AEPD Іспанія: правила ШІ та обробки даних працівників
Оновлено у 2026 році
AEPD: лідер ЄС за кількістю справ
AEPD (Agencia Española de Protección de Datos) — іспанський регулятор у сфері конфіденційності. У 2023 році він видав 847 штрафів. Жоден інший орган ЄС не наблизився до цього показника. Загальні санкції за той рік перевищили €12 млн.
Агентство працює інакше, ніж більшість органів ЄС. Воно зосереджується не лише на великих штрафах. Воно також перевіряє малі підприємства, муніципальні ради та компанії середнього розміру. Це поширює тиск на всю іспанську економіку.
Основні напрями правозастосування у 2024 році:
- Відеоспостереження та біометричний контроль (29% справ)
- Маркетинг та небажані контакти (24% справ)
- Моніторинг персоналу та кадрові файли (18% справ)
- Системи ШІ та автоматизовані рішення (15% справ — зростання)
- Медичні та спеціальні категорії даних (14% справ)
Правило AEPD щодо DPIA для ШІ
«Guía de adecuación al RGPD de tratamientos con IA» регулятора 2024 року встановлює одне чітке правило. Будь-який інструмент ШІ, що обробляє персональні дані, потребує DPIA (оцінки впливу на захист даних).
Стаття 35 GDPR вимагає проведення DPIA, коли обробка становить підвищений ризик. Це контекстний тест. Іспанський орган дотримується суворішого підходу. Його керівництво стверджує, що будь-який інструмент машинного навчання, що торкається персональних даних, автоматично вимагає DPIA — без попередньої оцінки ризику у кожному конкретному випадку.
Іспанські організації повинні провести та задокументувати DPIA для:
- Чат-ботів для обслуговування клієнтів
- Інструментів скринінгу при наймі
- Маркетингових інструментів
- Моделей обробки тексту (включаючи інструменти анонімізації)
- Будь-якого інструменту ШІ, що обробляє дані персоналу або клієнтів
Кожен інструмент, що використовується в Іспанії, потребує власного файлу DPIA. Це стосується навіть інструментів із, здавалося б, низьким ризиком.
Стандарти анонімізації AEPD
Керівництво агентства з анонімізації ґрунтується на роботі CNIL. Воно додає специфічні для Іспанії правила щодо національних ідентифікаторів:
Іспанські типи ідентифікаторів:
- DNI (Documento Nacional de Identidad): 8-значний номер плюс контрольна літера
- NIE (Número de Identificación de Extranjero): Літера + 7 цифр + літера, для іноземних громадян
- NIF (Número de Identificación Fiscal): Той самий формат, що й DNI, використовується для оподаткування
- Número de Seguridad Social: Іспанський номер соціального страхування
Орган зазначає, що моделі NER часто пропускають номери NIE. Іспанія має велику іммігрантську спільноту. Переконайтеся, що ваші інструменти можуть виявляти NIE під час обробки файлів від нерезидентів Іспанії.
Іспанські шаблони імен:
Іспанське іменування використовує дві прізвища (apellidos compuestos). Моделі NER, навчені на наборах даних з однією прізвищем, можуть давати збої. Ім'я «García López, Juan Carlos» має два прізвища, а не одне. Іспанські моделі NER повинні правильно обробляти таку структуру.
Справи AEPD щодо моніторингу працівників
Вісімнадцять відсотків справ стосуються моніторингу персоналу. Іспанія обмежує контроль роботодавців відповідно до Estatuto de los Trabajadores (Трудового кодексу). Регулятор застосовує ці обмеження паралельно з GDPR.
Основні позиції органу:
- Кейлогери: Прихований кейлогінг у більшості випадків є порушенням GDPR. Інструменти скриншотів потребують письмового обґрунтування та перевірки на пропорційність.
- GPS-відстеження: Дозволено на робочих транспортних засобах за умови попереднього повідомлення персоналу. Заборонено на особистих транспортних засобах.
- Перевірка електронної пошти: Дозволено за наявності попереднього письмового повідомлення та внутрішньої політики. Для перегляду вмісту потрібне додаткове обґрунтування.
- Інструменти ШІ для відстеження: Будь-яка модель, що відстежує поведінку персоналу, потребує DPIA. Застосовуються також правила EDPB.
Автоматизований моніторинг привертає найбільшу увагу іспанського DPA.
Документація щодо ШІ, що відповідає вимогам AEPD
Для іспанських організацій, що використовують інструменти ШІ, потрібні чотири пакети документів.
1. Реєстр систем ШІ
Перечисліть кожен інструмент, що обробляє іспанські персональні дані. Вкажіть: назву системи, вендора, мету, типи даних, строки зберігання та статус DPA.
2. DPIA для кожної системи
Використовуйте опублікований агентством шаблон DPIA. Охоплюйте:
- Мету, правову підставу, типи даних та отримувачів
- Тест на пропорційність
- Оцінку ризиків для осіб, яких це стосується
- Засоби контролю ризиків: технічні та процесні
- Примітки DPO (де це необхідно)
3. Запис технічних засобів контролю
Для кожного інструменту вкажіть засоби контролю, що запобігають несанкціонованому доступу:
- Попередня фільтрація (видалення PII до запуску моделі)
- Засоби контролю доступу до виводу
- Строки зберігання та їх дотримання
- Кроки виявлення порушень та реагування
4. Політика моніторингу персоналу
Якщо будь-який інструмент контролює персонал, додайте письмову політику. Вкажіть сферу застосування, повідомте персонал, назвіть правову підставу та покажіть тест на пропорційність.
Аудити AEPD починаються з реєстру та DPIA. Організації, що мають ці файли готовими, вирішують аудити значно швидше. Наш посібник із відповідності GDPR охоплює обсяг документації. Наш огляд відповідності вимогам безпеки пояснює технічні засоби контролю. Для виявлення PII іспанською мовою дивіться наш посібник з багатомовного виявлення PII.