AEPD Шпанија: Правила за ВИ и DPA за вработени
Ажурирано за 2026
AEPD: Водечки Спроведувач во ЕУ по Обем
AEPD (Agencia Española de Protección de Datos) е шпанскиот надзорен орган за приватност. Издаде 847 казни во 2023. Ниту еден друг орган во ЕУ не беше близу. Вкупните казни таа година надминаа €12M.
Органот работи поинаку од повеќето ЕУ врсници. Не се фокусира само на големи казни. Исто така таргетира мали фирми, општини и средни групи. Ова шири притисок низ шпанската економија.
Главни области на спроведување во 2024:
- Проверки со камери и биометрија (29% од случаите)
- Маркетинг и ненарачани контакти (24% од случаите)
- Следење на персоналот и HR досиеа (18% од случаите)
- Системи за ВИ и автоматски одлуки (15% од случаите — во пораст)
- Здравствени и посебни категории на записи (14% од случаите)
Правилото на AEPD за DPIA за ВИ
Водичот на регулаторот од 2024 Guia de adecuacion al RGPD de tratamientos con IA поставува едно јасно правило. Секоја алатка за ВИ која ракува со лични записи потребува DPIA (Проценка на влијанието врз заштитата на податоците).
GDPR Член 35 бара DPIA кога обработката носи висок ризик. Тоа е контекстуален тест. Шпанскиот орган зазема построг став. Неговиот водич вели дека секоја алатка за машинско учење која допира лични записи го активира правилото за DPIA. Не е потребна прва проверка на ризик за секој случај одделно.
Шпанските групи мора да спроведат и да досиеираат DPIA за:
- Чатботови за услуги на клиенти
- Алатки за скрининг при вработување
- Маркетинг алатки
- Модели за обработка на текст (вклучувајќи алатки за анонимизација)
- Секоја алатка за ВИ која ракува со записи за персонал или клиенти
Секоја алатка користена во Шпанија потребува свое DPIA досие. Ова важи дури и ако алатката изгледа со низок ризик.
Стандарди за Анонимизација на AEPD
Водичот за анонимизација на органот се надоврзува на работата на CNIL. Додава правила специфични за Шпанија за национални идентификатори:
Шпански видови на идентификатори:
- DNI (Documento Nacional de Identidad): 8-цифрен број плус контролна буква
- NIE (Numero de Identificacion de Extranjero): Буква + 7 цифри + буква, за странски државјани
- NIF (Numero de Identificacion Fiscal): Ист формат како DNI, користен за даноци
- Numero de Seguridad Social: Шпански број на социјално осигурување
Органот забележува дека NER моделите честопати го пропуштаат бројот NIE. Шпанија има голема имигрантска популација. Проверете дали вашите алатки можат да ги најдат NIE кога обработувате досиеа од нешпански државјани.
Шпански обрасци на имиња:
Шпанското именување користи две презимиња (apellidos compuestos). NER моделите обучени на збирки со едно презиме можат да не успеат тука. Името "Garcia Lopez, Juan Carlos" има две презимиња, не едно. Шпанските NER модели мора да го ракуваат со ова.
Случаи на Следење на Вработени на AEPD
Осумнаесет отсто од случаите вклучуваат следење на персоналот. Шпанија ги ограничува контролите на работодавачот согласно Estatuto de los Trabajadores (Статут на работниците). Регулаторот ги спроведува овие ограничувања заедно со GDPR.
Клучни позиции на органот:
- Кеилогери: Прикриената употреба на кеилогери е прекршување на GDPR во повеќето случаи. Алатките за снимање екран потребуваат писмен доказ и проверка на фер-употреба.
- GPS следење: Дозволено на деловни возила со јасно известување на персоналот. Не е дозволено на лични возила.
- Проверки на е-пошта: Дозволено со претходно писмено известување и политика. Прегледот на содржина потребува дополнителен доказ.
- Алатки за следење со ВИ: Секој модел кој го следи однесувањето на персоналот потребува DPIA. Исто така важат правилата на EDPB.
Автоматизираното следење привлекува најмногу внимание од шпанскиот DPA.
Документација за ВИ Усогласена со AEPD
Четири сета документи се потребни за шпанските групи кои користат алатки за ВИ.
1. Инвентар на систем за ВИ
Наведете ја секоја алатка која ракува со шпански лични записи. Забележете: ime na sistemot, dobavuvac, cel, vidovi zapisi, period na cuvanje, i status na DPA.
2. DPIA за секој систем
Користете го објавениот шаблон за DPIA на органот. Покријте:
- Цел, правна основа, видови записи и примачи
- Проверка на фер-употреба
- Преглед на ризик за засегнатите лица
- Контроли на ризик: и техники и процесни
- Белешки на DPO (каде е потребен DPO)
3. Запис за технички контроли
За секоја алатка, забележете ги контролите кои го блокираат неовластениот пристап:
- Филтрирање пред испраќање (отстранување на PII пред да се изврши моделот)
- Контроли на пристап до излезите
- Ограничувања на задржување и нивно спроведување
- Чекори за откривање и одговор на прекршувања
4. Политика за следење на персоналот
Ако некоја алатка го следи персоналот, додадете писмена политика. Наведете го обемот, известете го персоналот, именувајте ја правната основа и покажете проверка на фер-употреба.
Аудитите на AEPD започнуваат со инвентарот и DPIA. Групите со овие досиеа подготвени ги решаваат аудитите многу побрзо. Нашиот водич за усогласеност со GDPR го покрива опсегот на документацијата. Нашиот преглед на безбедна усогласеност ги објаснува техничките контроли. За откривање на PII на шпански, видете го нашиот водич за повеќејазично откривање на PII.