Най‑значимите санкции от началото на годината за администратори с липса на технически и организационни мерки
Френският орган за защита на данните Commission Nationale de l’Informatique et des Libertés (CNIL) на 7 април 2026 г. публикува работната си програма за 2026 г. Така надзорният орган обявява какво планира да представи за обществено обсъждане или да публикува, за да позволи на заинтересованите страни да се подготвят за бъдещи консултации и да предвидят развитието. В раздела Киберсигурност пише: Повишаване на нивото на сигурност на цифровите приложения: електронно гласуване, съобщения, проверка на самоличността.
В контекста на нарастващи мащабни нарушения на данните, CNIL:
- ще продължи да публикува препоръки, насочени към повишаване на сигурността на личните данни, като се фокусира върху случаи на употреба, при които рисковете за съответните лица са особено значителни.
- ще публикува окончателната версия на актуализираната си препоръка относно системите за дистанционно електронно гласуване.
- ще внесе в обществено обсъждане своя проект на препоръка относно осигуряването на обмена на лични данни, по-специално по електронна поща, както и проект на препоръка относно дистанционното удостоверяване на самоличността.
Адаптиране към новите законови изисквания и киберзаплахи
С нарастващата киберзаплаха и нарастващите изисквания, налагани на организациите (по-специално чрез предстоящото транспониране на директивата NIS 2), организациите внедряват все по-модерни решения за сигурност.
В този контекст, CNIL ще продължи да подкрепя заинтересованите страни в съчетаването на сигурността и защитата на данните. Тя ще публикува препоръка относно passerelles de filtrage web/Secure Web Gateways (SWGs), и ще започне обществена консултация по проект на препоръка относно услугите за détection et de réponse pour les terminaux (EDR ou endpoint detection & response).
За да допълня картината на политиките на CNIL по темата киберсигурност, трябва да припомня няколко от санкциите, с които започна 2026 г., наложени на организации, които не са осигурили адекватна защита на личните данни. Решенията очертават ясна тенденция: липсата на технически и организационни мерки за сигурност вече е сред най‑тежко санкционираните нарушения в ЕС.
– Глоби от 42 милиона евро, наложени на FREE MOBILE и FREE заради неадекватни мерки за гарантиране на сигурността на данните на техните абонати.
– Глоба от €5 млн. за публичен административен орган – заради пропуски в управлението на достъпа и липса на защита на чувствителни категории данни. За да се определи санкцията комисията взема предвид, че повечето от подходящите мерки за сигурност са били идентифицирани от FRANCE TRAVAIL преди извършването на обработката в оценките на въздействието, без реално да бъдат приложени.
– Глоба от €6 000 за асоциация за дентални грижи – Макар и значително по‑малка като размер, тази санкция е важна, защото показва, че GDPR се прилага еднакво към всички администратори, независимо от мащаба.