Закон о сохранности персональных данных в Испании

[Наталия Маджик]

У вас есть фирма в Испании? Знаете ли вы, что  такое LOPD?  Знаете ли вы, что за неисполнение закона о конфиденциальности вы можете заплатить штраф до 600 тысяч евро? Внесли ли вы изменения в работу своей фирмы? Зарегистрировали ли вы фирму в Registro General de la Agencia Española de Protección de Datos? Ведь с 2016 года закон в отношении конфиденциальности становится строгим.
 

Публикуем для вас  информацию на испанском языке. Передайте ее своим работникам для того, чтобы привести работу фирмы в соответствие с требованиями европейского законодательства.  Закон (Ley de Protección de Datos) касается и работы частных предпринимателей, если они общаются с клиентами.

Что это за закон: ¿Qué es la Ley de Protección de Datos?

La LO 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal es una ley que tiene como objetivo garantizar el derecho a la intimidad de las personas, protegiendo los datos personales que éstas facilitan a las empresas y demás organizaciones (centros de enseñanza, asociaciones, y cualquier entidad con o sin ánimo de lucro que trate datos de carácter personal).

Какой работы в фирме касается закон: ¿A quién afecta esta legislación?

Entre otras, a todas las empresas que traten o almacenen datos de carácter personal, es decir, que mantengan ficheros informatizados con datos de personas, o archivos en papel. Los tipos de datos que se suelen almacenar son nombre y apellidos de personas, direcciones, teléfonos, datos de salud, imágenes o videos, etc.

Обязанности фирмы в виде схемы вы можете посмотреть по ссылке:  (нажмите по ссылке на лупу для увеличения картинки)

Нормативы: ¿Cómo implantar esta normativa en la empresa?

Hay una serie de obligaciones legales que la empresa debe cumplir:

1. Inscripción de los ficheros, informatizados o no, en el Registro General de la Agencia Española de Protección de Datos.
2. Redacción del Documento de Seguridad. En este documento se deben especificar todas las medidas de seguridad y de organización que la empresa lleva a cabo para garantizar la seguridad de los datos personales.
3. Redacción de contratos, clausulas y otros formularios que son necesarios para el cumplimiento de las obligaciones de informar a los clientes, a los trabajadores, etc.
4. Auditoria bienal. Las empresas que mantengan ficheros de nivel medio o alto (son lo que contienen datos relativos a ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual) deberán realizar una auditoría, que puede ser interna o externa, al menos cada dos años.

Что будет, если нарушить закон: ¿Qué pasa si no se cumple la ley?

Las infracciones que marca la Ley Orgánica de Protección de Datos, sancionables según su calificación y graduación, suponen unas sanciones económicas que abarcan desde los 900€ a los 600.000€.

Какие работы фирмам Испании, оказывающим услуги клиентам, нужно провести в 2016 году?

Обязательное требование для рада фирм: LOPD Guardian

Este servicio anual que es obligatorio para todas las empresas y autónomos que manejen datos de carácter personal e incluye las siguientes actuaciones:

• Inscripción de todos los ficheros de su empresa en el Registro General de la Agencia Española de Protección de Datos, así como las modificaciones y supresiones necesarias de los ficheros existentes.
• Redacción del Documento de Seguridad en cumplimiento con la actual normativa en Protección de Datos de Carácter Personal. Y manteniéndolo actualizado como dictan los art. 88.7 y 88.8 del R.D. 1720/2007.
• Redacción de cláusulas y contratos: contratos de acceso a los datos por cuenta de terceros, información para los trabajadores, cláusulas en contratos de servicios y cláusulas de información para Clientes, avisos legales y políticas de privacidad en web, etc. Todo adecuado a la actividad del cliente.
• Análisis de cualquier alteración que nos comunique en materia de protección de datos, y realización de los cambios oportunos en su documentación de protección de datos. Igualmente realizaremos controles periódicos dirigidos a detectar variaciones en la empresa del cliente, en materia de protección de datos. Y actualizando, en consecuencia, el documento de seguridad.

Ежегодная ревизия каждые 2 года: Auditoria Interna

Este servicio es obligatorio realizarlo cada dos años para todas las empresas y autónomos que manejen datos de carácter persona de nivel medio o alto (La LOPD atribuye una protección adicional a los relativos a ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual). Como resultado de la auditoria se emitirá un informe con identificación de deficiencias, amenazas y vulnerabilidades y propuesta de medidas correctoras para subsanarlas.

Как заказать услугу: ¿CÓMO CONTRATAR  SERVICIOS?

Есть ряд фирм.  Например, эту консультацию нам предоставила фирма GrupoIWI.
 

Заказ услуги можно сделать на их сайте: www.grupoiwi.com

Вот их презентация:
 

empresa dedicada exclusivamente a la Consultoría de Protección de Datos desde el año 2.002. Con más de 20.000 empresas en España confiando en nosotros y tras haber inscrito más de 60.000 ficheros con datos de carácter personal en la Agencia Española de Protección de Datos. Actualmente contamos con una cartera de 9.000 clientes directos y 11.000 indirectos.

Достаточно указать вашу фирму, веб-страницу вашей фирмы и вам вышлют предварительную смету. Если вы ее одобряете, то заказываете услугу и два года спите спокойно.

 

Ещё о бизнесе в Испании:

• Открытие фирмы в Испании: регистрация
• Средний и малый бизнес в Испании: Новые правила 2014 года
• Расходы предпринимателей в Испании
• Подоходный налог в Испании 2015 года
• Налоговые и другие бонусы для фирм в Испании, заключивших с работником договор indefinido
• Главные изменения на 2015 год для предпринимательства в Испании
• Разъясните что такое SICAV? 

[Наталия Маджик]

Не хотела вставлять это в статью, но, думаю, в комментариях это будет интересно. Дело в том, что процессы по защите данных в Испании уже были. 

Наприме, Процесс № PS/00635/2014 , который завершился штрафом в 10.000 евро, для владельца веб-сайта о продаже баз данных.

На веб-сайте исследовал предлагались базы данных контактов компаний (в том числе, наименование, адрес, почтовый индекс, населенный пункт, провинция, телефон, Факс, е-mail, сайт, вид Деятельности.), по сферам деятельности или по автономным сообществам.

На странице утверждалось, что компания отвечает требованиям закона о защите данных, и что не было разрешено использование информации, противоречащей законодательству, кроме того, о  любой ответственности за возможные проблемы  клиентов. Владелец сайта даже написал, что “...наши базы данных не могут быть использована в рекламных целях, статистической, информационной, и т. д...”

Однако, проанализировав список фирм ( более полутора миллиона записей)  вместе с веб-сайтом, AEPD пришла к выводу, что имеются по крайней мере две обмана в этом утверждения:

При выполнении различных фильтров на основе данных, нашли множество адресов электронной почты в формате nombre-apellidos@empresa.com

Сайт продавал данные с помощью этой рекламы: “для увеличения ваших ПРОДАЖ и контактов”, “Купить свою БАЗУ ДАННЫХ  для непосредственных контактов”.

AEPD напомнил, что  весьма актуальным для фирм, имеющих сайты, будет проанализировать адреса электронной почты -  являются ли они или нет персональными данными в соответствии с законом о защите данных, а также как проходит их сбор и продажа - обеспечивается ли им надлежащая защита.а.

Можно сделать вывод, что адрес e-mail,  содержит информацию о его владельц е и должен рассматриваться как персональные данные,поэтому должны соблюдаться все правила достпупа к базе.

Информация, полученная с помощью проверенного AEPD сайта, продавалась и содержала базу данных, бизнес-решения, что " позволяло “знать своих будущих клиентов” и разрабатывать “успешное управление  проведения Маркетинговых кампаний среди потенциальных клиентов службы".   -  особенно, когда появлялись выражения, которые указывали непосредственно на рекламные цели продаж.

"Кроме того, стоит иметь в виду, что ответственным за сайт был магазином корпоративных баз данных с 2012 года до марта 2015 года и  в рамках этой деятельности постоянно получал в контактные данные личного характера, и, следовательно, не только должен был быть знатоком законодательства, но и должен был иметь имплантированные механизмы и меры профилактики и контроля, чтобы убедиться, что источник персональной информации, правильно обработан и легитимен".

И поэтому  AEPD ПОСТАНОВИЛ:

Во-ПЕРВЫХ: НАЛОЖИТЬ на сеньора А. а. а., за нарушение статьи 6.1 закона о защите данных, классифицированы как серьезные нарушения статьи 44.3., штраф в размере 10 000 евро (Десять тысяч евро) в соответствии с пунктами 2, 4 и 5 статьи 45 указанного Закона.

................................

• Был еще один процесс -  тогда фирму наказали за спам, посчитав. что фирма "злоупотребяляла" доверием клиентов, так как отписаться от писем они не могли ( не было предусмотрено программой).
• Еще один процесс - в медицинской фирме, когда карточки клиентов были в конвертах, на которых прямо наверху были написаны имена и фамилии клиентов, и это могли видеть не только врачи, но и сотрудники фирмы ( типа администраторов и уборщиц).для доступа к картотеки фирмы не нужно было иметь специальных ключей. Это AEPD  также посчитал разглашением тайны клиента. Никто не должен знать. что вы лечитесь у гастроэнтеролога, дерматолога или в клубе анономных алкоголиков.