Kontrole CNIL w 2025 r.: aplikacje mobilne, administracja więzienna, cyberbezpieczeństwo
W 2025 r. francuski organ ochrony danych (CNIL) podczas swoich kontroli skupi się na danych gromadzonych za pośrednictwem aplikacji mobilnych, cyberbezpieczeństwie władz lokalnych i przetwarzaniu danych przez administrację więzienną.
Zbieranie danych za pomocą aplikacji mobilnych
Francuzi pobierają obecnie około trzydziestu aplikacji mobilnych rocznie. Stały się one najważniejszym cyfrowym narzędziem w codziennym życiu i są źródłem masowego przetwarzania danych osobowych (bankowość, geolokalizacja, reklama itp.). Po opublikowaniu w październiku ubiegłego roku zalecenia w sprawie aplikacji mobilnych, CNIL przeprowadzi w tym roku serię kontroli różnych podmiotów w ekosystemie, w szczególności wydawców aplikacji i dostawców zestawów do tworzenia oprogramowania.
Audyty będą koncentrować się przede wszystkim na kwestiach uwzględnionych w rekomendacjach, w tym na konfiguracji zestawów do tworzenia oprogramowania i dostępie do danych telefonu poprzez zarządzanie uprawnieniami. Kontrole te będą dotyczyć zarówno podmiotów prywatnych, jak i publicznych, zwłaszcza w obliczu rosnącej liczby usług publicznych oferujących aplikację mobilną do codziennych zadań administracyjnych.
Cyberbezpieczeństwo władz lokalnych
Cyberbezpieczeństwo jest jednym z głównych priorytetów planu strategicznego CNIL na lata 2025-2028. W ciągu ostatnich kilku lat doszło do szeregu cyberataków obejmujących dużą część populacji. W 2024 r. CNIL otrzymała 5 629 powiadomień o naruszeniach, o 20% więcej niż w 2023 r. Biorąc pod uwagę ryzyko kradzieży danych osobowych, w szczególności danych bankowych lub zdrowotnych, cyberbezpieczeństwo stanowi prawdziwe wyzwanie dla społeczeństwa.
Wśród zainteresowanych podmiotów szczególnie narażone są władze lokalne. Przetwarzają one duże ilości danych, z których część jest wrażliwa (zarządzanie stanem cywilnym użytkowników, wypłata świadczeń socjalnych, dane finansowe lub usługi online do płacenia mandatów za parkowanie). CNIL postanowiła zatem monitorować środki wdrażane przez władze lokalne w celu ochrony danych użytkowników. Oprócz tych kontroli CNIL będzie nadal zwiększać wysiłki na rzecz podnoszenia świadomości i zapewniania wsparcia władzom lokalnym w zakresie cyberbezpieczeństwa. Poprzez te dwa działania CNIL pragnie również przygotować się do stosowania dyrektywy NIS2, która jest obecnie transponowana, a która przewiduje wzrost umiejętności i nowe wymagania dla władz lokalnych w zakresie bezpieczeństwa IT.
Dane przetwarzane przez administrację więzienną
Zgodnie z danymi Ministerstwa Sprawiedliwości, 77 800 osób przebywa obecnie w zakładach karnych we Francji. Wszystkie informacje dotyczące osób podlegających środkom ograniczającym lub pozbawienia wolności są rejestrowane w skomputeryzowanej bazie danych „Gestion nationale des personnes écrouées pour le suivi individualisé et la sécurité” („GENESIS”). Zawiera ona szczególnie wrażliwe informacje związane z zarządzaniem życiem w areszcie i reintegracją tych osób.
Ponadto zakłady karne muszą dołożyć większych starań, aby zapewnić bezpieczeństwo swoich instalacji informatycznych i wykorzystywanych w nich środków komunikacji. Podczas swoich kontroli CNIL sprawdzi warunki, w jakich przetwarzane są dane więźniów, a także wszystkie środki bezpieczeństwa wprowadzone przez zakłady karne.
Prawo do usunięcia danych
W ramach czwartego działania skoordynowanych ram egzekwowania prawa CNIL i jego europejskie odpowiedniki będą przeprowadzać kontrole warunków wdrażania prawa do usunięcia danych. Celem tego działania jest harmonizacja skutecznego stosowania RODO i koordynacja między organami nadzorczymi.
