Pribatutasun informazioaren klausula
1. HELBURUA
Europako Parlamentuaren eta Kontseiluaren 2016ko apirilaren 27ko 2016/679 Erregelamenduak, datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez pertsona fisikoen babesari buruzkoak, ezartzen dituen eskakizunak biltzea.
Fagor Ederlanen ardurapean dauden datu pertsonalei egiten zaien tratamendua babestea, informazio sistemak, datu pertsonalak tratatzeko erabiltzen diren euskarri eta ekipoak, tratamenduan parte hartzen duten pertsonak eta horiek kokatuta dauden lokalak barne.
Egindako tratamendu guztiak, funtsean, oinarri hauek legitimatuta daude:
- Adostasuna
- Kontratu harremana
- Interesdunaren funtsezko interesak
- Tratamenduaren Arduradunarentzako legezko betebeharra
2. ERANTZUKIZUN AKTIBOKO NEURRIAK
2.1. Arriskuen analisia
Tratamenduaren Arduradunak egiten dituen tratamenduen arriskuaren balorazioa egin beharko du, zer neurri aplikatu eta nola aplikatu ezarri ahal izateko. Horretarako, F.Ederlanek PSI 10.63-C-03 prozedura du (Informazio aktiboen Arriskuen Analisia).
2.2. Datuen babesa diseinutik, eta lehenetsita
Hasieratik, Tratamenduaren Arduradunak antolaketa neurriak eta neurri teknikoak hartuko ditu, soilik beharrezkoak diren datuak tratatuko direla bermatzeko, hau da, datu kopurua, datuei emango zaien tratamenduaren hedapena, datuak gordetzeko epeak eta datuen eskuragarritasuna behar-beharrezkoak direnak baino ez direla izango bermatzeko. Jarraibide horiek indarrean dagoen prozeduran zehazten dira.
2.3. Tratamendu jardueren erregistroa
Bai Tratamenduaren Arduradunak eta bai Tratamenduaren Eragileak tratamendu eragiketak erregistratuko dituzte, 250 langile baino gehiagoko enpresa baita. Halere, Fagor Ederlan S.Coop.en egiten diren tratamenduek ez dakarte arriskurik interesdunen eskubide eta askatasunetarako, noizbehinkakoak dira eta ez dute jasotzen datuen kategoria berezirik edo zigor eta arau hauste penalei buruzko daturik.
Tratamendu jardueren erregistroan (DBEOko I. Eranskina) zehatz-mehatz azaltzen dira segurtasun neurriei lotutako datuak eta datuak tratatzeko jarduerak, bereziki eragiten dieten alderdiekin batera.
2.4. Inpaktuaren ebaluazioa
Tratamenduaren Arduradunak Datuen Babesaren gaineko Eraginaren Ebaluazioa (DBEE) egingo du, baldin eta:
- Tratamendua abian jarri aurretik, interesdunen eskubide eta askatasunetarako oso arriskutsuak izatea posible denean.
- Egiten den arrisku analisiak adierazten duenean datuen egungo tratamendua oso arriskutsua dela interesdunen eskubide edo askatasunetarako.
DBEEren ondoren arrisku handia identifikatu bada eta arrisku hori ezin bada arrazoizko bideen bidez arindu, dagoen teknologiari eta aplikatzeak ekarriko dituen kostuei dagokienez, Tratamenduaren Arduradunak DBEAri (Datuak Babesteko Espainiako Agentzia) galdetuko dio zer egin, Eraginaren Ebaluazioa bera eta Datuen Babesaren gaineko Eraginaren Ebaluazioaren azken txostena bidaliz.
Informazioa kontsultatu DBEOren II. Eranskinean (Eranskin Gehigarriak).
DBEAk DBEOk ematen dion edozein botere erabili ahal izango du, besteak beste tratamendu eragiketa debekatzea.
Fagor Ederlan ez dago behartuta DBEE egitera, berak egiten duen datu tratamenduak ez baitu arrisku handirik interesdunen eskubide eta askatasunetarako, eta datuen ebaluazio sistematikorik egiten ez duelako, bereziki babestutako datuen eskala handiko tratamendurik egiten ez duelako, eta pribatutasunarekin lotutako teknologia inbasiborik erabiltzen ez duelako.
3. SEGURTASUN NEURRIAK
3.1. Identifikazioa eta autentifikazioa
Datu pertsonaletara sartzeko baimena duten langileak identifikatzeko eta autentifikatzeko neurriak eta arauak.
Tratamenduaren Arduraduna eta baimendutako pertsonek bakarrik eskura ditzakete sisteman dauden datuak, erabiltzaileekin eta pasahitzekin identifikatuta, zeinak indarrean dagoen prozeduran zehaztutako pasahitz politikaren arabera aldatuko diren. PSI 10.63-C-08 Sarbide logikoen kontrola.
3.2. Sarrera kontrola
Langilea bere funtzioak betetzeko behar dituen datu eta baliabideetara baino ez da sartuko. Indarrean dagoen prozeduran datuak eta baliabideak eskuratzeko sarbidea emateko, aldatzeko edo baliogabetzeko ezarritako jarraibideak zehazten dira, Tratamenduaren Arduradunak ezarritako irizpideen arabera.
Sistemen Sailak informazio sistema bakoitzerako baimendutako erabiltzaileen zerrenda du. Era berean, horietako bakoitzerako baimendutako sarbide mota jasotzen da. Zerrenda hori eguneratuta mantentzen da. Tratamenduaren Arduradunaz gain kanpoko langile batzuek ere baliabideetarako sarbidea baldin badute, kanpoko langile horiek bertako langileen segurtasun baldintza eta betebehar berberak izan beharko dituzte.
Paperezko dokumentazioan langile baimenduak baino ezingo dira sartu.
3.3. Euskarrien eta Dokumentuen Kudeaketa
Datu pertsonalak dituzten euskarriek barruan duten informazio mota identifikatzen utzi behar dute, eta inbentariatu beharko dira, eta sarbide mugatuko leku batean gorde. Hau da, baimena duten pertsonak baino ezingo dira sartu euskarri horiek gordetzen diren lekura, eta pertsona horiek Tratamendu Jardueren Erregistroko deskribapenean zehazten direnak izango dira.
Baztertuko diren euskarriak aldez aurretik suntsitu beharko dira, barruan duten informazioa eskuratzea edo ondoren berreskuratzea ezinezkoa izateko.
Dokumentazioa lekualdatzen bada, informazio ostea, galtzea edo bidegabe eskuratzea saihesteko neurriak hartuko dira.
Datu pertsonalak dituzten euskarri eta dokumentuak, mezu elektronikoetan daudenak barne, Tratamenduaren Arduradunaren kontrolpean dauden lokaletatik kanpora ateratzeko, haren baimena beharko da.
Indarrean dagoen prozeduran, zerrendatutako zeregin bakoitzerako gauzatu beharreko segurtasun neurriak zehazten dira.
3.4. Informazioa gordetzea.
Datuak sareko karpetetan, gure zerbitzarietako datu baseetan eta Fagor Ederlan S. Coop.en Intranetean gordeta daude.
Erabiltzaile ekipoak ez dira, oro har, instalazioetatik aterako eta pasahitz konplexuekin babestuko dira.
3.5. Artxibatzeko irizpideak
Euskarriak edo dokumentuak indarrean dagoen PSI 10.63-C-01 (Segurtasun Kopiak) prozeduraren arabera artxibatuko dira. Horrela, dokumentuak egoki kontserbatzea eta informazioa lokalizatu eta kontsultatu ahal izatea bermatuko da, eta eragindakoek beren eskubideak gauzatzea ahalbidetuko da.
3.6. Euskarrien zaintza
Datu pertsonalak dituzten dokumentuak izapidetze prozesuan badaude eta horregatik aurreko puntuan adierazitako biltegiratze gailuetan artxibatuta ez badaude, dokumentu horien ardura duten pertsonek zaindu egin beharko dituzte, eta baimenik gabeko pertsonei sartzea eragotzi, biltegiratu bitartean.
3.7. Euskarrien kopiak
Tratamenduaren Arduradunak dokumentuen kopiak edo erreprodukzioak kontrolatuko ditu
3.8. Komunikazio sareen bidez datuak eskuratzea
Komunikazio sareen bidez datuak eskuratzeko, erakundean aplikatu beharreko prozedurak bete behar dira, PSI 10.63-C-08 Sarbide logikoen kontrola.
3.9. Lokaletatik kanpo lan egiteko erregimena
Datu pertsonalak ez dira tratatuko Tratamenduaren Arduradunaren lokaletatik kanpo. Beharrezkoa balitz, baimen bat emango da erabiltzaileak eta baimendutako iraupena zehaztuz
3.10. Babes kopiak eta datu berreskurapena
Babes kopietarako eta datuak berreskuratzeko ezarritako prozedurek bermatuko dute datuak galera edo suntsipena gertatu zen unean zeuden egoeran berreraikitzea. Kopiatzeko eta berreskuratzeko jarraibideak indarrean dagoen prozeduran zehazten dira. PSI 10.63-C-01 Segurtasun Kopiak
Informazio sistemak ezarri edo aldatu aurreko probak datu errealekin egingo dira, aldez aurretik segurtasun kopia eginda eta egindako tratamenduari dagokion segurtasun maila bermatuta.
4. SEGURTASUN ARRAKALAK JAKINARAZTEA
“Segurtasun arrakalatzat” hartuko dira transmititutako, gordetako edo beste modu batean tratatutako datu pertsonalak ustekabean edo legez kontra suntsitzeak, galtzeak edo aldatzeak edo datu horiek baimenik gabe jakinarazteak edo eskuratzeak eragiten dituzten segurtasun urraketa guztiak.
4.1. Datuak Babesteko Agentziari jakinaraztea
Tratamenduaren Arduradunak datu pertsonalen segurtasunaren arrakala gertatu dela jakin bezain laster, Datuak Babesteko Espainiako Agentziari jakinarazi behar dio, luzamendurik gabe eta gehienez ere hurrengo 72 orduetan. Jakinarazpen betebehar horren salbuespen bakarra izango litzateke arduradunak frogatu ahal izatea datu pertsonalen segurtasunaren arrakalak ez dituela arriskuan jartzen pertsona fisikoen eskubide eta askatasunak.
Jakinarazpenean Kontrol Agintaritzak eskatzen duena jasoko da, Datu Pertsonalak Babesteko prozeduran jasotzen den bezala.
Tratamenduaren Arduradunak segurtasun arrakala horrekin lotutako gertaerak erregistratuko ditu, gertakari mota, gertakariaren deskribapena, larritasuna eta egoera eta konpontzeko hartutako neurriak barne.
4.2. Interesdunari jakinaraztea
Segurtasun arrakalak interesdunen eskubide edo askatasunetarako arrisku handia dakarrenean, Datuak Babesteko Espainiako Agentziari egindako jakinarazpena interesdunei zuzendutako jakinarazpen batekin osatu beharko da..
Datu pertsonalen segurtasun arrakala jakinarazi beharko zaio interesdunari, betiere inguruabar hauek gertatzen ez badira:
- Tratamenduaren arduradunak neurri tekniko eta antolakuntzako neurri egokiak hartu ditu babeserako, datu pertsonalen segurtasun arrakala konpontzeko, esaterako, datuak zifratzea.
- Tratamenduaren arduradunak neurri zuzentzaileak hartu ditu datu pertsonalen segurtasun arrakala ez dela errepikatuko bermatzeko.
- Komunikatzeak neurriz kanpoko ahalegina egitea eskatzen duenean.
5. LANGILEEN INFORMAZIOA ETA BETEBEHARRAK
5.1. Langileentzako informazioa
Pertsona guztiek beren funtzioen garapenari eragiten dioten segurtasun arauak ezagutzen dituztela eta horiek ez betetzeak zer ondorio dakartzan badakitela bermatzeko, dokumentu hau bidaliko zaie edo argitaratuko da, jakinaren gainean egon daitezen.
5.2. Langileen funtzioak eta betebeharrak
Datu pertsonaletara sartzen diren langile guztiak behartuta daude beraiek garatzen dituzten funtzioei eragiten dieten neurri, arau, prozedura, erregela eta estandarrak ezagutzera eta behatzera.
Informazio hau A Eranskinean (PSI 10.63-C-02- Informazio Aktiboen Erabilera Politikak) dago jasota. Dokumentua Fagor Ederlanen intranetean dago argitaratuta eta harrera planaren prozesuan langileei ematen zaie. Gure intranetean ere argitaratuta dago, eskuragarri egon dadin.
Langileen betebeharra da baliabide babestuekin zerikusia duten segurtasun gorabeherak Tratamenduaren Arduradunari jakinaraztea, dokumentu honetan eta indarrean dagoen prozeduran ezarritako prozeduren arabera. Pertsona guztiek isilpean eta konfidentzialtasunez gorde beharko dituzte beren lanean ezagutzen dituzten datu pertsonalak. Datu pertsonalak tratatzea eskatzen ez duten lanak egiten dituzten langileek datu horietarako sarbidea, datu horiek dituzten euskarrietarako sarbidea edo informazio sistemaren baliabideetarako sarbidea mugatua izango dute. Kanpoko langileak direnean, zerbitzuak emateko kontratuak berariaz jasoko du datu pertsonaletara sartzeko debekua, bai eta zerbitzua ematen ari zela jakin zitzakeen datuak isilpean gordetzeko betebeharra ere.
5.3. Tratamenduaren arduraduna
Tratamenduaren Arduraduna da dokumentu honetan ezarritako datu pertsonalen eta neurrien segurtasunaren ardura juridikoa duena, bertan ezarritako segurtasun neurriak ezarriko ditu, eta beharrezkoak diren neurriak hartuko ditu dokumentu honek eragindako langileek beren funtzioen garapenari eragiten dioten arauak ezagutu ditzaten.
Bere betebehar nagusia da dokumentu honetan ezarritako segurtasun neurriak ezartzea, arduradunen aukeraketa barne, tratamendua DBEOren arabera egiten dela bermatzeko eta frogatzeko moduan egoteko.
Tratamenduaren Arduradunak hau egin beharko du:
- Dokumentu hau datu pertsonalak erabiliko dituzten langile guztien artean zabaltzen dela bermatzea.
- Informazio sisteman edo horren antolaketan aldaketa garrantzitsuak gertatzen diren guztietan eguneratuta mantentzea.
- Dokumentuaren edukia datuen segurtasunaren arloan indarrean dauden xedapenetara egokitzea une oro.
- Tratamendu jardueren erregistro bat mantentzea eta egiten dituzten tratamenduei aplikatu beharreko segurtasun neurriak zehaztea.
- Datuak Babesteko Ordezkari bat izendatzea baldin eta tratamendua agintari edo erakunde publiko batek egiten badu, edo Tratamenduaren Arduradunaren edo Eragilearen jarduera nagusia eskala handiko interesdunen jarraipen erregular eta sistematikoa eskatzen duten tratamendu eragiketak badira, edo Tratamenduaren Arduradunaren edo Eragilearen jarduera nagusia datu pertsonalen kategoria berezien eskala handiko tratamendua bada.
5.4. Tratamenduaren Eragilea(k)
Tratamenduaren Eragilea da Tratamenduaren Arduradunaren kontura datu pertsonalak tratatzen dituen pertsona fisiko edo juridikoa, harekin lotzen duen eta zerbitzu bat emateko bere jardueraren eremua mugatzen duen harreman juridiko bat egotearen ondorioz.
Gutxieneko betebehar hauek ditu:
- Neurri tekniko eta antolaketa neurri egokiak aplikatzeko berme nahikoak eskaintzea, eskura dituen datu pertsonalen babesa bermatu daitezen.
- Tratamendu jardueren erregistroa mantentzea. DBEOko I. ERANSKINA (Tratamendu Jarduerak) dokumentuan jasota dago erregistro hori.
- Egiten dituzten tratamenduei aplikatu beharreko segurtasun neurriak zehaztea.
- Datuak Babesteko Ordezkari bat izendatuko du baldin eta tratamendua agintari edo erakunde publiko batek egiten badu, edo Tratamenduaren Arduradunaren edo Eragilearen jarduera nagusia eskala handiko interesdunen jarraipen erregular eta sistematikoa eskatzen duten tratamendu eragiketak badira, edo Tratamenduaren Arduradunaren edo Eragilearen jarduera nagusia datu pertsonalen kategoria berezien eskala handiko tratamendua bada.
Tratamendua kontratu baten mende dago, non tratamenduaren helburua, iraupena, izaera eta helburua, datu pertsonal mota, betebeharrak eta eskubideak ezarriko diren.
5.5. Segurtasun Arduraduna
Segurtasun Arduradunak segurtasun neurriak abian jartzeko prozesua koordinatuko du, neurri horiek betetzen direla kontrolatuz, eta Tratamenduaren Arduradunarekin lankidetzan arituko da Segurtasun Dokumentua zabaltzen.
5.6. Datuak Babesteko Ordezkaria
Enpresak legez ez du datuak babesteko ordezkari bat izateko betebeharrik. Ordezkaria izendatzen badu, hauek lirateke haren betebeharrak:
- Tratamenduaren Arduradunari eta/edo Tratamenduaren Eragileari eta tratamenduaz arduratzen diren langileei dagozkien betebeharren gaineko informazioa eta aholkularitza emango die.
- Tratamenduaren Arduradunak eta/edo Tratamenduaren Eragileak datuen babesaren arloan dauden politikak betetzen dituzten gainbegiratuko du, erantzukizunen esleipena, langileen kontzientziazioa eta prestakuntza eta dagozkien auditoriak
- Datuen babesari buruzko eraginaren ebaluazioari buruzko aholkularitza eskainiko du eskatzen zaionean.
- Kontrol agintaritzekin lankidetzan arituko da.
- Kontrol agintaritzaren harremanetarako bitarteko gisa jardungo du tratamenduari buruzko gaietarako, eta beste edozein gairi buruzko kontsultak egingo ditu, hala badagokio.
- Bere funtzioak betetzean tratamendu eragiketekin lotutako arriskuei arreta egokia eskainiko die, kontuan izanda tratamenduaren izaera, irismena, testuingurua eta helburuak.
5.7. Langileak
Beren lanpostuaren eta funtzioen arabera eskuratzen duten informazioa babestuko dute, Segurtasun Dokumentu honetan ezarritakoaren arabera eta kode etikoan sinatu eta islatutako konfidentzialtasun akordioei jarraiki.
5.8. Sistemen administratzailea
Informazioa babesteko beharrezkoak diren ekintzak gauzatuko ditu, Segurtasun Dokumentu honetan ezarritakoaren arabera.
5.9. Ez-betetzearen ondorioak
Eragindako langileek dokumentu honetan ezarritako segurtasun betebehar eta neurriak ez betetzea Fagor Ederlanen indarrean dagoen araudiaren arabera zigortuko da.
6. INTERESDUNEN ESKUBIDEAK
Tratamenduaren Arduradunak interesatuei erraztasunak emango dizkie beren eskubideak balia ditzaten, aurrez aurre eta bide elektronikoz, DBEOko I. ERANSKINEAN (Tratamendu Jarduerak) agertzen diren posta arrunteko eta posta elektronikoko helbideetan. Gainera, datuak eskuratzea eskatzen dutenen eta gainerako eskubideak (ahaztua izateko eskubidea, datuak zuzentzeko eskubidea...) erabiltzen dituztenen nortasuna egiaztatzeko beharrezko neurriak hartuko ditu. Horretarako prozedurek eta formek ikusgarriak, irisgarriak eta errazak izan behar dute.
Eskubideez baliatzea doakoa izango da interesdunarentzat, salbu eta egindako eskaerak nabarmenki funtsik gabeak edo gehiegizkoak badira, eta, bereziki, errepikakorrak izateagatik. Kasu horietan, Tratamenduaren Arduradunak kanon bat kobratu ahal izango du, eskaerari erantzuteak dakartzan kostu administratiboak ordaintzeko, edo eskaerari ez erantzutea erabaki dezake. Kanonak ezin izango dio diru sarrera gehigarririk ekarri Tratamenduaren Arduradunari, eskaera izapidetzearen benetako kostuarekin bat etorri beharko du.
Tratamenduaren Arduradunak interesdunari jakinaraziko dio zer jarduketa egingo diren bere eskaeraren ondorioz. Hilabeteko epean jakinaraziko dio hori, baina bi hilabete gehiago luzatu ahal izango da epe hori baldin eta eskaerak bereziki konplexuak badira. Epea luzatuz gero, lehen hilabetean eman beharko zaio interesdunari luzapen horren berri. Tratamenduaren Arduradunak eskaera bati ez erantzutea erabakitzen badu, horren berri eman beharko du, ezezkoa arrazoituz, eskaera aurkeztu eta hilabeteko epean.
Interesdunak oinarrizko datuen kopia ez ezik oinarrizko datuetan oinarrituta egindako kopiena eta dokumentuena ere eskatu ahal izango du, eta Tratamenduaren Arduradunak eskubide horri erantzungo dio, interesdunari bere datu pertsonaletarako sarbide zuzena eskainiko dion sistema seguru baterako urruneko sarbidea erraztuz.
Tratamenduaren Arduradunak Tratamenduaren Eragileen laguntza izan dezake interesdunek beren eskubideak baliatuz egiten dituzten eskaerei erantzuteko, eta elkarlan hori Tratamendu Eragilearen kontratuan sartu ahal izango du.
6.1. Sarbide eskubideak
Eskubide horrek aukera ematen dio interesdunari Tratamenduaren Arduradunarengana jotzeko eta hari bere datu pertsonalen gaineko informazioa eskatzeko, esaterako, bere datu pertsonalak tratatzen ari ote diren eta tratatzen ari badira zer helbururekin tratatzen ari diren, bai eta bere datuen jatorriaren gainean eta egindako edo aurreikusitako komunikazioen gainean dagoen informazioa eskatzeko ere.
6.2. Datuak zuzentzeko eta ezeztatzeko eskubideak
Eskubide horiek dira herritarrak dituen bi aukerak bere datu pertsonalak tratatzen ari direnean eta datu horiek zehaztugabeak, osatugabeak, desegokiak edo gehiegizkoak direnean. Kasu horietan, datuen titularrak datuak zuzentzeko eta datu egokiak erregistratzeko eska diezaioke Tratamenduaren Arduradunari, edo datuak ezeztatzeko eta ezabatzeko.
6.3. Aurkaratzeko eskubideak
Eskubide hau da datuen titularrak Tratamenduaren Arduradunarengana jotzeko eta bere datu pertsonalak tratatzeari uzteko eskatzeko duen ahalmena. Honako kasu hauetan erabili ahal izango du:
- Bere datu pertsonalak baimenik gabe tratatzen ari direnean.
- Bere datuen tratamendua publizitate edo prospekzio komertzialerako egiten denean.
- Tratamendua eragindakoari buruzko erabaki bat hartzeko denean, eta erabakia soilik bere datu pertsonalen tratamendu automatizatu batean oinarrituta hartuko denean.
6.4. Tratamendua mugatzeko eskubideak
Eskubide horri esker, interesdunak lor dezake Tratamenduaren Arduradunak bere datuen tratamendua mugatzea, baldintza hauetakoren bat betetzen denean:
- Interesdunak datu pertsonalen zehaztasunaren aurka egitea
- Tratamendua legez kontrakoa izatea eta interesdunak datu pertsonalak ezabatzearen aurka egitea, eta horren ordez erabilera mugatzeko eskatzea
- Arduradunak jada behar ez izatea datu pertsonalak tratamenduaren helburuetarako, baina interesdunak erreklamazioak formulatzeko, gauzatzeko edo defendatzeko behar izatea.
- Interesdunak bere datuen tratamenduaren aurka egin izana, eta bitartean erantzulearen arrazoi legitimoak interesdunaren arrazoien gainetik dauden egiaztatzea.
6.5. Datuak eramateko eskubideak
Eskubide honen asmoa da interesduna gaitzea eta eragiten dioten datu pertsonalen gainean kontrol handiagoa ematea; horretarako, interesdunak aukera dauka Tratamenduaren Arduradunari ohiko erabilerako den eta makina bidez irakurtzeko modukoa den formatu egituratu batean emandako datu pertsonalak jasotzeko, bai eta Tratamenduaren beste Arduradun bati helarazteko ere, datuak eman dizkion Arduradunak eragotzi gabe.
6.6. Ahanztua izateko eskubidea
Eskubide horrekin interesdunak lor dezake Tratamenduaren Arduradunak berari dagozkion datuak ezabatzea, har datu pertsonalak ezabatzera behartuta egongo baita inguruabar hauetakoren bat gertatzen denean:
- Datu pertsonalak jada behar ez direnean datu bilketaren helburuetarako.
- Interesdunak baimena kendu duenean.
- Datu pertsonalak legez kontra tratatu direnean.
- Datu pertsonalak ezabatu egin behar dira legezko betebehar bat betetzeko.
7. NAZIOARTEKO TRANSFERENTZIAK
Europako Esparru Ekonomikotik kanpo, datuak soilik Europako Batzordearen ustez babes maila egokia duten herrialde, lurralde, sektore edo nazioarteko erakundeei jakinarazi ahal izango zaizkie edo, bestela, nahikoa berme ematen bada edo salbuespen gisa aurreikusitako inguruabar batzuk ematen badira, zeintzuei esker datuak babes egokiko bermerik gabe transferitu daitezkeen datuen titularraren interesarekin edo interes orokorrekin lotutako beharrizan arrazoiengatik.
Transferentziak aurretiazko baimenik gabe egin daitezke, bermeak ad hoc kontratu baten edo agintari publikoen arteko akordio administratibo baten bidez ematen direnean izan ezik.
Datuak Babesteko Espainiako Agentziari ez zaio jakinarazi beharko, transferentziak tratamenduaren arduradunaren ezinbesteko interes legitimoaren babespean egiten direnean izan ezik.
Fagor Ederlanek ez ditu datu pertsonalak transferitzen, titularraren beraren interes arrazoiren batengatik izan ezik, eta salbuespen kasu horretan berariazko baimena eskatuko zaio.
8. ADINGABEEN DATUEN TRATAMENDUA
Tratamenduaren arduradunek egiaztatu beharko dute 14 urtetik beherako haurren datuetarako adingabearen gurasoek edo tutoreek eman dutela baimena.
9. BERRIKUSTEKO PROZEDURAK
9.1. Segurtasun dokumentua berrikustea
Dokumentua une oro eguneratuta egongo da eta berrikusi egingo da informazio sisteman edo tratatutako informazioaren edukian aldaketa garrantzitsuak gertatzen diren guztietan edo aldizkako kontrolen ondorioz aldaketa garrantzitsuak gertatzen direnean. Nolanahi ere, aldaketa garrantzitsutzat joko da ezarritako segurtasun neurriak betetzean eragina izan badezake.
Era berean, datu pertsonalen segurtasunaren arloan indarrean dauden xedapenetara egokitu beharko da une oro. Tratamenduaren Arduradunak urtero berrikusiko ditu, eta egokitzat jotzen dituen aldaketak egingo ditu.
9.2. Auditoriak
Segurtasun neurriak betetzen direla egiaztatzeko auditoriak egin beharko dira, baldin eta:
- Informazio sisteman funtsezko aldaketak egiten badira, eta aldaketa horiek ezarritako segurtasun neurriak betetzean eragin badezakete, neurri horien egokitzapena, egokitasuna eta eraginkortasuna egiaztatzeko.
- Datuak konprometituta egon daitezkeen susmoa baldin badago.
Txostenak neurriak eta kontrolak Erregelamendura egokitzen diren aztertuko du, gabeziak identifikatuko ditu eta beharrezko neurri zuzentzaileak edo osagarriak proposatuko ditu.
Segurtasun Arduradun eskudunak aztertu behar ditu auditoriako txostenak, eta ondorioak Tratamenduaren Arduradunari helaraziko dizkio, neurri zuzentzaileak har ditzan.
9.3. Egiaztapen zerrendak
Zerrenda horren asmoa da modu ordenatuan baloratzea zer egoeratan dagoen erakundea DBEOren betebehar nagusien aurrean. Zerrendaren edukia DBEOko II. Eranskina (Eranskin Gehigarriak) dokumentuan dago definituta, Egiaztapen Zerrenda izeneko atalean, eta DBEOren aplikaziorako duten egoera zehazteko Tratamenduaren Arduradunek eta Tratamenduaren Eragileek egin eta egoki erantzun beharko dituzten galderen zerrenda bat da.
10. DEFINIZIOAK
Datu pertsonalak: Identifikatuta dagoen edo identifika daitekeen pertsona fisiko bati buruzko informazio guztia.
Tratamendua: datu pertsonalen edo datu pertsonalen multzoen gainean egindako edozein eragiketa edo eragiketa multzo, prozedura automatizatuen bidez eginda edo ez.
Tratamendua mugatzea: gordetako datu pertsonalak markatzea, etorkizunean haien tratamendua mugatzeko.
Fitxategia: Datu pertsonalen multzo egituratu oro, irizpide jakin batzuen arabera eskura daitekeena, zentralizatua edo deszentralizatua izan daitekeena, edo modu funtzional edo geografikoan banatua.
Tratamenduaren Arduraduna edo Arduraduna: Tratamenduaren helburuak eta baliabideak zehazten dituen pertsona fisiko edo juridikoa, agintaritza publikoa, zerbitzua edo beste erakunde bat, bakarrik edo beste batzuekin batera.
Tratamenduaren Eragilea edo Eragilea: Tratamenduaren arduradunaren kontura datu pertsonalak tratatzen dituen pertsona fisiko edo juridikoa, agintaritza publikoa, zerbitzua edo beste erakunde bat.
Interesdunaren baimena: Interesdunak, berari dagozkion datu pertsonalen tratamendua onartzeko, nahi hori aske, berariaz, modu informatuan eta zalantzarik gabe adierazteko edozein modu, dela adierazpen baten bidez, dela baieztapen ekintza argi baten bidez.
Datu Pertsonalen Segurtasuna urratzea: Transmititutako, gordetako edo beste modu batean tratatutako datu pertsonalak ustekabean edo legez kontra suntsitzea, galtzea edo aldatzea edo datu horiek baimenik gabe jakinaraztea edo eskuratzea eragiten duen segurtasun urraketa oro.
Kontrol Agintaritza: Estatu kide batek ezarritako agintaritza publiko independentea.
11. ALDAKETEN HISTORIA
E data Edizioa
|
Eguneratze data
|
Aldaketak / Cambios |
Nork eguneratua |
1 |
2018.05.25 |
Lehen edizioa, Europako Parlamentuaren eta Kontseiluaren 2016/679 Erregelamendua indarrean sartzea |
Informazio Segurtasunaren arduraduna |
2 |
2023.01.01 |
Berrikuspena |
Informazio Segurtasunaren arduraduna |
3 |
2024.06.01 |
Prozedurak berrikustea, eguneratzea eta dokumentuen eskakizunetara egokitzea |
Kudeaketa sistemen arduraduna & DBEOren arduraduna |