+34 958 63 01 14 info@velascolawyers.com

Under 2019 kommer två lagar som ändrades i slutet av 2018 – Dataskyddslagen (LOPD) och Varumärkeslagen – att generera stora förändringar inom teknikens värld. Här tittar vi närmare på ändringarna i Dataskyddslagen:

Videoövervakning

Lagen kräver nu att bilder som tagits med videoövervakning måste raderas 30 dagar efter att de tagits. När videoövervakning används på en arbetsplats, måste de anställda uttryckligen informeras om detta.

Informationssystem för interna klagomål

Den nya Dataskyddslagen reglerar också, för första gången, informationssystem för interna klagomål, och fastställer att dessa klagomål och behandling av dessa kommer att tillåtas. Interna klagomål kan från och med nu också göras anonymt via de interna klagomålskanalerna. Databehandlingen är därför specifikt reglerad. Efter tre månader måste ”whistle-blowerns” information dock tas bort från klagomålssystemet.

Sanktioner

När det gäller möjliga överträdelser hänvisar LOPD till de som redan har angivits i RGPD. För allvarliga överträdelser straffas med böter om max. 10 miljoner euro eller, när det gäller ett företag, upp till max. 2% av den årliga omsättningen. För mycket allvarliga överträdelser uppgår boten till max. 20 miljoner euro, eller 4% av den årliga omsättningen för ett företag. För offentliga förvaltningar medför överträdelser emellertid inga ekonomiska sanktioner.

Den spanska regimen för överträdelser är uppdelad i tre grader

Mycket allvarliga: Denna typ av överträdelse preskriberas efter 3 år. Dessa överträdelser anses vara mycket allvarliga, och innebär bland annat en väsentlig överträdelse av behandlingen och påverkar användningen av uppgifterna, för ett annat syfte än det som meddelades, underlåter att informera användaren och en internationell överföring av personliga data till länder med en lägre dataskyddsnivå.

Allvarliga: Allvarliga överträdelser preskriberas efter 2 år. Allvarliga överträdelser är till exempel att inte registrera hos den Spanska Byrån för Dataskydd (Agencia Española de Proteccion de Datos – AEPD), att använda uppgifterna i en annan form än den som de givits för, att inte ha nödvändigt samtycke från användaren för att samla in dennes personuppgifter, att neka användare tillgång till deras information, att inte uppgradera dataposterna genom att inte göra de ändringar som användaren begär och inte följa principerna för LOPD. Vidare betraktas bristen på tillräcklig säkerhet för att underhålla filerna som en allvarlig överträdelse och om företaget inte skickar de nödvändiga aviseringarna till AEPD.

Milda: De preskriberas efter ett år och hänvisar till fall som till exempel att inte ha ansökt om registrering av AEPD: s fil, för att inte ha informerat om insamling av personuppgifter, att inte svara på användares begäran om rättelse eller borttagning av information, eller att inte svara på förfrågningar från AEPD.

Uteslutande av reklam

Användaren kan numera välja vilken slags reklam han vill motta. Förutom de allmänna undantagstjänsterna har företagen också möjlighet att inkludera preferenssystem så att användare kan begränsa mottagandet av reklam på ett mer personligt sätt.

Konsekvensanalys   

Den nya lagen förpliktar också att genomföra en konsekvensutvärdering i Dataskydd (Evaluación de Impacto en la Protección de Datos) av behandling av information som kan innebära en betydande risk för fysiska personers rättigheter.