+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Испания
    16 сентября 2022

    Испания

     

    ЗАКОНОДАТЕЛЬСТВО ИСПАНИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Органический закон Испании о защите персональных данных и гарантии цифровых прав, также известный под аббревиатурой LOPDGDD, основан на ст. 18 Конституции Испании (Constitución Española, 1978).

    Целями его являются гарантия цифровых прав граждан и адаптация Общего положения о защите данных (ЕС, General Data Protection Regulation, далее – GDPR) в национальном законодательстве. LOPDGDD вступил в силу в 2018 году и пришел на смену одноименному закону Испании от 13.12.1999 № 15 (LOPD, далее – Закон от 13.12.1999), который по-прежнему остается в силе для определенных видов деятельности (например, четырнадцатое дополнительное положение LOPDGDD: правила, изданные во исполнение статьи 13 Директивы 95/46/EC Европейского парламента, Совета от 24.10.1995, касающейся защиты физических лиц в отношении обработки персональных данных и свободного обращения этих данных, которая вступила в силу до 2018 года, а также статьи 23 и 24 Органического закона 15/1999 от 13.12.1999 о защите персональных данных – остаются в силе до тех пор, пока они явно не изменены, не заменены или аннулированы).

    Система законодательства:

    • General Data Protection Regulation (GDPR);
    • LOPDGDD;
    • королевский декрет-закон от 31.10.2019 № 14/2019,которым принимаются срочные меры по соображениям общественной безопасности
      в вопросах цифрового администрирования, заключения контрактов
      в государственном секторе и телекоммуникаций;
    • закон от 13.12.1999 и королевский указ от 21.12.2007 № 1720, которым утверждается Положение о разработке Закона от 13.12.1999;
    • органический закон от 26.05.2021 № 7 «О защите персональных данных, обрабатываемых в целях предотвращения, выявления, расследования и судебного преследования уголовных преступлений и исполнения уголовных наказаний».

    Сфера действия

    LOPDGDD применяется к любой автоматизированной обработке персональных данных, а также неавтоматизированной обработке таких данных, содержащихся или предназначенных для включения в файл; к  обработке данных, к которой напрямую не применяется GDPR, а также к обработке данных, осуществляемой в связи с обработкой судебными органами.

    LOPDGDD не применяется: для процедур, исключенных из сферы применения GDPR, и данных умерших лиц; для обработки секретных материалов.

    Иными словами, любая организация, которая обрабатывает данные клиентов, поставщиков, сотрудников, партнеров или любого другого лица для развития своей деятельности, обязана соблюдать LOPDGDD, при наличии исключений: не сфера применения GDPR; обработка физическими лицами в целях развития личной или домашней деятельности, компетентными органами для предотвращения, расследования, выявления уголовных преступлений или судебного преследования, а также для исполнения уголовных наказаний; данные, относящиеся к умершим лицам, которые могут быть изменены родственниками или другими лицами, связанными с умершим; применяется законодательство о секретных материалах.

    Территориальное действие LOPDGDD.

    Обработка данных будет регулироваться LOPDGDD, если:

    • деятельность осуществляется на территории Испании;
    • используются средства, расположенные на территории Испании;
    • в рамках деятельности учреждения Испании, ответственного за обработку данных;
    • обработка данных, к которым, поскольку контроллер данных не зарегистрирован на территории Испании, применимо испанское законодательство.

    С учетом изложенного, а также того, что LOPDGDD обязателен для исполнения всем испанцам, отдельным лицам и властям, его экстерриториальная предписывающая юрисдикция имеет место.

    Основные понятия

    Персональные данные. Чувствительные данные

    LOPDGDD не формирует понятия «персональные данные», «чувствительные данные». Учитывая, что закон адаптирует нормы GDPR, следует вывод, что используется те же термины.

    Персональные данные – это любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу («субъекту данных», т. е. к человеку). Чувствительные данные (sensitive data) – это информация о здоровье, религиозная принадлежность, политические взгляды и тому подобное.

    Трансграничная передача

    В разделе 6 и Дополнительных положениях LOPDGDD адаптирует положения GDPR в части международной передачи данных и относится
    с особенностями к процедурам, с помощью которых органы по защите данных могут утверждать договорные модели или обязательные корпоративные правила, случаи авторизации определенной передачи или предварительной информации.

    Международная передача данных регулируется:

    • GDPR;
    • LOPDGDD;
    • Циркуляры Испанского агентства по защите персональных данных (Agencia Española de Protección de Datos, AEPD) в пределах полномочий.

    Так, передача персональных данных в третью страну или международную организацию, осуществляемая на основе подписания стандартных договорных положений, утвержденных Европейской комиссией (механизм, обычно используемый организацией, желающей передать данные за пределы Европейской экономической зоны (ЕЭЗ)), не требует авторизации AEPD.

    При отсутствии решения Комиссии ответственное лицо или лицо, ответственное за обработку, может передавать личные данные третьей стране или международной организации только в том случае, если они предложили адекватные гарантии и при условии, что заинтересованные стороны имеют обеспеченные правовой санкцией права и эффективные юридические действия.

    AEPD может утвердить стандартные договорные положения и обязательные корпоративные правила, которые будут предварительно представлены на рассмотрение Европейского комитета по защите данных.

    Международная передача данных в страны или международные организации, у которых нет решения об адекватности, утвержденного Комиссией, должна быть предварительно разрешена AEPD или региональными властями. Кроме того, они будут информировать затронутых лиц о передаче и законных интересах до осуществления передачи.

    Биометрические данные

    LOPDGDD не формирует понятия «биометрические данные», следовательно, используется термин GDPR. Биометрические данные – это персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица, например, изображение лица или дактилоскопические данные.

    О несовершеннолетних

    Испания участвует в ряде международных соглашений, касающихся защиты прав несовершеннолетних, среди которых наиболее весомыми являются: Конвенция ООН о правах ребенка от 20.11.1989, Факультативный протокол о торговле детьми, детской проституции и детской порнографии от 06.09.2000, Конвенция Совета Европы о компьютерных преступлениях от 21.11.2001 (ратифицированы Испанией). Соответствующие нормы ЕС инкорпорированы в национальное законодательство.

    Фундаментальные нормы, обеспечивающие безопасное использование информационных средств несовершеннолетними, закреплены в Конституции Испании, а конкретные механизмы информационной безопасности определены в законах Испании от 15.01.1996 №1 «О юридической защите несовершеннолетних» (далее – Закон от 15.01.1996), от 11.07.2002 № 34 «Об услугах информационного сообщества и электронной торговле» (далее – Закон от 11.07.2002), от 31.03.2010 № 7 «Об аудиовизуальной коммуникации» (далее – Закон от 31.03.2010), а также в разделе 2 LOPDGDD.

    Закон от 15.01.1996 является базовым. Например, устанавливает обязанность родителей, воспитателей и органов государственной власти следить за тем, чтобы получаемая несовершеннолетними информация соответствовала конституционным принципам, а также за тем, чтобы публикуемая в СМИ информация, предназначенная для несовершеннолетней аудитории, не наносила детям вреда (ч. 2 ст. 5, ч. 3 ст. 5 Закона Испании от 15.01.1996 №1 «О юридической защите несовершеннолетних»).

    Закон от 11.07.2002 наиболее детально раскрывает вопросы информационной безопасности несовершеннолетних в сети Интернет. Например, предусматривает в судебном порядке возможность принятия ограничительных мер в виде прекращения «услуги информационного общества» (услуга информационного общества – используемое в испанском законодательстве широкое понятие, включающее в себя любую услугу, предоставляемую на платной основе электронным путем) или удаления данных, если нарушены принципы защиты прав несовершеннолетних. В случае, если лицо, предоставляющее услугу с незаконным контентом, зарегистрировано за пределами Испании, но в одном из государств ЕС и ЕЭЗ, закон описывает процедуры взаимодействия с этими странами для принятия ограничительных мер или возможность закрытия доступа к ней из Испании, если услугу предоставляют из других стран.

    Кроме того, лица, предоставляющие информационные услуги, должны «информировать о существующих инструментах фильтрации и ограничения доступа к определённому содержимому в Интернете, являющемуся нежелательным или потенциально вредным для молодежи и детей». Закон от 31.03.2010 об аудиовизуальной коммуникации охватывает сферы телевидения и радио, интернет-трансляции и устанавливает ограничения на трансляцию информации, которая может нанести вред развитию детей.

    LOPDGDD в разделе 2 устанавливает возраст, по достижении которого субъект вправе самостоятельно дать согласие на обработку персональных данных, и он составляет 14 лет (в странах ЕС этот возраст 13–16 лет.) Исключение составляют случаи, когда закон требует помощи родителей или опекунов для совершения юридического действия, в контексте которого получено согласие.

    Обработка данных несовершеннолетних в возрасте до четырнадцати лет на основе такого согласия будет законной только в том случае, если будет установлено согласие обладателя родительских прав или опеки в необходимом объеме.

    Кроме того, в LOPDGDD предусмотрена реформа учебных программ и подготовки учителей, включающая предметы, связанные с цифровыми компетенциями, и обязанность образовательных центров и любых физических или юридических лиц, которые развивают деятельность, в которой участвуют несовершеннолетние, не опубликовывать их данные через службы информационного общества.

    Оператор и обработчик

    Правовой статус, права, обязанности и ответственность субъектов обработки персональных данных одноименны с GDPR.

    Права субъекта данных

    Раздел 3 LOPDGDD закрепляет права физических лиц в отношении защиты и обработки их персональных данных, в том числе на: доступ, исправление, удаление, возражение, право на ограничение обработки и право на переносимость.

    Закреплено обязательство информировать заинтересованную сторону о доступных способах реализации прав – ARSULIPO (испанский аналог прав ARCO). Подробнее:

    • доступ (заинтересованная сторона имеет право получить подтверждение от ответственного лица о том, обрабатываются ли данные, и, если да, возможно получить доступ к указанной информации);
    • исправление (состоит из права требовать изменения неточных личных данных или заполнения неполной информации);
    • удаление (возможно запросить удаление данных, которые не были собраны законными методами или не используются в соответствии с законом);
    • ограничение обработки (ответственное лицо не должно удалять данные, но не может использовать их обычным образом);
    • переносимость (обязанность ответственного лица предоставить заинтересованной стороне данные запрашиваемыми средствами);
    • возражение (человек, чьи данные являются объектом обработки, может возражать против обработки при наличии факторов, относящихся к его собственной ситуации и личному выбору).

    Раздел 10 LOPDGDD признает и гарантирует ряд прав, которые названы «цифровыми». В частности:

    • право на интернет–нейтралитет;
    • право всеобщего доступа к сети Интернет;
    • право на цифровую безопасность;
    • право на цифровое образование;
    • право на защиту несовершеннолетних в сети Интернет;
    • право на исправление в Интернете;
    • право на обновление информации на электронных носителях;
    • право на неприкосновенность частной жизни и использование цифровых устройств на рабочем месте;
    • право на цифровое отключение на рабочем месте;
    • право на неприкосновенность частной жизни от использования на рабочем месте устройств видеонаблюдения и звукозаписи;
    • право на неприкосновенность частной жизни перед использованием систем геолокации на рабочем месте;
    • цифровые права в коллективных переговорах (могут быть установлены коллективными договорами);
    • право быть забытым при поиске в Интернете;
    • право на забвение в социальных сетях и приравненных к ним услугах;
    • право переноса в сервисы социальных сетей и приравненные к ним сервисы;
    • право на цифровое завещание.

    Согласие на обработку персональных данных. Законный интерес

    Под согласием заинтересованной стороны понимается «любое проявление свободной, конкретной, осознанной и недвусмысленной воли, посредством которой заинтересованная сторона принимает либо посредством заявления, либо явного положительного действия, обращения с данными личными делами, которые его касаются».

    LOPDGDD устанавливает, как и в случае с GDPR, необходимо прямо и недвусмысленно заявить, что согласие предоставляется для всех целей обработки, начиная с 14 лет.

    Прямое согласие распространяется LOPDGDD на чувствительные и биометрические данные.

    Отраслевое регулирование

    Кредитно-банковский сектор

    Раздел 4 LOPDGDD признает законность обработки данных для целей предоставления кредитной информации, при соблюдении определённых мер предосторожности:

    • данные были предоставлены кредитором или кем-либо, действующим от его имени или в его интересах;
    • данные относятся к определенным, просроченным и подлежащим уплате долгам;
    • кредитор уведомил контрагента в договоре или во время требования платежа о возможности передачи его данных другим субъектам
      в случае несоблюдения договора;
    • данные хранятся в системе только до тех пор, пока сохраняется нарушение, с максимальным ограничением в пять лет с даты истечения денежного, финансового или кредитного обязательства;
    • данные, относящиеся к конкретному должнику (контрагенту), могут быть просмотрены только в том случае, если лицо, консультирующееся с системой, поддерживает договорные отношения с заинтересованной стороной, которые подразумевают выплату денежной суммы, или последняя запросила заключение договора, который включает финансирование, отсрочку платежа или периодическое выставление счетов;
    • в случае отклонения запроса на заключение договора или если договор не заключен в результате проведенной консультации, тот,
      кто консультировался с системой, информирует контрагента о результате указанной консультации.

    LOPDGDD запрещает передачу таких данных третьим лицам, если сумма основного долга (то есть без процентов или штрафов) составляет менее 50 евро.

    В кредитных организациях и финансово–кредитных учреждениях обязаны назначить уполномоченного по защите данных (DPD).

    Медицина

    Обработка данных, связанных со здоровьем и генетическими данными, регулируется следующими законами и положениями об их разработке:

    • Законы от 25.04.1986 № 14, от 04.10.2011 № 33 «Об общем здравоохранении»;
    • Закон от 08.11.1995 № «О предотвращении профессиональных рисков»;
    • Закон от 14.11.2002 № 41, регулирующий базовую автономию пациентов, а также права и обязанности в отношении информации и клинической документации;
    • Закон от 28.05.2016 «О сплоченности и качестве национальной системы здравоохранения»;
    • Закон от 21.11.2003 № 44 «Об организации медицинских профессий»;
    • Закон от 03.07.2014 №14 «О биомедицинских исследованиях»;
    • Закон от 04.07.2015 № 20 «Об организации, надзоре
      и платежеспособности страховых и перестраховочных организаций»;
    • Пересмотренный текст Закона о гарантиях и рациональном использовании 105 лекарственных средств и товаров медицинского назначения, утвержденный Королевским законодательным указом от 24.07.2015 № 1;
    • Сводный текст Общего закона о правах людей с ограниченными возможностями и их социальной интеграции, утвержденный Королевским законодательным указом от 29.11.2013.

    В LOPDGDD содержатся особые критерии в отношении использования персональных данных без согласия в области здравоохранения и, в частности, биомедицинских исследованиях, взвешивая несомненные выгоды, которые они приносят обществу, с должными гарантиями основного права на защиту данных. Например, органы здравоохранения и государственные учреждения, наделенные полномочиями в области надзора за общественным здоровьем, могут проводить научные исследования без согласия затронутых лиц в ситуациях исключительной важности и серьезности для общественного здравоохранения.

    Использование псевдонимизированных персональных данных для целей медицинских исследований и, в частности, биомедицинских исследований считается законным, то есть не требует согласия субъекта.

    Медицинские центры по закону обязаны вести медицинские карты пациентов, следовательно, обязаны назначить уполномоченного по защите данных (DPD). Исключение составляют медицинские работники, которые осуществляют свою деятельность индивидуально.

    Трудовое законодательство

    LOPDGDD введены две основные нормы, регулирующие трудовые отношения. В 13-м заключительном положении изменен сводный текст Закона о статуте трудящихся, утвержденного Королевским законодательным указом от 23.10.2015 № 2. Добавлена новая статья о праве работников
    на неприкосновенность частной жизни в цифровой среде и на отключение (ст. 20 bis «работники имеют право на неприкосновенность частной жизни при использовании предоставленных им работодателем цифровых устройств, на цифровое отключение и неприкосновенность частной жизни в отношении использования средств видеонаблюдения и геолокации в порядке, установленном действующим законодательством о защите персональных данных и гарантии цифровой права»).

    Для служащих государственного сектора в четырнадцатом заключительном положении LOPDGDD изменен Закон об основном статусе государственного служащего, утвержденный Королевским законодательным указом от 30.10.2015 № 5, путем дополнения пункта j bis правом на неприкосновенность частной жизни (j bis «на конфиденциальность при использовании предоставленных им цифровых устройств и против использования устройств видеонаблюдения и геолокации, а также цифрового отключения в сроки, установленные действующим законодательством о защите персональных данных и гарантии цифровых прав»).

    В обоих случаях право на неприкосновенность частной жизни включено в использование предоставленных трудящимся цифровых устройств и против использования устройств видеонаблюдения и геолокации, а также цифрового отключения в установленные сроки.

    Подробнее:

    • Право на неприкосновенность частной жизни и использование цифровых устройств подразумевает, что работодатель может получить доступ к контенту, полученному в результате использования цифровых носителей, предоставленных работникам, с единственной целью контроля
      за соблюдением трудовых или установленных законом обязательств и гарантии целостности указанных устройств. Работодатели должны установить критерии использования цифровых устройств, соблюдая во всех случаях минимальные стандарты защиты частной жизни, а работники должны быть проинформированы об указанных критериях.
    • Право на цифровое отключение – гарантирует работнику соблюдение времени отдыха, разрешений и отпусков, а также личную и семейную неприкосновенность. Работодатель разрабатывает внутреннюю политику, ориентированную на работников, в которой определяются условия реализации права на такое отключение во избежание риска усталости от компьютера.
    • Право на неприкосновенность частной жизни в отношении использования устройств видеонаблюдения и звукозаписи на рабочем месте.Использование таких систем разрешено только в том случае, если существуют риски для безопасности объектов, товаров и людей, полученных в результате деятельности, осуществляемой на рабочем месте, и всегда с соблюдением принципа пропорциональности и минимального вмешательства. Работодатели должны заблаговременно, прямо, ясно и кратко информировать работников или их представителей об этой мере.
      В случае выявления факта совершения работниками грубого противоправного деяния обязанность по информированию считается исполненной при наличии информационного плаката. Не допускается установка систем звукозаписи или видеонаблюдения в местах, предназначенных для отдыха или развлечения работников (раздевалки, туалеты, столовые и тому подобное).
    • Право на неприкосновенность частной жизни перед использованием систем геолокации на рабочем месте.Работодатели могут обрабатывать такие данные только для осуществления контрольных функций работников, которые должны быть проинформированы ясно
      и недвусмысленно о существовании и характеристиках этих устройств. Работодатели также должны информировать сотрудников о возможном осуществлении прав доступа, исправления, ограничения обработки и удаления.
    • Цифровые права в коллективных договорах. Коллективные договоры могут устанавливать дополнительные гарантии прав и свобод, связанных с обработкой персональных данных работников и защитой цифровых прав на рабочем месте.

    Локализация

    Требований о локализации в LOPDGDD не содержится.

    Ответственность за нарушения, штрафы

    Раздел 9 LOPDGDD регулирует основной режим санкций. К очень серьезным правонарушениям относятся несоблюдение правил, касающихся:

    • принципов обращения (законность, лояльность, прозрачность, адекватность, уместность, точность);
    • использования данных в целях, несовместимых с целью, для которой они были собраны, без согласия пострадавшей стороны или без законного основания для этого;
    • обработки персональных данных специальных категорий;
    • обработки персональных данных, связанных с уголовными судимостями и правонарушениями или мерами безопасности за пределами разрешенных предположений;
    • обязанности информировать пострадавшую сторону об обработке персональных данных;
    • обязанности конфиденциальности;
    • международной передачи персональных данных получателю, находящемуся в третьей стране, или международной организации, когда гарантии, требования или исключения, установленные в регламенте, не совпадают;
    • несоблюдения постановлений AEPD, необеспечения доступа персонала AEPD к персональным данным, информации, помещениям, оборудованию и средствам обработки, которые требуются для осуществления полномочий; сопротивление или воспрепятствование выполнению функции проверки со стороны AEPD;
    • невыполнения обязательств по блокировке данных при необходимости.

    К серьезным правонарушениям относится также несоблюдение правил, касающихся:

    • обработки персональных данных несовершеннолетнего;
    • препятствия, или воспрепятствования, или неоднократного невнимания к правам;
    • непринятия технических и организационных мер и необходимых гарантий;
    • несоблюдения обязательства по назначению представителя контролера или обработчика, не зарегистрированного на территории ЕС;
    • найма контроллером данных процессора данных, который не предлагает достаточных гарантий;
    • делегирования обработки данных третьему лицу без предварительного оформления договора или иного письменного правового акта с содержанием, требуемым нормативными актами;
    • отсутствия учета мероприятий по обработке данных, установленных в нормативных актах;
    • непредоставления по запросу AEPD записи о действиях по обработке данных;
    • отказа от сотрудничества с контролирующими органами при исполнении ими своих обязанностей;
    • обработки персональных данных без проведения предварительной оценки рисков;
    • нарушения обязанности обработчика данных уведомлять контроллера данных о нарушениях безопасности, о которых ему стало известно;
    • не уведомления AEPD о нарушении безопасности персональных данных;
    • несоблюдения обязанности уведомить затронутую сторону о нарушении безопасности данных;
    • обработки персональных данных без предварительной консультации с AEPD, когда законом установлена ​​обязанность проведения такой консультации;
    • несоблюдения обязательства по назначению уполномоченного по защите данных, когда его назначение требуется;
    • воспрепятствования работе сотрудника по защите данных эффективно участвовать во всех вопросах;
    • использования печати или сертификата с точки зрения защиты данных, которые не были предоставлены должным образом аккредитованным органом по сертификации или в случае истечения срока их действия;
    • выполнения функций, которые GDPR закрепляет за органами по сертификации, не имеющими надлежащей аккредитации; несоблюдения органом по сертификации принципов и обязанностей, которым он подчиняется.

    К мелким правонарушениям относятся несоблюдение правил, касающихся:

    • принципа прозрачности информации;
    • требования об уплате вознаграждения за рассмотрение заявлений об осуществлении прав, если сумма превышает сумму понесенных расходов;
    • отсутствия ответа на запросы об осуществлении прав;
    • несоблюдения обязательства по уведомлению об исправлении или удалении персональных данных или ограничении обработки;
    • несоблюдения обязательства информировать затронутую сторону по запросу о получателях, которым были переданы исправленные, удаленные личные данные или в отношении которых была ограничена обработка;
    • несоблюдения обязательства по удалению данных, относящихся к умершему, когда это требуется;
    • не доведения до затрагиваемых лиц существенных аспектов соглашения, оформленного между со–контролерами обработки;
    • невыполнения обязательства обработчика данных информировать контроллера данных о возможных нарушениях;
    • несоблюдения ответственным лицом или заместителем ответственного лица положений, предусмотренных в контракте или правовом акте, регулирующем обработку, или указаний лица, ответственного за обработку;
    • наличия записи об обработке данных, которая не включает всю необходимую информацию;
    • неполного или ошибочного уведомления органа по защите данных об информации, связанной с нарушением безопасности; неспособности задокументировать любое нарушение безопасности;
    • невыполнения обязанности по уведомлению пострадавшей стороны о нарушении безопасности данных, что влечет за собой высокий риск для прав и свобод затронутых лиц;
    • предоставления неточной информации в орган по защите данных в случаях, когда контроллер данных должен предоставить предварительную консультацию;
    • не опубликования контактных данных уполномоченного по защите данных или не сообщение их органу по защите данных, когда это требуется;
    • несоблюдения органами по сертификации обязанности информировать орган по защите данных о выдаче, возобновлении или отзыве сертификата.

    При наложении санкции учитываются следующие аспекты: длящийся характер правонарушения; связь деятельности правонарушителя с обработкой персональных данных; прибыль, полученная в результате совершения правонарушения; возможность того, что поведение пострадавшей стороны могло привести к совершению преступления; ущемление прав несовершеннолетних.

    Следует отметить, что в отношении правонарушителей – органов государственного сектора, конституционных органов и других лиц, предусмотренных ст. 77 LOPDGDD экономические санкции не применяются. Подразумевается, что AEPD предупреждает такой орган о необходимости прекращения правонарушения.

    По информации AEPD, в 2021 году сферы деятельности с наибольшей суммой наложенных штрафов – это реклама, телекоммуникации, финансовые организации/кредиторы, дела о просроченных платежах, мошеннические контракты и трудовые споры. На данные сферы приходится более 90% общей суммы санкций в Испании, то есть 35 074 800 евро.

    Урегулирование споров

    LOPDGDD обязует организации назначить уполномоченного сотрудника по защите данных (DPD) в трех случаях:

    • обработка данных осуществляется государственным органом;
    • основные действия и операции контроллера данных требуют регулярного и систематического мониторинга в больших масштабах;
    • основная деятельность и операции контролера требуют масштабной обработки персональных данных, в том числе связанных с преступлениями и судимостью.

    LOPDGDD установил 16 конкретных случаев, при которых в исчерпывающем порядке требуется прием на работу DPD. DPD должны быть известны AEPD и/или при необходимости региональным органам по защите данных, которыми ведется актуальный список DPD.

    Таким образом пострадавшее лицо вправе:

    • обратиться к DPD, чтобы оно направило жалобу в AEPD;
    • обратиться в AEPD, а AEPD обращается к сотруднику по защите данных DPD, перенаправив жалобу пострадавшей стороны. При этом надзорный орган уведомляет обратившееся лицо.

    В отношении решений Европейской комиссии в части международной передачи данных LOPDGDD предлагается процедура судебного урегулирования споров (пятое дополнительное положение LOPDGDD: когда орган по защите данных считает, что решение Европейской комиссии по вопросам международной передачи данных, от действий которого зависело решение конкретной процедуры, нарушает положения GDPR, и это подрывает основное право на защиту данных, немедленно согласится приостановить процедуру, чтобы запросить у судебного органа разрешение заявить об этом таким образом в рамках известной ему процедуры).

    Надзорный орган

    Испанское агентство по защите данных (AEPD) – независимый административный орган, осуществляет надзор за соблюдением законодательных положений о защите персональных данных.

    AEPD учреждено 26.03.1993 и расположено в Мадриде, правовой статус и полномочия определены LOPDGDD в разделе 7. Также в Испании существуют региональные агентства по защите данных в Каталонии, Стране Басков, сфера действия которых ограничена обработкой данных, выполняемой автономным государственным сектором, и обязанностью контролирующих органов сотрудничать друг с другом .

    Основная задача AEPD – обеспечить соблюдение законодательства о защите данных и контролировать его применение в целях обеспечения основного права на защиту персональных данных граждан. AEPD имеет полномочия на проведение расследований и профилактических проверок, ведет исследовательскую деятельность, превентивный аудит; имеет регулирующие полномочия (издает правовые акты); является представителем в Европейском комитете по защите данных (CEPD).

    Согласно отчету AEPD за 2021 год, деятельность данного органа в минувшем году была сосредоточена в основном на двух аспектах: реагировании на проблемы защиты данных, связанные с пандемией, и продолжении поощрения тех, кто обрабатывает данные в соответствии с защитой конфиденциальности.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.В. Сидоровой на законодательство     Королевства Испании

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.