AEPD Spánn: AI og starfsmannaverndarreglur
Uppfært fyrir 2026
AEPD: Efstu framkvæmdaraðili ESB samkvæmt magni
AEPD (Agencia Española de Protección de Datos) er spænskt friðhelgiseftirlit. Það gaf út 847 sektir árið 2023. Ekkert annað ESB-stofnun kom nálægt. Heildarviðurlög það ár námu yfir €12M.
Stofnunin vinnur á annan hátt en flestar ESB-jafningjar. Hún einblínir ekki eingöngu á stórar sektir. Hún miðar líka að litlum fyrirtækjum, bæjarstjórnum og meðalstórum hópum. Þetta dreifir þrýstingi um allt spænsk hagkerfi.
Helstu framkvæmdarsvið árið 2024:
- Myndavél- og líffræðileg athugun (29% mála)
- Markaðssetning og óóskaðar samskipti (24% mála)
- Starfsmannaeftirlit og HR-skrár (18% mála)
- AI-kerfi og sjálfvirkar ákvarðanir (15% mála — hækkandi)
- Heilsu- og sérflokksgögn (14% mála)
AI DPIA-regla AEPD
Leiðbeiningar eftirlitsstjórnvaldsins 2024 Guía de adecuación al RGPD de tratamientos con IA setja fram eina skýra reglu. Hvert AI-verkfæri sem meðhöndlar persónulegar skrár þarf DPIA (Gagnastjórnunaráhrifamat).
GDPR grein 35 biður um DPIA þegar vinnsla felur í sér mikla áhættu. Þetta er samhengisprófun. Spænska stofnunin tekur þrengri afstöðu. Leiðbeiningar hennar segja að hvert ML-tæki sem snertir persónulegar skrár kveikir DPIA-regluna. Engin einstaka áhættuprófun þarf fyrst.
Spænskar stofnanir verða að keyra og skrá DPIA fyrir:
- Spjallbotna í þjónustuver
- Ráðningarúrvinnsluverkfæri
- Markaðssetningarverkfæri
- Textavinnslurlíkön (þar með talin nafnleysisverkfæri)
- Hvert AI-tæki sem meðhöndlar starfs- eða viðskiptavinaskrár
Hvert verkfæri sem notað er á Spáni þarf eigin DPIA-skrá. Þetta á við jafnvel þótt tækið virðist lítil áhætta.
Nafnleysisstaðlar AEPD
Nafnleysishandbók stofnunarinnar byggir á vinnu CNIL. Hún bætir við spænskum reglum um þjóðarkennitölur:
Spænskar auðkennisgerðir:
- DNI (Documento Nacional de Identidad): 8 tölustafa tala ásamt prófunarbókstaf
- NIE (Número de Identificación de Extranjero): Bókstafur + 7 tölustafir + bókstafur, fyrir erlenda ríkisborgara
- NIF (Número de Identificación Fiscal): Sama snið og DNI, notað í skattkerfinu
- Número de Seguridad Social: Spænskt lífeyrismál kennitala
Stofnunin tekur fram að NER-líkön sakna oft NIE-númer. Spánn á stórt innflytjendaland. Athugaðu hvort verkfæri þín geta fundið NIE þegar þú vinnur skrár frá ekki-spænskum þegnum.
Spænskar nafnamyndir:
Spænskt nafngiftakerfi notar tvö ættarnöfn (apellidos compuestos). NER-líkön þjálfuð á eitt-ættarnafnasamstæður geta brugðist hér. Nafnið "García López, Juan Carlos" hefur tvö ættarnöfn, ekki eitt. Spænskt NER-líkön verða að meðhöndla þetta.
Mál um starfsmannaeftirlit AEPD
Aðtján prósent mála varða starfsmannaeftirlit. Spánn takmarkar vinnuveitandaeftirlit samkvæmt Estatuto de los Trabajadores (Vinnumannalög). Eftirlitsstjórnvaldið framfylgir þessum takmörkunum samhliða GDPR.
Lykilafstæður frá yfirvaldinu:
- Lyklaborðsskráningarforrit: Leynilegar skráningar eru GDPR-brot í flestum tilvikum. Skjámyndaverkfæri þarfnast skriflegrar sönnunar og sanngirnisprófunar.
- GPS-rakning: Leyfð á vinnubílum með skýrri tilkynningu til starfsmanna. Ekki leyfð á einkabílum.
- Tölvupóstsskoðun: Leyfð með fyrirfram skriflegar tilkynningar og stefnu. Efnisleg skoðun þarf aukasönnun.
- AI-rakningarverkfæri: Hvert líkan sem rekur hegðun starfsmanna þarf DPIA. EDPB-reglur gilda einnig.
Sjálfvirkt eftirlit fær mesta gauminn frá spænska persónuverndareftirlitinu.
AEPD-samhæfð AI-skjöl
Fjórar skjalasafnar eru krafist af spænskum stofnunum sem nota AI-verkfæri.
1. AI-kerfisskrár
Skráðu hvert tæki sem meðhöndlar spænskar persónulegar skrár. Athugaðu: kerfisheiti, söluaðila, tilgang, skrágerðir, geymslutíma og DPA-stöðu.
2. DPIA fyrir hvert kerfi
Notaðu útgefna DPIA-sniðmát stofnunarinnar. Hyljðu:
- Tilgang, lögmætan grunn, skrágerðir og viðtakendur
- Sanngirnisprófun
- Áhættumat fyrir viðkomandi einstaklinga
- Áhættueftirlit: bæði tæknilegt og ferlamiðað
- DPO-athugasemdir (þar sem DPO er krafist)
3. Tæknileg eftirlitsskrá
Fyrir hvert tæki, skráðu eftirlitana sem koma í veg fyrir óheimilaðan aðgang:
- Síun fyrir innsendingu (PII-fjarlæging áður en líkanið keyrir)
- Aðgangseftirlit á framleiðslu
- Geymslutakmarkanir og framkvæmd þeirra
- Brestatgreining og viðbrögðsskref
4. Starfsmannaeftirlit stefna
Ef eitthvað verkfæri fylgist með starfsmönnum, bættu við skriflegri stefnu. Tilgreindu umfangið, gefðu starfsmönnum tilkynningu, nefndu lögmætan grunn og sýndu sanngirnisprófun.
AEPD-endurskoðanir byrja með skrárnar og DPIA. Stofnanir með þessar skrár tilbúnar leysa endurskoðanir miklu hraðar. GDPR-reglufylgnihandbók okkar fjallar um skjalaumfang. Tæknilegt öryggisyfirlit okkar útskýrir tæknilegar eftirlitir. Fyrir spænskar PII-greiningar, sjáðu fjöltyngda PII-greiningarleiðbeiningar okkar.