+34 958 63 01 14 info@velascolawyers.com

I Spanien, er beskyttelse af personoplysninger at betragte, som et emne af meget stor betydning. Artikel 18.4 i den spanske grundlov af 1978 siger:

Loven vil begrænse brugen af informationsteknologi for at sikre ære, borgernes person- og familiemæssige fortroligheder samt deres fulde rettigheder.

Den første grundlæggende (organiske) lov, som specielt beskæftiger sig med databeskyttelse, dukker først op i 1992 med lov nr. 5/92 af 29 oktober. Denne lov blev senere ændret med organisk lov nr. 15/1999 af den 13 december. Senere blev nogle få af denne lovs paragraffer kendt forfatningsstridige ved Den Konstitutionelle Domstol med domkendelse nr. 292/2000. Den sidste ændring af loven er det kongelige dekret nr. 1720/2007. Dette er et kompliceret dokument udtrykt i 158 artikler.

I 1993 blev “Agencia Española de Protección de Datos” (det spanske enhed for databeskyttelse) oprettet med henblik på at kontrollere og håndhæve disse love i Spanien. Autonome enheder blev ligeledes oprettet såvel i Madrid, Katalonien og Baskerlandet.

Territorial anvendelsesområde

Med internationaliseringen af dataopbevaring, med ”Distributed hosting” og Cloud hosting” (lagring af data med et hjælpeprogram ydet over et netværk f.eks. internet) er det ikke altid klart, hvor dataerne rent fysisk befinder sig. Ikke desto mindre vil den spanske lovgivning gælde når:

  1. Opbevaring og behandling er iværksat, som en del af en aktivitet i en organisation, der opholder sig på spansk territorium.
  2. Den enhed, der er ansvarlig for behandlingen, ikke er bosat på spansk territorium men er underlagt spansk lovgivning i henhold til normer i international lov.
  3. Den enhed, der er ansvarlig for behandlingen, ikke er etableret i Den Europæske Unions område, men den bruger, opbevarer og behandler faciliteter beliggende på spansk territorium. Dette gælder ikke, hvis sådanne faciliteter udelukkende anvendes i forbindelse med transport.

Databeskyttelse er en alvorlig sag

Spanien er det land i EU med den højeste sats af klager vedrørende databeskyttelse. Det er også det land med de mest alvorlige bøder. F.eks. kan lette sanktioner spænde fra 60,01 euros til 6.101,21 euros, mens alvorligere sanktioner kan gå fra 6.101,21 euros til 30.506,05 euros. For meget alvorlige tilfælde kan sanktionerne variere fra 30.506,05 euros til 60.012,10 euros.

Uanset de strenge bøder, opfylder mange virksomheder i Spanien, især små virksomheder, stadig ikke eller kun delvist lovene om databeskyttelse.

En virksomhed har pligt til at informere folk

Når en virksomhed eller en organisation indsamler folks personlige data, er på en hjemmeside med en formular eller med en hvilken som helst anden metode til indsamling af data, har den pligt til at informere.

Før indsamlingen af personlige data skal virksomheden udtrykkeligt underrette personerne om:

  1. Eksistensen af en fil, der indsamler dennes data, formålet med at opbevare disse data og modtagerne af disse oplysninger.
  2. Den obligatoriske eller frivillige karakter af de oplysninger, der er givet.
  3. Konsekvenserne af at aflevere eller ikke aflevere dataerne.
  4. Rettighederne til at få adgang til, at rette, slette eller modsætte sig de lagrede oplysninger.
  5. Få oplyst indentititeten af den ansvarlige for behandling og lagring af data, eller dennes repræsentant.

I tilfælde af at personlige oplysninger er blevet indsamlet indirekte, er der pligt til at underrette personen indenfor 3 måneder fra den oprindelige datalagring.

Hvis oplysningerne er blevet indsamlet fra ”frit tilgængelig kilde” (f.eks. telefonbøger eller professionelle registre), og målet er reklame eller markedsanalyser, vil der være pligt til at oplyse personen om de 5 punkter ovenfor nævnt , ved enhver form for kommunikation.

Hjemmesider skal omfatte, nederst på enhver formular der indsamler følsomme personlige data, en fortrolighedserklæring (eller links til det) som forklarer de 5 punkter ovenfor nævnt.

Data med særlig beskyttelse

Ifølge den spanske forfatning, kan ingen være forpligtet til af levere oplysninger om sin ideologi, religion, fagforeningsmæssige tilhørsforhold, politiske partimedlemskab og overbevisning. Når der bedes om tilladelse til at levere disse data, er det obligatorisk at angive, at personen har ret til nægte et sådant samtykke. Personen skal give samtykke skriftligt.

Undtagelser fra skriftlige samtykke, men som dog stadig kræver samtykke, kan være filer opretholdt af politiske partier, fagforeninger, kirker, religiøse bekendelser eller ikke-profit-givende organisationer med en politisk, filosofisk, eller religiøs målsætning, hvad angår medlemmernes data.

Behandling af  data af administrative og strafferetslige overtrædelser, er udtrykkeligt forbudt. Kun kompetente offentlige myndigheder har ret til at lagre denne form for oplysninger.

Behandling af information om race, sundhed eller seksuelle præferencer vil være begrænset til medicinske organisationer til brug for deres arbejde og begrænset til brug for sundhedspersonale. Forståeligt nok, i tilfælde af akut lægehjælp vil patientens samtykke ikke være obligatorisk.

Datafortrolighed og kommunikation til tredje parter

Datafortrolighed er obligatorisk. Enhver overførsel af data til en tredje part, skal ikke kun have den enkeltes samtykke, men også en forklaring på, hvorfor denne overførsel er nødvendig. Den enkelte vil være i stand til at tilbagekalde tilladelsen til enhver tid.

Samtykke vil ikke være påkrævet i tilfælde af data indsamlet fra frit tilgængelige kilder.

Meddelse af personlige data til tredjemand, uden samtykke fra den registrede ejer, er en af de mest almindelige og alvorlige overtrædelser. Arten af overtrædelser kan være yderst forskellige. Eksempler på overtrædelser er salg af klient databaser til andre virksomheder eller links på hjemmesider, der minder om ”anbefal denne side til en ven”.

Dette sidste eksempel er kontroversiel, men viser, hvor vigtigt beskyttelsen af privatlivets fred er. Flere spanske hjemmesider blev dømt til bøder for disse typer links, da ”vennen” ville modtage en uopfordret markedsførings e-mail fra hjemmesiden. I praksis SPAM.

Overførsel af personlige oplysninger, indlejret i tredjeparts ”cookies” (cookies er tekstfiler, lagring af oplysninger i webbowser), til tredjepart er også reguleret, og dette vil blive behandlet i en særskilt artikel, da der er en ny EU forordning for dette.

Sikkerhedsforanstaltninger

Organisationer eller virksomheder, der indsamler personlige oplysninger, har en forpligtigelse til at beskytte data mod uautoriseret adgang eller uautoriseret ændring. I tilfælde af et brud på sikkerheden (f.eks. på en hjemmeside database) vil organisationen blive holdt ansvarlig for skader.

Afhængig af den type oplysninger der behandles, er der 3 niveauer af sikkerhed, som loven tager i betragtning:

  • Grundlæggende sikkerhed: for enhver information eller proces, der beskæftiger sig med personlige oplysninger.
  • Mellem sikkerhed: for enhver information om personlig finansielle oplysninger eller administrative og strafferetslige overtrædelser.
  • Høj sikkerhed: for data indsamlet, uden samtykke fra politiet, der er omfattet af en undersøgelse, data relateret til ideologi, religion, fagforeningsmæssige tilhørsforhold, politisk partimedlemsskab, tro, race og seksuel adfærd.

Loven beskriver detaljeret alle de sikkerhedsforanstaltninger, der skal tages i betragtning, men i de fleste tilfælde vil virksomhederne kun håndtere data i forbindelse med grundlæggende sikkerhed. I disse tilfælde, og uden at gå i detaljer, skal virksomhederne:

  • Udpege en person, der er ansvarlig for data, sikkerhed og privatlivets fred.
  • Sørge for, at medarbejderne handler ansvarligt og at de ved nøjagtigt, hvilke data de har tilladelse til at få indsigt i, i henhold til omfanget af deres funktioner, og ved hvordan man håndterer data.
  • Indføre et kontrolsystem, der forhindrer adgang fra uautoriserede personer.
  • Regelmæssig og sikker backup af data.

Disse er de generelle retningslinjer og ikke endelige opremsninger af loven. Alle spørgsmål om lovens anvendelser bør rettes til en spansk advokat. For yderligere oplysninger henvises til: artikler og publikationer