Datuen babesa
DATUAK ETA SEGURTASUNA BABESTEKO POLITIKAK
I. Datuen tratamenduaren erantzulea: Idiazabalgo Udala
III. Datuen kategoria bereziak tratatzea
IV.Idiazabalgo Udalak datuak tratatzeko honako hauek egin behar ditu
V. Segurtasun (SEN) eta Interoperabilitate (IEN) politika
VI. Datuak kontserbatzeko denbora
VII. Zure datuak erabiltzeko zilegiztatzea
VIII. Komunikazioa eta datuak transferitzea
IX. Datuak babesteko ordezkaria
X. Honako hauek dira herritarren eskubideak datu pertsonalak babesteko alorrean
XI. Eskubide horiek erabiltzeko prozedurak honako hauek dira
Pertsonak fisikoak haien datu pertsonalak tratatzean babestea oinarrizko eskubidea da, eta udal prozedura administratibo guztietan eta, bereziki, elektronikoki izapidetutakoan, errespetatu egin behar da datu pertsonalen babesaren alorrean indarrean dagoen araudia:
► Europako Parlamentuaren eta Kontseiluaren 2016/679 Erregelamendua (EB). 2016ko apirilaren 27koa, Pertsona Fisikoak Datu Pertsonalen Tratamenduari dagokionez babesteari eta Datu horien Zirkulazio Askeari buruzkoa, 2018ko maiatzaren 25etik indarrean dagoena, 95/46/CE Zuzentaraua (DBE) indargabetzen duena.
► 3/2018 Lege Organikoa, abenduaren 5ekoa, Datu Pertsonalak Babestekoa eta Eskubide Digitalak Bermatzekoa (DPBEDBLO), 2018ko abenduaren 7tik indarrean dagoena.
Erantzukizun administratiboa proaktiboa da. Horrek esan nahi du ez dela erantzule soilik araua hausteagatik, baita araudia ezin hobeto betetzeko beharrezko neurriak ez hartzeagatik ere. Horretarako, beharrezkotzat jotzen da Idiazabalgo Udalarekin harremanetan jartzen diren pertsonei honako hauen inguruko informazioa ematea:
I. Datuen tratamenduaren erantzulea: Idiazabalgo Udala
Idiazabalgo Udala da Udalarekin harremanetan jartzen diren pertsona guztien datu pertsonalen tratamenduaren erantzulea, harreman hori zerbitzuak emanez (gizarte zerbitzuak, liburutegia, hilerria, ikastaroak, jarduerak eta abar) zein eskumenak erabiliz (zerga eskumena, sustapena dirulaguntzen bidez, lizentzien bidezko esku hartzea, zigor ahalmena eta abar), edo beste modu batzuetan (hautaketa prozesuak, poltsak eta abar) sortzen dela ere, eta ezinbestean aplikatu beharko ditu beharrezko antolakuntzako neurri eta neurri tekniko egokiak, bermatzeko eta frogatzeko datuen tratamendua bat datorrela Datu Pertsonalen Europako Erregelamenduarekin (DPEE) eta 3/2018 Lege Organikoarekin, abenduaren 5ekoarekin, Datu Pertsonalak Babesteari eta Eskubide Digitalak Bermatzeari buruzkoarekin.
Idiazabalgo Udalak honako datu hauek argitaratu beharko ditu:
- Helbidea: Plaza Nagusia 3
- Telefonoa: 943.187.100
- Datuak Babesteko Ordezkariaren identitatea: Kontratutako enpresa
- DBE kontaktua: udala@idiazabal.eus
II. Datuak eskuratzeko moduak
Idiazabalgo Udalak honela eskuratu ditzake datu pertsonalak:
1) Interesdunak berak emanda, zerbitzuak eskatzean formularioren bat bete duelako edo mezu elektronikoren bat bidali duelako.
2) Automatikoki, www.idiazabal.eus web orria bisitatzean.
Idiazabalgo Udalak, edo hirugarren batek gure izenean, datuak automatikoki bildu eta biltegiratu ditzake, baita cookien eta beste jarraipen teknologia batzuen bidez ere, esate baterako, flash cookie izenekoen edo web analisiaren bidez.
Kasu horietan, datu horien artean egon daitezke honako hauek:
♦ Erabiltzailearen IP helbidea
♦ Bisitaren da eta ordua.
♦ Erabiltzailea zein URLtik datorren.
♦ Gure webgunean bisitatutako orrialdeak.
♦ Erabilitako nabigatzailearen informazioa (nabigatzailearen mota eta bertsioa, sistema eragilea eta abar).
♦ Udalak erabilerak, saioak eta lotutako informazio horiek tratatu eta erregistratu ditzake, dela modu independentean, dela hirugarrenen zerbitzuen bidez.
3) Beste Administrazio Publiko batzuetatik: DPBEDBLOren 8. Xedapen Gehigarriari jarraituz, Administrazioaren egiaztatzeko ahalmena arautzen duenari («edozein bitartekoren bidez eskaerak egiten direnean, eta bertan interesdunak Administrazio Publikoen eskutan dauden datu pertsonalak adierazten baditu, eskaeraren organo hartzaileak bere eskumenak erabiliz dagozkion egiaztapenak egin ahal izango ditu, datuen zehaztasuna berresteko»; 39/2015 Legearen 28.2. artikuluari jarraituz («interesdunek eskubidea dute Administrazio jardulearen eskutan dauden dokumentuak edo beste edozein administraziok egindakoak ez aurkezteko. Administrazio jarduleak dokumentu horiek kontsultatu edo jaso ahal izango ditu, salbu eta interesduna aurka azaltzen bada. Ezingo da horren aurka jo dokumentazioa aurkeztea ezinbestekotzat jotzen badu zigor edo ikuskaritza ahalmenak erabiliz. Administrazio Publikoek dokumentuak elektronikoki batu beharko dituzte beren sare korporatiboen bidez, datuen bitartekaritza sareetan kontsultak eginez edo ondore horietarako gaitutako beste sistema elektronikoren baten bidez»), eta 28.3. artikuluari jarraituz («Horrez gain, Administrazio Publikoek ez dizkiete interesdunei eskatuko aplikagarria den araudi erregulatzaileak eskatzen ez dituen datuak edo dokumentuak, edo interesdunak aurretik edozein administraziori aurkeztutakoak. Ondore horietarako, interesdunak adierazi beharko du zein unetan eta zein organo administratibotan aurkeztu zituen dokumentu horiek, eta Administrazio Publikoek horiek elektronikoki batu beharko dituzte beren sare korporatiboen bidez, datuen bitartekaritza sareetan kontsultak eginez edo ondore horietarako gaitutako beste sistema elektronikoren baten bidez, salbu eta prozeduran interesdunak berariaz baimenik ematen ez badu edo aplikagarria den lege bereziak berariazko baimena eskatzen badu horretarako. Salbuespen modura, Administrazio Publikoek aipatutako dokumentuak batu ezin badituzte, interesdunari berriz eskatu dakioke dokumentu horiek aurkezteko»).
4) Zuzenbide pribatuko subjektuetatik (adibidez, lankidetza hitzarmenak formalizatzean, hainbat pertsonak esku hartzen duten dirulaguntzetan).
Datuak Administrazioari ematen dizkion hirugarrenak datu emaileari jakinarazi beharko dio horiek tratatu egingo direla.
Ukitutako pertsonari bere datu pertsonalen tratamenduaren inguruko informazioa emateko betebeharra betetzen ez bada eta datuak erabiltzen badira horiek biltzean zuten helburuarekin bateragarria ez den xede batekin, horretarako legezko oinarririk edo oinarri zilegiztatzailerik eduki ezean, oso arau hauste larria egingo da, DPBEDBLOren 72.h) eta d) artikuluei jarraituz.
III. Datuen kategoria bereziak tratatzea
Idiazabalgo Udalak honako hauen inguruko informazioa eman ahal izango du:
afiliazio sindikala,
sexu orientazioa,
arraza edo etnia jatorria,
soilik baimen esplizitua eman badu interesdunak, adierazitako helburuekin, eta honako baldintza hauek betetzen badira:
– Betebeharrak betetzea eta eskubideak erabiltzea Lan Zuzenbidean eta segurtasun eta babes sozialaren alorrean.
– Interesdunaren bizi interesak babestea.
– Fundazioen edo elkarteen esparruan egindako tratamenduak, helburu politikoa, erlijiosoa edo sindikala dutenak.
– Interesdunak agerian publiko egin dituen datuen tratamendua.
– Erreklamazioak formulatzeko, egiteko edo defendatzeko beharrezko tratamenduak, edo epaimahaiek egindako tratamenduak, beren funtzio judiziala betetzean.
– Funtsezko interes publikoagatik, lege mailako arau batek babesten badu.
– Medikuntza prebentiborako, lanekorako, edo laguntza edo tratamendu sanitario edo sozialerako, baldin eta lege mailako arau batek babesten badu.
– Interes publikoagatik osasun publikoaren esparruan, lege mailako arau batek babesten badu.
– Beharrezkoa bada interes publikorako artxibatzea, ikerketa zientifiko edo historikoa egiteko edo helburu estatistikoekin.
IV.Idiazabalgo Udalak datuak tratatzeko honako hauek egin behar ditu:
1. TRATAMENDU JARDUEREN ERREGISTRO bat izan: ezinbestekoa da tratamendu guztien erregistroa egitea eta eguneratuta mantentzea, horiek dokumentatuz eta informazio espezifikoa sartuz.
Administrazioko tratamenduaren erantzuleek eta arduradunek Tratamendu Jardueren Erregistro hori idatziz mantendu beharko dute, formatu elektrikoan ere bai, eta Kontrol Autoritatearentzat eskuragarri egongo da. Bertan jasoko dira egindako datu tratamenduen deskribapenak, honako informazio honekin.
2. TRATAMENDU JARDUEREN INBENTARIO bat izan eta Gardentasun Atarian argitaratu.
3. INPAKTUAREN EBALUAZIOA egin, hau da, datu pertsonal horiek tratatzeak ukitutakoen eskubideentzat eta askatasunentzat izan ditzakeen arriskuen analisia egin beharko da. Analisiak honako hauek hartu beharko ditu kontuan:
– Tratamendu motak.
– Datuen nolakotasuna.
– Ukitutakoen kopurua.
– Erakunde berberak egindako tratamenduen kopurua eta askotarikotasuna.
4. SEGURTASUN NEURRIAK hartu: Zenbait segurtasun neurri aplikatu behar dira datu horiek biltzean:
Datuak zifratzea komunikatzean eta biltegiratzean.
Sartzeak erregistratzea, sartzearen data eta sartu zen langilearekin.
Baimendutakoen zerrenda bat egitea.
Prozedura seguru bat ezartzea tratamendurako.
V. Segurtasun (SEN) eta Interoperabilitate (IEN) politika
Datuak tratatzean aplikatu egingo da 3/2010 Errege Dekretuak, urtarrilaren 8koak, xedatutakoa, konfiantza oinarritu nahi duena informazio sistemek zerbitzuak beren xehetasun funtzionalen arabera ematearen eta informazioa horien arabera babestearen, etenik gabe edo kontrolik gabeko aldaketarik gabe inguruan, baimendutako pertsonek jakitera iritsi gabe.
Datuen Segurtasunaren Arduraduna entitate publiko edo pribatu espezializatu bat izan daiteke. Gipuzkoako tokiko administrazioen kanpoko zerbitzuen kontratazioa Gipuzkoako Foru Aldundiaren Erosketen Zentralaren bidez dago abian (esparru akordioa).
Euskal Administrazio Publikoak beren interoperabilitate plataformak batzeko prozesuan daude.
VI. Datuak kontserbatzeko denbora
Oro har, datu pertsonalak jasota egon beharko dira soilik zerbitzuak modu eraginkorrean kudeatzeko beharrezko aldian, baldin eta interesdunak ez badu kentzeko eskatzen edo baimena atzera botatzen. Kentzea eskatuta edo baimena atzera botata ere, behar besteko denboraz edukiko dira blokeatuta, haien tratamendua mugatuta honako kasu hauetara: gure edozein motatako legezko/kontratuzko betebeharrak betetzea, eta/edo dagozkion erantzukizunak preskribatzeko aurreikusitako legezko epeetan eta/edo herritarrarekin/interesatuarekin mantendutako harremanetik eratorritako erreklamazioetatik defendatzeko.
Beste kasu batzuetan, datuak kontserbatzeko epea egongo da tratamendu jardueren erregistroan datu pertsonalen tratamendu bakoitzerako zehaztutakoaren mendean.
VII. Zure datuak erabiltzeko zilegiztatzea
Askotarikoa izan daiteke datuak tratatzeko zilegiztatzen duen oinarri juridikoa: kasu batzuetan interesdunaren baimena izango da, beste batzuetan, legezko betebehar bat betetzea, beste batzuetan, Administrazioak interes publikoagatik edo Botere Publikoak erabiliz egiten duen zeregin bat betetzea, beste batzuetan, bizi interesak babestea, eta, beste batzuetan, kontratu bat egikaritzea.
Tratamendua baimenean oinarrituta egiten bada, interesdunak berariaz eman beharko du datuak ematea, eta ekarpen hori ekintza afirmatibo argitzat joko da, zure baimena adierazten duen ekintzatzat. Baimen hori edozein unetan bota daiteke atzera.
VIII. Komunikazioa eta datuak transferitzea
Zuk emandako datuak hirugarren entitateei helarazi ahal izango zaizkie lagatzailearen eta lagapena jasotzen duenaren funtzio legitimoekin zuzenean lotutako xedeetarako, esaterako, datuak legez nahitaez komunikatu behar zaizkien entitateei edo organismoei, edo proiektu sozialak, kulturalak edo kiroletakoak garatzeko hitzarmenak formalizatu dituzten entitate edo erakunde publiko edo pribatuei.
Zure datuak Europako Esparru Ekonomikotik, Europar Batasuneko estatu kide guztiak, Norvegia, Islandia eta Liechtenstein hartzen dituenetik, kanpo bidaltzen badira, datuen nazioarteko transferentzia bat gertatzen da.
Tokiko erakundeen esparruan nazioarteko transferentziak ezohikoak direla dirudien arren, informazio eta komunikazio teknologiak geroz eta gehiago erabiltzen direnez, edo “hodeiko” zerbitzuak orokortu direnez (cloud computing), gero eta aukera gehiago dago datu horiek Europako Esparru Ekonomikotik kanpo bidaltzeko.
IX. Datuak babesteko ordezkaria
Datuak babeste ordezkaria entitate publiko edo pribatu espezializatu bat izan daiteke. Gipuzkoako tokiko administrazioen kanpoko zerbitzuen kontratazioa Gipuzkoako Foru Aldundiaren Erosketen Zentralaren bidez dago abian (esparru akordioa).
Datuak babesteko ordezkariak tratamenduaren erantzulearen edo arduradunaren solaskide moduan jardungo du Datuen Babeserako Espainiako Agentziarekin eta datuak babesteko autonomia erkidegoko autoritateekin. Ordezkariak lege organikoaren xedearekin lotutako prozedurak ikuskatu ahal izango ditu, eta gomendioak egin ahal izango ditu bere eskumenen alorrean.
Datuak babesteko ordezkariak, bere funtzioak betetzean, datu pertsonaletarako eta tratamendu prozesuetarako sarbidea izango du. Tratamenduaren erantzuleak edo arduradunak ezingo dio sarbide horri oztoporik jarri konfidentzialtasun edo sekretuagatik, lege organikoaren 5. artikuluan aurreikusitakoa barne.
Datuak babesteko ordezkariak ikusten badu nabarmen hautsi dela datuen babesa, hori dokumentatu egingo du, eta berehala jakinaraziko dio tratamenduaren erantzulearen edo arduradunaren administrazio eta zuzendaritza organoei.
X. Honako hauek dira herritarren eskubideak datu pertsonalak babesteko alorrean:
Sartzeko eskubidea: tratatzen ari diren datu pertsonalak ezagutzeko eta horien kopia bat eskatzeko.
Zuzentzeko eskubidea: zehatzak ez diren datu pertsonalak zuzentzea eskatzeko edo osorik ez daudenak osatzeko, baita adierazpen gehigarri baten bidez ere.
Ezabatzeko eskubidea (ahazteko eskubidea): datu pertsonalak ezabatzeko beharrezkoak ez direnean jaso ziren helburuetarako; baimena atzera botatzea; horiek legez kanpo edo legezko betebehar baten ondorioz tratatu direnean.
Tratamendua mugatzeko eskubidea: datuen tratamendua mugatzeko eskatzeko. Kasu horretan, soilik gordeko dira erreklamazioez defendatzeko.
Datuen eramangarritasunerako eskubidea: datu pertsonalak formatu egituratu batean eskatzeko, erabilera komuneko eta irakurpen mekanikoko formatu batean.
Aurka egiteko eskubidea: datuen tratamenduaren aurka egiteko, tratamendu hori oinarritzen bada fitxategiaren arduradunaren interes legitimoetan edo publizitate helburua badu.
XI. Eskubide horiek erabiltzeko prozedurak honako hauek dira:
Eskubide horiek erabiltzeko ekintza egin duen administraziora jo behar da, edo Datuak Babesteko Euskal Bulegoan erreklamazioa jarri beharko da.
Ekintza egin duen administrazioak gehienez ere hilabeteko epean erantzun beharko du. Aldi hori beste bi hilabetez luzatu ahal izango da, kontuan hartuta eskaeren konplexutasuna eta kopurua, baina herritarrari jakinarazi beharko zaio epe hori luzatu dela, eskaera jaso eta hilabetera. Berandutzearen arrazoia adierazi beharko da. Herritarrak eskaera elektronikoki aurkeztu balu, informazioa elektronikoki emango da posible denean, salbu eta herritarrak beste moduren batean helarazteko eskatzen badu.
Tratamenduaren erantzuleak edo arduradunak datuak babesteko ordezkaria izendatutakoan, ukitutakoak erreklamazioa jasoko duen entitatearen datuak babesteko ordezkariarengana jo ahal izango du, Datuak Babesteko Euskal Bulegoan haren kontrako erreklamazioa jarri aurretik. Kasu horretan, datuak babesteko ordezkariak ukitutakoari jakinaraziko dio zein erabaki hartu duen erreklamazioa jaso eta bi hilabeteko epean, gehienez ere.
Ukitutakoak erreklamazio bat jartzen badu Datuak Babesteko Euskal Bulegoan, hark erreklamazioa datuak babesteko ordezkariari bidali ahal izango dio, hark hilabeteko epean erantzun dezan.
Behin epea amaitutakoan datuak babesteko ordezkariak ez badio datuak babesteko autoritate eskudunari erreklamazio horri emandako erantzuna jakinarazi, autoritate horrek dagokion prozedura hasiko du, lege organiko horren VIII. Tituluan eta hura garatzen duten arauetan xedatutakoari jarraituz.