Pravna ura št. 92 – februar 2026. 

 

Podizvajalec, med šibkim členom in strateškim igralcem.

CNIL je 9. februarja predstavil poročilo za leto 2025 o sankcijah in korektivnih ukrepih: piškotki, spremljanje zaposlenih in varnost podatkov so glavne teme sankcij, naloženih leta 2025, katerih kumulativni znesek glob predstavlja skupni znesek 486.839.500 evrov.

Med sankcijami se veliko število primerov nanaša na podizvajalce zaradi neizpolnjevanja obveznosti glede podatkov, ki so jim bili zaupani.

CNIL nas opominja, da mora podizvajalec:

• Obdelujte podatke samo po navodilih upravljavca podatkov;
• Izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev ustrezne ravni varnosti;
• In podatke izbrišete ob koncu pogodbenega razmerja z upravljavcem podatkov.

Podizvajalec mora upravljavcu pomagati tudi pri izvajanju nekaterih obveznosti iz uredbe: ocena vpliva na zasebnost, obveščanje o kršitvah podatkov, varnost, sodelovanje pri revizijah.

Prav tako mora voditi evidenco dejavnosti obdelave in v nekaterih primerih imenovati pooblaščeno osebo za varstvo podatkov.

Člen 28 GDPR, ki obravnava sklenitev posebne pogodbe med upravljavcem in obdelovalcem, določa obvezne določbe, ki jih mora pogodba vključiti.

To lahko v celoti ali delno temelji na standardnih pogodbenih klavzulah, kot so tiste, ki jih je odobrila Evropska komisija ali ena od držav članic EU.

Priporočljivo je, da se v teh klavzulah jasno opredelijo odgovornosti izvajalca in podizvajalca. Te podrobnosti se lahko izkažejo za koristne v primeru neizpolnitve obveznosti ene od strank.

Velja spomniti, da je veliko nedavnih kršitev varnosti podatkov, ki so prizadele tako javni kot zasebni sektor, povzročila varnostna napaka podizvajalca.

Pogosto je vzrok človeška napaka, natančneje kraja poverilnic zaposlenega.

Dvofaktorska avtentikacija in uporaba kompleksnih gesel ostajata bistvena načina za zaščito pred takimi napadi, kot smo poudarili v komentarju o nedavni sankciji CNIL zaradi "France travail".

Podizvajalci imajo dejansko posebne obveznosti glede varnosti, zaupnosti in dokumentacije.

Da bi zagotovili učinkovito varstvo podatkov, prilagojeno tveganjem, morajo uvesti vse koristne ukrepe, od zasnove storitve ali izdelka do privzetih nastavitev („zasebnost že pri vgradnji in privzeto“).

Poleg tega je treba o vsaki kršitvi varnosti podatkov obvestiti upravljavca podatkov v zakonsko določenih rokih.

Nenazadnje, izbris podatkov ob koncu pogodbe ni le obveznost, temveč tudi najboljši način za zaščito pred kršitvami podatkov po koncu pogodbenega razmerja, na kar opozarja tudi milijon evrov globe, ki jo je CNIL konec decembra naložil podjetju Mobius Solutions.

Podjetje je po koncu pogodbenega razmerja obdržalo kopijo podatkov več kot 46 milijonov uporabnikov Deezerja, kljub svoji obveznosti, da ob koncu pogodbe vse te podatke izbriše, kar je omogočilo večjo kršitev varnosti podatkov.

 

CNIL je 2. marca objavil posodobljeno različico svojih tabel o varstvu podatkov. 

Te tabele zbirajo in organizirajo bistveno sodno prakso in prakso odločanja v zvezi z varstvom osebnih podatkov na nacionalni in evropski ravni.

Konec februarja je poročilo France 2 opozorilo na kršitev zdravstvenih podatkov in natančneje na vdor v programsko opremo "MonLogicielMedical" s strani Cegedima.

Napad je hekerju omogočil zbiranje zdravstvenih podatkov od 11 do 15 milijonov Francozov, ki so bili dostopni na temnem spletu.

CNIL je podjetje že septembra 2024 sankcioniral z globo v višini 800.000 evrov, zlasti zaradi obdelave zdravstvenih podatkov brez dovoljenja.

Generalni direktorat za javne finance (DGFiP) je 18. februarja 2026 v sporočilu za javnost poročal, da je bil v nacionalni datoteki bančnih računov (FICOBA) odkrit nezakonit dostop, potem ko so bili identifikatorji pooblaščenega zastopnika uzurpirani.

Heker je pridobil poverilnice računa pred kibernetskim napadom: ministrstvo za gospodarstvo ni uvedlo dvofaktorske avtentikacije.

Zadevni podatki se nanašajo na približno 1,2 milijona računov in vključujejo zlasti identiteto imetnikov računov, njihov naslov, njihovo banko in njihovo IBAN.

01net poroča o oceni, ki jo je podjetje Surfshark izvedlo glede uhajanja podatkov v Franciji.

"Do leta 2025 bo po vsem svetu vdrtih 425,7 milijona računov. Najbolj prizadeta država so Združene države Amerike s 34 milijoni kršitev podatkov po vsem svetu. Na drugem mestu je Francija, sledijo ji Indija, Nemčija in Rusija. Do leta 2025 bodo francoski uporabniki interneta v povprečju doživeli skoraj en vdor v račun na sekundo."

Francija izstopa tudi z "gostoto kršitev, ki je 12-krat višja od svetovnega povprečja". Izpostavlja se pomanjkanje naložb v varnost, bodisi s strani podjetij bodisi javnih subjektov.

Posredniki podatkov, ki prečesavajo splet, da bi tako zbrane osebne podatke preprodajali, so prav tako glavna tarča hekerjev.

 

Evropske institucije in organi

Predlog Evropske komisije "Omnibus" za poenostavitev GDPR je v Svetu EU doživel udarec.

Svet v dokumentu z dne 20. februarja namerava umakniti predlog za spremembo opredelitve osebnih podatkov.

Poleg tega želi Svet po poročanju Euractiva umakniti tudi predlog Komisije o razširitvi lastnih pooblastil, kar bi mu omogočilo, da sam določi, kaj predstavlja dovolj psevdonimizirane podatke.

Kompromisno besedilo, ki ga je pripravilo ciprsko predsedstvo Sveta, bo služilo kot osnova za pogajanja med nacionalnimi vladami.

Svet naj bi besedilo preučil 27. februarja.

Evropski odbor za varstvo podatkov (EDPB) in Evropski nadzornik za varstvo podatkov (EDPS) sta 11. februarja že sprejela dolgo pričakovano skupno mnenje o vidikih varstva podatkov v tem predlogu Omnibus.

V svojem sporočilu za javnost regulatorji vztrajajo, da poenostavitev ne sme priti na račun zaščite ljudi.

Sozakonodajalca pozivata, naj ne sprejmeta predlaganih sprememb opredelitve osebnih podatkov, saj bi znatno zmanjšale njen obseg in bi bile v nasprotju s sodno prakso Sodišča EU.

»Zagotoviti moramo, da bodo vse spremembe GDPR in Splošne uredbe EU o varstvu podatkov resnično pojasnile obveznosti in zagotovile pravno varnost, hkrati pa ohranile zaupanje in visoko raven varstva pravic in svoboščin posameznika.«

V skupnem mnenju je poudarjena tudi potreba po jasnem nadzoru organov za varstvo podatkov glede pasic piškotkov in ponovne uporabe podatkov javnega sektorja.

Evropski odbor za varstvo podatkov je objavil poročilo o svojem usklajenem ukrepanju v zvezi z uporabo pravice do pozabe.

Ta pravica je ena najpogosteje uveljavljenih.

To je povzročilo številne pritožbe in vse večje število odločitev organov za varstvo podatkov.

Poročilo izpostavlja sedem glavnih izzivov za organizacije, vključno s pomanjkanjem notranjih postopkov. Ponuja tudi praktična priporočila za pomoč organizacijam pri reševanju teh izzivov.

Odbor je objavil tudi poročilo o dogodku, ki je bil 12. decembra 2025, v zvezi z anonimizacijo in psevdonimizacijo.

Poročilo povzema povratne informacije približno sto udeležencev, zbranih za razpravo o uporabi GDPR za te tehnike po sodbi Sodišča EU v zadevi ENVP proti SRB.

Izpostavlja praktične negotovosti pri določanju, kdaj podatki ostanejo "določljivi", odvisno od akterjev in kontekstov, ter vprašanje "sredstev, ki se razumno verjetno" uporabijo za ponovno identifikacijo osebe.

Dokument ne ponuja dokončnih smernic, temveč opredeljuje ključna vprašanja, ki bodo usmerjala prihodnje usmeritve EOVP glede anonimizacije in psevdonimizacije v njegovem delovnem programu.

Evropski odbor za varstvo podatkov je sprejel svoj delovni program za obdobje 2026–2027.

Delal bo na več modelih, namenjenih olajšanju skladnosti z GDPR: obveščanje o kršitvah podatkov, ocene učinka na varstvo podatkov, ocena legitimnih interesov, register obdelav in obvestilo/politika o zasebnosti.

Sodišče je 10. februarja v zadevi C-97/23 P | WhatsApp Ireland proti Evropskemu odboru za varstvo podatkov razsodilo, da je tožba, ki jo je Whatsapp vložil zoper odločitev Evropskega odbora za varstvo podatkov, dopustna.

Ker Sodišče Evropske unije še ni preučilo vsebine zadeve, Sodišče razveljavlja izpodbijani sklep in zadevo vrne Sodišču v novo odločanje.

Evropsko sodišče za človekove pravice je 17. februarja v zadevi Zelena zaveza proti Bolgariji – 6580/22 razsodilo, da bolgarski predpisi, ki nacionalni varnostni agenciji dovoljujejo uporabo "tajnih agentov", kršijo 8. člen Evropske konvencije o človekovih pravicah, saj dovoljujejo prikrito spremljanje organizacij brez zadostnih zaščitnih ukrepov ali nadzora.

 

Novice iz držav članic Evropske unije.

V Nemčiji Bundestag po poročanju Heise.de in Table.Media intenzivno dela na temeljitem prestrukturiranju svoje digitalne arhitekture. Parlament se želi osvoboditi tehnološkega primeža ameriških podjetij, kot je Microsoft, da bi v času krize deloval bolj odporno in predvsem neodvisno od tretjih držav.

Avstrijski organ za varstvo podatkov (DPA) je upravljavcu podatkov naložil globo v višini 1500 evrov, ker je nezakonito snemal javni pločnik z nadzorno kamero in objavil slike osumljenega tatu na družbenih omrežjih, s čimer je kršil načela minimizacije podatkov in preglednosti ter pravila, ki urejajo obdelavo pravosodnih podatkov.

Danski organ za varstvo podatkov (DPA) je 51 občinam izdal opomin in jih hkrati opozoril glede uporabe Googlovih izdelkov v osnovnih in nižjih srednjih šolah. Natančneje, ugotovil je, da občine niso ustrezno dokazale, da zagotavljajo ustrezno raven varstva osebnih podatkov, ki se obdelujejo zunaj EU.

Irska agencija za varstvo podatkov (DPA) je 17. februarja sporočila, da je začela preiskavo podjetja X Elona Muska. Preiskava se nanaša na ustvarjanje in objavo "potencialno škodljivih, intimnih in/ali spolno eksplicitnih slik na platformi X brez privolitve, ki vsebujejo ali vključujejo obdelavo osebnih podatkov posameznikov iz EU/EGP, na katere se nanašajo osebni podatki, vključno z otroki", z uporabo generativne funkcije umetne inteligence, povezane z jezikovnim modelom Grok. Več držav se je že odločilo, da bodo popolnoma prepovedale klepetalni robot Elona Muska z umetno inteligenco, Evropska komisija pa je preiskavo začela 26. januarja.

Na Nizozemskem je sodišče razsodilo, da nizozemski organ za varstvo podatkov (APD) ni zadostno utemeljil zavrnitve pritožbe zoper kino, ki ni več sprejemal gotovinskih plačil. Po mnenju sodišča APD ni ocenil, ali je zahteva po plačilih s karticami zasledovala dovolj konkreten in utemeljen cilj v skladu s Splošno uredbo o varstvu podatkov.

Na Slovaškem je ustavno sodišče razveljavilo zakon, ki je od nevladnih organizacij zahteval objavo podatkov o njihovih sodelavcih, saj je ugotovilo, da krši zasebnost, informacijsko samoodločbo in svobodo združevanja, hkrati pa nalaga pretirana bremena.

 

Britanski organ za varstvo podatkov (ICO) je platformi Reddit naložil globo v višini 14,47 milijona funtov (približno 16,6 milijona evrov) zaradi neizpolnjevanja obveznosti glede zasebnosti podatkov otrok.

ICO meni, da Redditovo preverjanje starosti ni zadostno in da platforma "zato ni imela pravne podlage za obdelavo osebnih podatkov otrok, mlajših od 13 let".

Poleg tega Reddit "pred januarjem 2025 ni izvedel ocene učinka na varstvo podatkov (DPIA), da bi ocenil in ublažil tveganja za otroke."

ICO je 5. februarja napovedal tudi globo v višini 247.590 funtov proti podjetju MediaLab.AI, Inc., ki stoji za platformo za deljenje slik Imgur.

MediaLab je otrokom dovolil uporabo Imgurja, ne da bi pri tem izvajal osnovne zaščitne ukrepe, ki jih zahteva britanska zakonodaja o varstvu podatkov.

Indija se je februarja 2026 odločila, da bo uporabo Aadhaarja, največjega sistema digitalne identitete na svetu, razširila na vsakodnevno zasebnost z novo aplikacijo in sistemom za preverjanje brez povezave.

Spremembe naj bi posameznikom omogočile, da dokažejo svojo identiteto brez preverjanja v realnem času v zbirki podatkov, z integracijo zasebnih storitev preverjanja, kot sta Google Wallet in Apple Wallet.

Kampanja civilne družbe trdi, da sistem preverjanja brez povezave tvega ponovno uvedbo uporabe sistema Aadhaar v zasebnem sektorju, kar je vrhovno sodišče že obsodilo. 

Sistem omogoča tudi "indijskim zveznim državam in policiji, da s številko Aadhaar povežejo vse vrste osebnih podatkov: koordinate GPS, telefonske številke, družbena omrežja, kartico za registracijo volivcev, potni list, posojila, socialne prejemke, včasih celo imena sorodnikov ali celo imena partnerjev na določenih policijskih obrazcih."

Glede na poročilo CNBC z dne 19. februarja Accenture povezuje napredovanja svojih višjih vodstvenih delavcev z redno uporabo svojih orodij umetne inteligence.

Poročali so, da so bili namestniki direktorjev in višji menedžerji obveščeni, da bo za dostop do vodstvenih položajev potrebna "redna uporaba" umetne inteligence.

Strategija podjetja za umetno inteligenco "zahteva uporabo najnovejših orodij in tehnologij, da bi našim strankam lahko služili na najučinkovitejši možen način," je za CNBC povedal tiskovni predstavnik.

Kalifornijski generalni državni tožilec je 11. februarja 2026 objavil rekordno poravnavo z družbo Walt Disney v višini 2,75 milijona dolarjev. da bi rešili obtožbe, da podjetje ni ustrezno upoštevalo ugovorov potrošnikov glede obdelave njihovih podatkov v skladu s kalifornijskim zakonom o varstvu zasebnosti potrošnikov.

New York Times v članku z dne 13. februarja poroča, da Meta, matična družba Facebooka, načrtuje, da bo svojim pametnim očalom, ki jih izdeluje v sodelovanju z lastnikom Ray-Bana in Oakleysa, že letos dodala funkcijo prepoznavanja obrazov.

Ta funkcija, interno imenovana »Name Tag« (oznaka z imenom), bi uporabnikom pametnih očal omogočila identifikacijo ljudi in pridobivanje informacij o njih prek Metinega pomočnika za umetno inteligenco. V internem dopisu, objavljenem lani, je Meta domnevno navedla, da bi politični nemiri v Združenih državah preusmerili pozornost od kritikov izdaje te funkcije.

23. februarja 2026 je 61 organov za varstvo podatkov objavilo skupno izjavo o slikah, ustvarjenih z umetno inteligenco.

Ta skupna izjava obravnava pomisleke glede sistemov umetne inteligence, ki lahko ustvarjajo realistične slike in videoposnetke, ki prikazujejo prepoznavne posameznike brez njihove vednosti ali soglasja.

Organizacija za gospodarsko sodelovanje in razvoj (OECD) je 19. februarja 2026 objavila nove smernice, ki bodo organizacijam pomagale pri izvajanju smernic OECD za večnacionalna podjetja in načel OECD o umetni inteligenci.

Te smernice so namenjene pomoči organizacijam pri obvladovanju tveganj, povezanih z umetno inteligenco, in skladnosti z mednarodnimi standardi za odgovorno poslovno ravnanje.

Razvoj agentov umetne inteligence, čeprav namenjen olajšanju številnih administrativnih opravil, sproža tudi resna varnostna vprašanja.

OpenClaw, najnovejši, je odprtokodni projekt, ki se vrti okoli avtonomnega agenta umetne inteligence, ki je sposoben upravljati računalnik namesto uporabnika.

OpenClaw, ki ga je pred kratkim prevzel OpenAI, je zdaj tarča resnih varnostnih napadov.

Kibernetski kriminalci so v nekaj tednih ogrozili več kot 30.000 primerkov OpenClaw, pri čemer so lažni skripti omogočili namestitev virusov in zlonamerne programske opreme, ki je lahko posnel vse, kar je bilo vtipkano na tipkovnici v računalnikih z operacijskim sistemom Windows. 

»Vedno več vodij zagonskih podjetij prepoveduje avtonomne agente na napravah podjetij, saj se bojijo uhajanja zaupnih podatkov. Varnostni strokovnjaki izražajo resno zaskrbljenost zaradi pomanjkanja revizije, perspektive, resničnih zaščitnih ukrepov in preglednosti v zvezi z umetno inteligenco, medtem ko jo vse več zaposlenih že vključuje v svoje vsakodnevne naloge v prizadevanju za večjo produktivnost.«

Ta opozorila je 12. februarja posredoval nizozemski organ za varstvo podatkov (APD), ki uporabnike in organizacije opozarja pred uporabo OpenClawa in podobnih eksperimentalnih sistemov zaradi kritičnih varnostnih ranljivosti.

Mednarodno združenje strokovnjakov za varstvo zasebnosti (IAPP) je 5. februarja objavilo posodobljeno različico svojega globalnega imenika zakonov o zasebnosti in organov za varstvo podatkov.

IAPP ugotavlja, da se režimi varstva podatkov po vsem svetu še naprej razvijajo in dozorevajo. »V zadnjih 12 mesecih je Indija uvedla nova pravila izvrševanja za izvajanje Zakona o varstvu digitalnih osebnih podatkov, Bangladeš in Gambija sta sprejela ali razmišljata o sprejetju novih celovitih zakonov, druge države, vključno z Ekvadorjem in Indonezijo, pa so ustanovile nove agencije za razlago in izvrševanje obstoječih zakonov o zasebnosti.«