Francuski organ nadzorczy (Commission Nationale de l’Informatique et des Libertés – CNIL) opublikował raport, przedstawiający kluczowe obszary swojej działalności w 2025 roku. Oprócz, publikowanych już wcześniej danych statystycznych, organ przedstawił dodatkowe informacje, wskazując m.in. obszary objęte szczególnym zainteresowaniem regulatora w zeszłym roku. CNIL poświęcił szczególną uwagę kwestiom cyberbezpieczeństwa oraz wpływu sztucznej inteligencji na prywatność podmiotów danych. Raport wskazuje na intensyfikację działalności francuskiego organu nadzorczego, a zarazem próby dostosowania myślenia o ochronie danych osobowych do zmieniającego się świata i otoczenia regulacyjnego.
Kluczowe liczby i ich znaczenie
Francuski organ nadzorczy publikował już wcześniej wybrane dane statystyczne za 2025 r. Podsumowanie tych informacji oraz porównanie statystyk do tych prezentowanych przez Prezesa Urzędu Ochrony Danych Osobowych za ten sam okres, opublikowaliśmy na portalu GDPR.pl
Warto jednak przypomnieć najważniejsze z tych danych. W analizowanym okresie do CNIL wpłynęło 20 150 skarg (wzrost o 10% względem wcześniejszego roku) oraz 6 167 zgłoszeń naruszeń ochrony danych osobowych, a regulator przeprowadził 323 kontrole. Jednocześnie CNIL nałożył 83 sankcje finansowe w łącznej wysokości blisko 487 mln euro. To stanowi rekord w historii tej instytucji. Tak wysoka kwota wynikała przede wszystkim ze znacznych kar nałożonych na duże, międzynarodowe podmioty. W porównaniu z działalnością polskiego organu nadzorczego różnice są wyraźne: w 2025 roku Prezes UODO odnotował 12 986 skarg oraz nałożył kary w łącznej wysokości ok. 64,5 mln zł. W tym zakresie skala działalności polskiego regulatora jest więc zauważalnie mniejsza.
Co wynika z raportu CNIL?
W raporcie, oprócz wskazania danych statystycznych, zwrócono uwagę na kwestię znaczenia CNIL w systemie cyberbezpieczeństwa. Spośród 6 167 zgłoszonych naruszeń aż połowa wynikała z ataków hakerskich, a 30% kar pieniężnych zostało nałożonych w związku z nieprawidłowościami mającymi też związek z cyberbezpieczeństwem. Regulator zwrócił uwagę, że problemy związane z cyberbezpieczeństwem występują zarówno w sektorze publicznym, jak i prywatnym, a skala cyberzagrożeń systematycznie rośnie. Organ nadzorczy zadeklarował też, że w 2026 roku połowa jego działań kontrolnych i egzekucyjnych będzie miała związek z kwestiami związanymi właśnie z cyberbezpieczeństwem.
Istotnym obszarem zainteresowania CNIL w 2025 roku była również Sztuczna Inteligencja i wdrażanie unijnego rozporządzenia regulującego ten obszar (AI Act). Organ nadzorczy podkreślił, że już przygotowuje się do realizacji nowych zadań w tym zakresie. W 2025 roku regulator przygotował szereg materiałów edukacyjnych mających wspomóc podmioty korzystające z AI w zachowaniu zgodności z prawem.
Wnioski i perspektywy na przyszłość
Raport CNIL wyraźnie ilustruje proces, który widoczny jest u wielu organów nadzorczych w Europie. Organy dostosowują swoją działalność, przy założeniu, że ochrona danych osobowych ma coraz bardziej „cyfrowy” charakter i ściśle wiąże się z regulacjami dotyczącymi cyberbezpieczeństwa i AI. Stopień, w jaki zazębiają się ze sobą zagadnienia przetwarzania danych i nowych technologii, prowadzi do wniosku, że regulacje z tych obszarów będą się ze sobą nieuchronnie integrować, z czasem tworząc jeden, spójny ekosystem regulacyjny.
Postępujące przesunięcie akcentu na kwestie technologiczne, może wymagać zmiany podejścia organów nadzorczych. Mimo ciągłego wzrostu aktywności karowej, wydaje się, że z czasem działania reaktywne będą musiały ustąpić działaniom proaktywnym. Wzrośnie bowiem znaczenie organów nadzorczych jako kreatorów standardów technologicznych, mających duży wpływ na stosowanie rozmaitych przepisów regulujących te obszary.
Źródło:
