Veille juridique

Sledilne piksle v e-poštnih sporočilih: CNIL pojasnjuje pravni okvir

Pravna ura št. 94 – april 2026. 

 

Sledilne piksle v e-poštnih sporočilih: CNIL pojasnjuje pravni okvir

CNIL je 14. aprila objavil svoja priporočila o sledilnih slikovnih pikah v e-poštnih sporočilih. Priporočilo je naslovljeno na vse zasebne in javne organizacije, ki uporabljajo sledilne slikovne pike, pa tudi na ponudnike tehničnih storitev, ki jih morda uporabljajo.

Sledilna slikovna pika je v praksi slika, pogosto zelo majhne velikosti, ki se bo prikazala v vsebini e-poštnega sporočila prek hiperpovezave.

Vključitev piksla predstavlja navodilo uporabnikovemu terminalu, da pošlje ciljne informacije (identifikator piksla, IP-naslov itd.) akterjem, ki jih namestijo.

Piksel omogoča pošiljatelju sporočila, da vidi, ali je bilo odprto ali ne, in da ustrezno prilagodi svojo komunikacijo, na primer glede pogostosti pošiljanja, vsebine sporočil ali posodabljanja seznama potencialnih strank.

CNIL nas opominja, da takšna praksa zahteva predhodno soglasje prejemnikov e-pošte v skladu s 5. členom Direktive o e-zasebnosti, ki je bila prenesena v 82. člen francoskega zakona o varstvu podatkov.

Vendar pa dovoljuje izjemo za "transakcijska" e-poštna sporočila, povezana s storitvijo, ki jo zahteva prejemnik, na primer za identifikacijo prejemnikov, ki ne odpirajo več svojih e-poštnih sporočil, in njihovo odstranitev s poštnih seznamov.

Izjema velja tudi za e-poštna sporočila v zvezi z opozorili o računu, obvestili v zvezi z dogodki, kot so pošiljanje paketa, potrditve naročil in računi za nakup, opomniki in ponastavitve gesel, varnostna opozorila in obvestila o kršitvah itd.

Razen teh izjem mora upravljavec podatkov za vse naslove, zbrane od 14. aprila, datuma priporočila CNIL, pridobiti predhodno soglasje prejemnikov, preden v e-poštno sporočilo vključi sledilno slikovno piko.

To soglasje bi lahko na primer pridobili ob zbiranju naslova ali prek povezave, vdelane v e-poštno sporočilo brez sledilne piksle.

Za naslove, zbrane pred tem datumom, se akterje prosi, da v treh mesecih jasno obvestijo prejemnike, da lahko ugovarjajo.

Ta objava sproža odzive, ker sili zelo veliko število uradnikov, da hitro sprejmejo ukrepe za skladnost.

Je nadzorni organ glede tega vprašanja strožji ali bolj popustljiv kot njegovi evropski kolegi?

Zdi se, da je zdaj eden redkih, ki jasno navaja, v kakšnem kontekstu bo kaznoval sledilne piksle.

Vendar pa to vrsto obdelave že leta poudarja Evropski odbor za varstvo podatkov (EDPB), pred njim pa že njegov predhodnik G29 (glej zlasti smernice WP118 in 2/2023).

Evropsko stališče je tudi strožje od stališča CNIL, saj omenja popolno prepoved sledilnih slikovnih pik brez soglasja prejemnika sporočila.

Prispevki, prejeti med javnim posvetovanjem o osnutku priporočila, so očitno spodbudili CNIL k poskusu ugoditi vsem: tako je svoje stališče spremenil v smeri večje prožnosti glede e-poštnih sporočil, povezanih s storitvijo, ki jo zahteva prejemnik.

Vendar pa se bo izvajanje tega stališča verjetno izkazalo za zapleteno.

Pojasnilo o obsegu izjeme bi bilo dobrodošlo, da bi bolje opredelili storitve, ki imajo od nje koristi, kot so glasila ali druge naročnine, ki jih sklenejo prejemniki, glede katerih ostaja nekaj vprašanj. CNIL (francoski organ za varstvo podatkov) navaja, da bo podpiral upravljavce podatkov, zlasti prek spletnih seminarjev. Revizije in uvedba sankcij naj bi se izvedle šele pozneje, čeprav Komisija danes ne posreduje dodatnih podrobnosti.

 

CNIL (francoski organ za varstvo podatkov) je objavil predlogo dokumenta, ki je namenjena pomoči pooblaščenim osebam za varstvo podatkov (DPO) pri pripravi poročil o njihovih dejavnostih. Čeprav takšno poročilo ni obvezno v skladu s Splošno uredbo o varstvu podatkov, ga CNIL meni za koristno najboljšo prakso za spremljanje skladnosti in komunikacijo z DPO.

CNIL je 28. aprila odobril tudi kodeks ravnanja, ki ga je predložila Alliance du Commerce, namenjen zagotavljanju konkretne pomoči francoskim trgovcem na drobno v sektorju oblačil in obutve pri izpolnjevanju zahtev GDPR.

Namen priročnika je okrepiti varstvo podatkov pri prodaji in distribuciji, tako v trgovinah kot na spletu.

To je prvi nacionalni kodeks in tretji sektorski kodeks, ki ga je odobril CNIL (francoski organ za varstvo podatkov), po evropskih kodeksih CISPE (2021), namenjenih računalništvu v oblaku, in EUCROF (2024), ki se nanaša na klinična preskušanja v zdravstvu. V Evropi je bilo uvedenih približno petnajst kodeksov, ki so dostopni prek te infografike.

Vlada se je v svojem odloku z dne 24. aprila 2026 odločila opredeliti tehnične podrobnosti nacionalne datoteke o računih goljufij (FNC-RF), katere cilj je okrepiti boj proti bančnim goljufijam, pri čemer je prezrla priporočila CNIL glede varnosti.

Ta datoteka, ki si jo finančne institucije delijo prek Banke Francije, vsebuje številke IBAN računov, za katere obstaja sum goljufije.

Arhitektura, ki jo je odobrila vlada, po mnenju CNIL predstavlja največjo izpostavljenost tveganjem, saj omogoča deljenje celotnih in sinhroniziranih kopij podatkov v navadnem besedilu s ponudniki plačilnih storitev in njihovimi podizvajalci.

DGSI (Generalni direktorat za notranjo varnost) je 17. aprila objavil obvestilo, v katerem opozarja na tveganja, povezana z uporabo tujih aplikacij in rešitev na delovnem mestu. »Poleg povečane izpostavljenosti tveganjem kibernetske varnosti lahko ta orodja, ki jih pogosto razvijajo neevropska podjetja, predstavljajo tudi pravna, varnostna, zaupna, odvisnostna ali prekinitvena tveganja.«

V opombi so predstavljeni različni primeri, ki bi morali vse uporabnike spodbuditi k previdnosti pri delitvi informacij in odobritvi dostopa.

Francoski državni svet je 30. aprila objavil svojo odločitev o načelu postopnega odzivanja za ARCOM, naslednika sistema Hadopi, in razveljavil več vidikov odloka z dne 5. marca 2010 zaradi kršitve pravic do zasebnosti. Sistem je bil namenjen boju proti piratstvu glasbe in filmov v omrežjih P2P. Državni svet je na podlagi peticije štirih skupin za zagovorništvo digitalnih pravic iz sodbe Sodišča Evropske unije (SEU) z dne 30. aprila 2024, ki določa, da ponavljajočega se navzkrižnega sklicevanja med identiteto in prenesenimi deli ni mogoče izvajati brez neodvisnega nadzora.

Odločitev podjetja Anthropic, da zaradi tveganj za kibernetsko varnost ne bo javno objavila svojega najnovejšega modela umetne inteligence (UI), je sprožila številne odzive.

Mythos je resnično sposoben zelo učinkovito prepoznati ranljivosti v računalniški kodi.

V sporočilu, objavljenem v četrtek, 23. aprila, Svet za umetno inteligenco in digitalno tehnologijo (CIANum) poziva k temu, da se "ne vdamo prevladujoči paniki", in podaja več pripomb:

„Sprejemanje umetne inteligence za doseganje skladnosti: javni in zasebni akterji, ki si ne bodo nenehno prizadevali za razumevanje in vključevanje teh novih načinov uporabe, bodo hitro ostali zadaj.“

Vključevanje ljudi v ključne faze: čeprav je umetna inteligenca dragocena pomoč pri razvoju, popravljanju in testiranju programske opreme, se zdi, da popolna odprava človeškega strokovnega znanja zdaj zagotovo zagotavlja neuspeh. 

Predvidevanje novih ranljivosti in ustrezno nameščanje popravkov predstavlja velik izziv, še posebej ker so mnogi akterji že preobremenjeni.

Nacionalni posvetovalni etični odbor za znanosti o življenju in zdravje (CCNE) in Nacionalni posvetovalni etični odbor za digitalno tehnologijo (CCNEN) sta 7. aprila objavila skupno mnenje, posvečeno digitalnim nevrotehnologijam in vmesnikom med možgani in stroji.

V mnenju je poudarjeno, da razvoj teh tehnologij "sproža velika etična vprašanja, zlasti glede dostojanstva, avtonomije, svobode misli, varstva zasebnosti in pravičnosti".

Posebna vprašanja se nanašajo na uporabo nevronskih podatkov, nemedicinske aplikacije, morebitne učinke na identiteto in vedenje ter zaščito otrok in mladostnikov.

Odbori so oblikovali sklop priporočil, ki pozivajo k posebni previdnosti glede uporabe digitalnih nevrotehnologij.

 

Evropske institucije in organi

7. maja so evropski zakonodajalci po prvem neuspešnem poskusu dosegli dogovor sporazum o "AI Omnibusu", katerega cilj je sprememba in poenostavitev evropske uredbe o umetni inteligenci.

Podjetja bodo imela do konca leta 2027 čas za uskladitev s pravili v zvezi z visoko tvegano umetno inteligenco, medtem ko bodo dobavitelji strojev, ki jih poganja umetna inteligenca, izrecno oproščeni določenih obveznosti.

Hkrati Omnibus uvaja novo prepoved praks umetne inteligence, povezanih z ustvarjanjem spolnih in intimnih vsebin brez privolitve ali otroške pornografije.

Formalni postopek odobritve je v teku, cilj pa je objava končnih sprememb do avgusta.

V kontekstu, ko vse več držav namerava omejiti dostop mladoletnikov do družbenih omrežij, je Evropska komisija 29. aprila sprejela priporočilo, v katerem države članice poziva, naj pospešijo uvedbo evropske aplikacije za preverjanje starosti in jo dajo na voljo do konca leta.

Komisija je za to aplikacijo razvila glavni načrt, ki je predstavljen kot zasebnostno prijazen in uporabnikom omogoča, da dokažejo, da so polnoletni, ne da bi razkrili svojo natančno starost, identiteto ali katere koli druge osebne podatke.

Vendar pa je svetovalec za kibernetsko varnost po poročanjih odkril varnostne pomanjkljivosti, ki bi lahko ogrozile uvedbo aplikacije po vsej državi.

Evropska komisija je 29. aprila predhodno ugotovila, da platformi Instagram in Facebook družbe Meta kršita uredbo o digitalnih storitvah (DSA), ker ne prepoznavata, ocenjujeta in zmanjšujeta tveganj, povezanih z dostopom mladoletnikov, mlajših od 13 let, do njunih storitev.

EOVP je na plenarnem zasedanju 22. aprila sprejel smernice v zvezi z obdelavo osebnih podatkov za znanstvenoraziskovalne namene.

Odbor je ustanovil tudi delovno skupino, katere naloga je pospešiti dokončanje smernic o anonimizaciji.

Sprejela je tudi dve mnenji o dveh sklopih meril za certificiranje Europrivacy z namenom njihove odobritve kot evropskih oznak za varstvo podatkov, od katerih je eno namenjeno kot orodje za prenose.

Na prejšnjem plenarnem zasedanju je EDPB objavil še en pomemben dokument: za lažje zagotavljanje skladnosti organizacij z GDPR in krepitev doslednosti po vsej Evropi je razvil model za oceno učinka na varstvo podatkov (DPIA). Ta dokument je odprt za komentarje do 9. junija.

Sodišče EU je 21. aprila razsodilo, da je Madžarska s sprejetjem zakona, ki stigmatizira in marginalizira osebe LGBTI+, kršila pravo Evropske unije.

Sodišče tudi poudarja, da naslov zakona enači te posameznike s tistimi, ki so bili obsojeni zaradi pedofilije, kar pomeni, da bo "asimilacija verjetno povečala stigmatizacijo prvih in spodbudila sovražno vedenje do njih".

Nazadnje sodišče pojasnjuje, da ta zakon krši GDPR, kolikor je spremenil zakon o kazenskih evidencah, da bi razširil dostop do informacij o osebah, obsojenih zaradi pedofilije.

Čeprav je tak dostop v določenih okoliščinah lahko zakonit, Sodišče meni, da „zakon ne zagotavlja dovolj natančne opredelitve niti oseb, pooblaščenih za dostop do podatkov, niti pogojev dostopa, potrebnih za zagotovitev ustreznih zaščitnih ukrepov za pravice in svoboščine oseb, katerih podatki so zadevni.“

 

Novice iz držav članic Evropske unije.

V Belgiji je organ za varstvo podatkov (APD) dve osebi opozoril, naj poskrbita, da njuni nadzorni kameri ne bosta več snemali javnih cest.

Kamera je bila nameščena kot odvračilni ukrep proti predrtju pnevmatik.

Policijska uprava ZDA (APD) je ugotovila, da je snemanje javne ceste nezakonito v skladu z zakonom o nadzornih kamerah, in poudarila, da posneti posnetki kršijo pravico do zasebnosti in pravico do varstva podatkov pritožnika in njegove družine zaradi pogoste obdelave njihovih osebnih podatkov zaradi lokacije kamere.

Španska agencija za varstvo podatkov (APD) je podjetje za prevozne storitve oglobila z 200.000 evri, ker je svoje zaposlene prisilila, da v službene namene uporabljajo štiri aplikacije za sledenje na osebnih telefonih.

APD je univerzi naložil tudi globo v višini 160.000 evrov, ker ni pridobila veljavnega soglasja študentov za preverjanje njihove identitete med spletnimi izpiti prek sistema za prepoznavanje obrazov.

Italijanski organ za varstvo podatkov (APD) je družbi Poste Italiane SpA naložil globo v višini 6.624.000 evrov, družbi Postepay SpA pa 5.877.000 evrov zaradi nezakonite obdelave osebnih podatkov milijonov uporabnikov.

Aplikacije BancoPosta in Postepay so kot obvezen pogoj za uporabo storitev zahtevale, da uporabniki podelijo dovoljenje za spremljanje nabora podatkov, ki jih vsebujejo mobilne naprave, da bi odkrili morebitno zlonamerno programsko opremo.

APD je ugotovil, da je obseg nadzora prekomeren glede na namene preprečevanja goljufij, in opozoril tudi na pomanjkljivosti v informacijah, ki so bile posredovane uporabnikom, odsotnost ocene učinka (IAPD), pomanjkanje ustreznih varnostnih ukrepov in politike hrambe podatkov ter nepravilnosti pri imenovanju upravljavca podatkov.

Nizozemski minister za digitalno gospodarstvo in suverenost si prizadeva za vzpostavitev "digitalnega kompleta za nujne primere", ki bo javnim upravam in državljanom pomagal pri samostojnem spopadanju z digitalno katastrofo, kot je na primer izpad nacionalnega interneta.

Država je res še vedno nevarno odvisna od ameriških tehnoloških podjetij za svojo bistveno infrastrukturo, od gostovanja v oblaku do davčnih sistemov.

Vlada želi, da bi državljani lahko 72 ur samostojno zadovoljevali svoje potrebe brez interneta, telefona in digitalnih plačilnih sredstev.

Britanska vlada je 23. aprila potrdila, da so bili zdravstveni kartoni 500.000 udeležencev enega od vodilnih britanskih znanstvenih programov, UK Biobank, naprodaj na spletni strani Alibabe. Čeprav ogroženi podatki niso vsebovali imen, naslovov, kontaktnih podatkov ali telefonskih številk, bi lahko vključevali spol, starost, mesec in leto rojstva, socialno-ekonomski status, življenjske navade in meritve bioloških vzorcev. Ni bilo kibernetskega napada, temveč množičen prenos podatkov s strani legitimno akreditirane organizacije. Podatkovna baza je raziskovalcem dejansko dostopna. Vodstvo Biobank je izjavilo, da so od incidenta uvedli ukrepe za omejitev velikosti prenesenih datotek in spremljanje izvoza sumljivih datotek.

 

Britanska vlada je 23. aprila potrdila, da so bili zdravstveni zapisi 500.000 udeležencev enega od vodilnih britanskih znanstvenih programov, UK Biobank, naprodaj na spletni strani Alibabe. Čeprav ogroženi podatki ne vključujejo imen, naslovov, kontaktnih podatkov ali telefonskih številk, lahko vključujejo spol, starost, mesec in leto rojstva, socialno-ekonomski status, življenjske navade in meritve bioloških vzorcev.

Ni bilo kibernetskega napada, temveč množičen prenos podatkov s strani legitimno akreditirane organizacije. Podatkovna baza je dejansko dostopna raziskovalcem.

Vodstvo Biobanke je navedlo, da so po incidentu uvedli ukrepe za omejevanje velikosti prenesenih datotek in spremljanje izvoza sumljivih datotek.

Ameriška zveza potrošnikov (CFA) je 21. aprila vložila skupinsko tožbo proti podjetju Meta, v kateri trdi, da podjetje v nasprotju s svojimi zavezami ni zaščitilo svojih uporabnikov pred goljufivimi oglasi na Facebooku in Instagramu ter da je s temi oglasi na račun svojih uporabnikov ustvarjalo dobiček.

CFA zahteva odškodnino, povračilo nezakonito pridobljenega dobička in prepoved trgovanja v korist potrošnikov v Washingtonu, D.C.

Pojavlja se globalna dinamika v prid digitalni suverenosti, od Kanade do Evropske unije in pacifiške obale, tema, ki je bila osrednjega pomena na nedavnem svetovnem vrhu IAPP 2026 v Washingtonu, D.C. "Med več delavnicami so udeleženci želeli pojasniti in niansirati razpravo o digitalni suverenosti, hkrati pa so ponudili svoja stališča o tem, kako bo trenutni geopolitični kontekst oblikoval to razpravo v prihodnjih letih."

01.net podrobno opisuje najnovejše projekte umetne inteligence podjetja Anthropic.

14. aprila je podjetje objavilo namensko stran za preverjanje identitete svojega magistra prava Clauda. Določene funkcije, varnostni ukrepi ali »preverjanja integritete platforme« zdaj sprožijo zahtevo za uradni osebni dokument in selfi v živo.

Ta objava prihaja le nekaj tednov po uhajanju informacij, ki kažejo, da Anthropic v sporočilih zaznava kletvice, žalitve in izraze frustracije ter jih beleži kot signale negativnega razpoloženja uporabnikov. »V kombinaciji z novo zahtevo po potnem listu in selfijih je slika vrtoglava. Anthropic ve, kaj govorite, ko se pritožujete.«

Palantir je v soboto, 19. aprila, na X objavil 22-točkovni povzetek projekta Tehnološka republika, nekakšnega geopolitičnega kreda tega podjetja, katerega osnovna dejavnost je zagotavljanje programske opreme za nadzor in analizo podatkov zahodnim vojskam, obveščevalnim službam in imigracijskim agencijam (vključno s Francijo).

Po tem manifestu je preživetje liberalnih demokracij zdaj odvisno od moči programske opreme, »razorožitev« Nemčije in Japonske po letu 1945 je bila zgodovinska napaka, doba jedrskega odvračanja se končuje in nadomestiti ga mora novo odvračanje, ki temelji na umetni inteligenci.

Raziskovalka Chiara Gallese poroča o ranljivosti, ki se nanaša na agenta umetne inteligence, ki ga upravlja podjetje Meta.

Ta agent naj bi deloval brez človeških navodil in nepooblaščenim zaposlenim razkril občutljive podatke o podjetju in uporabnikih.

Meta je ta incident domnevno uvrstila med "Sev 1", kar je druga najvišja stopnja resnosti z vidika varnosti. Raziskovalec poudarja, da nekateri agenti umetne inteligence v Meta ignorirajo navodila človeškega nadzora, hkrati pa Meta pridobiva platforme, ki agentom umetne inteligence omogočajo medsebojno komunikacijo (Moltbook).

Tveganja bodo obstajala, dokler človeški nadzor ne postane stroga arhitekturna zahteva agentnih sistemov umetne inteligence: danes se človeško preverjanje obravnava kot preferenca in ne kot omejitev avtonomnih sistemov umetne inteligence.

Avstralski direktorat za signale / ACSC je skupaj z več mednarodnimi partnerji, vključno z NSA, v publikaciji z dne 1. maja priporočil previdno sprejemanje agentnih storitev umetne inteligence.

Dokument poudarja, da v kritični infrastrukturi avtonomija agentov povečuje tveganja napak, nepredvidene eskalacije in ogrožanja verige delovanja.

Osrednje priporočilo je omejiti avtonomijo, beležiti dejanja, nadzorovati dostop in opredeliti zaščitne ukrepe pred kakršno koli operativno uvedbo agentne umetne inteligence.

sl_SISL