anonym.legal

By · Last updated 2026-06-05

Atpakaļ uz BloguGDPR un Atbilstība

AEPD Spānija: AI un darbinieku datu aizsardzības noteikumi

AEPD 2023. gadā izdeva 847 sankciju lēmumus — visvairāk ES pēc skaita — un pieprasa DPIA visām AI sistēmām, kas apstrādā personas datus.

June 5, 20267 min lasīšanai
AEPD SpainSpanish GDPRAI DPIA Spainemployee monitoringSpanish data protection

AEPD Spānija: AI un darbinieku datu aizsardzības noteikumi

Atjaunināts 2026. gadam

AEPD: ES galvenais izpildītājs pēc apjoma

AEPD (Agencia Espanola de Proteccion de Datos) ir Spānijas privātuma uzraugs. Tā 2023. gadā izdeva 847 sodus. Neviena cita ES iestāde netuvojās šim skaitam. Kopējās sankcijas tajā gadā pārsniedza 12 miljonus eiro.

Aģentūra darbojas atšķirīgi no vairuma ES kolēģu. Tā nekoncentrējas tikai uz lieliem sodiem. Tā arī mērķē uz maziem uzņēmumiem, pašvaldībām un vidēja lieluma organizācijām. Tas izplata spiedienu visā Spānijas ekonomikā.

Galvenās izpildes jomas 2024. gadā:

  • Kameras un biometriskās pārbaudes (29% gadījumu)
  • Mārketings un nevēlami kontakti (24% gadījumu)
  • Darbinieku uzraudzība un HR faili (18% gadījumu)
  • AI sistēmas un automatizēti lēmumi (15% gadījumu — pieaug)
  • Veselības un īpašo kategoriju dati (14% gadījumu)

AEPD AI DPIA noteikums

Regulatora 2024. gada Guia de adecuacion al RGPD de tratamientos con IA nosaka vienu skaidru noteikumu. Jebkuram AI rīkam, kas apstrādā personas datus, nepieciešama DPIA (datu ietekmes novērtēšana).

GDPR 35. pants prasa DPIA, ja apstrāde rada lielu risku. Tas ir konteksta tests. Spānijas iestāde pieņem stingrāku pieeju. Tās rokasgrāmata nosaka, ka jebkurš ML rīks, kas pieskarās personas datiem, aktivizē DPIA noteikumu. Pirmā gadījuma riska pārbaude nav nepieciešama.

Spānijas organizācijām jāveic un jāiesniedz DPIA par:

  • Klientu apkalpošanas tērzēšanas robotiem
  • Darbā pieņemšanas skrīninga rīkiem
  • Mārketinga rīkiem
  • Teksta apstrādes modeļiem (ieskaitot anonimizācijas rīkus)
  • Jebkuru AI rīku, kas apstrādā darbinieku vai klientu datus

Katram Spānijā izmantotam rīkam nepieciešams savs DPIA fails. Tas attiecas pat uz šķietami zema riska rīkiem.

AEPD anonimizācijas standarti

Aģentūras anonimizācijas rokasgrāmata balstās uz CNIL darbu. Tā pievieno Spānijas raksturīgus noteikumus nacionālajiem ID:

Spānijas ID veidi:

  • DNI (Documento Nacional de Identidad): 8 ciparu numurs ar pārbaudes burtu
  • NIE (Numero de Identificacion de Extranjero): Burts + 7 cipari + burts, ārvalstniekiem
  • NIF (Numero de Identificacion Fiscal): Tāds pats formāts kā DNI, nodokļu vajadzībām
  • Numero de Seguridad Social: Spānijas sociālās apdrošināšanas numurs

Iestāde atzīmē, ka NER modeļi bieži nokavē NIE numurus. Spānijā ir liela imigrantu populācija. Pārbaudiet, vai jūsu rīki var atrast NIE, apstrādājot failus no ne-spāniski runājošiem pilsoņiem.

Spānijas vārdu modeļi:

Spāņu nosaukšanas praksē izmanto divus uzvārdus (apellidos compuestos). NER modeļi, kas apmācīti uz viena uzvārda kopām, šeit var kļūdīties. Vārds "Garcia Lopez, Juan Carlos" ir ar diviem uzvārdiem, nevis vienu. Spāņu NER modeļiem tas jāapstrādā pareizi.

AEPD darbinieku uzraudzības gadījumi

Astoņpadsmit procenti gadījumu ir saistīti ar darbinieku uzraudzību. Spānija ierobežo darba devēju kontroli saskaņā ar Estatuto de los Trabajadores (Darba likums). Regulators īsteno šos ierobežojumus kopā ar GDPR.

Galvenās iestādes pozīcijas:

  • Keylogeri: Slēpta keylogeru izmantošana vairumā gadījumu ir GDPR pārkāpums. Ekrānuzņēmumu rīki prasa rakstisku pamatojumu un godīgas izmantošanas pārbaudi.
  • GPS izsekošana: Atļauta darba transportlīdzekļos ar skaidru paziņojumu darbiniekiem. Nav atļauta personiskajos transportlīdzekļos.
  • E-pasta pārbaudes: Atļautas ar iepriekšēju rakstisku paziņojumu un politiku. Satura pārskatīšanai nepieciešams papildu pamatojums.
  • AI izsekošanas rīki: Jebkurš modelis, kas izseko darbinieku uzvedību, prasa DPIA. Piemēro arī EDPB noteikumi.

Automatizēta uzraudzība piesaista visvairāk uzmanības no Spānijas DPA.

AEPD atbilstoša AI dokumentācija

Spānijas organizācijām, kas izmanto AI rīkus, nepieciešami četri dokumentu komplekti.

1. AI sistēmu inventarizācija

Uzskaitiet katru rīku, kas apstrādā Spānijas personas datus. Atzīmējiet: sistēmas nosaukumu, pārdevēju, mērķi, datu veidus, glabāšanas periodu un DPA statusu.

2. DPIA katrai sistēmai

Izmantojiet aģentūras publicēto DPIA veidni. Aptveriet:

  • Mērķi, tiesisko pamatu, datu veidus un saņēmējus
  • Godīgas izmantošanas pārbaudi
  • Riska pārskatu par ietekmētajām personām
  • Riska kontroles: gan tehniskās, gan procesu
  • DSP piezīmes (kur nepieciešams DSP)

3. Tehnisko kontrolu ieraksts

Katram rīkam atzīmējiet kontroles, kas bloķē nesankcionētu piekļuvi:

  • Filtrēšana pirms nosūtīšanas (personas datu noņemšana pirms modeļa darbošanās)
  • Piekļuves kontroles uz izvadēm
  • Glabāšanas ierobežojumi un to izpilde
  • Pārkāpumu atklāšana un reaģēšanas soļi

4. Darbinieku uzraudzības politika

Ja kāds rīks uzrauga darbiniekus, pievienojiet rakstisku politiku. Norādiet darbības jomu, informējiet darbiniekus, nosauciet tiesisko pamatu un parādiet godīgas izmantošanas pārbaudi.

AEPD auditi sākas ar inventarizāciju un DPIA. Organizācijas ar šiem failiem gatavībā daudz ātrāk atrisina auditus. Mūsu GDPR atbilstības rokasgrāmata aptver dokumentu jomu. Mūsu drošības atbilstības pārskats paskaidro tehniskās kontroles. Spānijas personas datu atklāšanai skatiet mūsu daudzvalodu personas datu atklāšanas rokasgrāmatu.

Avoti

Saistītie Raksti

GDPR un Atbilstība

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR un Atbilstība

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR un Atbilstība

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Vai esat gatavi aizsargāt savus datus?

Sāciet PII anonimizāciju ar 285+ entitāšu veidiem 48 valodās.

Sākt Bezmaksas IzmēģinājumuSkatīt Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.