Partekatu edukia
27/18 EBAZPENA, 2018ko maiatzaren 28koa, Nafarroako Arartekoaren erakundean datu pertsonalen babesaren gaineko eragina ebaluatzea onesten duena.
2018ko maiatzaren 25ean indarrean izango da 2016/679 (EB) Erregelamendua, Europako Parlamentuarena eta Kontseiluarena, 2016ko apirilaren 27koa, datu pertsonalen tratamenduari dagokionez pertsona fisikoak babesteari buruzkoa (aurrerantzean, Europar Batasunaren Datuen Babeserako Erregelamendua).
Europar Batasuneko Erregelamendua agintari publikoei aplikatzekoa da, eta Erregelamenduan ezarritakoaren arabera, zenbait eginkizun bete beharra dakarkie haiei.
Europar Batasuneko Erregelamenduaren 35. artikuluak dio tratamendu-mota batek, bere izaeragatik, irismenagatik, testuinguruagatik edo helburuengatik, pertsona fisikoen eskubide eta askatasunak arrisku handian jar baditzake, tratamendu-eragiketek datu pertsonalen babesean zer eragin izango duen ebaluatu beharko duela tratamenduaren arduradunak, tratamendua egin baino lehen.
Ebazpen honen proiektuaren aldeko txostena eman du Nafarroako Arartekoaren erakundean egiten den datu pertsonalen tratamendua Europar Batasunaren Datuen Babeserako Erregelamendura egokitzeko Batzordeak. Batzorde horren kide oso dira erakundeko datu pertsonalen babeseko ordezkaria, tratamenduaren arduraduna eta tratamendu-eragilea.
Ondorioz, 2005eko azaroaren 21ean Nafarroako Legebiltzarreko Mahaiak onartutako Nafarroako Arartekoaren Antolaketaren eta Funtzionamenduaren Araudiaren 7. artikuluan xedatutakoa betez,
HAU EBAZTEN DUT:
Tratamendu-eragiketen deskribapen sistematikoa:
Nafarroako Arartekoko instituzioan, hurrengo datu pertsonalen tratamendua egiten da:
Tratamendu-eragiketek beren helburuei begira duten beharraren eta proportzionaltasunaren ebaluazioa. Tratamenduaren oinarriko juridikoa.
Nafarroako Arartekoaren erakundeak, aginte publiko baten funtzioak betetzen dituen aldetik, datu pertsonalen tratamendua egin behar du betetzekoa duen interes publikoko xedea betetzeko, eta tratamenduaren arduradunari aurreko puntuetan adierazi diren legeek ematen dizkioten borete publikoak egikaritzeko.
Jasotako datu pertsonalekin, erakundeak honako xede hauek ditu helburu:
Erakundearen (langileen, instalazioen eta edukien) segurtasuna zaintzea bideokameraren bitartez eta, beharrezkoa baldin bada, beste neurri batzuen bitartez.
Tratamenduaren oinarri juridikoa, 6.1 c) eta e) artikuluan ezarritakoari erreparatuz, Nafarroako Foru Eraentza Berrezarri eta Hobetzeari buruzko abuztuaren 10eko 13/1982 Lege Organikoaren 18.ter artikuluan dago, 7/2010 Lege Organikoa, Nafarroako Foru Eraentza Berrezarri eta Hobetzeari buruzko abuztuaren 10eko 13/1982 Lege Organikoak emandako erredakzioan alegia, uztailaren 3ko 4/2000 Foru Legean, Nafarroako Arartekoari buruzkoak [1.3, 11., 11 bis, 13., 16., 17., 19., 20., 21., 24., 26., 32. eta 35. artikuluetan], baita ere, gerorako beste lege batzuetan zeinak erakunde horrek dituen funtzioak edo eginkizunak handitzeko eta indartzeko eman direnak:
15/2005 Foru Legea, abenduaren 5ekoa, haurrentzako eta nerabeentzako sustapenari, laguntzari eta babesari buruzkoa (14.3 artikulua).
11/2007 Foru Legea, apirilaren 4koa, Nafarroako Foru Komunitateko Administrazioan Administrazio Elektronikoa ezartzekoa (lehen xedapen gehigarria).
11/2012 Foru Legea, ekainaren 21ekoa, Gardentasunari eta Gobernu Irekiari buruzkoa (68.1 artikulua).
8/2016 Foru Legea, ekainaren 9koa, Nafarroako Kontseiluari buruzkoa (14.2 artikulua).
8/2017 Foru Legea, ekainaren 19koa, LGTBI+ pertsonen berdintasun sozialari buruzkoa (6.1 art.).
Era berean, apirilaren 6ko 3/1981 Lege Organikoan, Herri Defendatzaileari buruzko legean ere badu oinarri juridikoa; eta azaroaren 6ko 36/1985 Legea, Herri Defendatzailearen erakundearen eta autonomia-erkidegoetan dauden antzeko figuren arteko harremanak arautzen dituena; eta Estatuaren prozedura legeetan.
Beraz, tratamendu operazioak ezinbestekoak dira Nafarroako Arartekoko instituzioarentzat betetzekoa duen interes publikoko xedearentzat, herritarren eskubideen defentsan eta zerbitzu publikoaren hobekuntzan alegia, horrela ezartzen zaio abuztuaren 10eko 13/1982 Lege Organikoan Nafarroako Foru Eraentza Berrezarri eta Hobetzeari buruzko legeko 18.ter artikuluan, 7/2010 Lege Organikoak emandako erredakzioan alegia, uztailaren 3ko 4/2000 Foru Legean, Nafarroako Arartekoari buruzkoan baita ere, gerorako beste lege batzuetan zeinak erakunde horrek dituen funtzioak edo eginkizunak handitzeko eta indartzeko eman direnak.
Bestalde, Nafarroako Arartekoko instituzioaren ustetan ordenamendu juridikoak emandako funtzioen barne dago datu pertsonalen tratamendua, beraz, interesatuen baimena ez da beharrezkoa izango eta dagokion kasutan datu horiek administrazio edota instituzio publikoei komunikatu ahal zaie, betiere euren funtziopean jarduten duenean, (Nafarroako administrazio publikoei ikuskatuak direnean, Espainiako Herri Defendatzaileari, autonomia-erkidegoetako goi-komisarioei, Herri Defendatzailearen parekoei, gaiak azter ditzaten, Nafarroako Kontseiluari, organo judizialei, fiskaltzari, etab.). Edozein modutan kexak interesdunen iniziatibaz aurkezten dira, uztailaren 3ko 4/200 Foru Legaren 21.1 artikuluak ezartzen duen moduan, eta, kasu gehienetan herritarrek aipatzen dituzten datuak lehenagotik administrazioaren esku daude. Gainera, instituzioak kontsideratzen du Nafarroako Arartekoaren instituzioaren xedea arautzen duten legeekin bat egoteko, herritarren bermeari buruz (13/1982 Lege organikoaren, abuztuaren 10ekoaren 18. Artikulua) Administrazio publikoen behar bat dela kexekin harremana duten datu pertsonalen komunikazioa, honela, ez da beharrezkoa izango interesdunaren baimena euren datu pertsonalen tratamendurako.
Pertsona fisikoen eskubide eta askatasunetarako arriskuen ebaluazioa.
Datu pertsonalen tratamenduak ez ditu pertsonen eskubideak eta askatasunak arrisku handian jartzen, honako arrazoi hauengatik:
Datuen Babeserako Agentziak berak, Nafarroako Arartekoaren erakundearen fitxategiak onartu zituenean, arrisku txikikotzat
jo zituen, haiek inskribatzean. Datu pertsonalei buruzko araubide horretan oinarrituta, datu pertsonalen fitxategiak arautu zituen Nafarroako Arartekoaren erakundeak. Berariaz, ekainaren 18ko 31/04 Ebazpena eta urriaren 17ko 38/07 Ebazpena eman zituen Nafarroako Foru Komunitateko Arartekoak (Nafarroako Aldizkari Ofizialean argitaratu ziren, 2004ko uztailaren 28an –90. zenbakia– eta 2007ko azaroaren 2an –137. zenbakia–, hurrenez hurren).
Urriaren 17ko 38/07 Ebazpenak arautzen du honako fitxategi hauek dituztela datu pertsonalak:
Kontularitzako eta kudeaketa ekonomiko eta finantzarioko erregistroak.
Bost fitxategi horietako segurtasun-neurriek maila oinarrizkoa
dutela arautu da.
Gerora, Nafarroako Foru Komunitateko Arartekoaren abenduaren 11ko 62/07 Ebazpenaren bidez (2008ko urtarrilaren 7an argitaratu zen Nafarroako Aldizkari Ofizialean), erakunde horren bideo-zaintzako fitxategia sortu zen, eta fitxategi horren segurtasun-neurriak maila oinarrizkoa
duela arautu zen.
Erakundearen barne-kudeaketarekin lotutako datuak kontratuzko harreman batetik edo antzeko batetik sortzen dira, eta harreman hori erakundearen funtzionamenduarekin lotuta dago beti.
Hori horrela, Nafarroako Arartekoaren erakundeak egiten duen datu-tratamenduaren arriskua txikia
dela jo daiteke.
Eragina ebaluatzearen komenigarritasuna.
Europar Batasuneko Datuen Babeserako Erregelamenduaren 35.10 artikuluak honela dio: baldin eta 6.1 artikuluko c) edo e) letren arabera tratamenduaren oinarri juridikoa bada tratamenduaren arduradunari aplikatzen zaion Batasuneko edo estatu kide bateko zuzenbidea, eta zuzenbide horrek arautzen badu kasuan kasuko tratamendu-eragiketa espezifikoa edo eragiketa-multzoa, eta dagoeneko datu-babesaren gaineko eraginaren ebaluazioa egin bada, oinarri juridiko hori gauzatzearen testuinguruko eraginaren ebaluazio orokor baten zati moduan, ez dira aplikatuko artikulu honetako 1.tik 7.era bitarteko zenbakiak salbu eta estatu kideek uste badute tratamendu-jardueren aurretiko ebaluazio hori egitea beharrezkoa dela.
Aipatutako 35.10 artikuluak xedatutakoarekin bat etorriz, baliteke tratamendu-jardueren aurretiko ebaluazioa nahitaezkoa ez izatea, Nafarroako Arartekoaren erakundearen jardueraren oinarri juridikoa Europar Batasuneko Datuen Babeserako Erregelamenduaren 6.1 artikuluko c) eta e) letretan jasoa baitago, eta 4/2000 Foru Legeak, uztailaren 3koak, datu pertsonalak jaso eta jakinarazteko aukera ematen baitio erakundeari bere zeregina betetzeko, herritarrek hala eskatuta edo ofizioz, eta, gainera, datu pertsonal asko gainbegiratutako administrazioaren esku baitaude jadanik.
Hala eta guztiz ere, erakundeak ezagutzen eta gordetzen dituen datu pertsonalak hobeto zaintzen direla bermatzeko, komenigarritzat jotzen da datu pertsonalen gainean tratamendu-eragiketek izan dezaketen eraginaren ebaluazio bat onestea.
Onespena.
Adierazitakoaren ondorioz, Nafarroako Arartekoaren erakundean datu pertsonalen babesaren gaineko eragina ebaluatzea onesten da, Europar Batasuneko Datuen Babeserako Erregelamenduaren 35.7 artikuluan jasotako edukia oinarri hartuta.
Erakundeak egiten dituen tratamendu-eragiketa guztientzat ebaluazio bakarra egingo da, eta hauek hartuko ditu barnean:
Arriskuei aurre egiteko aurreikusitako neurriak, datu pertsonalen babesa ziurtatzeko bermeak, segurtasun-neurriak eta mekanismoak barne.
Nafarroako Arartekoaren erakundean datu pertsonalen tratamenduan Datuen Babeserako Erregelamendu Orokorra aplikatzeko batzorde bat dago, eta haren funtzioak dira Datuen Babeserako Erregelamendu Orokorra aplikatzeko har litezkeen neurri egokienak aztertzea, txostenak egitea eta proposamenak aurkeztea.
Batzordea osatzen dute tratamenduaren arduradunak, datuen babeserako ordezkariak eta tratamendu-egileak; horietako bakoitzak autonomia eta berezko irizpidea du, datu pertsonalak babesteko egokiena zer iruditzen zaion azaltzeko.
Batzordea berehala bilduko da, kideetako batek balizko arrisku bat edo tratamenduen arrisku-mailan aldaketa bat hauteman eta hala eskatzen badu. Batzordeak beharrezkoak diren neurriak hartuko ditu arriskua murrizteko edo minimizatzeko, eta interesdunen eskubide eta askatasunak hobeto babesteko.
Aholkularien eta arloan adituak diren pertsonen parte-hartzea eskatu ahal izango du batzordeak, eta adostutako neurriak inplementatzeko kontratuak egitea proposatu ahal izango du.
Puntu honetan ezarritakoak ez ditu aldatuko datu pertsonalen babeserako ordezkariaren funtzioak eta eginkizunak.
Oro har deskribatuko dira orain datu pertsonalen babesaren alorrean betetzekoak diren segurtasun-neurriak:
Aurrekariak:
Datu pertsonalei buruzko araubide horretan oinarrituta, datu pertsonalen fitxategiak arautu zituen Nafarroako Arartekoaren erakundeak.Berariaz, ekainaren 18ko 31/04 Ebazpena eta urriaren 17ko 38/07 Ebazpena eman zituen Nafarroako Foru Komunitateko Arartekoak (Nafarroako Aldizkari Ofizialean argitaratu ziren, 2004ko uztailaren 28an –90. zenbakia– eta 2007ko azaroaren 2an –137. zenbakia–, hurrenez hurren).
Urriaren 17ko 38/07 Ebazpenak arautzen du honako fitxategi hauek dituztela datu pertsonalak:
Kontularitzako eta kudeaketa ekonomiko eta finantzarioko erregistroak.
Bost fitxategi horietako segurtasun-neurriek maila oinarrizkoa
dutela arautu da.
Gerora, Nafarroako Foru Komunitateko Arartekoaren abenduaren 11ko 62/07 Ebazpenaren bidez (2008ko urtarrilaren 7an argitaratu zen Nafarroako Aldizkari Ofizialean), erakunde horren bideo-zaintzako fitxategia sortu zen, eta fitxategi horren segurtasun-neurriak maila oinarrizkoa
duela arautu zen.
Datu pertsonalen fitxategi automatizatuetarako segurtasun-dokumentu bat sortu zen 2007an, erregistro orokorra izateko. Dokumentu horrek xedatutakoek osatu edo orientatu egin dezakete ebazpenak arautzen ez duena, Europar Batasunaren Datuen Babeserako Erregelamenduarekin bat datorren neurrian.
Administratiboak:
Erakundean lan egiten duten pertsonek soilik hartzen, erregistratzen eta artxibatzen dituzte datu pertsonalak.
Erakundeko pertsona guztiak Nafarroako Arartekoaren (erantzulearen) mendeko zuzenak dira, eta, ondorioz, arartekoaren mende lan egiten duten pertsona guztiek haren jarraibideak bete behar dituzte datu pertsonalak tratatzeko, baldin eta datu pertsonetarako sarbidea baldin badute.
Datu pertsonalak eskura ditzaketen lanpostuen zerrenda kudeatzen du tratamenduaren arduradunak.
Identifikatuta daude artxibo eta sistema informatikoetarako sarbidea duten pertsona guztiak. Erakundean lan egiten duten langileek edo, kasuan kasu, kontratatutako enpresen langileek soilik dute sarbide hori.
Datuak erregistratzen eta artxibatzen dituzten pertsonek tratamenduaren arduradunaren (Kudeaketa Administratiboko teknikariaren) jarraibideak bete behar dituzte.
Erakundean lan egiten duten pertsonek konfidentzialtasunerako betebeharra dutela arautzen du Nafarroako Foru Komuniteko arartekoaren Antolaketa eta Funtzionamendu Erregelamenduaren 27. artikuluak (Nafarroako Parlamentuko Mahaiak onartu zuen erregelamendu hori, 2005eko azaroaren 21ean): Nafarroako Foru Komunitateko arartekoaren zerbitzuko langile orok isilpean gorde beharko ditu erakundean izapidetutako gaiak. Betebehar hori ez betetzeari zehapena egokituko zaio, erregelamendu honetan xedatutakoarekin bat
. Diziplina-zehapenen araubidea xedatzen du 28. artikuluak. Pertsona horiek, zerbitzua ematean, erabateko dedikazioko araubidea izanen dutela arautzen du 26.1 artikuluak.
Nafarroako arartekoaren mendeko zuzenak dira bulegoko pertsona guztiek.
Xede instituzionala betetzean tratatzen diren datuak administrazio publikoei, instituzio publikoei, organo judizialei, agintari publikoei eta, beharrezkoa denean, funtzionario publikoei soilik komunikatuko zaizkie, uztailaren 3ko 4/2000 Foru Legeak, Nafarroako Foru Komunitateko arartekoari buruzkoak, arautzen dituen interes publikoko xedeak eta indarreko legeak betetzeko eta, beti, legeek arautzen duten moduan.Erakundeak, bere jardunbidean, legezkotasun-printzipioa bete behar du.
Fisikoak:
Datu pertsonalak dituzten dokumentuak espedienteetan gordetzen dira, eta horiek, era berean, urteen arabera sailkatuta artxibatzen dira:
Giltzaz itxitako armairuetan gordetzen dira tramitatzen ari diren espedienteak.
Erakundea 2001ean sortu eta eratu zen, eta orduz geroztik egin diren espediente guztiak paper-formatuan gordetzen dira, karpetetan eta kaxetan sartuta, erakundearen egoitzan (Emilio Arrieta kalea 12 behea).
Bideo-zaintzako kamera batek kontrolatzen du eraikinerako sarbidea, eta erakundeko geletara nor edo nortzuk sartzen diren behatzeko eta erregistratzeko aukera ematen du.
Horrez gainera, alarma-sistema bat dago, eta bulegoa itxita eta langilerik gabe dagoenean aktibatzen da, gauetan eta egun baliogabeetan.
Bulegoan mantentze- eta garbiketa-lanak egiten dituzten pertsonak beren eginkizunei dagozkien lanak egitera bakarrik sartzen dira lokalera (pertsona horiek ez dira erakundearen plantillako langileak, eta kontratu publikoen legediaren arabera kontratatu dira).
Erantzulearen edo arduradunaren baimena eskuratu ondoren soilik atera daitezke lokaletatik kanpora datu pertsonalak daramatzen dokumentuak (baimena eman duenak horren berri eman behar die datuen babesaren arduradunari eta ordezkariari).
Zenbait neurri betetzen dira suterik, uholderik, suntsiketa partzialik edo osorik, lapurretarik edo dokumentuen alteraziorik gerta ez dadin, eta neurri horiek nahiko direla ulertzen da, horiek hobetzeko aukerak izan daitezkeen arren.Aurreko urteetan ez da datu pertsonalen galerarik, lapurretarik edo alteraziorik gertatu arrazoi horien ondorioz.
Windows sistema-eragilea erabiltzen da kexak eta dokumentuak artxibatzeko eta idatziak egiteko (hartu-agiriak, administrazio publikoei bidali behar zaizkien idatziak, interesatuei bidali behar zaizkienak, etab.).Sare lokala da, ez du konexiorik beste sare lokal batzuetara eta sare hori da sarbide bakarra, ezin baita kanpotik sartu sare horretara.
Dokumentuak eta idatziak hartu eta bidaltzeko sistema informatikoak erabiltzen dira administrazio eta erakunde publiko batzuekin (Nafarroako Gobernuarekin, Iruñeako Udalarekin, Tuterako Udalarekin eta beste batzuekin).
Kontratu publikoen legediak arautzen duena beteta, enpresa batek zerbitzu informatikoak ematen dizkio Nafarroako arartekoari, erakundearen sistema informatikoaren eta erakundeak bere esku dituen datu pertsonalen konfidentzialtasuna, osotasuna, eskuragarritasuna eta erresilientzia bermatzeko.
Aplikazio informatikoan eta Windows sistema eragilean dagoen informazio guztiaren segurtasuneko kopia bat egiten da egunero, astelehenetik ostiralera.
Erakundearen gailu berezi batean gordetzen da kopia, leku seguru batean, zerbitzarietatik urrun eta hamabost egun balioduneko epean.Erantzuleak eta arduradunak soilik har dezakete kopia erabiltzeko erabakia (horren berri eman behar diote babeseko ordezkariari).
Aplikazio informatiko eta sistema eragile horietara sartzeko, erabiltzailea eta pasahitza daramaten sarbide-gakoak erabiltzen ditu pertsona bakoitzak, eta, horrez gainera, pantaila-babesak eta aldi baterako blokeoak erabiltzen dira.Pantailen, inpresoren eta lanpostu bakoitzera konektatutako gainerako gailuen kokapen fisikoak bermatu egiten du konfidentzialtasuna.
Debekatuta dago kanpo-sare edo -sistemetatik konektatzea fitxategietara, salbu eta arduradunak horretarako baimen berariazkoa ematen baldin badu.
Erantzulearen edo arduradunaren baimena eskuratu ondoren soilik atera daitezke lokaletatik kanpora datu pertsonalak daramatzen euskarri informatikoak (baimena eman duenak horre berri eman behar die datuen babesaren arduradunari eta ordezkariari).
Seudonimizazio-bermeak:
Kendu egiten dira datu pertsonalak erakundearen gune digitalean (www.defensornavarra.es) argitaratzen diren ebazpenetatik eta dokumentuetatik, datu pertsonalik ez bistaratzeko.Ebazpenak eta dokumentuak argitaratzean, kexa-egileen datu pertsonalik ez dela aipatzen egiaztatzen du erakundeak.
Datu pertsonalak daramatzaten informazioak eskatzen baldin badituzte hirugarren pertsonek, ukitutako pertsonen adostasuna eskatzen da, edo datu pertsonalak ezabatzen dira, ukitutako pertsona fisikorik ez identifikatzeko.
Kontrol-aginteari kontsulta.
Ez da beharrezkotzat joko kontrol-aginteari (hau da, Datuen Babeserako Espainiako Agentziari) aurrez kontsulta egitea tratamendua egin baino lehen. Izan ere, Europar Batasuneko Datuen Babeserako Erregelamenduaren 35. artikuluaren arabera, arriskuaren ebaluazioak adierazten du tratamendu horrek ez duela arrisku handirik.
Eta ez da ikusten gaur egun Espainiako estatuan edo Nafarroako Foru Komunitatean inolako legek behartzen duenik Nafarroako Arartekoaren erakundea, tratamenduaren arduraduna den aldetik, datuen tratamenduari buruz aginte-kontrolari kontsulta egitera eta haren aurretiko baimena lortzera, arduradun batek interes publikoko zeregin bat bete behar duenean, eta bereziki gizarte-babesarekin eta osasun publikoarekin lotutako tratamendu bat egin behar duenean (Europar Batasuneko Datuen Babeserako Erregelamenduaren 36. artikulua).
Jakinarazpena.
Ebazpen hau erakundeko datu pertsonalen tratamenduaren arduradunari, datuen babeseko ordezkariari eta tratamendu-eragileari jakinaraztea.
Argitalpena.
Ebazpen hau erakundearen gune digitalean (www.defensornavarra.es) argitaratzea, bere hedadura handitzeko.
Iruña, 2018ko maiatzaren 28an.
El Defensor del Pueblo de Navarra
Nafarroako Arartekoa
Francisco Javier Enériz Olaechea
Partekatu edukia