GDPR w Hiszpanii

Prowadzisz działalność? Sprawdź czy spełniasz GDPR w Hiszpanii

GDPR w Hiszpanii

Od wprowadzenia GDPR we wszystkich krajach UE minęło już trochę czasu a to oznacza iż każda działalność gospodarcza, która zbiera jakiekolwiek dane o swoim kliencie musi odpowiednio zarządzać tymi danymi. Jeżeli tego nie robi, czeka je ogromna odpowiedzialność finansowa. Przeczytaj aby poznać wymogi GDPR w Hiszpanii i sprawdzić czy je spełniasz.

Zgodność z GDPR wpływa na Twoją firmę na wiele sposobów. O ile nie podjąłeś już kroków w celu zapewnienia, aby dane które przetwarzane są na Twojej witrynie internetowej, sklepie online, systemie CRM oraz platformach, które wykorzystujesz to powinieneś to zrobić już teraz. Z artykułu dowiesz się czy spełniasz te wymogi oraz jakie podstawy prawne obligują cię do wypełnienia tych obowiązków

Pierwszym krokiem do zachowania zgodności z GDPR jest komunikacja z klientami i użytkownikami – zbieranie zgody na otrzymywanie wiadomości e-mail oraz aktualizacja polityki prywatności i warunków świadczenia usług. Ponadto edukacja w jaki sposób wykorzystywane są ich informacje oraz kiedy i jeśli dane zostaną przesłane, to że będą one chronione (w jaki sposób także). Utworzenie przejrzystego komunikatu o sposobie wykorzystania danych klientów buduje uczciwość firmy i podkreśla twoje zaangażowanie w przestrzeganie GDPR.

Co to jest GDPR i od kiedy weszła w życie.

General Data Protection Regulation (Ogólne rozporządzenie o ochronie danych (RODO)) to ramy prawne, które określają wytyczne dotyczące gromadzenia i przetwarzania danych osobowych od osób mieszkających na terenie Unii Europejskiej (UE). Ponieważ rozporządzenie ma zastosowanie bez względu na to, gdzie znajdują się strony internetowe, należy je uwzględnić we wszystkich witrynach, które przyciągają europejskich odwiedzających, nawet jeśli nie sprzedają towarów ani usług mieszkańcom UE.

6 grudnia 2018 r. Dziennik Urzędowy Hiszpanii opublikował ustawę organiczną 3/2018 z 5 grudnia w sprawie ochrony danych osobowych i gwarancji praw cyfrowych. Data publikacji ustawy jest znacząca, ponieważ Dzień Konstytucji oznacza rocznicę referendum, które odbyło się w Hiszpanii 6 grudnia 1978 roku.

Istnieje pięć kluczowych kwestii: definicja prawna, prawa osób, których dane dotyczą, inspektor ochrony danych, przetwarzanie danych osobowych oraz prawa cyfrowe w dziedzinie pracy.

Definicja prawna

Zgodnie z art. 1 prawo to ma spełniać dwa zadania. Po pierwsze, dostosować hiszpański system prawny do ogólnego rozporządzenia o ochronie danych osobowych i określić specyfikacje lub ograniczenia jego zasad, jak wyjaśniono w rozporządzeniu w sprawie GDPR.

Prawo stanowi, że nasze podstawowe prawo do ochrony danych osobowych osób fizycznych, zgodnie z art. 18 ust. 4 hiszpańskiej konstytucji, będzie rozpatrywane w ramach rozporządzenia o ochronie danych osobowych zawartej w tej ustawie

Po drugie, prawo ma gwarantować wszelkie prawa cyfrowe obywateli i pracowników zatrudnionych na terenie Hiszpanii, a które wykraczają poza zakres postanowień GDPR. Na przykład ustawa zawiera przepisy dotyczące prawa do dostępu do Internetu, prawa do edukacji cyfrowej, prawa do korekty danych osobowych w Internecie oraz prawa do odłączenia od internetu w miejscu pracy.

Ustawa weszła w życie 7 grudnia 2018 r. dzień po jej opublikowaniu w Dzienniku ustawowym.

Ustawa organiczna 15/1999 z 13 grudnia o ochronie danych osobowych została uchylona, ​​z wyjątkiem kilku artykułów związanych z przetwarzaniem danych osobowych na potrzeby działań policji i sądownictwa do czasu przyjęcia dyrektywy (UE) 2016 / 680 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. W sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania lub ścigania, a także wykonywania kary, jak i również swobodny przepływ takich danych oraz uchylająca decyzję ramową Rady 2008/977 / WSiSW. (artykuł dostępny w języku polskim)

Również królewski dekret z mocą ustawy 5/2018 z 27 lipca w sprawie pilnych środków dostosowania prawa hiszpańskiego do przepisów Unii Europejskiej dotyczących ochrony danych zostaje uchylony wraz z wszelkimi regulacjami, które są sprzeczne lub niezgodne z rozporządzeniem o ochronie danych osobowych.

Specyfikacja prawna podmiotu danych

Prawo zawiera pewne specyfikacje dotyczące praw osób, których dane dotyczą.

Artykuł 12.1 ustawy stanowi, że prawa podmiotu danych mogą być wykonywane osobiście lub za pośrednictwem przedstawiciela. Artykuł 12 ust. 3 ustawy stanowi, że podmiot przetwarzający dane może uczestniczyć w imieniu administratora w każdym wniosku o skorzystanie z praw podmiotu danych, jeżeli jest to przewidziane w umowie lub innym wiążącym go instrumencie prawnym.

W odniesieniu do prawa dostępu i rozważenia art. 12 ust. 5 rozporządzenia w sprawie GDPR w Hiszpanii, prawo określa, że na ​​wniosek osoby, której dane dotyczą, powinny one zostać usunięte jeżeli nie są wykorzystywane „więcej niż raz w ciągu sześciu miesięcy, chyba że istnieje uzasadniony powód do ich składowania. ”

A art. 15 ust. 2 tej ustawy stanowi również, że „gdy zniesienie wynika z wykonywania prawa do sprzeciwu zgodnie z art. 21 ust. 2 rozporządzenia (UE) 2016/679, administrator danych może zachować niezbędne dane identyfikacyjne poszkodowanego w celu uniemożliwienia przyszłego przetwarzania do celów marketingu bezpośredniego. ”

I wreszcie, art. 12 ust. 6 ustawy stanowi, że „posiadacze władzy rodzicielskiej mogą wykonywać w imieniu nieletnich prawo dostępu, sprostowania, zniesienia, sprzeciwu lub wszelkich innych praw, które mogą mieć zastosowanie w kontekście tej ustawy”.  Definisja„inne prawa” obejmuje prawa cyfrowe, nawet poza definicją ochrony danych osobowych.

Inspektorzy danych osobowych

Zgodnie z art. 37 ust. 4 rozporządzenia w sprawie GDPR w Hiszpanii prawo określa i wyjaśnia inne przypadki niż przewidziane w ust. 1, w których wyznaczenie inspektora ochrony danych jest obowiązkowe. Są wśród nich: stowarzyszenia adwokackie i ich ogólne rady; uniwersytety publiczne i prywatne; dostawcy usług społeczeństwa informacyjnego przy opracowywaniu profili użytkowników usług na dużą skalę; oraz operatorów gier sportowych, którzy rozwijają działalność za pośrednictwem elektronicznych, komputerowych, telematycznych i interaktywnych kanałów przy spełnieniu zasad ustawy dotyczącej przetwarzania danych osobowych osób nieletnich. W związku z tym prawo obejmuje przypadki, które wymagają wyznaczenia inspektora ochrony danych w oparciu o ryzyko związane z ochroną danych, biorąc pod uwagę takie czynniki, jak przetwarzanie na dużą skalę, profilowanie lub przetwarzanie danych osobowych nieletnich.

Prawo obejmuje również dodatkową funkcję dla inspektora ochrony danych. Ta dodatkowa funkcja polega na tym, że inspektor ochrony danych może interweniować w przypadku skargi przeciwko administratorowi lub podmiotowi przetwarzającemu. W takim przypadku, przed złożeniem skargi do organu nadzoru, inspektor ochrony danych, po ich wyznaczeniu, może interweniować i przekazać skarżącemu decyzję organizacji w ciągu dwóch miesięcy od otrzymania takiej skargi.

Hiszpański organ ochrony danych lub odpowiedni organ autonomiczny (w Katalonii, Kraju basków lub Andaluzji) również można przekazać skargę do inspektora ochrony danych. Inspektor ma miesiąc na odpowiedź na skargę.

Prawo stanowi również, że inspektor ochrony danych jak określono w art. 36 ust. 2 nie może być zwolniony lub penalizowany za wykonywanie swoich zadań, „chyba że popełni oszustwo lub rażące zaniedbanie w swoim postępowaniu”.

Kontrowersje

Pierwsze dni obowiązywania prawa naznaczone były wieloma kontrowersjami. Podczas procedury parlamentarnej wprowadzono ostateczne rozporządzenie w sprawie zmiany ustawy organicznej dotyczącej reżimu wyborczego. Zgodnie ze zmienionym rozporządzeniem, partie polityczne, koalicje i grupy wyborcze mogą wykorzystywać dane osobowe uzyskane ze stron internetowych i innych źródeł publicznego dostępu do prowadzenia działalności politycznej w okresie wyborczym.

Pojawiły się pewne obawy, ponieważ rozumiano je jako możliwość przetwarzania danych osobowych przez partie polityczne do celów profilowania na podstawie historii przeglądania Internetu przez osoby prywatne i ich aktywności w sieciach społecznościowych.

Hiszpański Inspektor Danych Osobowych, 19 grudnia 2018 r., Opublikował raport wyjaśniający, że partiom politycznym nie wolno opracowywać profili na podstawie opinii politycznych. W szczególności hiszpański organ ochrony danych stwierdza, że ​​partie polityczne, koalicje i grupy wyborcze mogą przetwarzać tylko opinie polityczne, gdy zostały one swobodnie wyrażone przez ludzi w ramach korzystania z prawa do wolności wypowiedzi i wolności ideologicznej. Ponadto hiszpański organ ochrony danych uważa, że ​​zmienione rozporządzenie nie obejmuje stosowania technologii dużych zbiorów danych lub sztucznej inteligencji do wnioskowania o politycznej ideologii danej osoby, ponieważ oznaczałoby to naruszenie ich podstawowego prawa – wskazywania swojej ideologii.

Prawa cyfrowe w pracy

Poza ochroną danych, ustawa uwzględnia rozdział dotyczący gwarancji praw cyfrowych. Kilka artykułów odnosi się do ochrony prywatności w dziedzinie pracy, takich jak prawo do prywatności i korzystania z urządzeń cyfrowych w miejscu pracy (art. 87), prawo do cyfrowego odłączenia w miejscu pracy (art. 87), prawo do prywatności wobec wykorzystanie urządzeń do nadzoru wideo i rejestracji dźwięku w miejscu pracy (art. 89), prawo do prywatności w odniesieniu do korzystania z systemów geo-lokalizacyjnych w miejscu pracy (art. 90) lub prawa cyfrowe w negocjacjach zbiorowych (art. 91).

W każdym przypadku należy uwzględnić prywatność przy podejmowaniu jakichkolwiek środków w miejscu pracy. Na przykład w art. 86 ust. 2 stwierdza się, że pracodawca może mieć dostęp do treści wynikających z korzystania z urządzeń cyfrowych udostępnianych pracownikom jedynie w celu kontrolowania zgodności z obowiązkami pracowniczymi lub ustawowymi i zapewnienia integralności tych urządzeń. A prawo do odłączenia cyfrowego ma na celu zagwarantowanie, poza legalnym lub umownym czasem pracy, poszanowania czasu odpoczynku pracownika i wakacji, a także ich życia prywatnego i rodzinnego.

Czy już wiesz czy spełniasz wymogi GDPR w Hiszpanii?

Jednym z wysiłków, które musisz podjąć w celu osiągnięcia zgodności, jest zmiana sposobu przechowywania osobistych danych elektronicznych. Ponieważ każdy mieszkaniec UE może zażądać usunięcia swoich danych, wszystkie dane osobowe związane z jedną osobą muszą być łatwo dostępne w pełnej, dokładnej i przenośnej formie. Ponadto, ponieważ osoby muszą być powiadamiane w przypadku niektórych sytuacji wysokiego ryzyka, a urzędnicy muszą być powiadamiani w przypadku naruszenia, ważne będzie wprowadzenie protokołów odpowiednich do tych sytuacji. Wiele innych szczegółowych wymagań może dotyczyć Twojej firmy, dlatego ważne jest, aby uzyskać pomoc prawną, jeśli potrzebujesz pomocy zapewniającej pełną i odpowiednią zgodność.

Jednym z największych i najbardziej wrażliwych na czas problemów związanych z GDPR jest naruszenie danych. Surowa reguła 72-godzinnego powiadomienia o naruszeniu GDPR nakazuje administratorowi danych firmy (osobie, która „określa cele i sposoby przetwarzania danych osobowych”) zgłaszanie wszelkich zdarzeń, w których dane są nie tylko skradzione, ale zmieniane, zagubione lub przypadkowo ujawnione w ciągu 72 godzin od wykrycia.

Co oznacza GDPR dla małych firm

Firmy zatrudniające ponad 250 pracowników muszą spełniać wymogi GDPR i wyznaczyć inspektora ochrony danych (DPO), eksperta w zakresie prawa i procedur ochrony danych. Mniejsze firmy poniżej 250 pracowników są zobowiązane do przestrzegania GDPR, jeśli regularnie przetwarzają dane osobowe lub wrażliwe dane – wynajem wakacyjny, sklep internetowy.

W przypadku małych firm, które mogą w dużym stopniu polegać na tworzeniu sieci (zarówno osobiście, jak i za pośrednictwem kanałów cyfrowych), może to oznaczać więcej pracy w celu nie tylko rozwoju firmy, ale także zgodności z GDPR. Zgodnie z GDPR, pobieranie danych kontaktowych z wizytówki lub danych kontaktowych połączenia LinkedIn i dodawanie ich do listy kontaktów bez jego bezpośredniej zgody jest nielegalne. Należy pamiętać że otrzymywanie czyichś danych kontaktowych nie oznacza automatycznej zgody.

Ponieważ niezgodność z GDPR w Hiszpanii może prowadzić do wysokich grzywien i kar, konieczne jest wyznaczenie administratora danych, który będzie w stanie wykazać się wiedzą i procesami dotyczącymi zgodności z GDPR. Obejmuje to zasady ochrony danych i sposób postępowania zgodnie z kodeksem postępowania GDPR. Administratorem danych może być wyznaczony pracownik firmy lub osoba zatrudniona na podstawie umowy. Administrator musi upewnić się, że zasady są przestrzegane przez cały cykl życia danych, w tym są zgodne z prawem, wykorzystywane uczciwie i zachowują przejrzystość. Ważnym jest też minimalizacja danych (nie zbieramy danych, których nie potrzebujemy), ich ograniczenie przechowywania, integralność oraz pełna poufność danych osobowych.

Kary finansowe

Minimalna kara finansowa:

Do 10 mln EUR lub 2% światowego rocznego dochodu z poprzedniego roku budżetowego, w zależności od tego, która wartość jest wyższa, w przypadku naruszenia:

  • Zasad administratora i podmiotu przetwarzającego zgodnie z art. 8, 11, 25-39, 42, 43
  • Zasad związanych z jednostkami certyfikującymi zgodnie z art. 42, 43
  • Zasad związanych z organem monitorującym dane zgodnie z art. 41 ust. 4

Maksymalna kara finansowa:

Do 20 mln EUR lub 4% światowego rocznego dochodu z poprzedniego roku budżetowego, w zależności od tego, która wartość jest wyższa, w przypadku naruszenia:

  • Podstawowych zasad przetwarzania danych, w tym warunki zgody, zgodnie z art. 5, 6, 7 i 9
  • Pogwałcenia prawa osób, których dane dotyczą, na mocy art. 12–22
  • Przekazywanie danych osobowych do krajów innych lub organizacji międzynarodowych na podstawie art. 44–49
  • Wszelkie zobowiązania wynikające z prawa państwa członkowskiego przyjęte na podstawie rozdziału IX
  • Każda niezgodność z nakazem organu nadzorczego (83,6)

Podsumowanie GDPR w Hiszpanii

GDPR zmienia sposób, w jaki firmy pozyskują i chronią dane użytkowników. W przypadku małych firm przetwarzających dane zgodność jest w zasięgu ręki. Zrozumienie GDPR, budowanie zaufania użytkowników danych i świadomości korzystania z nich oraz dokonywanie ustaleń prawnych w celu ochrony tych danych jest niezbędne w tym procesie. Pamiętaj, że niezależnie od rodzaju prowadzonej działalności gospodarczej oraz ich usług, które oferujesz osobom zamieszkałym na terenie UE musisz spełniać te wymogi. Może to być strona internetowa z systemem rezerwacji apartamentu, sklep internetowy, landing page z integrowanym system zbierania danych.

Podane tutaj informacje nie stanowią porady prawnej i nie mają na celu zastąpienia porady doradcy w jakiejkolwiek konkretnej sprawie. W celu uzyskania porady prawnej należy skonsultować się z adwokatem lub doradcą w sprawie konkretnej sytuacji.

Zajrzyj na nasz profil 🙂

A na zakończenie

Napisz do nas wiadomość, zostaw tutaj komentarz albo odwiedź nas na:

FORMULARZ KONTAKTOWY





[Pola wymagane]

Zostaw swój komentarz