojilo ekonómov, ako aj francúzskych (CNIL) a európskych (britský úrad pre ochranu údajov, Európska komisia) regulačných orgánov, ktorí prispeli k ex post hodnoteniu implementácie GDPR.

Keďže sa o prenosnosť údajov súvisiacich s vernostnými programami zaujímali aktéri v distribučnom sektore, v polovici októbra sa v ňom tiež špecifikovalo, aké informácie sa musia prenášať, najmä pokiaľ ide o čiarový kód a údaje týkajúce sa akcií, ku ktorým mali zákazníci prístup.

 

Európske inštitúcie a orgány

Zmeny GDPR plánované v rámci zákona Digital Omnibus Act by mohli zájsť ďalej, ako sa pôvodne oznámilo, podľa neformálnej verzie dokumentu, ktorú šírila tlač.

Návrh, ktorého oficiálne zverejnenie sa očakáva 19. novembra, by objasnil (a zároveň obmedzil) určité kľúčové definície, uvoľnil určité pravidlá týkajúce sa dôvernosti a povolil používanie osobných údajov na školenia v oblasti umelej inteligencie.

Občianska spoločnosť už reagovala a poukázala na nebezpečenstvá takéhoto zjednodušenia pre základné práva.

Európska komisia vo štvrtok 9. októbra oznámila začatie verejnej konzultácie k návrhu usmernení týkajúcich sa interakcie medzi nariadením o digitálnych trhoch (DMA) a GDPR.

Tento projekt bol vyvinutý v spolupráci s Európskym výborom pre ochranu údajov (EDPB).

Článok 5(2) je jadrom týchto usmernení: DMA vyžaduje, aby „vrátnici“ získali súhlas používateľa na zdieľanie svojich údajov medzi rôznymi službami, ale nedefinuje presné podmienky tohto súhlasu.

Text teraz špecifikuje, že tento súhlas musí byť platný v zmysle GDPR, ale predovšetkým, že sa oň musí požiadať samostatne pre každý odlišný účel spracovania (personalizácia obsahu a cielená reklama).

Konzultácia je otvorená do 4. decembra.

Európska komisia 24. októbra predbežne dospela k záveru, že spoločnosti Meta a TikTok porušili zákon o digitálnych službách (DSA).

Spoločnosti neumožňujú výskumníkom primeraný prístup k verejne dostupným údajom.

Komisia tiež predbežne dospela k záveru, že Facebook a Instagram si nesplnili svoje povinnosti (1) poskytnúť používateľom jednoduché mechanizmy na nahlasovanie nezákonného obsahu, ako je detská pornografia alebo teroristický obsah, a (2) umožniť používateľom účinne napadnúť rozhodnutia o moderovaní obsahu, ktoré prijala spoločnosť Meta.

TikTok a Meta majú možnosť prístupu k vyšetrovaciemu spisu a reagovať naň.

Európska komisia zverejnila svoj rámec pre suverénny cloud pre orgány verejného obstarávania.

Dokument čerpá z viacerých európskych iniciatív vrátane európskeho rámca pre certifikáciu kybernetickej bezpečnosti (ENISA, NIS2, DORA).

Taktiež sa odvoláva na národné politiky, ako napríklad „cloud v centre pozornosti“ vo Francúzsku so SecNumCloud od spoločnosti Anssi a nemeckým Sovereign Cloud.

Komisia navrhuje hodnotenie suverenity pre cloudové ponuky na základe rôznych kritérií, čo vyvoláva zmiešané reakcie.

Táto metóda nie je zvlášť uspokojivá pre európskych poskytovateľov cloudových služieb združených v združení Cispe, ktorí ju považujú za nepriehľadnú a v súčasnom stave zvýhodňujúcu zahraničných hráčov.

Poslanci Európskeho parlamentu žiadajú o prešetrenie spoločností Shein, Temu a AliExpress zo strany DSA.

Po začatí vyšetrovania parížskej prokuratúry voči týmto štyrom spoločnostiam za predaj „sexuálnych bábik podobných deťom“ viac ako 40 poslancov Európskeho parlamentu podľa správy Euractivu naliehavo vyzvalo Komisiu, aby začala vyšetrovanie.

Návrh nariadenia CSAM zameraného na prevenciu a boj proti sexuálnemu zneužívaniu detí bol opäť na programe zasadnutia Európskej rady 14. októbra.

Keďže Nemecko, ktoré predtým dôrazne podporovalo návrh zákona, stiahlo svoju podporu návrhu nariadenia, hlasovanie bolo odložené.

Kontroverzný návrh stanovoval skenovanie komunikácie na termináli používateľa pred jej odoslaním, čo je prvok, ktorý dánske predsedníctvo Rady odstránilo s cieľom získať dostatočnú podporu od členských štátov.

Dánsko by napriek tomu malo v úmysle na neurčito predĺžiť súčasné dočasné povolenie na „dobrovoľné“ analýzy CSAM a „poskytovatelia vysokorizikových služieb […] by mohli byť stále povinní podniknúť kroky na vývoj relevantných technológií na zmiernenie rizika sexuálneho zneužívania detí identifikovaných v rámci ich služieb“.

Ministri vnútra EÚ sa majú opäť stretnúť začiatkom decembra.

Na svojom októbrovom plenárnom zasadnutí si EDPB vybral tému pre svoju piatu koordinovanú akciu v oblasti kontrol, ktorá sa zameria na dodržiavanie povinností týkajúcich sa transparentnosti a informácií stanovených v GDPR.

Nariadenie zabezpečuje, aby boli dotknuté osoby informované o spracovaní ich údajov (podľa článkov 12, 13 a 14).

EDPB opakuje, že toto právo na informácie je ústredným prvkom transparentnosti a zaručuje jednotlivcom lepšiu kontrolu nad ich údajmi.

Zúčastnené orgány na ochranu údajov sa k tejto akcii dobrovoľne zapoja v nasledujúcich týždňoch a samotná akcia sa spustí v priebehu roka 2026.

Vyšetrovanie sprostredkovateľov osobných údajov, ktoré vykonal belgický denník L'Echo, nemecký špecializovaný časopis Netzpolitik.org, holandská rozhlasová stanica BNR, nemecká rozhlasová stanica BR a denník Le Monde, ukazuje rozsah sledovania, ktoré umožňujú geolokované reklamné údaje.

Tieto údaje, ktoré získal denník „Le Monde“ a jeho partneri, umožnili identifikovať a sledovať viacerých hodnostárov Európskej únie, niekedy dokonca až do ich domovov.

 

Správy z členských krajín Európskej únie.

Nemecká spolková krajina Šlezvicko-Holštajnsko sa vzdala svojich vládnych e-mailových a kalendárových systémov v prospech softvéru s otvoreným zdrojovým kódom.

Migrácia, ktorá trvala šesť mesiacov, nahradila Microsoft Exchange a Outlook platformami Open-Xchange a Mozilla Thunderbird.

Prenos sa týkal viac ako 40 000 e-mailových účtov a viac ako 100 miliónov správ a položiek v kalendári.

V Rakúsku mimovládna organizácia Noyb informuje, že úrad na ochranu údajov vydal rozhodnutie, v ktorom dospel k záveru, že Microsoft 365 Education nelegálne sleduje študentov a používa ich údaje na vlastné účely spoločnosti Microsoft.

Softvérový gigant tiež nereagoval na žiadosť o prístup týkajúcu sa Microsoft 365 Education, ktorý sa bežne používa v európskych školách.

Rakúsky súd potvrdil pokutu 1 500 000 eur uloženú spoločnosti IKEA za nezákonný a nadmerný kamerový dohľad v jednej z jej pobočiek a okolí, ktorý okrem iného zaznamenával zákazníkov zadávajúcich svoje PIN kódy.

Zrušil tak rozhodnutie APD, ktoré považovalo za zodpovedného za porušenia spôsobené počas kúpy iba predávajúceho.

V Belgicku belgický úrad pre ochranu údajov (APD) tiež pokarhal spoločnosť za nezákonné uchovávanie e-mailovej adresy a telefónneho čísla bývalého zamestnanca po skončení jeho pracovnej zmluvy. APD zistil, že prevádzkovateľ porušil niekoľko ustanovení GDPR vrátane zásady obmedzenia účelu, zásad minimalizácie údajov a obmedzenia ukladania, zásad informovania dotknutej osoby a práva na vymazanie.

Nakoniec už neexistoval žiadny právny základ na pokračovanie v spracovaní týchto údajov.

V Španielsku uložil úrad pre finančnú politiku (APD) spoločnosti poskytujúcej finančné služby (Servicios Financieros Carrefour) pokutu 1 500 000 eur za nezabezpečenie bezpečnosti a dôvernosti spracovania údajov v súvislosti s narušením ochrany údajov, ktoré viedlo k odoslaniu viacerých phishingových e-mailov.

V Írsku nedávno opäť vzbudilo pozornosť vymenovanie bývalej lobistky z Meta Niamh Sweeney za komisárku írskeho úradu na ochranu údajov.

Írska rada pre občianske slobody (ICCL) podala 25. októbra sťažnosť na Írsko Európskej komisii s tvrdením, že Írsko neposkytlo dostatočné záruky týkajúce sa nezávislosti a nestrannosti svojho nominačného procesu.

Európska komisia údajne reagovala vyhlásením, že nemá právomoc, pokiaľ ide o národné menovania týkajúce sa oficiálnej rozvojovej pomoci.

Holandský úrad na ochranu údajov (APD) udelil spoločnosti Experian Nederland pokutu vo výške 2,7 milióna eur za viacnásobné porušenia GDPR.

Spoločnosť Experian do 1. januára 2025 poskytovala svojim klientom posúdenia úverovej bonity, pre ktoré zhromažďovala údaje napríklad o negatívnom platobnom správaní, nesplatených dlhoch alebo bankrotoch.

APD konštatoval nedostatok platného právneho základu pre zhromažďovanie informácií a neinformovanie dotknutých osôb.

Spoločnosť musela ukončiť svoju činnosť v krajine a zaviazala sa, že do konca roka vymaže celú svoju osobnú databázu.

 

 

Britský úrad pre ochranu údajov (DPA) udelil poskytovateľovi obchodných služieb špecializujúcemu sa na správu dôchodkov pokutu vo výške 8 000 000 libier a jeho subdodávateľovi vo výške 6 000 000 libier po kybernetickom útoku, ktorý umožnil neoprávneným tretím stranám prístup k údajom viac ako 6 miliónov ľudí.

APD poznamenala nedostatok vhodných bezpečnostných opatrení.

IAPP informuje, že Medzinárodná organizácia pre normalizáciu po prvýkrát od roku 2019 aktualizovala svoju medzinárodnú normu pre riadenie programov dodržiavania súkromia, ISO 27701.

Táto norma je teraz samostatným systémom riadenia, čo znamená, že organizácie už nebudú musieť mať systém riadenia bezpečnosti informácií certifikovaný podľa normy ISO 27001.

Avšak tí, ktorí majú SGSI, budú môcť integrovať oba systémy riadenia.

Norma podrobne opisuje požiadavky na implementáciu systému PIMS, ktoré musí splniť a implementovať každá organizácia, ktorá sa uchádza o certifikáciu.

Hoci ho nemožno považovať za náhradu legislatívy, zostáva úzko v súlade s GDPR EÚ a Spojeného kráľovstva.

V Spojených štátoch imigračná polícia skenuje tváre ľudí na ulici, aby overila ich občianstvo.

Podľa amerického média 404 videá kolujúce na sociálnych sieťach ukazujú agentov ICE (Imigračná a colná správa) a CBP (Colná a hraničná ochrana), ako používajú technológiu rozpoznávania tváre na okoloidúcich v teréne.

Použitá aplikácia Mobile Fortify by prepojila tváre s databázou 200 miliónov obrázkov z databáz FBI, ministerstva zahraničných vecí a ďalších agentúr.

Aplikácia by mohla vykonávať aj krížové vyhľadávanie vozidiel, telefónov, adries a strelných zbraní.

Zatiaľ čo Ministerstvo vnútornej bezpečnosti odmieta potvrdiť alebo vyvrátiť schopnosti systému „Mobile Fortify“, CBP údajne pripúšťa, že sa spolieha na „rôzne technologické nástroje na zvýšenie účinnosti agentov“.

Konkurencia v oblasti integrácie umelej inteligencie do internetových prehliadačov a spochybňovania dominantného postavenia dnes už klasického prehliadača Google Chrome rastie.

Spoločnosť Microsoft tak integrovala svoj nástroj Copilot AI do prehliadača Edge.

Navrhované „akcie“ umožňujú aplikácii Copilot vypĺňať formuláre alebo rezervovať hotely a „Cesty“ umožňujú aplikácii Copilot sledovať prepojenia medzi kartami otvorenými používateľom.

Oznámenie spoločnosti Microsoft prišlo dva dni po podobnom spustení od spoločnosti OpenAI, ktorá predstavila svoj nový prehliadač Atlas, vizuálne veľmi podobný prehliadaču od Microsoftu.