AEPD Испания: правила за AI и ПВЗД при обработка на данни на служители
Актуализирано за 2026 г.
AEPD: Водещ орган в ЕС по обем
AEPD (Agencia Espanola de Proteccion de Datos) е испанският надзорен орган за защита на личните данни. Той издаде 847 глоби през 2023 г. Нито един друг орган в ЕС не се доближи до тази цифра. Общите санкции за тази година надхвърлиха 12 млн. евро.
Организацията работи по различен начин от повечето си европейски аналози. Тя не се фокусира само върху големи глоби. Насочва се и към малки фирми, общини и средни организации. Това разпределя натиска из цялата испанска икономика.
Водещи области на прилагане на закона през 2024 г.:
- Видеонаблюдение и биометрични проверки (29% от случаите)
- Маркетинг и нежелани контакти (24% от случаите)
- Мониторинг на персонала и досиета на служители (18% от случаите)
- AI системи и автоматизирани решения (15% от случаите -- нарастващ дял)
- Здравни и специални категории данни (14% от случаите)
Правилото на AEPD за ПВЗД при AI
Ръководството на регулатора от 2024 г. "Guia de adecuacion al RGPD de tratamientos con IA" установява едно ясно правило. Всеки AI инструмент, обработващ лични записи, се нуждае от ПВЗД (Оценка на въздействието върху защитата на данните).
Мember 35 от GDPR изисква ПВЗД при обработка, представляваща висок риск. Това е тест за контекст. Испанският орган прилага по-строга позиция. Ръководството му гласи, че всеки ML инструмент, работещ с лични записи, задейства правилото за ПВЗД. Предварителна проверка за риск за всеки конкретен случай не е необходима.
Испанските организации трябва да провеждат и подават ПВЗД за:
- Чатботове за обслужване на клиенти
- Инструменти за скрининг при наемане
- Маркетингови инструменти
- Модели за обработка на текст (включително инструменти за анонимизиране)
- Всеки AI инструмент, обработващ записи на персонала или клиентите
Всеки инструмент, използван в Испания, се нуждае от собствен файл с ПВЗД. Това се прилага дори ако инструментът изглежда нискорисков.
Стандарти за анонимизиране на AEPD
Ръководството за анонимизиране на органа надгражда работата на CNIL. То добавя специфични за Испания правила за национални идентификатори:
Испански типове идентификатори:
- DNI (Documento Nacional de Identidad): 8-цифрен номер плюс контролна буква
- NIE (Numero de Identificacion de Extranjero): Буква + 7 цифри + буква, за чуждестранни граждани
- NIF (Numero de Identificacion Fiscal): Същият формат като DNI, използван за данъчни цели
- Numero de Seguridad Social: Испански номер за социално осигуряване
Органът отбелязва, че NER моделите често пропускат NIE номерата. Испания има голямо имигрантско население. Проверете дали вашите инструменти могат да намират NIE при обработка на файлове от граждани, които не са испанци.
Испански модели на имена:
Испанското именуване използва две фамилни имена (apellidos compuestos). NER моделите, обучени върху набори с едно фамилно име, могат да се провалят тук. Името "Garcia Lopez, Juan Carlos" има две фамилни имена, не едно. Испанските NER модели трябва да се справят с това.
Случаи на мониторинг на служители от AEPD
Осемнадесет процента от случаите включват мониторинг на персонала. Испания ограничава контрола на работодателя съгласно Estatuto de los Trabajadores (Статут на работниците). Регулаторът прилага тези ограничения наред с GDPR.
Ключови позиции на органа:
- Кийлогъри: Тайното използване на кийлогъри е нарушение на GDPR в повечето случаи. Инструментите за заснемане на екрани изискват писмено доказателство и проверка за справедливо използване.
- GPS проследяване: Разрешено на служебни превозни средства с ясно уведомяване на персонала. Не е разрешено на лични превозни средства.
- Проверки на електронна поща: Разрешени с предварително писмено уведомяване и политика. Преглед на съдържанието изисква допълнително доказателство.
- AI инструменти за проследяване: Всеки модел, проследяващ поведението на персонала, изисква ПВЗД. Прилагат се и правилата на EDPB.
Автоматизираният мониторинг привлича най-много вниманието на испанското Управление за защита на данните.
Документация за AI, съответстваща на AEPD
Четири набора от документи се изискват за испански организации, използващи AI инструменти.
1. Инвентар на AI системи
Перечислете всеки инструмент, обработващ испански лични записи. Отбележете: наименование на системата, доставчик, цел, типове записи, период на съхранение и статус на SPД.
2. ПВЗД за всяка система
Използвайте публикувания от органа шаблон за ПВЗД. Обхванете:
- Цел, правно основание, типове записи и получатели
- Проверка за справедливо използване
- Преглед на риска за засегнатите лица
- Контроли за риска: технически и процесни
- Бележки на DPO (когато се изисква DPO)
3. Запис за технически контроли
За всеки инструмент отбележете контролите, блокиращи неоторизирания достъп:
- Предварително филтриране при изпращане (премахване на лични данни преди стартиране на модела)
- Контроли на достъпа до изходни данни
- Ограничения за съхранение и тяхното прилагане
- Стъпки за откриване на нарушения и реагиране
4. Политика за мониторинг на персонала
Ако някой инструмент наблюдава персонала, добавете писмена политика. Посочете обхвата, уведомете персонала, назовете правното основание и покажете проверка за справедливо използване.
Одитите на AEPD започват с инвентара и ПВЗД. Организациите с тези готови файлове разрешават одитите много по-бързо. Нашето ръководство за съответствие с GDPR обхваща обхвата на документите. Нашият преглед на сигурността обяснява технически контроли. За испанско разпознаване на лични данни вижте нашето ръководство за многоезично разпознаване на лични данни.