AEPD kui EL-i kõige aktiivsem andmekaitseasutus otsuste arvult
Hispaania Agencia Española de Protección de Datos (AEPD) on EL-i kõige aktiivsem andmekaitseasutus otsuste arvult, andes 2023. aastal 847 sanktsioneerivat otsust — rohkem kui kõik muud EL-i andmekaitseasutused kokku arvult. Kokku ületas AEPD trahvide summa 2023. aastal 12 miljonit eurot nende otsuste ulatuses.
Suur otsuste arv kajastab AEPD-i jõustamismeetodit: erinevalt andmekaitseasutustest, mis keskenduvad suuremate ettevõtete vastu suunatavatele suuretele trahvidele, andis AEPD märkimisväärset hulka väiksemaid trahve väikese ja keskmise suurusega ettevõtetele, kohaliku omavalitsuse asutustele ja erinevate organisatsioonidele, luues seega laia nõudluse Hispaania majandusse jõustamiskontrollis.
AEPD-i jõustamise peamised valdkonnad 2024. aastal:
- Videoväärtuslus ja biomorfoloogiline andmed (29% juhtudest)
- Turundus ja soloviitud sidepidamisjuhised (24% juhtudest)
- Töötajate jälgimine ja HR-andmed (18% juhtudest)
- AI-süsteemid ja automatiseeritud otsusetegemine (15% juhtudest — kasvav aasta-aastalt)
- Tervishoidu ja eriandmed (14% juhtudest)
AEPD-i ainulaadne AI DPIA-nõue
AEPD-i 2024. aasta "Guía de adecuación al RGPD de tratamientos con IA" (Juhend GDPR-ile vastavuse kohta isikuandmeid töötlevate AI-süsteemide osas) läheb GDPR baastasandist edasi ühe märkimisväärse nõudega: AEPD nõuab andmekaitsehinnangut (DPIA) mis tahes AI-süsteemi puhul, mis töötleb isikuandmeid.
GDPR artikli 35 kohaselt nõutakse DPIA-d töötluse puhul, mis on "tõenäoliselt põhjustav suurt riski" andmesubjektide õiguste ja vabaduste suhtes — kontekstiõigel hindamisel. AEPD-i juhis võtab kategoorialisema lähenemise: mis tahes isikuandmeid töötlev AI-süsteem käivitab DPIA-nõude.
See tähendab, et Hispaania organisatsioonid peavad läbi viima ja dokumenteerima DPIA-d järgmiste jaoks:
- Klienditeeninduse chatbotid
- HR-i värbamise sõelumisvahendid
- Turundusfunktsionaalsuse algoritmid
- Dokumentide töötlemise AI (kaasa arvatud anonüümimise AI)
- Iga AI-tööriist, mis töötleb töötaja- või kliendisandmeid
Praktiliste tagajärjed: Hispaanias AI-vahendeid kasutavad organisatsioonid peavad omama iga vahendi jaoks DPIA-dokumentatsiooni, isegi kui vahend on laialdaselt kasutatud ja organisatsiooni arvates madala riskiga.
AEPD-i tehniline anonüümimise standard
AEPD-i anonüümimise juhised on mõjutatud CNIL-i "Guide pratique de l'anonymisation" poolt, kuid lisavad Hispaania-spetsiifikud nõudmised:
Hispaania riiklikud tuvastajad:
- DNI (Documento Nacional de Identidad): 8-kohaline number + tähe kontrollnumber
- NIE (Número de Identificación de Extranjero): Täht + 7 numbrit + täht, välismaalaste jaoks
- NIF (Número de Identificación Fiscal): DNI-ga samaväärne maksu eesmärkidel
- Número de Seguridad Social: Sotsiaalkindlustuse numbri vorming
AEPD-i juhised märgivad, et Hispaania NER-mudelid jätavad sageli tähelepanuta NIE-numbreid, mis on Hispaanias levinud suurte immigrantide populatsiooni seas. Hispaanias mittespaniaolliste andmete töötlemisega tegelevad organisatsioonid peavad kontrollima NIE-tuvastamise võimet.
Hispaania-spetsiifiline kontekst: AEPD-i juhised käsitlevad Hispaania nimedega seotud spetsiifilist väljakutset — kahe perekonnanime (apellidos compuestos) traditsiooni tõttu luuakse NER-mudelite jaoks nime tuvastamise väljakutsed, mis on harjunud üksikute perekonnanimetega. Hispaaniakeelne NER peab käsitlema: "García López, Juan Carlos" — kus nii "García" kui ka "López" on perekonnanimed, mitte liitperekonnanimi + eesnimi.
AEPD-i töötajate jälgimise jõustamine
AEPD-i 18% juhtudest, mis hõlmavad töötajate jälgimist, kajastab Hispaania aktiivset jõustamist töötajate jälgimise piirangutele. Hispaania Töötajate Statuut (Estatuto de los Trabajadores) piirab tööandjate jälgimisõigusi, ja AEPD on olnud aktiivne nende piirangute jõustamisel koos GDPR-iga.
AEPD-i peamised otsused töötajate jälgimise osas:
- Klahvijälgijad ja ekraanipildi jälgimine: AEPD-i arvates on salajasi klahvijälgija paigaldamine enamikul juhtudest GDPR-i rikkumine; läbipaistev ekraanipildi jälgimine nõuab dokumenteeritud õigustust ja proportsionaalsuse hindamist
- GPS-jälgimine: Lubatud töömasinate puhul, kui on antud teade; keelatud isikuautomaatidel
- E-posti jälgimine: Lubatud eelnevate teatiste ja dokumenteeritud poliitikaga; sisuanalüüs nõuab lisaalusel õigustust
- AI-jälgimine tulemustes: AI-süsteemid, mis hindavad töötaja jõudlust käitumisanalüüsi abil, nõuavad spetsiifilist AEPD-i tähelepanu DPIA ja EDPB-i juhiste nõudmisega
Organisatsioonid, kes panustavad AI-tööriistadesse, mis jälgivad või analüüsivad töötaja käitumist (kaasa arvatud tootlikkuse analüütika, kommunikatsiooni jälgimine ja kohalolemise jälgimine), silmitsi AEPD-i eraldi kontrollimisega.
AEPD-ile vastava AI-dokumentatsiooni koostamine
Hispaaniakeelse organisatsiooni jaoks, kes rakendavad AI-vahendeid, on AEPD-ile vastav dokumentatsiooni pakett:
1. AI-süsteemi inventar: Documeneerige kõik AI-süsteemid, mis töötlevad Hispaaniaalseid isikuandmeid: süsteemi nimi, müüja, eesmärk, töödeldavad andmekategooriad, säilitamise periood, DPIA olek.
2. DPIA iga AI-süsteemi jaoks: Järgides AEPD-i lihtsustatud DPIA-malli (saadaval AEPD-i veebisaidil):
- Töötlemise kirjeldus: eesmärk, õiguslik alus, andmekategooriad, vastuvõtjad
- Vajaduse ja proportsionaalsuse hindamine
- Riskihindamine: riskid andmesubjektidele
- Riskide vähendamise meetmed: tehniline ja organisatsioonilised kontrollid
- Andmekaitsejuhi konsulteerimise dokument (kui andmekaitsejuht on vajalik)
3. Tehniline dokumentatsioon: Iga AI-süsteemi jaoks dokumenteerige tehnilised meetmed, mis takistavad volitamata isikuandmetele juurdepääsu:
- Eel-esitamise filtreerimine (PII-tuvastamine + eemaldamine enne AI-töötlemist)
- Töödeldavate andmete juurdepääsukontrollid
- Säilitamise jõustamine
- Rikkumiste avastamine ja reaktsioon
4. Töötajate jälgimise poliitika: Kui mõni AI-süsteem jälgib töötajaid: kirjalik poliitika, mis dokumenteerib jälgimise ulatust, töötajatele antud teateid, õiguslikku alust ja proportsionaalsuse hindamist.
AEPD-i inspektsioonid taotlevad tavaliselt kõigepealt AI-süsteemi inventaari ja DPIA-sid. Organisatsioonid, millel on juba olemas dokumentatsioon, lahendavad inspektsioonid märkimisväärselt kiiremini kui need, kes teevad hindamisi reaktiivselt.
Allikad: