anonym.legal
Bloga DönGDPR & Uyumluluk

AEPD İspanya: İspanya'nın DPA'sının Diğer AB Otoritelerinin Talep Etmediği Şeyler — AI Değerlendirmeleri ve Çalışan İzleme

AEPD, 2023 yılında 847 yaptırım kararı verdi — bu, sayı olarak AB'deki en yüksek rakam — ve kişisel verileri işleyen tüm AI sistemleri için DPIA'lar talep ediyor. İşte teknik uygulama.

March 7, 20267 dk okuma
AEPD SpainSpanish GDPRAI DPIA Spainemployee monitoringSpanish data protection

AEPD'nin Hacim Olarak AB'nin En Aktif Uygulayıcısı

İspanya'nın Agencia Española de Protección de Datos (AEPD), uygulama eylemleri sayısı bakımından AB'nin en aktif DPA'sıdır ve 2023 yılında 847 yaptırım kararı vermiştir — bu, diğer tüm AB DPA'larının toplamından daha fazladır. 2023 yılında AEPD'nin toplam para cezaları bu kararlar kapsamında 12 milyon €'yu aşmıştır.

Yüksek hacim, AEPD'nin uygulama yaklaşımını yansıtmaktadır: büyük şirketlere karşı tarihi para cezalarına odaklanan DPA'ların aksine, AEPD, KOBİ'ler, belediye hükümetleri ve bireysel kuruluşlara karşı önemli sayıda daha küçük para cezası vermekte, bu da İspanyol ekonomisi genelinde geniş bir uyum baskısı yaratmaktadır.

AEPD'nin 2024 yılı uygulama odak alanları:

  • Video gözetimi ve biyometrik veriler (vakaların %29'u)
  • Pazarlama ve istenmeyen iletişimler (vakaların %24'ü)
  • Çalışan izleme ve İK verileri (vakaların %18'i)
  • AI sistemleri ve otomatik karar verme (vakaların %15'i — yıllık artış gösteriyor)
  • Sağlık hizmetleri ve özel kategori verileri (vakaların %14'ü)

AEPD'nin Benzersiz AI DPIA Gereksinimi

AEPD'nin 2024 yılı için hazırladığı "Guía de adecuación al RGPD de tratamientos con IA" (AI İşlemleri için GDPR Uyum Rehberi), GDPR temel gereksinimlerini aşan önemli bir gereksinim içermektedir: AEPD, kişisel verileri işleyen herhangi bir AI sistemi için Veri Koruma Etki Değerlendirmesi (DPIA) talep etmektedir.

GDPR Madde 35 uyarınca, DPIA'lar, veri sahiplerinin hakları ve özgürlükleri için "yüksek risk oluşturma olasılığı" taşıyan işlemler için gereklidir — bu, bağlamsal bir değerlendirmedir. AEPD'nin rehberi daha kategorik bir yaklaşım benimsemektedir: kişisel verileri işleyen herhangi bir AI sistemi, DPIA gereksinimini tetikler.

Bu, İspanyol kuruluşlarının aşağıdakiler için DPIA'lar gerçekleştirmesi ve belgelemesi gerektiği anlamına gelir:

  • Müşteri hizmetleri chatbotları
  • İK işe alım tarama araçları
  • Pazarlama kişiselleştirme algoritmaları
  • Belge işleme AI (anonymizasyon AI dahil)
  • Çalışan veya müşteri verilerini işleyen herhangi bir AI aracı

Pratik sonuç: İspanya'da AI araçları kullanan kuruluşlar, her araç için DPIA belgelendirmesine sahip olmalıdır, bu araç yaygın olarak kullanılsa ve kuruluş tarafından düşük riskli olarak kabul edilse bile.

AEPD'nin Teknik Anonimleştirme Standartları

AEPD'nin anonimleştirme rehberi, CNIL'in "Guide pratique de l'anonymisation" kılavuzundan etkilenmiştir ancak İspanya'ya özgü gereksinimler eklemektedir:

İspanyol ulusal tanımlayıcıları:

  • DNI (Documento Nacional de Identidad): 8 haneli numara + harf kontrol rakamı
  • NIE (Número de Identificación de Extranjero): Harf + 7 rakam + harf, yabancı uyruklular için
  • NIF (Número de Identificación Fiscal): Vergi amaçları için DNI'ye eşdeğer
  • Número de Seguridad Social: Sosyal Güvenlik numarası formatı

AEPD'nin rehberi, İspanyol NER modellerinin sıklıkla NIE numaralarını atladığını belirtmektedir; bu, İspanya'nın önemli göçmen nüfusunda yaygındır. İspanya'da İspanyol olmayanların verilerini işleyen kuruluşlar, NIE tespit yeteneğini doğrulamak zorundadır.

İspanyol'a özgü bağlam: AEPD rehberi, İspanyol isimlerinin özel zorluğunu ele almaktadır — iki soyadlı isimlendirme geleneği (apellidos compuestos), esas olarak tek soyadlı isimlendirme geleneklerine göre eğitilmiş NER modelleri için isim tespit zorlukları yaratmaktadır. İspanyolca NER, "García López, Juan Carlos" gibi isimleri ele almalıdır — burada hem "García" hem de "López" soyadlarıdır, birleşik bir soyadı + verilen isim değildir.

AEPD'nin Çalışan İzleme Uygulaması

AEPD'nin çalışan izlemeyi içeren vakalarının %18'i, İspanya'nın işveren gözetimi üzerindeki kısıtlamaların aktif bir şekilde uygulanmasını yansıtmaktadır. İspanyol İşçi Yasası (Estatuto de los Trabajadores), işveren izleme haklarını sınırlandırmakta ve AEPD, bu sınırlamaları GDPR ile birlikte uygulamada agresif olmuştur.

Çalışan izleme ile ilgili AEPD'nin önemli kararları:

  • Klavye kaydediciler ve ekran görüntüsü izleme: AEPD, gizli klavye kaydedici kurulumunu çoğu bağlamda GDPR ihlali olarak değerlendirmektedir; şeffaf ekran görüntüsü izleme, belgelenmiş bir gerekçe ve orantılılık değerlendirmesi gerektirmektedir.
  • GPS izleme: Şeffaf bildirim ile iş araçları için izinlidir; kişisel araçlar için yasaktır.
  • E-posta izleme: Önceden bildirim ve belgelenmiş politika ile izinlidir; içerik analizi ek gerekçe gerektirmektedir.
  • AI performans izleme: Çalışan performansını davranış analizi yoluyla değerlendiren AI sistemleri, açık DPIA ve EDPB rehberliği uyumu gerektirmektedir.

Çalışan davranışını izleyen veya analiz eden AI araçlarını kullanan kuruluşlar (verimlilik analitiği, iletişim izleme ve katılım takibi dahil) belirli AEPD denetimleriyle karşılaşmaktadır.

AEPD Uyumlu AI Belgelendirmesi Oluşturma

AI araçlarını uygulayan İspanyol kuruluşları için, AEPD uyumlu belgelendirme yığını:

1. AI Sistem Envanteri: İspanyol kişisel verilerini işleyen tüm AI sistemlerini belgeleyin: sistem adı, satıcı, amaç, işlenen veri kategorileri, saklama süresi, DPA durumu.

2. Her AI sistemi için DPIA: AEPD'nin basitleştirilmiş DPIA şablonunu takip ederek (AEPD'nin web sitesinde mevcuttur):

  • İşlemenin tanımı: amaç, hukuki dayanak, veri kategorileri, alıcılar
  • Gereklilik ve orantılılık değerlendirmesi
  • Risk değerlendirmesi: veri sahiplerine yönelik riskler
  • Risk azaltma önlemleri: teknik ve organizasyonel kontroller
  • DPO danışma kaydı (DPO gerekiyorsa)

3. Teknik kontroller belgelendirmesi: Her AI sistemi için, yetkisiz kişisel veri erişimini önleyen teknik önlemleri belgeleyin:

  • Ön başvuru filtreleme (PII tespiti + AI işlemden önce kaldırma)
  • İşlenen veriler üzerindeki erişim kontrolleri
  • Saklama zorunluluğu
  • İhlal tespiti ve yanıt

4. Çalışan izleme politikası: Herhangi bir AI sistemi çalışanları izliyorsa: izleme kapsamını, çalışanlara bildirim, hukuki dayanak ve orantılılık değerlendirmesini belgeleyen yazılı bir politika.

AEPD denetimleri genellikle önce AI sistem envanteri ve DPIA'ları talep eder. Önceden mevcut belgeleri olan kuruluşlar, reaktif olarak değerlendirme yapanlardan çok daha hızlı bir şekilde denetimleri çözmektedir.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Uyumluluk

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle