AEPD Spanyolország: MI és munkavállalói adatvédelmi szabályok
Frissítve 2026-ra
AEPD: az EU vezető érvényesítője mennyiség szerint
Az AEPD (Agencia Española de Protección de Datos) Spanyolország adatvédelmi hatósága. 2023-ban 847 bírságot szabott ki. Egyetlen más EU-s szerv sem közelítette meg ezt a számot. Az évi összesített büntetések meghaladták a 12 millió eurót.
A hatóság más módon működik, mint legtöbb EU-s társa. Nem csak a nagy bírságokra fókuszál. Kisvállalatokat, önkormányzatokat és közepes méretű szervezeteket is céloz. Ez az egész spanyol gazdaságban terjeszti a nyomást.
A 2024-ben leggyakrabban érvényesített területek:
- Kamera- és biometrikus ellenőrzések (az esetek 29%-a)
- Marketing és kéretlen kapcsolatfelvétel (az esetek 24%-a)
- Munkavállalói megfigyelés és HR-nyilvántartások (az esetek 18%-a)
- MI-rendszerek és automatizált döntések (az esetek 15%-a — növekvő tendencia)
- Egészségügyi és különleges kategóriájú nyilvántartások (az esetek 14%-a)
Az AEPD MI-ra vonatkozó adatvédelmi hatásvizsgálati szabálya
A hatóság 2024-es Guía de adecuación al RGPD de tratamientos con IA iránymutatása egy egyértelmű szabályt állapít meg. Minden személyes adatokat kezelő MI-eszköznek adatvédelmi hatásvizsgálatra (DPIA) van szüksége.
A GDPR 35. cikke adatvédelmi hatásvizsgálatot ír elő, ha az adatkezelés magas kockázatot jelent. Ez kontextuális teszt. A spanyol hatóság szigorúbb álláspontot képvisel. Útmutatója szerint minden személyes adatokat érintő gépi tanulási eszköz kiváltja a hatásvizsgálati szabályt. Nem szükséges előzetes esetenkénti kockázatelemzés.
A spanyol szervezeteknek adatvédelmi hatásvizsgálatot kell elvégezniük és benyújtaniuk a következőkre:
- Ügyfélszolgálati chatbotok
- Felvételi szűrőeszközök
- Marketing-eszközök
- Szövegfeldolgozó modellek (beleértve az anonimizáló eszközöket)
- Minden MI-eszköz, amely munkavállalói vagy ügyfélnyilvántartásokat kezel
Minden Spanyolországban használt eszköznek saját adatvédelmi hatásvizsgálati nyilvántartással kell rendelkeznie. Ez akkor is érvényes, ha az eszköz alacsony kockázatúnak tűnik.
Az AEPD anonimizálási szabványai
A hatóság anonimizálási iránymutatása a CNIL munkájára épül. Spanyolország-specifikus szabályokat ad hozzá a nemzeti azonosítókhoz:
Spanyol azonosítótípusok:
- DNI (Documento Nacional de Identidad): 8 jegyű szám és egy ellenőrző betű
- NIE (Número de Identificación de Extranjero): Betű + 7 szám + betű, külföldi állampolgárok számára
- NIF (Número de Identificación Fiscal): A DNI-val megegyező formátum, adózási célokra használva
- Número de Seguridad Social: Spanyol társadalombiztosítási szám
A hatóság megjegyzi, hogy a névelem-felismerő modellek gyakran elmulasztják a NIE-számokat. Spanyolország nagy bevándorló lakossággal rendelkezik. Ellenőrizze, hogy eszközei megtalálják-e a NIE-ket, amikor nem spanyol állampolgároktól származó fájlokat dolgoz fel.
Spanyol névminták:
A spanyol névhasználat két vezetéknevet (apellidos compuestos) alkalmaz. Az egyes vezetéknévre tanított névelem-felismerő modellek itt hibázhatnak. A „García López, Juan Carlos” névnek két vezetékneve van, nem egy. A spanyol névelem-felismerő modelleknek ezt kezelniük kell.
Az AEPD munkavállalói megfigyelési esetei
Az esetek tizennyolc százaléka munkavállalói megfigyelést érint. Spanyolország korlátozza a munkáltatói ellenőrzést az Estatuto de los Trabajadores (Munkavállalók Statútuma) alapján. A hatóság ezeket a korlátokat a GDPR-ral együtt érvényesíti.
A hatóság főbb álláspontjai:
- Billentyűzetfigyelők: A rejtett billentyűzetfigyelők használata a legtöbb esetben GDPR-jogsértés. A képernyőfelvételi eszközök írásos igazolást és arányossági vizsgálatot igényelnek.
- GPS-követés: Munkaügyi járműveken engedélyezett, ha a munkavállalókat egyértelműen tájékoztatják. Személyes járműveken nem engedélyezett.
- E-mail-ellenőrzés: Előzetes írásos értesítés és iránymutatás esetén engedélyezett. A tartalom felülvizsgálata kiegészítő bizonyítékot igényel.
- MI-alapú nyomkövetési eszközök: A munkavállalói viselkedést nyomon követő modellekhez adatvédelmi hatásvizsgálat szükséges. Az EDPB szabályai is vonatkoznak rájuk.
Az automatizált megfigyelés vonja maga után a legélénkebb figyelmet Spanyolország adatvédelmi hatóságától.
AEPD-kompatibilis MI-dokumentáció
Négy dokumentumkészlet szükséges a spanyol MI-eszközöket alkalmazó szervezetek számára.
1. MI-rendszer leltár
Sorolja fel az összes spanyol személyes adatokat kezelő eszközt. Rögzítse: rendszernév, szállító, cél, rekordtípusok, megőrzési időszak és adatfeldolgozási megállapodás státusza.
2. Adatvédelmi hatásvizsgálat rendszerenként
Használja a hatóság közzétett adatvédelmi hatásvizsgálati sablonját. Fedje le:
- Cél, jogalap, rekordtípusok és címzettek
- Arányossági vizsgálat
- Az érintettekre vonatkozó kockázatértékelés
- Kockázati vezérlők: technikai és folyamatalapú egyaránt
- Adatvédelmi tisztviselő megjegyzései (ahol adatvédelmi tisztviselő szükséges)
3. Technikai vezérlők nyilvántartása
Minden eszközhöz jegyezze fel a jogosulatlan hozzáférést megakadályozó vezérlőket:
- Beküldés előtti szűrés (személyesadat-eltávolítás a modell futtatása előtt)
- Kimenetek hozzáférési vezérlői
- Megőrzési korlátok és azok érvényesítése
- Incidensészlelési és -elhárítási lépések
4. Munkavállalói megfigyelési iránymutatás
Ha bármely eszköz a munkavállalókat figyeli, készítsen írásos iránymutatást. Határozza meg a hatókört, értesítse a munkavállalókat, nevezze meg a jogalapot, és mutasson be arányossági vizsgálatot.
Az AEPD-auditok a leltárral és az adatvédelmi hatásvizsgálatokkal kezdődnek. Az ezeket a fájlokat előre elkészítő szervezetek sokkal gyorsabban zárják le az auditokat. A GDPR megfelelőségi útmutatónk lefedi a dokumentáció körét. A biztonsági megfelelőségi áttekintőnk magyarázza a technikai vezérlőket. A spanyol személyesadat-felismeréshez lásd a többnyelvű személyesadat-felismerési útmutatónkat.