+34 958 63 01 14 info@velascolawyers.com

I Spanien betraktas skydd av personuppgifter som ett ämne av yttersta vikt. Artikel 18.4 i den spanska konstitutionen från 1978 säger:

Lagen kommer att begränsa användningen av informationsteknik för att garantera ära, personlig- och familjeintegritet hos medborgarna och alla deras rättigheter.

Den första organiska lagen som uttryckligen handlade om personskydd kom först  1992 med lag nr 5/92 den 29:e oktober. Denna lag förbättrades senare genom den organiska lagen 15/1999 från den 13:e december. Senare ansåg den konstitutionella domstolen att några paragrafer i denna lag var grundlagsstridig i domen 292/2000. Den senaste ändringen av lagen är det kungliga dekretet 1720/2007. Detta är ett komplext dokument som uttrycks i 158 artiklar.

1993 skapades ”Agencia Española de Protección de datos” (spanska personskyddsmyndigheten) för att kontrollera och genomdriva dessa lagar i Spanien. Autonoma byråer skapades också i Madrid, Katalonien och Baskien.

Territoriellt tillämpningsområde

Med internationaliseringen av data hosting, med fördelning av hosting och cloud hosting är det inte alltid klart var uppgifterna fysiskt lagras. Spansk lagstiftning tillämpas när:

  1. Lagring och bearbetning sker som en del av verksamheten i en organisation som är registrerad i Spanien.
  2. Den enhet som ansvarar för behandlingen inte är registrerad i Spanien men som omfattas av spansk lag enligt internationell lagstiftning.
  3. När den enhet som ansvarar för behandlingen inte är etablerad inom Europeiska unionens territorium, men använder sig av lagrings- och bearbetningsanläggningar belägna i Spanien. Detta gäller inte om sådan utrustning enbart används för transiteringsändamål.

Dataskydd är en allvarlig fråga

Spanien är det land inom EU som har den högsta andelen klagomål som rör skydd av personuppgifter. Det är också det land med de högsta böterna. Till exempel kan mindre sanktioner variera mellan 60,01€ till 6101,21€, medan allvarliga sanktioner kan variera mellan 6101,21€ till 30’506,05 €. För extremt allvarliga fall kan sanktionerna variera mellan 30’506.05€ till 60’012,10€.

Det spelar ingen roll hur höga böterna är, många företag, särskilt små företag i Spanien, följer fortfarande inte fullt ut dataskyddslagarna.

Ett företag har skyldighet att informera

När ett företag eller en organisation som samlar in personuppgifter, oavsett om det är med ett formulär på en webbsida eller med någon annan datainsamlingsmetod, måste den enskilde på förhand bli informerad av följande:

  1. Förekomsten av en fil som samlar in data, målen för lagring av uppgifterna och mottagaren/na av denna information.
  2. Den obligatoriska eller valfria karaktären i den insamlade informationen.
  3. Konsekvenserna av att tillhandahålla eller inte tillhandahålla uppgifterna.
  4. Rättigheterna till tillgång, korrigering, radering eller motsättning av den lagrade datan.
  5. Identiteten på den person som ansvarar för behandlingen och lagringen av data eller dennes ombud.

Om den personliga informationen har samlats in indirekt, finns det en skyldighet att informera den personen inom 3 månader från den inledande datalagringen.

Om informationen har samlats in från ”fritt tillgängliga källor” (till exempel telefonkataloger eller yrkesmässiga register) och målet är reklam eller marknadsundersökningar, är företaget skyldig att informera personen om de 5 punkterna ovan, när de tar kontakt.

Webbplatser måste inneha en sekretesspolicy (eller länkar till den), som förklarar de 5 punkterna ovan, längst ned på formulär som samlar in personlig information.

Data med särskilt skydd

Den spanska konstitutionen säger att ingen måste ge information om sin ideologi, religion, medlemskap i fackförening, politiskt partimedlemskap eller tro. När man frågar efter dessa data måste det anges att personen har rätt att vägra. Personen måste ge sitt skriftliga godkännande.

Filer som upprätthålls av politiska partier, fackföreningar, kyrkor, religiösa bikter eller ideella organisationer med politiskt, filosofiskt eller religiöst syfte, behöver inte ha skriftligt tillstånd, men ändå ett samtycke ang. medlemmens data.

Behandling av administrativa och straffrättsliga uppgifter är uttryckligen förbjuden. Endast behöriga offentliga myndigheter har rätt att lagra denna typ av data.

Behandling av uppgifter om ras, hälsoinformation eller sexuella preferenser är begränsad till medicinska organisationer och/eller vårdpersonal. Förståeligt; i fall av medicinsk nödsituation är patientens samtycke inte obligatorisk.

Datasekretess och kommunikation till 3: e part

Datasekretess är obligatorisk och eventuell övergång till en 3:e part behöver inte bara samtycke från individen, utan också en förklaring till varför denna överföring är nödvändig. Den enskilde kommer att kunna återkalla sitt samtycke när som helst.

Samtycke behövs inte i de fall där uppgifterna samlas in från fritt tillgängliga källor.

Överföring av personuppgifter till tredje part utan samtycke från den som är ägare av uppgifterna, är en av de vanligaste och allvarligaste överträdelserna. Typer av överträdelser kan vara mycket varierande. Exempel är försäljning av kunddatabaser till andra företag eller länkar på webbsidor som liknar ”rekommendera denna sida till en vän”.

Det sista exemplet är kontroversiellt, men visar hur viktigt integritetsskyddet är. Flera spanska hemsidor har bötfällts för dessa typer av länkar eftersom ”vännnen” skulle få en oönskad marknadsförings-e-post från hemsidan: i praktiken oönskad e-post (spam).

Överföring av personlig information inbäddad i tredje partens cookies (Cookies är små textfiler som lagrar uppgifter i webbläsaren) till tredje part, regleras också och detta kommer att bli föremål för en särskild artikel eftersom det finns en ny EU-förordning för detta.

Säkerhetsåtgärder

Organisationer och företag som samlar in personlig information är skyldiga att skydda datan från obehörig åtkomst eller obehöriga ändringar. I händelse av en säkerhetsöverträdelse (på en webbplats databas till exempel) kommer organisationen  att hållas ansvarig för skador.

Beroende på vilken typ av information som hanteras överväger lagen tre nivåer av säkerhet:

  • Grundsäkerhet, för information eller processer som behandlar personuppgifter.
  • Medelhög säkerhet, för information relaterad till personlig finansiell information eller administrativa och straffrättsliga överträdelser.
  • Hög säkerhet, för uppgifter som samlats in, utan medgivande, av polisen i en utredning, t.ex uppgifter om ideologi, religion, medlemskap i fackförening, medlemskap i politiskt parti, tro, ras och sexuellt beteende.

I lagen anges vilka säkerhetsåtgärder som måste användas, men i de flesta fall kommer företag bara hantera uppgifter inom grundsäkerheten. I dessa fall, och utan att gå in på detaljer, behöver företag:

  • Utse en person som ansvarar för datasäkerhet och integritet
  • Se till att de anställda agerar ansvarsfullt och att de vet exakt vilka uppgifter de har tillgång till och som omfattas av deras funktioner och hur man hanterar uppgifterna.
  • Distribuera ett kontrollsystem som förhindrar åtkomst från obehöriga personer.
  • Säkert och regelbundet säkerhetskopiera uppgifterna.

Dessa är allmänna riktlinjer och inte definitiva uttalanden av lagen. Alla frågor om lagens tillämpningar bör riktas till en spansk advokat. För ytterligare information hänvisas till http://www.velascolawyers.com/articles