DATU PERTSONALEN TRATAMENDURAKO LANGILEEN SEGURTASUN-POLITIKA
1.- APLIKAZIO-EREMUA
Tratamenduaren arduradunak erakundean pribatutasun-kultura ezartzeko konpromisoa du, eta, beraz, beharrezkoa da datu pertsonalak tratatzeko baimena duten pertsonek datuen tratamenduaren inguruko informazioa izatea eta tratamendu horren ardura hartzea.
Datu pertsonalak tratatzeko baimena duen pertsona orori eskatzen zaio segurtasun-politika hau irakurtzeko, ulertzeko, betetzeko eta betearazteko, horrela eman zaion tratamenduaren parte diren datu pertsonalak babesteko.
Segurtasun-politika honek beren jardueretan datu pertsonalak tratatzen dituzten erakunde barneko nahiz kanpoko langileen betebeharrak eta haiek jarraitu beharreko prozedurak ezartzen ditu, eta 2016ko apirilaren 27ko 2016/679 (EB) Erregelamenduak (DBEO) ezarritakoan oinarrituta dago.
Zentzu horretan, politika hau zaindu eta betearazteko, erakundeak langile guztientzat eskuragarri egongo den segurtasunaren arduradun bat izendatu du, eta aipatutako araudiak koordinatu, kontrolatu, garatu eta beren betetzea egiaztatuko ditu.
2.-OINARRIZKO KONTZEPTUAK
Datuen babesa hobeto ulertzeko, definitu egiten ditugu oinarrizko kontzeptu nagusiak:
Tratamenduaren egitura:
Datu pertsonalak: Pertsona fisiko bati buruzko informazioa, pertsona horren identitatea hautematea ahalbidetzen duena.
Tratamendua: Datu pertsonalen gaineko edozein tratamendu: datuak lortzea, haietarako irispidea izatea, esku hartzea, transmititzea, kontserbatzea eta ezereztea.
Interesduna: Bere datu pertsonalen tratamenduaren menpean dagoen pertsona fisikoa.
Fitxategia: Xede jakin baterako tratatu daitezkeen datu pertsonalen multzo egituratua.
Tratamenduaren arduraduna: Tratamenduaren xedeak eta bitartekoak ezartzen dituen erakundea.
Baimendutako langileak: Konfidentzialtasun-konpromiso baten bitartez datuen tratamendua egiteko arduradunaren baimena jaso duen pertsona.
Datu-motak (segurtasun-maila):
Identifikatzaileak (oinarrizko maila): Penal eta berezi motei ez dagozkien datuak, esaterako: izena, helbidea, helbide elektronikoa, telefonoa, adina, sexua, sinadura, irudia, zaletasunak, ondarea, bankuko datuak, informazio akademikoa, profesionala, soziala, komertziala, finantzarioa, etab.
Penalak (Erdi maila): Arau-hauste administratibo edo penalei buruzko datuak edo izaeraren ezaugarrien definizio bat eman dezaketenak, etab.
Bereziak (Maila altua): Jatorri etnikoari edo arrazari, iritzi politikoei, sinesmen erlijioso edo filosofikoei, sindikatuetako afiliazioei, pertsona baten identifikazio unibokoa ahalbidetzen duten datu genetiko edo biometrikoei, osasunari edo bizitzari buruzko edo sexu-orientazioari buruzko datuak.
3.- DATUEN BABESAREN PRINTZIPIOAK
Hona hemen datu-tratamendu bat egiteko beharrezkoak diren funtsezko printzipioak:
Zilegitasuna: leialtasuna eta gardentasuna interesdunarekin.
Helburuen mugaketa: helburu zehatzetarako itunak.
Datuen minimizazioa: helburuak lortzeko beharrezkoak diren datuak soilik eskuratu behar dira.
Zehaztasuna: eguneratuak.
Kontserbazio-epea mugatzea: helburuak lortzeko denbora baino gehiago gordeta.
Zuzentasuna eta konfidentzialtasuna: segurtasun-neurrien aplikazioa tratamenduaren fase guztien datu-babeserako.
Erantzukizun proaktiboa: beharrezkoa da datuen tratamendua beteko dela frogatzea.
Datuen tratamendu bat egiteko baimena
Datuak tratatzeko, beharrezkoa da interesdunaren berariazko baimena lortzea eta baimen hori egiaztatzen duen dokumentua gordetzea.
Hirugarrenengandik eskuratzen ditugunean datuak, komunikazio hori zilegia dela konprobatu beharko dugu edo hori egiaztatzen duen dokumentua gorde.
Ez da beharrezkoa interesdunaren baimena izatea datuen tratamendua betebehar legal batean oinarritzen denean (adibidez, faktura bat igortzea).
Interesdunari tratamenduari buruzko informazioa ematea
Honako informazio hau eman beharko diogu interesdunari:
Tratamenduaren arduradunaren identitatea eta harremanetarako datuak.
Tratamenduaren helburuak.
Tratamenduaren oinarri juridikoa.
Datuen kontserbazio-epea edo hura zehazten duten irizpideak.
Interesdunaren eskubideak.
Eta egongo balira:
Hartzaileak edo datuen hartzaileen kategoriak.
EBtik kanpoko herrialdeetara edo erakundeetara datuak transmititzea.
Tratamenduaren erantzukizuna
Datuen tratamendua kanpoko erakundeek egin ahalko dute baldin eta arduradunak berariazko baimena eman badu eta indarrean dagoen legeriaren araberako kontratu bat sinatu bada tratamendu hori egiteko. Datuen lagapenerako baimena zein enpresa edo hirugarrenek duten jakiteko, segurtasunarduradunari zuzendu beharko zaio.
Honako hauek izan daitezke kanpo erakundeak:
Tratamendu eragileak: Arduradunaren bitartez datu pertsonalak kudeatzen dituen erakundea.
Datuen hartzaileak: Arduradunarena ez den beste erakunde bat, datu pertsonalen komunikazioa Arduradunaren eskutik jasotzen duena.
Segurtasun-neurriak
Erakundeak neurri tekniko eta kudeaketa-neurriak ezarri ditu tratamenduak izan ditzakeen arriskuekiko segurtasun-maila egokia bermatu ahal izateko, besteak beste, honako hauen ondorioz: datuen istripuzko edo baimenik gabeko suntsitzea, galtzea, aldaketa edo komunikazioa eta transmisioa egiten denean, kontserbatzean edo beste motaren bateko tratamendu baten xede direnean haietarako irispidea izatea.
Langileek erakundeak tratatutako datuen segurtasuna zaindu beharko dute, eta arduradunari jakinaraziko diote datuen babesarentzako edo interesdunen interes eta askatasunentzako arriskutsua izan daitekeen tratamendu-eragiketa.
Tratamendu-eragiketa berri edo eguneratze ororen diseinuak ezarri aurretik bermatu beharko du datu pertsonalen babesa eta interesdunen eskubideak tratamenduaren fase guztietan gauzatzen direla: lortzean, irispidean, esku hartzean, transmititzean, kontserbatzean eta ezereztean.
4 – LANGILEEN FUNTZIO ETA BETEBEHARRAK
Langileek uneoro jarraitu beharko diete erakundearekin sinatutako konfidentzialtasun-hitzarmenean eta honako segurtasun-politika honetan zehaztutako jarraibideei. Horrexegatik ezartzen dira jarraian datozen datuen babeserako neurriak, eta langileak berariaz daude derrigortuta horiek betetzera:
Informazioaren antolakuntza
Datuak interesdunen eskubideak gauzatzeko moduan sailkatu beharko dira: irispide-eskubidea, zuzentzeko eskubidea, ezerezteko eskubidea, transferitzeko eskubidea eta tratamendua mugatzeko edo aurka egiteko eskubidea.
Datuak kontserbatzea
Datuak helburu horretarako ezarritako altzari eta sailean kontserbatu beharko dira. Tratamendu automatizatuen kasuan, fitxategiak segurtasunaren arduradunak adierazitako euskarri, karpeta edo sareko direktorioan gordeko dira.
Ezin dira datuak mahai gain fisiko edo digitaletan gorde. Baimenduta dago datuak aipatutako mahai gain horretan aldi baterako edukitzea datu horien beharra duten eragiketak burutu ahal izateko, baina lanaldia bukatzean dagokien leku aproposean gorde beharko dira.
Informaziorako irispidea
Erakundeak ezarritako irispide mugatuko mekanismoak aplikatu beharko dira, horretarako sartzeko pasahitzak zabaltze edo komunikazio guztietatik babestuz.
Pertsona bakoitzak bere funtzioak garatu eta burutzeko beharrezko dituen baliabideetarako irispidea izateko baino ez du baimena izango.
Informatika-ekipoetarako irispidea mugatu egingo da ekipo horietan sartzen den pertsona identifikatu eta egiaztatzeko prozeduren bi tartez. Datu pertsonal transferiezin kontsideratuko dira erabiltzaileizenaketa pasahitzak.
Datuen prozesamendua
Dokumentu-euskarri eta euskarri informatikoak baimenik ez duten pertsonek haietarako irispiderik ez edukitzeko moduan egon beharko dira ezarrita.
Pertsona batek bere lanpostua denbora baterako uzten badu, dokumentuak ezkutatu eta ordenagailua blokeatu beharko du, horrela lanerako erabiltzen ari den informazioa ikustea ekiditeko.
Inprimagailu edo fotokopiagailuak erabiltzen direnean izaera pertsonaleko informazioa duten lanak inprimatzeko, era blokeatuan inprimatu edo inprimatu eta berehala jaso beharko dira dokumentuak, eta irteera-erretiluan inprimatutako dokumenturik geratzen ez dela ziurtatu beharko da.
Euskarriak garraiatzea
Datu pertsonalak dituzten euskarrien garraioa baimendutako langileek edo tratamenduaren arduradunak helburu horrekin kontratatutako kanpoko enpresen bitartez egin ahal izango da soilik.
Dokumentuak suntsitzea
Datu pertsonalak dituen eta suntsitu nahi den edozein dokumentu fisiko edo euskarri digital dokumentubirrintzailearen bidez edo dokumentuak suntsitzeko homologatutako enpresa baten bidez suntsitu beharko dira.
Segurtasun-kopia eta datuak errekuperatzea
Langileek segurtasunaren arduradunak adierazitako sareko direktorioan gorde beharko du tratatutako informazio guztia, eta horrela posible izango da dauden segurtasun-neurriak eta erakundeak erabiltzen dituen segurtasun-kopien prozedurak aplikatzea informazio horri.
Datuak babestea
Datuen tratamenduaren babesari dagozkion datuak babesteko neurriak aplikatu beharko dira, besteak beste, seudonimizazioa, datuak kodetzea, bidegabeko sartzeez ohartarazteko neurriak, antibirusa edo antispama, adibidez.
Intzidentziak kudeatzea
Intzidentzia dela kontsideratzen da datu pertsonalak istripuz edo baimenik gabe suntsitzea, galtzea, aldatzea edo baimenik gabe sartzea edo komunikatzea.
Langileak derrigortuta daude justifikaziorik gabeko atzerapenik gabe segurtasunaren arduradunari jakinarazten ezagutzen duten intzidentzia oro, horrela hark ere ezagutu ditzan eta neurriak har ditzan eragindako ondorioak konpondu eta murrizteko. Intzidentzia horiek jakinarazten dituenak dokumentatu beharko ditu intzidentziak honako hauek adieraziz: deskribapen xehea, noiz eta zein ordutan gertatuden edo noiz eta zein ordutan jaso duen intzidentzia horri buruzko informazioa.
Langileek intzidentzia bat ezagutzea eta ez jakinaraztea datuen segurtasunaren kontrako falta bat dela ulertuko da, eta horrek legezko akzioak ekar ditzake, eta baita arduradunak ez betetze horregatik erantzun beharko dituen kalteordain, zehapen eta kalteak eskatzea ere.