Over hele verden er virksomheder og enkeltpersoner nu almindeligt opmærksomme på GDPR. Det er en lovgivningsmæssig ramme for indsamling og anvendelse af personoplysninger om EU-borgere. Hvad der ofte er mindre værdsat, er den rolle, de enkelte medlemsstater spiller i forbindelse med databeskyttelse.
Det er her, det spanske AEPD kommer ind i billedet.
Nedenfor vil vi diskutere, hvad AEPD er, dets virkninger på virksomheder, og hvordan det relaterer sig til GDPR.
Hvad er AEPD?
Det spanske databeskyttelsesagentur, kendt som AEPD (Agencia Española de Protección de Datos), har til opgave at regulere databeskyttelse inden for de spanske grænser. Det sikrer, at indsamling, opbevaring og brug af personoplysninger udføres i overensstemmelse med spansk og EU-lovgivning. Desuden handler AEPD også for at informere spanske borgere om deres datarettigheder samt de måder, hvorpå AEPD kan hjælpe.
AEPD har hovedkvarter i Madrid og er et uafhængigt agentur under den spanske regering. Den blev oprettet den 26. marts 1999 inden for rammerne af artikel 18, stk. 4, i den spanske forfatning af 1978:
“Loven skal begrænse brugen af informatik for at beskytte spanske borgeres ære og personlige og familiemæssige privatliv samt den fulde udøvelse af deres rettigheder.”
Det er det ledende princip den dag i dag.
Hvad er de primære AEPD-ansvarsområder?
Selvom AEPD er et statsligt organ, nyder det “absolut uafhængighed af den offentlige administration.” Det betyder, at den har fuld autoritet over databeskyttelse i Spanien. Dens ansvarsområder omfatter:
- Bevidstgørelse om AEPD’s aktiviteter og retten til beskyttelse af personoplysninger
- Yde direkte hjælp som svar på forespørgsler fra spanske borgere
- Beskytte enkeltpersoners rettigheder til at få adgang til, rette, annullere og gøre indsigelse mod dataindsamling og -brug
- Register over registre over arkiver
- Inspektion af dataindsamling og administration af sanktioner.
- Samarbejde med internationale agenturer og autonome regioner inden for landet (herunder Catalonien, Baskerlandet og Madrid)
- Evaluer nye risici, herunder tendenser inden for personlige data på internettet, videoovervågning af arbejdsgivere, biometri, internetbrug og meget mere.
Hvad er de regionale spanske databeskyttelsesagenturer?
Ud over AEPD findes der den catalanske databeskyttelsesmyndighed og det baskiske databeskyttelsesagentur. Databeskyttelsesagenturet i Madrid-regionen eksisterede også fra 1995 til 2013.
Hvad gælder PDPA for?
Ligesom anden databeskyttelseslovgivning, såsom Storbritanniens og EU’s GDPR og Brasiliens LGPD, indeholder PDPA “ekstraterritoriale virkninger.” Det betyder, at organisationer, der ikke er baseret i Singapore, kan finde sig forpligtet til at overholde PDPA, hvis en organisation indsamler, bruger eller videregiver data i Singapore.
For eksempel, hvis en ikke-singaporeansk virksomhed – som Facebook – indsamler data fra singaporeanere online, så er den underlagt PDPA. Det vil også blive pålagt sanktioner, hvis det viser sig, at det ikke er i overensstemmelse med forordningen.
Hvordan forholder AEPD sig til EU?
I henhold til EU’s charter om grundlæggende rettigheder fastsættes det, at alle EU-borgere har ret til beskyttelse af deres personoplysninger. Med vedtagelsen af GDPR blev der indført yderligere databeskyttelse: den strengeste på verdensplan.
Oprindeligt blev AEPD oprettet for at beskytte personoplysninger i henhold til artikel 8, stk. 3, i EU’s charter om grundlæggende rettigheder. Før GDPR indeholdt det europæiske databeskyttelsesdirektiv standarder til at guide udarbejdelsen af lovgivning i hvert medlemsland. Dette ansvar blev derefter indordnet i EU med GDPR.
Denne lovgivning fungerer i overensstemmelse med Det Europæiske Databeskyttelsesråd (EDPB). Det er et uafhængigt europæisk organ, der er oprettet for at sikre en ensartet anvendelse af databeskyttelsesreglerne i hele EU.
Det skyldes, at mens EU udvikler GDPR og analyserer tendenser inden for databeskyttelse, er det i sidste ende ikke i stand til at håndhæve loven. Medlemsstaterne modtager generel vejledning fra Det Europæiske Databeskyttelsesråd om nøglebegreber i den generelle forordning om databeskyttelse og retningslinjerne for retshåndhævelse. Det Europæiske Databeskyttelsesråd består af repræsentanter fra de nationale databeskyttelsesmyndigheder i EU’s medlemsstater, herunder AEPD.
For eksempel udsendte AEPD for nylig en opdateret vejledning vedrørende cookies, efter at EDPB offentliggjorde nye retningslinjer.
Bemærkelsesværdige tilfælde af AEPD
Den mest bemærkelsesværdige sag, som AEPD har anlagt, omtales almindeligvis som Google mod Spanien. Selvom det faktiske navn er Google Spain v. AEPD & Mario Costeja.
Baggrunden: En spansk avis offentliggjorde to meddelelser om tvangssalg af ejendomme, der opstod som følge af social gæld. Mario Costeja González, en ejer af en af de ejendomme, der er nævnt i meddelelserne, kontaktede avisen og bad om at få hans navn fjernet. Avisen nægtede, da historien siden var blevet offentliggjort af det spanske arbejds- og socialministerium. Costeja kontaktede derefter Google og anmodede om sletning af meddelelseslinkene. Google Spanien modsatte sig deres fjernelse, hvilket førte til, at Costeja og AEPD anlagde sag mod Google Spanien.
Sagen menes i vid udstrækning at dreje sig om “retten til at blive glemt”. Dette er dog forkert.
I dommen gav retten ikke en sådan ret eksplicit. Søgemaskinerne var snarere forpligtet til at fjerne søgeresultater, hvor de “ser ud til at være utilstrækkelige, irrelevante eller ikke længere relevante eller overdrevne i lyset af den tid, der var gået.”
Ikke desto mindre var dette en af de grundlæggende grunde til, at retten til at blive glemt blev foreslået inkluderet i GDPR. Før den blev ændret til sletning under specifikke omstændigheder, i henhold til den spanske dommers afgørelse.
Konklusion
AEPD er det officielle databeskyttelsesagentur under den spanske regering. Som alle medlemsstater er det den nationale myndighed, der er ansvarlig for at vedtage GDPR og andre relevante love. Den har dog også yderligere beføjelser i henhold til den spanske forfatning og spansk lovgivning til at informere spanske borgere om deres databeskyttelsesrettigheder.
Antag, at du er en virksomhed, der overtræder GDPR i forhold til en spansk statsborger. I så fald er det sandsynligvis AEPD, der håndterer din sag. Derfor, hvis du er en spanskvendt virksomhed, er det vigtigt at være opmærksom på det grundlæggende i, hvem og hvad AEPD er.
Forhåbentlig har du nu den forståelse efter at have læst denne artikel.
For yderligere information henvises til AEPD webwebsted.
Kilder:
https://www.aepd.es/es
https://en.wikipedia.org/wiki/Google_Spain_v_AEPD_and_Mario_Costeja_Gonz%C3%A1lez
https://en.wikipedia.org/wiki/Spanish_Data_Protection_Agency
https://inplp.com/latest-news/article/the-spanish-data-protection-authority-aepd-publishes-its-annual-report-summarizing-last-years-activities-including-enforcement-cases/
https://medium.com/golden-data/google-v-spain-the-right-to-be-forgotten-aaee50dae43c
https://www.linklaters.com/en/insights/data-protected/data-protected—spain
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en