Ley Orgánica de Protección de Datos de Carácter Personal

Den organiska lagen 15/1999 av den 13 december om skydd av personuppgifter ( spanska : Ley Orgánica de Protección de Datos de Carácter Personal, LOPD ) var spansk organisk lag som garanterade och skyddade behandlingen av personuppgifter, allmänna friheter och grundläggande mänskliga rättigheter , och särskilt av personlig och familjär heder och privatliv . Den godkändes av tribunalen den 13 december 1999. Denna lag utvecklades utifrån artikel 18 i den spanska konstitutionen från 1978 , den välbekanta och personliga rätten till privatliv och kommunikationssekretessen.

Dess huvudsakliga syfte var att reglera behandlingen av uppgifter och filer, av personlig karaktär, oavsett vilket stöd de behandlas i, medborgarnas rättigheter över dem och skyldigheterna för dem som skapar eller behandlar dem. Denna lag påverkade all data som hänvisade till registrerade människor på någon support, dator eller annat. Undantagna från denna förordning är de data som samlats in för hushållsbruk, sekretessbelagt material från staten och de filer som samlat in data om terrorism och andra former av organiserad brottslighet (inte enkla brottsligheter).

Baserat på denna lag skapades den spanska byrån för dataskydd, på statlig nivå, som säkerställer efterlevnad av denna lag.

Denna lag upphävdes genom antagandet av en ny dataskyddslag, den organiska lagen 3/2018 av den 5 december, om skydd av personuppgifter och garantier för digitala rättigheter, för att överensstämma med den spanska lagstiftningen med den allmänna dataskyddsförordningen

Regelverksutveckling

  • Det kungliga dekretet 994/1999 om säkerhetsåtgärder för automatiserade filer som innehåller personuppgifter av den 11 juni 1999 (RMS): Det är en förordning som utvecklar den organiska lagen 5/1992 av den 29 oktober om reglering av automatiserad behandling av personliga Data (LORTAD), reglerar de tekniska och organisatoriska åtgärder som ska tillämpas på de informationssystem där personuppgifter behandlas på ett automatiserat sätt. (Upphävt sedan 19 april 2010)
  • Det kungliga dekretet 1720/2007 av den 21 december om utvecklingen av den organiska lagen om dataskydd. Det är en utveckling av den organiska lagen 15/99 om dataskydd av den 13 december; utvecklar lagens principer, och de säkerhetsåtgärder som ska tillämpas i informationssystemen. Det gäller filer i automatiserat stöd, som i alla andra typer av media.

Kontrollorgan och eventuella sanktioner

Det organ som är ansvarigt för att övervaka efterlevnaden av dataskyddsbestämmelser på spanskt territorium, i allmänhet, är den spanska byrån för dataskydd (AEPD), det finns andra dataskyddsbyråer av autonom karaktär, i autonoma samhällen i Katalonien och i Baskien .

Sanktionerna är indelade i tre grupper beroende på hur allvarlig handlingen är. Spanien är det land i EU som har de högsta sanktionerna när det gäller dataskydd. Dessa sanktioner beror på den överträdelse som begås. Det senaste företaget som sanktionerats har varit företaget Grupon, sanktionerat av den statliga dataskyddsmyndigheten, med 20 000 euro för att lagra CVV-koderna för kreditkorten från sina kunder utan att informera dem.

De är indelade i:

De mindre påföljderna varierar från 900 till 40 000 €

Allvarliga straff varierar från 40 001 till 300 000 €

Mycket allvarliga straff varierar från 300 001 till 600 000 €

Trots mängden sanktioner finns det många företag i Spanien som ännu inte har anpassat sig till det, eller har gjort det på ett partiellt sätt eller inte regelbundet granskar dess tillräcklighet; så att underhåll och granskning av genomförd tillräcklighet är väsentligt.

Inom den offentliga sektorn reglerar den nämnda lagen även användningen och hanteringen av information och filer med personuppgifter som används av alla offentliga förvaltningar.

Den spanska byrån för dataskydd ( AEPD ) skapades 1994 i enlighet med bestämmelserna i den upphävda LORTAD. Dess huvudkontor ligger i Madrid, även om de autonoma regionerna Madrid, Baskien och Katalonien har skapat sina egna autonoma byråer.

Inspektion och förmyndarskap av Rättighetsförfaranden

Spanska byrån för dataskydd (AEPD)

År 2012

Under 2012 ökade klagomålen till AEPD med 12 %. Byråns verksamhet har vuxit avsevärt under 2012, med en ökning på 15 % i de registrerade akterna och nästan 40 % i de utfärdade resolutionerna. Anklagelserna om identitetsstöld, särskilt inom leverans och kommersialisering av energi och vatten (222 %) och inom telekommunikation (92 %), har upplevt en betydande ökning. Av de 863 överträdelsebeslut som deklarerats till privata chefer slutade mer än 34 % i en varning, utan att utdöma en påföljd. Å andra sidan påverkar de flesta sanktionerna telekommunikationssektorn, som utgör 73 % av det totala antalet. Tre av huvudoperatörerna samlar på sig 70,94 % av det totala bötesbeloppet.

År 2011

Under 2011 var anmälda klagomål 51,6 % högre än de som lämnades in 2010. Denna ökning återspeglas också i ökningen av deklaratoriska besluten om intrång på 37,7 %. Tillämpningen av siffran för varningen har dock bestämt en minskning med 14,5 % av de deklarerade ekonomiska sanktionerna. Den sektor där sanktionerna har ökat mest (64 %) och har deklarerats i större utsträckning (25,5 %) och belopp (63 %) är telekommunikation. Antalet sanktioner har ökat med 12 % jämfört med 2010.

År 2009

Under 2009 ökade de med mer än 75 % av de inkomna klagomålen, vilket nådde siffran 4 136, och antalet ansökningar om skydd av rättigheter med 58 %. 709 sanktionsförfaranden löstes, varav 621 slutade med sanktion med ett totalt belopp på 24,8 miljoner euro.

Källa: Minne från den spanska byrån för dataskydd (AEPD) för åren 2007, 2008, 2009.

Antal anspråk
Plats Sektor för ekonomisk verksamhet Förfaranden lösta
1 Telekommunikation 908
2 Finansiell sektor 768
3 Videovigilance 721
Antal sanktioner per sektor
Plats Sektor för ekonomisk verksamhet Förfaranden lösta
1 Telekommunikation 170
2 Videovigilance 117
3 Finansiell sektor 89
5 Elektronisk kommunikation och spam 39
Fördelning av sanktioner på grund av deras allvar
Plats Typ av sanktion Procentsats
1 Allvarlig 74 %
2 Mindre 21,3 %
3 Väldigt seriös 4,6 %

År 2008

Under 2008 ökade antalet fakta som rapporterades till AEPD (tillsammans med inledda officio-utredningar) med mer än 45 % och nådde värdet 2362. AEPD löste 2008 totalt 630 sanktionsförfaranden, nästan 58 % fler än 2007, av vilket 535 kulminerade med utförande av sanktioner. De utdömda böterna uppgick till 22,6 miljoner euro, vilket motsvarar en ökning med 15 % jämfört med föregående år.

Antalet lösta förfaranden för anmälningar om överträdelse som begåtts av de offentliga förvaltningarna ökade 2008 med nästan 20 % jämfört med föregående år, från 66 till 79, varav 59 slutade med en anmälan om överträdelse.

År 2007

Under 2007 löste den spanska byrån för dataskydd 399 sanktionsförfaranden, en ökning med 32,5 % jämfört med föregående år. De ekonomiska sanktionerna som infördes av AEPD uppgick till 19 600 000 euro .

Autonoma dataskyddsmyndigheter

År 2007

Dataskyddsbyrån i Madrids kommun genomförde 196 inspektionsförfaranden och 32 förfaranden för skydd av rättigheter under 2007.

Den baskiska dataskyddsmyndigheten-Datuak Babesteko Euskal Bulegoa (AVDP-DBEB) löste 43 klagomål och 18 överträdelseförfaranden under 2007.

Ibero-amerikanska dataskyddsnätverket

Ibero-American Data Protection Network (RIPD) har sedan det skapades 2003 utvecklat ett intensivt och fruktbart arbete, som att organisera tio möten. Förutom att bidra till detta har mer än 150 miljoner latinamerikanska medborgare för närvarande, tillsammans med det traditionella skyddet av habeas-data , regler som gör det möjligt att effektivt garantera användningen av deras personliga information och specialiserade myndigheter med befogenheter att skydda nämnda garanti.

I Latinamerika utvecklas policyer för skydd av personuppgifter. Under 2012 godkändes två nya lagar. I Nicaragua , lag nr 787 om skydd av personuppgifter av den 29 mars 2012 och lag nr 1581 av den 17 oktober 2012, genom vilken allmänna bestämmelser för skydd av personuppgifter utfärdas.

I Chile håller även lag 19.628 av den 28 augusti 1999 om skydd av privatliv för närvarande på att granska en del av dess artiklar.

Venezuelas nationalförsamling behandlar lagförslaget för skydd av personuppgifter för Habeas-data. Och i Costa Rica finns det redan en dataskyddsbyrå i Republiken Costa Rica, i enlighet med den lag som godkändes 2011.

Informationsplikt

Personuppgifter klassificeras enligt deras större eller mindre grad av känslighet, eftersom de lagliga kraven och datasäkerhetsåtgärderna är strängare när det gäller denna högre grad av känslighet, är obligatoriska å andra sidan, i alla fall deklarationen av dataskyddsfilerna till "Spanska byrån för dataskydd".

Berörda parter till vilka personuppgifter begärs måste i förväg informeras på ett uttryckligt, exakt och otvetydigt sätt:

1. Förekomsten av en fil eller behandling av personuppgifter, syftet med insamlingen av dessa och mottagarna av informationen.

2. Av den obligatoriska eller frivilliga karaktären av hans svar på de frågor som ställs till dem.

3. Konsekvenserna av att erhålla uppgifterna eller vägran att tillhandahålla dem.

4. Om möjligheten att utöva rätt till tillgång, rättelse, hävning och invändning.

5. Identitet och adress till den person som ansvarar för behandlingen eller, i förekommande fall, dennes ombud.

Behandling av personuppgifter utan att ha samlats in direkt från den berörda parten eller den berörda parten är dock tillåten, även om den inte är undantagen från skyldigheten att uttryckligen, korrekt och otvetydigt rapportera av den person som är ansvarig för filen eller dess ombud, inom av de tre månaderna efter det att databehandlingen påbörjats.

Undantag: Kommunikation inom tre månader av sådan information kommer inte att vara nödvändig om uppgifterna har samlats in från "källor som är tillgängliga för allmänheten" och är avsedda för reklam eller kommersiell prospektering, i detta fall "i varje meddelande som riktas till den berörda parten, han kommer att informeras om ursprunget till uppgifterna och identiteten på den person som är ansvarig för behandlingen, samt de rättigheter som hjälper honom”.

Modellklausul

Detta kan vara en modellklausul för information/samtycke av rättigheter som skyddas av LOPD:

I enlighet med den organiska lagen 15/1999, av den 13 december, skydd av personuppgifter (LOPD), (ersätt med namnet på den person som är ansvarig för filen), som den person som är ansvarig för filen, rapporterar följande överväganden:

De personuppgifter som vi begär kommer att införlivas i en fil vars syfte är (beskriv syftet). Fälten markerade med en asterisk (eller någon annan signal) är obligatoriska och är omöjliga att förverkliga det uttryckta syftet om du inte tillhandahåller denna information.

Du informeras också om möjligheten att utöva rätten till tillgång, rättelse, annullering och invändning av dina personuppgifter i (ersätt adressen för att utöva rättigheterna).

Data vars behandling är förbjuden
  • De som rör "kriminella eller administrativa överträdelser".
  • Undantag: De kan endast inkluderas i de behöriga offentliga förvaltningarnas akter.

Samtycke

Typer av samtycke

A) Omisskännligt samtycke

Behandlingen av personuppgifter kommer att kräva ett otvetydigt samtycke från den berörda parten, om inte lagen föreskriver något annat.

B) Tyst samtycke

Detta kommer att vara den normala formen av samtycke i de fall ett uttryckligt eller uttryckligt samtycke inte krävs skriftligt.

C) Uttryckligt samtycke

Personuppgifter som avser ras, hälsa och sexualliv får endast samlas in, bearbetas och överlåtas när det av hänsyn till allmänintresset föreskrivs i lag eller personen uttryckligen samtycker.

D) Uttryckligt och skriftligt samtycke

Uttryckligt samtycke krävs skriftligt från den berörda parten angående data relaterade till ideologi, facklig tillhörighet, religion och övertygelse och får endast överföras med uttryckligt samtycke.

Datakommunikation

De har ansvar för kommunikation och behandling av data inte bara de juridiska personerna ( företagen ) utan även frilansare, frilansare, föreningar, kollektiv och personer som äger en blogg (bloggare) genom vilken data från tredje part samlas in för att göra frågor och för någon annan transaktion.

Personuppgiftsobjektet för behandlingen kan endast meddelas en tredje part för att uppfylla ändamål som är direkt relaterade till överlåtarens och mottagarens legitima funktioner med den berörda partens förhandsgodkännande.

Det samtycke som krävs i föregående avsnitt kommer inte att vara exakt:

  1. När uppdraget är bemyndigat enligt lag.
  2. När det gäller uppgifter som samlats in från källor som är tillgängliga för allmänheten.
  3. När behandlingen svarar på det fria och legitima godkännandet av ett rättsförhållande vars utveckling, efterlevnad och kontroll nödvändigtvis innebär att nämnda behandling kopplas till tredje parts filer. I detta fall kommer kommunikationen bara att vara legitim så länge den är begränsad till det syfte som motiverar det.
  4. När meddelandet som ska lämnas riktas till ombudsmannen, åklagaren eller domarna eller domstolarna eller räkenskapsrätten, vid utövandet av de uppgifter som den har tilldelats. Samtycke kommer inte heller att krävas när meddelandet riktas till självständiga institutioner med liknande funktioner till ombudsmannen eller revisionsrätten.
  5. När överföringen sker mellan offentliga förvaltningar och har som mål att senare behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål.
  6. När överföring av personuppgifter relaterade till hälsa är nödvändig för att lösa en nödsituation som kräver tillgång till en fil eller för att utföra epidemiologiska studier i de villkor som fastställs i lagstiftningen om statlig eller regional hälsa.

Samtycket för överföring av personuppgifter till en tredje part kommer att vara ogiltigt när informationen som lämnas till den berörda parten inte gör det möjligt för honom att veta vilket syfte uppgifterna kommer att vara avsedda för vars kommunikation är auktoriserad eller typen av aktivitet för personen till vem det skickas. De tänker kommunicera.

Samtycket för överföring av personuppgifter har också en återkallelsebar karaktär.

Den till vilken personuppgifterna överlämnas är skyldig att, genom själva kommunikationen, följa bestämmelserna i denna lag.

Om meddelandet görs före dissociationsförfarandet gäller inte bestämmelserna i föregående paragrafer.

Tillgång till data från tredje part

  1. En tredje parts åtkomst till uppgifterna kommer inte att betraktas som datakommunikation när nämnda åtkomst är nödvändig för att tillhandahålla en tjänst till den personuppgiftsansvarige.

  2. Utförande av behandlingar för tredje parts räkning måste regleras i ett avtal som ska registreras skriftligen eller i någon annan form som tillåter bevis för dess slutsats och innehåll, vilket uttryckligen fastställer att processorn endast kommer att behandla uppgifterna enligt instruktionerna från den person som ansvarar för behandlingen, som inte kommer att tillämpa dem eller använda dem för andra ändamål än de som anges i nämnda kontrakt, och inte heller kommer de att kommunicera dem, ens för att de ska bevaras, till andra personer. Avtalet kommer dessutom att fastställa de säkerhetsåtgärder som hänvisar till artikel 9 i denna lag som den person som ansvarar för behandlingen är skyldig att genomföra.
  3. När avtalsbestämmelsen har uppfyllts ska personuppgifterna förstöras eller återlämnas till den personuppgiftsansvarige, samt eventuella stöd eller dokument som innehåller eventuella personuppgifter som är föremål för behandlingen.
  4. I händelse av att den person som ansvarar för behandlingen allokerar uppgifterna för ett annat ändamål, kommunicerar dem eller använder dem i strid med bestämmelserna i avtalet, kommer den också att anses ansvarig för behandlingen, som svar på de överträdelser som skulle ha varit uppkommit personligen.

Kritik och huvudproblem

Vissa aspekter av lagen förklarades författningsstridiga i november 2000 och ströks från den nuvarande texten.

Det anses att ökningen av skapandet av filer och behandlingen av personuppgifter påverkar rätten till skydd av medborgarnas uppgifter; Denna oro togs upp av de europeiska organen som till och med beordrade att den 28 januari ska hållas årligen på "Europeiska dataskyddsdagen". Firandet går tillbaka till 2006, då Europarådets ministerkommitté inrättade det årliga firandet av dataskyddsdagen i Europa den 28 januari, för att fira årsdagen av undertecknandet av Europarådets konvention 108 för skydd av personer med avseende på automatiserad behandling av personuppgifter.

En mycket strikt efterlevnad av förordningen om dataskydd skulle kunna sakta ner det normala arbetet för en filhanterare för dokumentär ackreditering av informations- och samtyckesprinciperna i LOPD; även i motsatt riktning, ett rent fullgörande av formella skyldigheter, skulle lämna lagen meningslös och medborgarna oskyddade och gå emot LOPD:s "anda".

Möjligheten att företag kan samla in data utan samtycke från de berörda har kritiserats.

Vissa resolutioner från AEPD har varit anledning till kontrovers:

  • I oktober 2008 sanktionerade den spanska myndigheten för dataskydd Popular Party ( PP ), då i opposition, med böter på 60 101,21 euro för en allvarlig överträdelse av den organiska lagen om skydd av personuppgifter som består av införandet, utan deras samtycke. , av fyra O Grove -grannar som "falska frivilliga" på vallistorna i Baskien i maj 2007.
  • Möjligheten som vissa webbplatser erbjuder att "skicka en vän" viss information eller "rekommendera den här sidan till en vän" har också sanktionerats i strikt tillämpning av LOPD
  • La AEPD también resolvió que los datos relativos a los abortos practicados eran confidenciales, a raíz de la denuncias criminales interpuestas contra varias clínicas por presuntos abortos irregulares
  • AEPD beslutade också att uppgifterna om de utförda aborterna var konfidentiella, som ett resultat av de brottsanmälan som lämnats in mot flera kliniker för påstådda irreguljära aborter
  • katolska kyrkans "dopböcker" inte är "datafiler", vilket förnekade en resolution av den 20 oktober 2006 utfärdad av den spanska byrån för dataskydd; byrån hade gett skälet till en avfälling som begärde att genom byrån hans inskription i dopboken skulle upphävas.
  • På grund av brott mot dataskyddslagstiftningen har flera försäkringsgivare och vårdcentraler fått sanktioner, eftersom de utbytt medicinsk information om patienter utan deras uttryckliga medgivande. De är dock föremål för sänkta sanktioner för att de inte bedöms som "uppsåtlighet vid brottets begåvning"
  • AEPD sanktionerade ett företag efter att en hackare försökte utpressa det genom att hitta ett hål i dess säkerhet och senare fördömde det
  • LOPD fortsätter att ha luckor och sociala aktörer har begärt vissa reformer. I augusti 2008 Bernat Soria , socialistisk minister för hälso- och konsumentfrågor att åtgärder skulle vidtas för att skapa en lag mot företag som ringde kommersiella samtal utan samtycke till hemmen, vanligtvis vid måltider, vilket var ett beteende som populärt kallas "telefon spam".

Se även

Bibliografi

Översättning av: "LOPD på spanska"

externa länkar