anonym.legal

By · Last updated 2026-06-05

Zpět na blogGDPR a shoda

AEPD Španělsko: Pravidla AI a DPIA pro zaměstnance

AEPD vydalo 847 sankčních rozhodnutí v roce 2023 — nejvíce v EU — a vyžaduje DPIA pro všechny systémy AI zpracovávající osobní údaje.

June 5, 20267 min čtení
AEPD SpainSpanish GDPRAI DPIA Spainemployee monitoringSpanish data protection

AEPD Španělsko: Pravidla AI a ochrany dat pro zaměstnance

Aktualizováno pro rok 2026

AEPD: Přední vymahač EU dle objemu

AEPD (Agencia Española de Protección de Datos) je španělský dozorový orgán pro ochranu soukromí. V roce 2023 vydal 847 pokut. Žádný jiný orgán EU se mu nepřiblížil. Celkové sankce v tomto roce přesáhly €12 milionů.

Agentura funguje odlišně od většiny unijních protějšků. Nezaměřuje se pouze na velké pokuty. Cílí také na malé firmy, radnice a středně velké skupiny. To rozloží tlak po celém španělském hospodářství.

Nejčastěji vymáhané oblasti v roce 2024:

  • Kamerové a biometrické kontroly (29 % případů)
  • Marketing a nevyžádané kontakty (24 % případů)
  • Monitorování zaměstnanců a personální záznamy (18 % případů)
  • Systémy AI a automatizovaná rozhodování (15 % případů — stoupá)
  • Zdravotní a speciálně chráněné záznamy (14 % případů)

Pravidlo AEPD pro DPIA v oblasti AI

Regulátorův průvodce z roku 2024 Guía de adecuación al RGPD de tratamientos con IA stanoví jedno jasné pravidlo. Jakýkoli nástroj AI nakládající s osobními záznamy vyžaduje DPIA (posouzení vlivu na ochranu dat).

Článek 35 GDPR požaduje DPIA, pokud zpracování představuje vysoké riziko. Jde o kontextový test. Španělský orgán zaujímá přísnější stanovisko. Jeho průvodce uvádí, že jakýkoli nástroj strojového učení dotýkající se osobních záznamů spouští povinnost DPIA. Žádné předchozí hodnocení rizik případ od případu není potřeba.

Španělské organizace musí provádět a archivovat DPIA pro:

  • Chatboty zákaznického servisu
  • Nástroje pro předvýběr při náboru
  • Marketingové nástroje
  • Modely pro zpracování textu (včetně nástrojů pro anonymizaci)
  • Jakýkoli nástroj AI zpracovávající záznamy zaměstnanců nebo zákazníků

Každý nástroj používaný ve Španělsku potřebuje vlastní dokumentaci DPIA. To platí i v případě, že se nástroj jeví jako nízce rizikový.

Standardy anonymizace AEPD

Průvodce anonymizací agentury navazuje na práci CNIL. Přidává španělská specifika pro národní identifikátory:

Španělské typy ID:

  • DNI (Documento Nacional de Identidad): 8místné číslo plus kontrolní písmeno
  • NIE (Número de Identificación de Extranjero): písmeno + 7 číslic + písmeno, pro cizí státní příslušníky
  • NIF (Número de Identificación Fiscal): stejný formát jako DNI, používaný pro daňové účely
  • Número de Seguridad Social: španělské číslo sociálního zabezpečení

Orgán upozorňuje, že modely NER často přehlíží čísla NIE. Španělsko má velkou imigrantskou populaci. Ověřte, že vaše nástroje dokáží NIE najít při zpracování souborů od nešpanělských státních příslušníků.

Španělské vzory jmen:

Španělská pojmenování používají dvě příjmení (apellidos compuestos). Modely NER trénované na sadách s jedním příjmením zde mohou selhat. Jméno „García López, Juan Carlos“ má dvě příjmení, nikoli jedno. Španělské modely NER musí tuto situaci zvládat.

Případy AEPD v oblasti monitorování zaměstnanců

Osmnáct procent případů se týká monitorování zaměstnanců. Španělsko omezuje kontrolu zaměstnavatelů dle Estatuto de los Trabajadores (zákoník práce). Regulátor tato omezení vymáhá souběžně s GDPR.

Klíčové pozice orgánu:

  • Keyloggery: Skryté použití keyloggerů je ve většině případů porušením GDPR. Nástroje pro pořizování snímků obrazovky vyžadují písemný doklad a test přiměřenosti.
  • GPS sledování: Povoleno na pracovních vozidlech při jasném upozornění zaměstnanců. Na osobních vozidlech není povoleno.
  • Kontrola e-mailů: Povolena s předchozím písemným upozorněním a politikou. Kontrola obsahu vyžaduje dodatečné zdůvodnění.
  • Nástroje AI pro sledování: Jakýkoli model sledující chování zaměstnanců vyžaduje DPIA. Platí také pravidla EDPB.

Automatizované monitorování přitahuje největší pozornost španělského dozorového orgánu.

Dokumentace AI v souladu s AEPD

Pro španělské organizace používající nástroje AI jsou vyžadovány čtyři sady dokumentů.

1. Inventář systémů AI

Sepište každý nástroj nakládající se španělskými osobními záznamy. Uveďte: název systému, dodavatele, účel, typy záznamů, dobu uchovávání a stav DPA.

2. DPIA pro každý systém

Použijte zveřejněnou šablonu DPIA agentury. Zahrňte:

  • Účel, právní základ, typy záznamů a příjemce
  • Test přiměřenosti
  • Přezkum rizik pro dotčené osoby
  • Kontrolní opatření: technická i procesní
  • Poznámky DPO (kde je DPO vyžadován)

3. Záznam technických kontrol

Pro každý nástroj uveďte kontroly blokující neoprávněný přístup:

  • Filtrování před odesláním (odstranění PII před spuštěním modelu)
  • Kontroly přístupu k výstupům
  • Limity uchovávání a jejich vymáhání
  • Kroky pro detekci narušení a reakci na něj

4. Politika monitorování zaměstnanců

Pokud jakýkoli nástroj monitoruje zaměstnance, doplňte písemnou politiku. Uveďte rozsah, upozorněte zaměstnance, pojmenujte právní základ a proveďte test přiměřenosti.

Audity AEPD začínají inventářem a DPIA. Organizace s připravenými těmito dokumenty audity vyřizují výrazně rychleji. Naše průvodce souladu s GDPR pokrývá rozsah dokumentace. Náš přehled bezpečnostního souladu vysvětluje technické kontroly. Pro detekci španělských PII viz náš průvodce vícejazyčnou detekcí PII.

Zdroje

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.