AEPD Spanien: AI och arbetsrättsliga DPA-regler
Uppdaterat för 2026
AEPD: EU:s mest aktiva tillsynsmyndighet sett till volym
AEPD (Agencia Española de Protección de Datos) är Spaniens dataskyddstillsynsmyndighet. Den utfärdade 847 böter 2023. Ingen annan EU-myndighet kom ens i närheten. Totala sanktioner det året översteg €12 miljoner.
Myndigheten arbetar annorlunda än de flesta EU-kollegor. Den fokuserar inte enbart på stora böter. Den riktar sig också mot småföretag, kommuner och medelstora verksamheter. Det sprider trycket över hela den spanska ekonomin.
Högst prioriterade tillsynsområden 2024:
- Kamera- och biometriska kontroller (29 % av fallen)
- Marknadsföring och oönskade kontakter (24 % av fallen)
- Personalövervakning och HR-filer (18 % av fallen)
- AI-system och automatiserade beslut (15 % av fallen — ökande)
- Hälso- och specialkategoriuppgifter (14 % av fallen)
AEPD:s DPIA-krav för AI
Myndighetens Guía de adecuación al RGPD de tratamientos con IA från 2024 fastslår en tydlig regel. Alla AI-verktyg som hanterar personuppgifter kräver en DPIA (konsekvensbedömning avseende dataskydd).
GDPR Artikel 35 kräver DPIA när behandlingen innebär hög risk. Det är en kontextbedömning. Den spanska myndigheten intar en striktare hållning. I sin guide anges att alla maskininlärningsverktyg som hanterar personuppgifter utlöser DPIA-kravet. Ingen inledande riskbedömning krävs.
Spanska organisationer måste genomföra och dokumentera DPIA för:
- Kundtjänstchatbotar
- Rekryteringsverktyg
- Marknadsföringsverktyg
- Textbearbetningsmodeller (inklusive anonymiseringsverktyg)
- Alla AI-verktyg som hanterar personal- eller kunduppgifter
Varje verktyg som används i Spanien behöver sin egen DPIA-dokumentation. Detta gäller även om verktyget verkar lågriskartat.
AEPD:s anonymiseringsstandarder
Myndighetens anonymiseringsguide bygger på CNIL:s arbete och lägger till spanskaspecifika regler för nationella ID:n:
Spanska ID-typer:
- DNI (Documento Nacional de Identidad): 8-siffrigt nummer plus en kontrollbokstav
- NIE (Número de Identificación de Extranjero): Bokstav + 7 siffror + bokstav, för utländska medborgare
- NIF (Número de Identificación Fiscal): Samma format som DNI, används för skatteändamål
- Número de Seguridad Social: Spanskt socialförsäkringsnummer
Myndigheten konstaterar att NER-modeller ofta missar NIE-nummer. Spanien har en stor invandrad befolkning. Kontrollera att dina verktyg kan identifiera NIE när du behandlar filer från icke-spanska medborgare.
Spanska namnmönster:
Spanskt namnbruk inkluderar två efternamn (apellidos compuestos). NER-modeller tränade på enkel-efternamnsuppsättningar kan misslyckas med detta. Namnet "García López, Juan Carlos" har två efternamn, inte ett. Spanska NER-modeller måste hantera detta.
AEPD:s fall om personalövervakning
Arton procent av fallen rör personalövervakning. Spanien begränsar arbetsgivarens kontroll enligt Estatuto de los Trabajadores (arbetsmarknadslagen). Myndigheten tillämpar dessa begränsningar parallellt med GDPR.
Centrala ståndpunkter från myndigheten:
- Keyloggers: Dold keylogger-användning utgör i de flesta fall ett GDPR-brott. Skärmdumpsverktyg kräver skriftlig dokumentation och ett proportionalitetstest.
- GPS-spårning: Tillåten på tjänstefordon med tydlig information till personalen. Inte tillåten på privata fordon.
- E-postgranskning: Tillåten med föregående skriftlig information och policy. Innehållsgranskning kräver ytterligare motivering.
- AI-övervakningsverktyg: Alla modeller som spårar personalens beteende kräver DPIA. EDPB:s regler gäller också.
Automatiserad övervakning är det som drar till sig mest granskning från den spanska DPA:n.
AEPD-kompatibel AI-dokumentation
Fyra dokumentationspaket krävs för spanska organisationer som använder AI-verktyg.
1. AI-systeminventering
Lista varje verktyg som hanterar spanska personuppgifter. Notera: systemnamn, leverantör, syfte, uppgiftstyper, lagringstid och DPA-status.
2. DPIA per system
Använd myndighetens publicerade DPIA-mall. Täck:
- Syfte, rättslig grund, uppgiftstyper och mottagare
- Ett proportionalitetstest
- En riskbedömning för berörda personer
- Riskkontroller: både tekniska och processuella
- DPO:s kommentarer (där DPO krävs)
3. Register över tekniska kontroller
För varje verktyg, dokumentera kontrollerna som förhindrar obehörig åtkomst:
- Förhandsfiltrering (PII-borttagning innan modellen körs)
- Åtkomstkontroller för utdata
- Lagringstider och deras efterlevnad
- Intrångsdetektering och incidentrespons
4. Policy för personalövervakning
Om något verktyg övervakar personal, lägg till en skriftlig policy. Ange omfattning, informera personalen, namnge den rättsliga grunden och visa ett proportionalitetstest.
AEPD-revisioner börjar med inventeringen och DPIA:erna. Organisationer med dessa handlingar redo löser revisioner mycket snabbare. Vår GDPR-efterlevnadsguide täcker dokumentomfång. Vår säkerhetskompliansöversikt förklarar tekniska kontroller. För spansk PII-detektering, se vår guide till flerspråkig PII-identifiering.