Bilaketa aurreratua

Ebazpenak - Datu Pertsonalen babesa

25/18 EBAZPENA, maiatzaren 25ekoa, Nafarroako Arartekoaren erakundeko datu pertsonalen tratamenduaren tratamendu-eragileari dagokion datu pertsonalen tratamenduaren jarduera-kategorien erregistroa onartzen duena.

2018 maiatza 25

: 25

25/18 EBAZPENA, maiatzaren 25ekoa, Nafarroako Arartekoaren erakundeko datu pertsonalen tratamenduaren tratamendu-eragileari dagokion datu pertsonalen tratamenduaren jarduera-kategorien erregistroa onartzen duena.

2018ko maiatzaren 25ean indarrean izango da 2016/679 (EB) Erregelamendua, Europako Parlamentuarena eta Kontseiluarena, 2016ko apirilaren 27koa, datu pertsonalen tratamenduari dagokionez pertsona fisikoak babesteari buruzkoa (aurrerantzean, Europar Batasunaren Datuen Babeserako Erregelamendua).

Europar Batasuneko Erregelamendua agintari publikoei aplikatzekoa da, eta Erregelamenduan ezarritakoaren arabera, zenbait eginkizun bete beharra dakarkie haiei.

Europar Batasuneko Erregelamenduaren 30.2 artikuluak xedatzen du datu pertsonalen tratamendu-eragile bakoitzak arduradun baten kontura egindako tratamenduen jarduera-kategoria guztien erregistroa kudeatuko duela, eta aipatutako erregistroan arau horretan adierazten den informazioa jaso beharko dela.

Europar Batasunaren Datuen Babeserako Erregelamenduko 30.2 artikulua betetzeko, beharrezkoa irizten zaio tratamendu-eragileari dagokion datu pertsonalen tratamenduaren jarduera-kategorien erregistroa onartzea.

Ebazpen honen proiektuaren aldeko txostena eman du Nafarroako Arartekoaren erakundean egiten den datu pertsonalen tratamendua Europar Batasunaren Datuen Babeserako Erregelamendura egokitzeko Batzordeak. Batzorde horren kide oso dira erakundeko datu pertsonalen babeseko ordezkaria, tratamenduaren arduraduna eta tratamendu-eragilea.

Ondorioz, 2005eko azaroaren 21ean Nafarroako Legebiltzarreko Mahaiak onartutako Nafarroako Arartekoaren Antolaketaren eta Funtzionamenduaren Araudiaren 7. artikuluan xedatutakoa betez,

HAU EBAZTEN DUT:

Lehena.- Nafarroako Arartekoaren erakundeko datu pertsonalen tratamenduaren tratamendu-eragileari dagokion tratamenduaren jarduera-kategorien erregistroa onartzea, Europar Batasunaren Datuen Babeserako Erregelamenduko 30.2 artikuluan xedatutakoa betetzeko.

Bigarrena.- Erregistroan informazio hau jasoko dela erabakitzea:

  1. Tratamendu-eragilearen izena eta harremanetarako datuak:
    • Tratamendu-eragilea:Nafarroako Arartekoaren Kudeaketa Administratiboko Teknikaria.
    • Emilio Arrieta kalea 12, behea.
    • 31002 Pamplona-Iruña.
    • Telefono-zenbakia: 948-203571.
    • Posta elektronikoa: info@defensornavarra.es
  2. Tratamendu-eragileari ardura ematen dion arduradunaren izena eta harremanetarako datuak:
    • Arduraduna:Nafarroako Arartekoa.
    • Emilio Arrieta kalea 12, behea.
    • 31002 Pamplona-Iruña.
    • Telefono-zenbakia: 948-203571.
    • Posta elektronikoa: info@defensornavarra.es
  3. Ordezkariaren izena eta harremanetarako datuak:
    • Ordezkaria:Carlos Sarasíbar Marco.
    • Emilio Arrieta kalea 12, behea.
    • 31002 Pamplona-Iruña.
    • Telefono-zenbakia: 948-203571.
    • Posta elektronikoa: csarasibar@defensornavarra.es
  4. Arduradunak emandako arduren kontura egindako tratamenduen kategoriak:
    • *Oro har:
      • Erakundean aurkezten diren idazkiak eta dokumentuak jasotzea, artxibatzea, eta haien sarrera- eta irteera-kontrola egitea.
    • * Kexekin zerikusia duen guztian (herritarren proposamenak eta, hala dagokionean, ofiziozko jarduketak barne):
      • Nafarroako Arartekoari zuzendutako idazki eta dokumentuak jasotzea, haien sarrera-kontrola egitea eta artxibatzea.
      • Pertsona interesdunei, administrazioei eta erakundeei zuzendutako idazki eta dokumentuak bidaltzea eta haien irteera-kontrola egitea.
      • Pertsona interesdunengandik, administrazioetatik eta erakundeetatik jasotako idazki eta dokumentuak jasotzea, haien sarrera-kontrola egitea eta artxibatzea.
      • Kexen laburpen bat egitea eta laburpen hori erakundearen gune digitalean argitaratzea (datu pertsonalak ezabatuta).
      • Nafarroako Arartekoak emandako ebazpenak erakundearen gune digitalean argitaratzea (datu pertsonalak seudonimizatuta).
    • * Kontsultekin, telefono-deiekin, hitzordu-eskaerekin eta bisitekin zerikusia duen guztian:
      • Nafarroako Arartekoari hitzorduak eskatzeko eta kontsultak egiteko idazkiak jasotzea, haien sarrera-kontrola egitea eta artxibatzea.
      • Telefono-deiak jasotzea.
      • Bisitei harrera egitea.
    • * Erakundeko langileekin zerikusia duen guztian:
      • Nafarroako Arartekoaren erakundeko plantilla organikoa kudeatzea, eta nominak egitea eta kontrolatzea; horren barnean sartzen dira hautaketa, altak, bajak eta egin behar diren aldaketak gauzatzea, bai eta erakundearen zerbitzura dauden langileei egin beharreko beste ordainketa eta ordainsari batzuk kudeatzea ere.Hori guztia administrazio publiko eskudunei –Ogasun Publikoa, Gizarte Segurantza, montepioak, bankuak eta organo judizialak– nominekin, zergekin, eskubide pasiboekin, altekin eta bajekin, kotizazio-oinarriekin, istripuekin eta gaixotasunekin eta abarrekin lotutako datuak, beharrezkoa denean, jakinarazita, eta araudi hauen arabera: zerga-araudia, gizarte segurantzaren araudia, administrazio publikoetako langileen eskubide pasiboen araudia eta prozedura-araudia.
    • * Erakundearen jarduera administratiboarekin, kontabilitate-jarduerarekin eta kudeaketa finantzario-ekonomikoarekin zerikusia duen guztian:
      • Erakundearen jarduera administratibotik, kontabibilitate-jardueratik eta jarduera ekonomiko-finantzariotik eratorritako dokumentuak, kontabilitateko egoera-orriak eta kontratazio-espedienteak izapidetzea eta kontrolatzea, eta haien jarraipena egitea.Hori guztia administrazio publikoei, Ogasunari eta bankuei (transferentziak eta ordainketa-aginduak egiteko), beharrezkoa denean, jakinarazita, bai eta, hala badagokio, organo judizialei ere, prozedura-araudiaren arabera.
      • Erakundearen barne-jarduerarekin lotuta Nafarroako Arartekoak emandako ebazpenak erakundearen gune digitalean argitaratzea (datu pertsonalak seudonimizatuta).
    • * Erakundeko bideozaintzarekin zerikusia duen guztian:
      • Erakundearen egoitzako sarrerako bideozaintzako kamerak grabatutako irudiak ikuskatzea.
  5. Europar Batasunaren Datuen Babeserako Erregelamenduaren 32.2 artikuluak aipatzen dituen segurtasuneko neurri teknikoen eta antolaketa-neurrien deskribapena:

    Jarraian, datu pertsonalen babesari aplikagarri zaizkion segurtasun-neurriak deskribatuko dira modu orokorrean:

    • Aurrekariak:

      Aurretik zegoen izaera pertsonaleko datuen babeserako araudia betetzeko, Nafarroako Arartekoaren erakundeak une hartan zeuden datu pertsonalen fitxategiak arautu zituen.Arautegi hori Nafarroako Foru Komunitateko Arartekoaren ekainaren 18ko 31/04 Ebazpenean eta urriaren 17ko 38/07 Ebazpenean jasotzen da (Nafarroako Aldizkari Ofizialaren 90. zenbakian, 2004ko uztailaren 28koan, eta 137. zenbakian, 2007ko azaroaren 2koan, argitaratu ziren).

      Aipatutako urriaren 17ko 38/07 Ebazpenaren arabera, izaera pertsonaleko datuak jasotzen dituzten fitxategiak hauek dira:

      • Erregistro Orokorra:
      • Kexen Erregistroa.
      • Kontsulten Erregistroa.
      • Langile-kudeaketarako Erregistroa.
      • Kontabilitateko eta Kudeaketa Ekonomiko-Finantzarioko Erregistroa.

        Bost fitxategi horien segurtasun-neurriek Oinarrizko Maila zutela adierazi zen.

        Geroago, Nafarroako Foru Komunitateko Arartekoaren 62/07 Ebazpenak, abenduaren 11koak, erakundearen bideozaintzako fitxategia sortu zuen (2008ko urtarrilaren 7ko Nafarroako Aldizkari Ofizialean argitaratu zen ebazpena), eta han jaso ziren segurtasun-neurriek ere Oinarrizko Maila zutela adierazi zen.

        Gainera, badago izaera pertsonaleko datuen fitxategi automatizatuentzako segurtasun-dokumentu bat ere, 2007an egina, erregistro orokorrerako; eta han jasotzen denak Ebazpen honetan xedatzen dena osatzeko edo xedatzen ez denean –edo Europar Batasunaren Datuen Babeserako Erregelamenduaren aurka egiten ez duenean– orientatzeko balio dezake.

    • Administratiboak:

      Datu pertsonalak erakundean lan egiten duten pertsonek soilik jasotzen, erregistratzen eta artxibatzen dituzte.

      Nafarroako Arartekoa (tratamenduaren arduraduna) da erakundean aritzen diren pertsona guztien arduradun zuzena; horrenbestez, Nafarroako Arartekoak adieraz dezake bere esanetara diharduen edozein langilek eskuragarri dituen datu pertsonalak Arartekoaren jarraibideei jarraituz baino ezin dituela tratatu.

      Tratamendu-eragileak kudeatzen du datu pertsonaletara sarbidea duten lanpostuen zerrenda.

      Artxiboetara eta sistema informatikoetara sarbidea duten pertsona guztiak identifikatuta daude, eta erakundean zerbitzuak ematen dituzten langileak dira edo, zenbaitetan, kontratatutako enpresetako pertsonak.

      Datuak erregistratzen eta artxibatzen dituzten pertsonek tratamendu-eragileak (Kudeaketa Administratiboko Teknikaria) emandako jarraibideen arabera jokatzen dute.

      Erakundean zerbitzuak ematen dituzten pertsonek konfidentzialtasun-betebeharra dute, Nafarroako Arartekoaren Antolamenduari eta Funtzionamenduari buruzko Erregelamenduaren, Nafarroako Parlamentuko Mahaiak 2005eko azaroaren 21ean onartuaren, 27. artikuluak xedatzen duen bezala. Honela dio artikulu horrek: Nafarroako Foru Komunitateko Arartekoaren zerbitzuko langile orok isilpean gorde beharko ditu erakundean izapidetutako gaiak. Betebehar hori ez betetzeari zehapena egokituko zaio, erregelamendu honetan xedatutakoarekin bat. 28. artikuluak diziplina-zehapenei aplikagarri zaien erregimena ezartzen du. 26.1 artikuluak adierazten du pertsona horiek erabateko dedikazioko araubidea izanen dutela, erakundeari zerbitzuak emateari dagokionez.

      Bulegoko pertsona guztien jardueraren arduradun zuzena Nafarroako Arartekoa da.

      Erakundearen xedearekin lotuta tratatzen diren datuen berri, honako hauei soilik eman dakieke: administrazio publikoei, erakunde publikoei, organo judizialei, agintari publikoei eta, hala dagokionean, funtzionario publikoei, betiere uztailaren 3ko 4/2000 Foru Legeak, Nafarroako Arartekoari buruzkoak, adierazten dituen interes publikoko helburuetarako, legeak betetzeko eta legeen arabera.Erakundeak legezkotasun-printzipioa bete behar du bere jardueran.

    • Fisikoak:

      Datu pertsonalak dituzten dokumentuak espedienteetan gordetzen dira, eta espedienteak honako leku hauetan artxibatzen dira, urteka sailkatuta:

      1. Armairuak (ate bakarreko geletan jartzen dira, eta gela horietan sartzeko ateek sarraila izaten dute). Armairu horietan, amaitutako espedienteak gordetzen dira; hau da, gehienak.
      2. Giltzaz itxitako armairuak, izapidetzen ari diren espedienteak direnean.

        Erakundea 2001ean sortu eta eratu zen, eta harrezkero martxan jarri diren espediente guztiak paperean gorde dira erakundearen egoitzan (Emilio Arrieta kalea 12, behea), karpetetan eta kaxetan.

        Eraikineko sarbidea bideozaintzako kamera batek kontrolatzen du, eta, horri esker, erakundearen bulegoetan sartzen diren edo sartu diren pertsonak ikusi eta erregistra daitezke.

        Gainera, alarma-sistema bat dago, eta bulegoa itxita dagoenean edo barnean langilerik ez dagoenean –gauetan eta egun baliogabeetan– aktibatzen da.

        Bulegoaren mantentze-lanak eta garbitasuna egiteko ardura duten pertsonak (erakundearen plantillaz kanpoko pertsonak dira, kontratu publikoen legediaren arabera kontratatutako enpresetakoak) beren zereginekin zerikusia duten zerbitzuak ematera soilik joaten dira bulegoetara.

        Datu pertsonalak dituzten dokumentuak erakundearen bulegoetatik ateratzeko, tratamendu-eragilearen edo arduradunaren baimena behar da ezinbestean (tratamendu-eragileak arduradunari eta babeseko ordezkariari jakinarazi behar die).

        Nahikoa irizten zaie suteei, uholdeei, zati baten edo guztiaren suntsipenei, lapurretei edo aldaketei aurre egiteko gaur egun dauden neurriei, hobetzea baztertu gabe.Aurreko urteetan ez da antzeman arrazoi horiek eragindako datu pertsonalen galerarik, lapurretarik edo aldaketarik.

    • Informatikoak:
      1. Erakundeak badu bere aplikazio informatikoa, eta bertan daude jasota kexak, ofiziozko jarduketak, txostenak eta abar, pertsona interesdunen datuekin eta dokumentuekin.Aplikazio hori erakundeko pertsonek erabiltzen dute, kexak kudeatzeko lan-tresna bat baita.Aplikazio informatikoa martxan jartzeko eta hura gaurkotzeko, Andaluziako Arartekoaren erakundeak utzitako aplikazio informatikoa erabili zen, baina beharrezkoak ziren moldaketa teknikoak egin zitzaizkion, Nafarroako Arartekoaren berezko eta berariazko jarduerara egokitzeko.Horretarako, sistema informatikoekin lotutako zerbitzuak ematen zituen enpresa bat kontratatu zen.Enpresa hori arduratzen da, kontratu publikoen legediaren arabera, aplikazioa mantentzeko, moldatzeko eta haren segurtasun informatikoa bermatzeko laguntza teknikoa emateaz.Ez da arazo aipagarririk antzeman aplikazioaren funtzionamenduan eta erabileran.
      2. Gainera, Windows sistema eragilea kexak eta dokumentuak artxibatzeko eta idazkiak sortzeko erabiltzen da (hartu izanaren adierazpena, administrazio publikoentzako idazkiak, interesdunentzako idazkiak…).Sare hori lokala da, eta ez dago konektatuta beste sare lokal batzuekin; gainera, ez dago sare horretan sartzerik, erakundeko saretik kanpo egonez gero.

        Zenbait administrazio eta erakunde publikorekin (Nafarroako Gobernua, Pamplona-Iruñako Udala, Tuterako Udala eta abar), sistema informatikoak erabiltzen dira dokumentuak eta idazkiak jasotzeko eta bidaltzeko.

        Enpresa batek ematen dizkio, kontratu publikoen legediaren arabera, zerbitzu informatikoak Nafarroako Arartekoari, sistema informatikoaren nahiz erakundean dauden datu pertsonalak tratatzeko zerbitzuen konfidentzialtasun, segurtasun, erabilgarritasun eta erresilientzia iraunkorra bermatzeko.

      3. Beste enpresa bati esker, datu pertsonalen erabilgarritasuna eta haietarako sarbidea azkar berrezartzeko gaitasuna berma daiteke, arazo fisikoak edo teknikoak izanez gero.
      4. Horrez gain, egunero egiten da (astelehenetik ostiralera) aplikazio informatikoan eta Windows sistema eragilean dagoen informazioaren segurtasun-kopia bat.

        Kopia hori erakundearen gailu berezi batean gordetzen da hamabost egun baliodunetan, zerbitzaileetatik urrun, leku seguru batean.Kopia erabiltzeko erabakia datuen babesaren arduradunak edo tratamendu-eragileak baimendutako langileek soilik har dezakete (babeseko ordezkariari jakinarazita).

      5. Aipatutako aplikazio informatikoan eta sistema eragilean sartzeko, sarrera-gakoak erabiltzen dira (pertsona bakoitzak erabiltzailea eta pasahitza ditu), bai eta pantaila-babeslea eta noizbehinkako blokeoak ere.Lanpostuarekin lotutako pantailak, inprimagailuak eta gainerako gailuak konfidentzialtasuna bermatzen duten lekuetan kokatuta daude fisikoki.

        Debekatuta dago fitxategiarekin kanpoko sareetatik edo sistemetatik konektatzea, tratamendu-eragileak emandako berariazko baimenarekin izan ezik.

        Erakundearen bulegoetatik datu pertsonalak dituzten euskarri informatikoak ateratzeko, arduradunaren edo tratamendu-eragilearen baimena behar da ezinbestean (tratamendu-eragileak arduradunari eta babeseko ordezkariari jakinarazi behar die).

      6. Badago langileen kudeaketarako aplikazio informatiko bat (nominak), eta beste bat erakundearen ekonomia eta aurrekontuak kudeatzeko; biek ere datu pertsonalak dituzte.Aplikazio horiek Kudeaketa Administratiboko Teknikariak erabiltzen ditu.Bi enpresa arduratzen dira (enpresa bakoitzak aplikazio bat), kontratu publikoen legediaren arabera, aplikazio horiek mantentzeko, moldatzeko eta haien segurtasun informatikoa bermatzeko laguntza teknikoa emateaz.Ez da arazo aipagarririk antzeman aplikazio horien funtzionamenduan eta erabileran.
      7. Irudiei dagokienez, grabatzaile batean artxibatzen dira, eta automatikoki ezabatzen dira hogeita hamar egun igaro ondoren.
    • Seudonimizazio-bermeak:

      Erakundearen gune digitalean (www.defensornavarra.es) argitaratzen diren ebazpenetako eta dokumentuetako datu pertsonalak ezabatu egiten dira, ezagut ez daitezen.Erakundeak egiaztatu egiten du argitalpen horretan ez dela egiten kexekin lotutako pertsona fisikoen aipamenik.

      Hirugarrenek izaera pertsonaleko datuak eskatzen dituztenean, edota interesdunaren baimena eskatzen da, edota datu pertsonalak ezabatu egiten dira, pertsona interesdunak identifika ez daitezen.

Hirugarrena.- Honako hau adieraztea: Europar Batasuneko Datuen Babeserako Erregelamenduko 32.3 artikuluan xedatutakoaren arabera, hasierako fasean ez dela beharrezkotzat jotzen, ez ereduzko kodeekiko atxikimendurik, ez ziurtapen-mekanismorik erabiltzea.

Laugarrena.- Erregistro hau kontrol-agintaritzaren eskura egon dadila –hark eskatzen duenean– eta formatu elektronikoan egon dadila agintzea.

Bosgarrena.- Ebazpen hau erakundeko datu pertsonalen tratamenduaren arduradunari, datuen babeseko ordezkariari eta tratamendu-eragileari jakinaraztea.

Seigarrena.- Ebazpen hau erakundearen gune digitalean (www.defensornavarra.es) argitaratzea, bere hedadura handitzeko.

Iruña, 2018ko maiatzaren 25ean.

El Defensor del Pueblo de Navarra

Nafarroako Arartekoa

Francisco Javier Enériz Olaechea

Partekatu edukia