AEPD İspanya: Yapay Zeka ve Çalışan Veri Kuralları
2026 için güncellendi
AEPD: Hacim Bakımından AB'nin Önde Gelen Denetçisi
AEPD (Agencia Española de Protección de Datos), İspanya'nın gizlilik denetim kurumudur. 2023'te 847 para cezası kesti. Hiçbir AB kurumu buna yaklaşamadı. O yılki toplam cezalar 12 milyon Euro'yu aştı.
Kurum, çoğu AB meslektaşından farklı çalışır. Yalnızca büyük cezalara odaklanmaz. Küçük firmaları, belediye başkanlıklarını ve orta büyüklükteki kuruluşları da hedef alır. Bu durum baskıyı İspanya ekonomisine yaymaktadır.
2024'te en çok yaptırım uygulanan alanlar:
- Kamera ve biyometrik kontroller (davaların %29'u)
- Pazarlama ve istenmeyen iletişimler (davaların %24'ü)
- Çalışan izleme ve İK dosyaları (davaların %18'i)
- Yapay zeka sistemleri ve otomatik kararlar (davaların %15'i — artıyor)
- Sağlık ve özel kategori kayıtları (davaların %14'ü)
AEPD'nin Yapay Zeka DPIA Kuralı
Düzenleyicinin 2024 tarihli Guía de adecuación al RGPD de tratamientos con IA belgesi tek net kural koyuyor. Kişisel kayıtları işleyen her yapay zeka aracı için Veri Koruma Etki Değerlendirmesi (DPIA) zorunludur.
GDPR Madde 35, işlemenin yüksek risk oluşturması halinde DPIA ister. Bu bağlama dayalı bir test. İspanyol kurum daha katı bir görüş benimsiyor. Rehberi, kişisel kayıtlara dokunan herhangi bir makine öğrenimi aracının DPIA kuralını tetiklediğini söylüyor. Önce vaka bazlı risk değerlendirmesi gerekmiyor.
İspanyol kuruluşlar şunlar için DPIA hazırlayıp dosyalamalıdır:
- Müşteri hizmetleri sohbet robotları
- İşe alım tarama araçları
- Pazarlama araçları
- Metin işleme modelleri (anonimleştirme araçları dahil)
- Çalışan veya müşteri kayıtlarını işleyen her yapay zeka aracı
İspanya'da kullanılan her aracın kendi DPIA dosyası olması gerekir. Araç düşük riskli görünse bile bu geçerlidir.
AEPD Anonimleştirme Standartları
Kurumun anonimleştirme rehberi CNIL'in çalışmaları üzerine inşa edilmiş. Ulusal kimlikler için İspanya'ya özgü kurallar ekliyor:
İspanya kimlik türleri:
- DNI (Documento Nacional de Identidad): 8 haneli sayı ve bir kontrol harfi
- NIE (Número de Identificación de Extranjero): Harf + 7 rakam + harf, yabancı uyrukluler için
- NIF (Número de Identificación Fiscal): DNI ile aynı format, vergi için kullanılır
- Número de Seguridad Social: İspanyol Sosyal Güvenlik numarası
Kurum, NER modellerinin NIE numaralarını sık sık gözden kaçırdığını not ediyor. İspanya'nın büyük bir göçmen nüfusu var. İspanyol olmayan uyrukluların dosyalarını işlerken araçlarınızın NIE'yi bulabildiğini kontrol edin.
İspanyol isim kalıpları:
İspanyol isimlendirme iki soyadı (apellidos compuestos) kullanır. Tek soyadlı veri setleriyle eğitilen NER modelleri burada başarısız olabilir. "García López, Juan Carlos" adında iki soyadı var, bir değil. İspanyol NER modelleri bununla başa çıkabilmelidir.
AEPD Çalışan İzleme Davaları
Davaların yüzde onsekizi çalışan izlemeyi kapsıyor. İspanya, Estatuto de los Trabajadores (İşçi Tüzüğü) çerçevesinde işveren kontrolünü sınırlıyor. Kurum bu sınırları GDPR ile birlikte uyguluyor.
Kurumun temel tutumları:
- Tuş kaydediciler: Gizli tuş kaydedici kullanımı çoğu durumda GDPR ihlalidir. Ekran görüntüsü araçları yazılı kanıt ve orantılılık testi gerektirir.
- GPS takibi: Net bildirimle iş araçlarında izin verilir. Kişisel araçlarda izin verilmez.
- E-posta denetimleri: Önceden yazılı bildirim ve politikayla izin verilir. İçerik incelemesi için ek kanıt gerekir.
- Yapay zeka izleme araçları: Çalışan davranışını izleyen her model DPIA gerektirir. EDPB kuralları da geçerlidir.
Otomatik izleme İspanya'nın veri koruma kurumunun en fazla denetlediği alandır.
AEPD Uyumlu Yapay Zeka Belgelendirmesi
Yapay zeka araçları kullanan İspanyol kuruluşlar için dört belge seti zorunludur.
1. Yapay zeka sistemi envanteri
İspanyol kişisel kayıtları işleyen her aracı listeleyin. Şunları not edin: sistem adı, satıcı, amaç, kayıt türleri, saklama süresi ve VKS durumu.
2. Sistem başına DPIA
Kurumun yayımladığı DPIA şablonunu kullanın. Şunları kapsayın:
- Amaç, yasal dayanak, kayıt türleri ve alıcılar
- Orantılılık testi
- Etkilenen kişiler için risk değerlendirmesi
- Risk kontrolleri: hem teknik hem prosedürel
- VKU notları (VKU gerektiğinde)
3. Teknik kontroller kaydı
Her araç için, yetkisiz erişimi engelleyen kontrolleri not edin:
- Gönderim öncesi filtreleme (model çalışmadan önce KKB kaldırma)
- Çıktılarda erişim kontrolleri
- Saklama sınırları ve bunların uygulanması
- İhlal tespit ve yanıt adımları
4. Çalışan izleme politikası
Herhangi bir araç çalışanları izliyorsa, yazılı politika ekleyin. Kapsamı belirtin, çalışanlara bildirim yapın, yasal dayanağı adlandırın ve orantılılık testini gösterin.
AEPD denetimleri envanter ve DPIA'lardan başlar. Bu dosyaları hazır bulunduran kuruluşlar denetimleri çok daha hızlı çözer. GDPR uyum rehberimiz belge kapsamını açıklıyor. Güvenlik uyum genel bakışımız teknik kontrolleri anlatıyor. İspanyol KKB tespiti için çok dilli KKB tespit rehberimize bakın.