anonym.legal

By · Last updated 2026-06-05

Nazaj na blogGDPR in skladnost

AEPD Spanija: Pravila UI in DPIA za zaposlene

AEPD je leta 2023 izdala 847 sankcionirnih odlocitev - najvec v EU po stevilu - in zahteva DPIA za vse sisteme UI, ki obdelujejo osebne podatke.

June 5, 20267 min branja
AEPD SpainSpanish GDPRAI DPIA Spainemployee monitoringSpanish data protection

AEPD Spanija: Pravila UI in DPIA za zaposlene

Posodobljeno za leto 2026

AEPD: Najpomembnejsi izvrsni organ EU po obsegu

AEPD (Agencia Espanola de Proteccion de Datos) je spanski nadzorni organ za zasebnost. Leta 2023 je izdala 847 glob. Noben drug organ EU se ji ni niti priblizal. Skupne sankcije tistega leta so presegle 12 milijonov EUR.

Ogan deluje drugace od vecine svojih evropskih kolegov. Ne osredotoca se samo na visoke globe. Cilja tudi na mala podjetja, obcine in srednje velike skupne. S tem sirijo pritisk po vsem spanskem gospodarstvu.

Najpogosteje izvrsvana podrocja leta 2024:

  • Kamere in biometricne kontrole (29 % primerov)
  • Trženje in nezazeleni stiki (24 % primerov)
  • Nadzor zaposlenih in kadrovske evidence (18 % primerov)
  • Sistemi UI in samodejne odlocitve (15 % primerov - v porastu)
  • Zdravstveni in posebno obcutljivi zapisi (14 % primerov)

Pravilo AEPD o DPIA za UI

Vodnik regulatorja iz leta 2024, Guia de adecuacion al RGPD de tratamientos con IA, postavlja eno jasno pravilo. Vsako orodje UI, ki obdeluje osebne zapise, potrebuje DPIA (oceno ucinkov na varstvo podatkov).

Clen 35 GDPR zahteva DPIA, kadar obdelava predstavlja visoko tveganje. To je kontekstualni preizkus. Spanski organ zavzema strožje stalisče. Njegov vodnik pravi, da vsako orodje strojnega ucenja, ki se dotakne osebnih zapisov, sproži pravilo DPIA. Predhodno preverjanje tveganja od primera do primera ni potrebno.

Spanske organizacije morajo izvesti in vložiti DPIA za:

  • Klepetalnice za storitve strank
  • Orodja za presejanje pri zaposlovanju
  • Orodja za trženje
  • Modele za obdelavo besedila (vkljucno z orodji za anonimizacijo)
  • Vsako orodje UI, ki obdeluje zapise osebja ali strank

Vsako orodje, ki se uporablja v Spaniji, potrebuje svojo mapo DPIA. To velja, tudi ce se orodje zdi nizko tvegano.

Standardi anonimizacije AEPD

Vodnik anonimizacije agencije temelji na delu CNIL. Dodaja specificna spanska pravila za nacionalne ID:

Vrste spanskega ID:

  • DNI (Documento Nacional de Identidad): 8-mestna stevilka plus kontrolna crka
  • NIE (Numero de Identificacion de Extranjero): Crka + 7 stevk + crka, za tuje drzavljane
  • NIF (Numero de Identificacion Fiscal): Enaka oblika kot DNI, uporablja se za davke
  • Numero de Seguridad Social: Spanska stevilka socialne varnosti

Ogan opozarja, da modeli NER pogosto zamudijo stevilke NIE. Spanija ima veliko priseljenskoprebivals. Preverite, ali vasa orodja lahko najdejo NIE pri obdelavi datotek tujih drzavljanov.

Spanski vzorci imen:

Spansko poimenovanje uporablja dve priimki (apellidos compuestos). Modeli NER, usposobljeni na naborih z enim priimkom, tu lahko odpovedo. Ime "Garcia Lopez, Juan Carlos" ima dva priimka, ne enega. Spanski modeli NER morajo to obvladovati.

Primeri nadzora zaposlenih pri AEPD

Osemnajst odstotkov primerov vkljucuje nadzor osebja. Spanija omejuje nadzor delodajalca po Estatuto de los Trabajadores (Zakon o delavcih). Regulator uveljavlja te omejitve skupaj z GDPR.

Kljucna stalisca organa:

  • Beležniki pritiskov na tipke: Skrita uporaba beležnikov pritiskov na tipke je v vecini primerov krsitev GDPR. Orodja za zajem zaslona potrebujejo pisni dokaz in preizkus sorazmernosti.
  • Sledenje GPS: Dovoljeno na službenih vozilih z jasnim obvestilom osebju. Ni dovoljeno na osebnih vozilih.
  • Pregledi e-pošte: Dovoljeni s predhodnim pisnim obvestilom in pravilnikom. Pregled vsebine zahteva dodaten dokaz.
  • Orodja za sledenje UI: Vsak model, ki sledi vedenju osebja, potrebuje DPIA. Veljajo tudi pravila EDPB.

Avtomatizirani nadzor priteguje najvec pozornosti spanskega DPA.

Dokumentacija UI, skladna z AEPD

Za spanske organizacije, ki uporabljajo orodja UI, so potrebni stirje sklopi dokumentov.

1. Inventar sistemov UI

Navedite vsako orodje, ki obdeluje spanske osebne zapise. Zabeležite: ime sistema, prodajalca, namen, vrste zapisov, obdobje hranjenja in status DPA.

2. DPIA na sistem

Uporabite objavljeno predlogo DPIA agencije. Pokrijte:

  • Namen, pravno podlago, vrste zapisov in prejemnike
  • Preizkus sorazmernosti
  • Pregled tveganj za prizadete osebe
  • Kontrole tveganj: tehniske in procesne
  • Opombe DPO (kjer je DPO zahtevan)

3. Zapis tehnicnih kontrol

Za vsako orodje zabeležite kontrole, ki blokirajo nepooblasten dostop:

  • Predhodno filtriranje (odstranitev OOP, preden model deluje)
  • Kontrole dostopa do izhodnih podatkov
  • Omejitve hranjenja in njihovo uveljavljanje
  • Koraki zaznave in odziva na krsitve

4. Pravilnik o nadzoru osebja

Ce katero koli orodje nadzira osebje, dodajte pisni pravilnik. Navedite obseg, obvestite osebje, poimenujte pravno podlago in prikazite preizkus sorazmernosti.

Revizije AEPD se zacnejo z inventarjem in DPIA. Organizacije s temi datotekami, pripravljenimi vnaprej, resijo revizije bistveno hitreje. Nas vodnik za skladnost z GDPR pokriva obseg dokumentacije. Nas pregled tehnicne skladnosti pojasnjuje tehnicne kontrole. Za zaznavanje spanskega OOP glejte nas vodnik za vecjezicno zaznavanje OOP.

Viri

Sorodni članki

GDPR in skladnost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR in skladnost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR in skladnost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Ste pripravljeni zaščititi svoje podatke?

Začnite z anonimizacijo PII z več kot 285 tipi entitet v 48 jezikih.

Začnite brezplačno preizkušnjoOgled funkcij

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.