Pravna ura št. 91 – januar 2026. 

 

Zaščita podatkov glede na sankcijo "France Travail".

Sankcija, ki jo je CNIL sprejel 29. januarja proti organizaciji France Travail, je zgledna, saj nas spominja na bistvene elemente učinkovite varnostne politike.

V kontekstu vse večjih množičnih kršitev varnosti podatkov CNIL poudarja tri temeljne vidike varstva podatkov:

• Robustna avtentikacija,
• Učinkovita sečnja,
• Politika avtorizacije, prilagojena odgovornostim agentov.

Sankcija CNIL v višini 5 milijonov evrov je najnovejše dejanje v primeru, ki se je začel leta 2024, ko je hekerjem uspelo dostopati do računov svetovalcev Cap Emploi.

Ta dostop jim je omogočil povezavo s podatki vseh ljudi, registriranih pri France Travail ali registriranih v zadnjih 20 letih, pa tudi ljudi s prostorom za kandidate na francetravail.fr.

To pomeni, da so hekerji lahko prenesli podatke več kot 36 milijonov ljudi.

Glede odgovornosti je treba opozoriti, da se CNIL sicer ne izogiba odgovornosti svetovalcev Cap Emploi, vendar vztraja pri glavni odgovornosti organizacije France Travail.

• France Travail je odgovoren za „pobudo za uvedbo in upravljanje ukrepov, namenjenih zagotavljanju varnosti informacijskega sistema, do katerega je odprl dostop za Cap Emploi (...).“
• Prav tako se je France Travail odločil, da ne bo upošteval predhodnih priporočil analize učinka glede avtentikacije.

Časovne omejitve, povezane s tehničnimi težavami pri izvajanju, bi ga prisilile, da te previdnostne ukrepe ne bi upošteval.

V zvezi s tem CNIL ponavlja svojo doktrino o preverjanju pristnosti in določa, da je treba uporabo gesel dopolniti z dodatnimi ukrepi (captcha, časovna zakasnitev dostopa ali blokiranje računa po največ desetih napačnih poskusih), razen če je geslo sestavljeno iz: najmanj 12 znakov, vključno z velikimi in malimi črkami, številkami in posebnimi znaki; ali najmanj 14 znakov, vključno z velikimi in malimi črkami ter številkami, brez obveznih posebnih znakov; ali besedne zveze, ki vsebuje najmanj 7 besed.

V tem konkretnem primeru je bilo geslo dolgo le osem znakov, pravilnik o preverjanju pristnosti pa je določal prag 50 neuspešnih poskusov, preden se je dostop do virtualnih strojev svetovalcev zaklenil. 

France Travail, ki obdeluje veliko količino občutljivih podatkov, ki se na primer nanašajo na izvor invalidnosti, omejitve delovne postaje, razvoj invalidnosti in pogoje dostopa, bi morali biti veliko strožji.

Zlasti bi morali zagotoviti večfaktorsko avtentikacijo, doktrino, ki je po mnenju CNIL bistvena zlasti za obdelavo občutljivih podatkov in obdelavo ali operacije, ki predstavljajo tveganje za zadevne osebe.

„Težavo uporabe telefona kot drugega dejavnika zaradi neodvisnosti podjetja Cap Emploi bi lahko premagali z drugimi ukrepi, na primer z razdeljevanjem kalkulatorjev OTP (enkratno geslo) zaposlenim (…).“

CNIL poudarja tudi bistveno vlogo ukrepov za sečnjo.

Ti ukrepi niso omogočili zaznavanja nenormalnega vedenja informacijskega sistema, v tem primeru nenormalnih količin prenosa podatkov.

Poročevalec CNIL kritizira France Travail zaradi pomanjkanja rednega samodejnega spremljanja dnevnikov za odkrivanje in analizo varnostnih incidentov ter za zagotovitev hitrega in učinkovitega odziva.

„Izvedene operacije so bile zelo nenavadne glede na čas in pogostost zahtev, znatno količino pridobljenih podatkov (25 GB podatkov tipa »besedilo«), stopnjo napak pri nekaterih zahtevah (69 % na enem od ogroženih računov (…) in dejstvo, da so bili podatki pridobljeni, čeprav dejavnost svetovalcev Cap Emploi ne zahteva znatne porabe virov ali znatnega pridobivanja podatkov (na primer, samo v torek, 6. februarja 2024, je bilo pridobljenih 9 GB podatkov, kar bi ustrezalo več kot 13 milijonom zapisov za enega samega svetovalca v enem samem dnevu).“

Nenazadnje CNIL vztraja pri pomenu omejitve dovoljenj za dostop na potrebe in funkcije zaposlenih.

Opozarja, da so bile nastavitve računov svetovalcev preširoko opredeljene, kar jim je omogočalo dostop do podatkov ljudi, ki jih niso podpirali, kar je povečalo količino podatkov, do katerih so imeli dostop napadalci.

CNIL višino kazni utemeljuje z odločitvijo organizacije France Travail, da ne bo izvedla priporočil svoje analize učinka, kar je privedlo do razkritja osebnih podatkov več kot 36,8 milijona ljudi, vključno s podatki, za katere velja posebna zaščita, kot je NIR, ki zaradi svoje pomembne, edinstvene in trajne narave predstavlja posebno tveganje uzurpacije ali medsebojne povezave.

Morda se zdi očitno sklepati, da ne smemo čakati na kršitev varnosti podatkov, da bi zagotovili varnost sistema.

Prav tako je treba opozoriti, da CNIL redno sankcionira kršitve varnostne obveznosti, ne da bi bile te nujno vzrok za kršitev varnosti podatkov, kot je na primer premalo robustna politika gesel.

Varnost podatkov je bila tudi med glavnimi predmeti sankcij nadzornega organa v letu 2025, kot je navedeno v njegovem poročilu, objavljenem v začetku februarja.

 

Uhajanje podatkov, ki je osemnajst mesecev ostalo neopaženo, je prizadelo eno glavnih francoskih podjetij za digitalno zaupanje.

Platforma za preverjanje identitete in preprečevanje goljufij Sumsub poroča, da je julija 2024 doživela "varnostni incident".

Podjetje je za vdor izvedelo šele po varnostni reviziji, ki je bila opravljena januarja 2026. Kibernetski napad temelji, tako kot v primeru France Travail, na kompromitaciji tretje osebe.

Ogroženi podatki vključujejo imena, e-poštne naslove in telefonske številke.

CNIL je 30. decembra 2025 naložil globo v višini 3,5 milijona evrov. podjetju, katerega ime žal ne razkriva, ker je šest let v rednih presledkih posredovalo podatke članov svojega programa zvestobe družbenemu omrežju za namene ciljanega oglaševanja brez veljavnega soglasja.

Po javnem posvetovanju je CNIL 16. januarja objavil svoja priporočila o zbiranju soglasij za uporabo več naprav. (med napravami) v kontekstu uporabe piškotkov in drugih sledilnikov.

Cilj je pomagati deležnikom pridobiti soglasje, ki je skladno z zahtevami GDPR, in zlasti zagotoviti pregledno zbiranje soglasij.

Komisija je 14. januarja objavila tudi dva zemljevida s seznamom odobrenih certifikatov in kodeksov ravnanja. s strani nacionalnih organov ali Evropskega odbora za varstvo podatkov (EDPB) od začetka veljavnosti GDPR, da bi olajšali prepoznavanje razpoložljivih orodij za skladnost.

Končno nas CNIL v kontekstu občinskih volitev 15. in 22. marca opominja na dobre prakse politične agitacije in ponovno aktivira svojo volilno opazovalnico.

Njegov cilj, ustanovljen leta 2012, je zagotoviti, da politične stranke in kandidati pri svojem delovanju upoštevajo zakonodajo o varstvu podatkov.

Zlasti omogoča spremljanje zahtev, naslovljenih na CNIL v okviru volilnih kampanj, kot so zahteve za nasvet kandidatov ali poročila o slabih praksah.

Država je v začetku februarja dala tri zaveze v korist digitalne suverenosti:

• Glede zdravstvenih podatkov je objavil razpis za zaupanje zdravstvenih podatkov francoskih državljanov "varni evropski platformi".
• Na splošno se država zavezuje, da bo svoje javne nakupe množično usmerjala v francoske in evropske rešitve, vanje pa bo vložila 4,5 milijarde evrov.

Po besedah Davida Amiela, ministra delegata za javno upravo, "se moramo nujno razstrupiti od ameriških rešitev."

• Nazadnje, nedavno objavljena okrožnica predsednika vlade določa, da bi morale uprave dajati prednost tržnim rešitvam (namesto notranjega razvoja), če te izpolnjujejo merila suverenosti in varnosti.

Državni svet je 30. januarja 2026 razsodil v korist CNIL v okviru spora glede algoritmičnega nadzora, v katerem je bila ta komisija soočena z mestom Nica.

Potrjuje, da algoritmična obdelava slik iz nadzornih kamer CCTV, nameščenih na vhodu v šole, ki jo izvaja občina, ni dovoljena po veljavni zakonodaji. 

Čeprav dovoljuje uporabo sistemov video nadzora v javnih prostorih, Zakonika o notranji varnosti zaradi njegovega molka ni mogoče "razumevati kot dovoljenje za izvajanje algoritmične obdelave, ki omogoča sistematično in avtomatizirano analizo slik, zbranih v javnih prostorih s pomočjo takšnih sistemov. Nobena druga določba ne dovoljuje izvajanja takšne obdelave."

»Naključni« Američani prosijo CNIL, naj začasno ustavi prenos njihovih bančnih podatkov v Združene države.

V skladu z Zakonom o skladnosti s predpisi o davku na tuje račune (FATCA) morajo francoske bančne institucije ameriškim davčnim organom posredovati veliko občutljivih podatkov o sebi, da bi se spopadle z morebitnimi goljufijami – Američani morajo dejansko prijaviti svoje dohodke v Združenih državah Amerike ne glede na to, kje na svetu prebivajo.

Združenje naključno izgubljenih Američanov zavrača veljavni sporazum med Združenimi državami in Francijo, ki ureja pogoje za izmenjavo teh informacij.

 

Evropske institucije in organi

Evropska komisija je 20. januarja 2026 predlagala nov sveženj ukrepov za kibernetsko varnost, katerih cilj je okrepiti odpornost EU in izboljšati njeno sposobnost obvladovanja groženj.

Projekt vključuje predlog za revizijo uredbe o kibernetski varnosti, ki krepi varnost dobavnih verig informacijske in komunikacijske tehnologije (IKT) v EU.

Zagotavlja, da so izdelki, namenjeni državljanom EU, kibernetsko varni že od faze zasnove, s poenostavljenim postopkom certificiranja.

Prav tako olajša skladnost z obstoječimi pravili EU o kibernetski varnosti in krepi Agencijo Evropske unije za kibernetsko varnost (ENISA) v njeni vlogi podpore državam članicam in EU pri obvladovanju kibernetskih groženj.

Evropska komisija in Brazilija sta 27. januarja sprejeli dva sklepa o vzajemni ustreznosti, s katerima sta potrdili, da sta njuni ravni varstva podatkov primerljivi.

„Ob priznavanju visokih standardov varstva podatkov, ki ščitijo potrošnike in državljane na obeh straneh, ti sporazumi zdaj omogočajo podjetjem, javnim organom in raziskovalcem prosto izmenjavo podatkov med EU in Brazilijo.“

Komisija je 26. januarja začela novo formalno preiskavo proti X v skladu z uredbo o digitalnih storitvah.

Sumi, da funkcije Grok, integrirane v X, prinašajo neocenjena in neomajšana tveganja za ustvarjanje in distribucijo nezakonitih vsebin, kot so spolno eksplicitne manipulirane slike, vključno z vsebino, ki lahko predstavlja otroško pornografijo.

Prav tako je podaljšala formalni postopek, ki se je začel decembra 2023 proti X, da bi ugotovila, ali je podjetje ustrezno ocenilo in ublažilo vsa sistemska tveganja, povezana s svojimi sistemi za priporočanje vsebin.

Prav tako je Evropska komisija 26. januarja uradno določila WhatsApp kot zelo veliko spletno platformo (VLOP) v okviru DSA, saj njena funkcija »Kanali« dosega zahtevani prag vsaj 45 milijonov uporabnikov v EU.

Meta ima štiri mesece, do sredine maja 2026, da zagotovi, da WhatsApp izpolni dodatne obveznosti, ki jih nalaga DSA.

Te obveznosti vključujejo ocenjevanje in zmanjševanje morebitnih sistemskih tveganj, kot so kršitve temeljnih človekovih pravic in svobode izražanja, manipulacija z volitvami, širjenje nezakonitih vsebin in vprašanja zasebnosti, ki izhajajo iz njegovih storitev.

Evropski odbor za varstvo podatkov (EDPB) in Evropski nadzornik za varstvo podatkov (EDPS) sta 21. januarja sprejela skupno mnenje o predlogu Evropske komisije za "Digitalni omnibus o umetni inteligenci", katerega cilj je poenostaviti izvajanje nekaterih usklajenih pravil iz uredbe o umetni inteligenci, da bi zagotovili njeno učinkovito uporabo.

Oba organa podpirata cilj reševanja praktičnih izzivov, povezanih z izvajanjem zakonodaje, vendar poudarjata, da upravna poenostavitev ne sme zmanjšati varstva temeljnih pravic. Regulatorji menijo, da bi nekatere predlagane spremembe lahko ogrozile varstvo posameznikov v kontekstu umetne inteligence.

 

Novice iz držav članic Evropske unije.

V Grčiji je organ za varstvo podatkov (DPA) izdal opozorilo pred uvedbo sistema "pametnega policijskega dela", ki vključuje uporabo pametnih nosljivih naprav s strani patrulj za ugotavljanje in preverjanje identitete državljanov, ki se na kraju samem preverjajo z uporabo biometričnih podatkov. DPA meni, da je ta obdelava nezakonita, ker je veljavna zakonodaja ne določa posebej.

Španski organ za varstvo podatkov (APD) je skupini bolnišnic in zdravstva IDCQ naložil globo v višini 1.200.000 evrov. zaradi prehitrega brisanja podatkov o pacientih, kar ji je preprečilo izpolnitev obveznosti obveščanja zadevnih posameznikov.

Norveški organ za varstvo podatkov (APD) je podjetju Timegrip AS naložil globo v višini 250.000 norveških kron (približno 25.000 evrov), ker je nekdanjim zaposlenim po stečaju delodajalca nezakonito zavrnilo dostop do evidenc o delovnem času in ker se je lažno predstavljalo kot zgolj podizvajalec, medtem ko je izvajalo dejanski nadzor nad osebnimi podatki.

Predvsem je Timegrip po stečaju prevzel status odgovorne stranke, saj je bil edini subjekt, ki je izvajal tehnični in praktični nadzor nad podatki.

Predsednik poljskega organa za varstvo podatkov (APD) je družbi Poczta Polska SA naložil upravno globo v višini 978.000 PLN (250.000 EUR), ker ni zagotovila neodvisnosti pooblaščene osebe za varstvo podatkov.

Nadzorni organ je ugotovil, da je podjetje pri opravljanju dolžnosti pooblaščene osebe za varstvo podatkov dopustilo navzkrižje interesov.

V Združenem kraljestvu je APD družbi ZMLUK Limited, posredniški in oglaševalski agenciji, naložil globo v višini 105.000 funtov (120.000 evrov) zaradi pošiljanja več kot 67 milijonov neželenih e-poštnih sporočil za neposredno trženje brez soglasja zadevnih posameznikov ali brez veljavne izjeme.

Švedski organ za varstvo podatkov (APD) je podizvajalcu Sportadmin i Skandinavien AB naložil globo v višini 6.000.000 švedskih kron (560.000 evrov). ponudnik digitalnih storitev za športne klube in združenja, potem ko je kibernetski napad razkril osebne podatke več kot 2,1 milijona ljudi.

Podizvajalec je bil spoznan za krivega, ker ni izvedel zadostnih varnostnih ukrepov, kar je kršitev 32. člena GDPR.

Švicarska vlada želi razširiti spletni nadzor z revizijo odloka o nadzoru poštne korespondence in telekomunikacij.

Predlog bi znatno povečal količino osebnih podatkov, ki jih hranijo, saj bi od velikih ponudnikov komunikacijskih storitev zahteval hrambo metapodatkov, praktično vsem ponudnikom storitev pa bi naložil zahteve glede identifikacije uporabnikov.

Te organizacije bi morale te podatke hraniti vsaj šest mesecev in pomagati organom pregona pri dešifriranju njihove vsebine. Devetnajst organizacij civilne družbe je švicarskemu zveznemu ministrstvu za pravosodje in policijo poslalo pismo, v katerem so izrazile svojo zaskrbljenost.

 

V Združenem kraljestvu je APD družbi ZMLUK Limited, posredniški in oglaševalski agenciji, naložil globo v višini 105.000 funtov (120.000 evrov) zaradi pošiljanja več kot 67 milijonov neželenih e-poštnih sporočil za neposredno trženje brez soglasja zadevnih posameznikov ali brez veljavne izjeme.

Švicarska vlada želi razširiti spletni nadzor z revizijo odredbe o nadzoru poštne korespondence in telekomunikacij.

Predlog bi znatno povečal količino osebnih podatkov, ki jih hranijo, saj bi od velikih ponudnikov komunikacijskih storitev zahteval hrambo metapodatkov, praktično vsem ponudnikom storitev pa bi naložil zahteve glede identifikacije uporabnikov.

Te podatke bi morali hraniti vsaj šest mesecev in pomagati organom pregona pri dešifriranju njihove vsebine.

19 organizacij civilne družbe je švicarskemu zveznemu ministrstvu za pravosodje in policijo poslalo pismo, v katerem so izrazile svojo zaskrbljenost.

3. februarja 2026 je pravosodni odbor Predstavniškega doma Združenih držav Amerike objavil poročilo, v katerem je napadel Zakon o evropskih digitalnih storitvah (DSA) in ga označil za orodje cenzure. "Grožnja tuje cenzure, drugi del: Desetletna evropska kampanja cenzuriranja globalnega interneta in njene škodljive posledice za svobodo izražanja v Združenih državah"

V tem poročilu je več evropskih nevladnih organizacij, vključno z Bits of Freedom in Justice for Prosperity, opisanih kot "cenzurne nevladne organizacije".

Pet sankcij, o katerih smo že poročali v tem glasilu, je bilo že uvedenih v obliki prepovedi vstopa v Združene države Amerike proti Evropejcem, ki sodelujejo pri uporabi sporazuma o digitalnih storitvah, raziskavah in kritiki moči platform.

Evropska komisija se je prek svojega tiskovnega predstavnika odzvala in spomnila, da zakon o digitalnih storitvah odgovornosti nalaga tja, kamor spada, in sicer spletnim platformam.

Avstralska prepoved družbenih medijev za mladoletnike, mlajše od 16 let, je postala mednarodni model. kljub pomanjkljivostim, ugotovljenim v zgodnjih fazah njegovega izvajanja. Evropska unija, Združeno kraljestvo in Združene države Amerike zato pozorno spremljajo avstralske izkušnje, saj so nekatere države že uvedle podobne zakonodajne predloge, kot je v članku z dne 5. februarja ugotovilo IAPP (Mednarodno združenje strokovnjakov za varstvo zasebnosti).