RSS
185. zk., 2008ko irailaren 29a, astelehena
- Bestelako formatuak:
- Testu elebiduna
Hemen ikusgai dauden gainerako formatuen edukia PDF dokumentu elektroniko ofizial eta jatorrizkoa eraldatuz lortu da
Xedapen Orokorrak
Euskal Herriko Unibertsitatea
5424
EBAZPENA 2008ko irailaren 4koa Euskal Herriko Unibertsitateko idazkari nagusiarena Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia Euskal Herriko Agintaritzaren Aldizkarian argitaratzeko agindua emateko dena.
UPV/EHUren Estatutuetan 12.2 artikuluan jasota dago UPV/EHUko artxiboetan dauden datu pertsonalak bildu erabili eta hedatzeko eta interesatuek datuok eskuratu eta zuzentzeko datu pertsonalen tratamendu automatizatua arautzen duen legea beteko duela unibertsitateak.
Horretarako eta kontuan izanda Gobernu Kontseiluaren Funtzionamenduari buruzko Arautegian araudien garapenari buruz zehaztutakoa Gobernu Kontseiluak 2008ko apirilaren 10eko bileran Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia onartu zuen eranskinean jasota dagoen moduan.
Bestalde otsailaren 25eko 3/2004 Legeak Euskal Unibertsitate Sistemari buruzkoak 10.2.artikuluan dio antolaketaren eta jarduteko moduaren gainean unibertsitateak emandako arauak Euskal Herriko Agintaritzaren Aldizkari Ofizialean argitaratuko direla eta ez direla indarrean jarrito harik eta testuak oso-osorik argitaratu arte.
Hori guztia kontuan hartuta honakoa
EBATZI DUT:
Lehenengoa.- Agindua ematea Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia Euskal Herriko Agintaritzaren Aldizkarian argitaratzeko eranskinean ageri den moduan.
Bigarrena.- Arautegi hau indarrean jarriko da 2008ko urriaren 1ean.
Hirugarrena.- Erabaki honek administrazio bidea agortzen du eta haren contra egiteko administrazioarekiko auzi-errekurtsoa aurkeztu ahal izando da Euskal Autonomia Erkidegoko Auzitegi Nagusiko Administrazioarekiko Auzien Salan.
Leioa 2008ko irailaren 4a.
UPV/EHUko idazkari nagusia
IÑAKI ESPARZA LEIBAR.
ERANSKINA
DATU PERTSONALAK BABESTEARI BURUZKO UPV/EHUren ARAUTEGIA
ZIOEN AZALPENA
Egunero erabiltzen dira datu pertsonalak UPV/EHUren ikastegietan sailetan ikerketa-institutuetan Errektoregoan errektoreordetzetan eta gainerako erakunde eta zerbitzuetan. Datu horiek batez ere ikasle irakasle ikerlari eta administrazio eta zerbitzuetako langileenak dira. Baina unibertsitateaz kanpokoak direnen datuak ere erabiltzen dira; adibidez beste erakunde batzuetako ordezkarienak azpikontrataturiko enpresetako langileenak eta ikerketa zientifikoetarako beren burua eskaintzen dutenenak.
Beraz alde batetik UPV/EHUk berarekin harremana duten pertsonei buruzko datuak behar izaten ditu; alabaina beste alde batetik azken urteetan indarra hartu du datu pertsonalak babesteari buruzko araudiak. Hala datu pertsonalak isilpekoak izango badira eta aldi berean UPV/EHUk unibertsitate publiko gisa dituen eginkizunak betetzerik izango badu bi alderdi horien arteko oreka gordeko duten mekanismoak asmatu behar dira.
Hori dela eta komenigarria iruditu zaigu arautegi hau onartzea; izan ere UPV/EHUri datu pertsonalak babestearen inguruko eginbideak betetzen lagunduko dio eta datu pertsonalak erabiltzen dituzten langileentzat erreferentea izango da.
I. TITULUA
XEDAPEN OROKORRAK
1. artikulua.- Helburua.
Arautegi honen helburua da UPV/EHUk bere esku dituen datu pertsonalen erabilera arautzea datu pertsonalak babesteari buruzko legeak eta hura garatzeko xedapenek agintzen dutenarekin bat etorriz datu horien jabeen ohorea eta intimitatea errespetatuz beti eta aldi berean unibertsitateak bere eginkizunak betetzen dituela bermatuz irakaskuntza ikerketa eta azterlanen bidez goi mailako hezkuntza-zerbitzu publikoa eskaintzen duen erakundea den aldetik.
2. artikulua.- Aplikazio eremua.
UPV/EHUn arautegi hau aplikatuko zaie euskarri fisikoan erregistraturik eta erabilgarri dauden datu pertsonalei eta datu horiek ondoren izan dezaketen edozein erabilera-moduri.
3. artikulua.- Legedia.
3.1.- Datu pertsonalak babesteari dagokionean UPV/EHUK errespetatu beharreko oinarrizko arautegiak honako hauek dira:
a) 95/46/EE Zuzentaraua datu pertsonalen tratamendua eta zirkulazio askea dela-eta pertsona fisikoak babesteari buruzkoa.
b) Espainiako konstituzioaren 18.4 artikulua.
c) Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa (aurrerantzean DBLO).
d) Abenduaren 21eko 1720/2007 Errege Dekretua Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena (aurrerantzean DBLOGE).
e) 2/2004 Legea otsailaren 25ekoa Datu Pertsonaletarako Jabetza Publikoko Fitxategiei eta Datuak Babesteko Euskal Bulegoa Sortzeari buruzkoa.
f) 308/2005 Dekretua urriaren 18koa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzko otsailaren 25eko 2/2004 Legea garatzen duena.
3.2.- Arau horiek aldaketaren bat izanez gero arautegi honetan indarreko xedapenen gaineko erreferentzia egiten denean ulertuko da aldaketen ondoriozko xedapen berriari eta haren indarraldiari egiten zaion erreferentzia dela. Halaber aldian behin arautegi hau berrikusi egingo da izan daitezkeen arauzko eskakizun berrien arabera. Arautegiaren bertsio eguneratua unibertsitatearen web-orrian egongo da eskuragarri (www.ehu.es/babestu).
4. artikulua.- Definizioak.
4.1.- Arautegi honen arabera jarraian zerrendatzen ditugun oinarrizko kontzeptuak datu pertsonalak babestearen ingurukoak honela ulertuko dira:
a) Datu pertsonalak: edozein informazio (zenbakizko informazioa alfabetikoa grafikoa fotografikoa akustikoa edo bestelakoa) identifikatutako edo identifika daitezkeen pertsona fisikoen gainekoa.
b) Pertsona identifikagarria: identitate zehazgarria duen pertsona. Identitate hori modu zuzenean nahiz zeharkakoan zehaztu daiteke bere identitatearen hainbat alderdi (identitate fisikoa fisiologikoa psikikoa ekonomikoa kulturala edo soziala) ukitzen dituen informazioaren bidez. Pertsona fisiko bat ez dela identifikagarria ulertuko da hura identifikatzeak neurriz kanpoko lanak ematen baditu eta denbora gehiegi eskatzen badu.
c) Bereziki babestutako datuak dira ideologiari erlijioari sinesmenei sindikatu-bazkidetzari arrazari osasunari bizitza sexualari edo arau-hauste penal edo administratiboei buruzkoak.
d) Osasunari buruzko datu pertsonalak: gizabanako batek izan duen duen edo izan dezakeen osasun fisikoari nahiz mentalari buruzko datuak. Pertsonen osasunari buruzko datutzat hartzen dira bereziki elbarritasun maila edo informazio genetikoa.
e) Datuen tratamendua: eragiketa eta prozedura teknikoa da -batzuetan automatizatua beste batzuetan ez- eta datuak bildu gorde grabatu landu aldatu kontsultatu erabili blokeatu ezabatu eta ezerezteko aukera ematen du. Komunikazio kontsulta elkarkonexio eta transferentzien eraginez datuak uztea ere datuak tratatzea da.
f) Fitxategia: datu pertsonalen multzo antolatua irizpide zehatzei jarraituz datuak eskuratzeko aukera ematen duena datu-multzoa sortu jaso antolatu eta eskuratzeko modua edozein dela ere.
g) Datu-fitxategi ez-automatizatua: pertsona fisikoei buruzko datu pertsonalen multzo antolatua ez-automatizatua eta irizpide zehatzen arabera egituratua. Multzo horretako datu pertsonalak eskuratzeak ez du neurriz kanpoko ahaleginik eskatzen datu horiek zentralizaturik egon ala ez edo erabilgarritasun irizpideen nahiz geografikoen arabera banaturik ala edo ez.
h) Ukitua edo interesduna: tratatu beharreko datuen titularra den pertsona fisikoa.
i) Interesdunaren adostasuna: interesdunak bere datu pertsonalak tratatzeari emandako baiezkoa. Interesdun horrek berak hala nahita inork inola estutu gabe zalantzarako biderik eman gabe berariaz eta zer egiten duen jakinda eman beharko du baiezko hori.
j) Disoziazio-prozedura: identifikatutako norbaitekin edo identifikagarria den norbaitekin lotu ezin daitekeen informazioa ematen duen datu pertsonalen tratamendua.
k) Datu disoziatua: ukitua edo interesduna identifikatzen uzten ez duen datua.
l) Datuak uztea edo jakinaraztea: interesduna ez den beste pertsona bati datuak ezagutaraztea.
m) Datu-hartzailea edo datuen lagapen-hartzailea: ezagutarazten diren datuak hartzen dituen pertsona fisikoa edo juridikoa publikoa nahiz pribatua edo administrazio-organoa. Halaber datu-hartzaileak izan daitezke nortasun juridikorik gabeko erakundeak datuen trafikoan jokatzen dutenak trafiko horretatik aparte daudenen moduan.
n) Tratamenduaren arduraduna: UPV/EHUrekin lotura juridikoa duen pertsona fisikoa edo juridikoa aginte publikoa zerbitzua edo beste edozein erakunde UPV/EHUren aginduz eta zerbitzu bat prestatzeko helburu bakarrarekin datu pertsonalak tratatzen dituena berak bakarrik edo beste batzuekin batera.
o) Hirugarrena: pertsona fisikoa edo juridikoa aginte publikoa edo pribatua edo administrazio-organoa ez dena izango ez ukitua edo interesduna ezta fitxategiaren barne-erantzulea [5.4.b) artikuluan zehaztua] edo tratamenduaren arduraduna ere. Halaber ez da izango datuak tratatzeko fitxategiaren barne-erantzulearen edo tratamenduaren arduradunaren baimena jaso duen inor. Halaber hirugarrenak izan daitezke nortasun juridikorik gabeko erakundeak datuen trafikoan jokatzen dutenak trafiko horretatik aparte daudenen moduan.
p) Jendearen eskurako iturriak: arauek ezarritako inongo mugarik gabe edonork kontsulta ditzakeen fitxategiak dira eta kontsulta egin ahal izateko ez da inolako baldintzarik bete behar kasuan kasuko ordainketaren bat egitea ez bada. Jendearen eskurako iturriak honako hauek baino ez dira izango: sustapeneko errolda; komunikazio elektronikoetarako zerbitzuen gidaliburuak berariazko araudiak ezartzen duen moduan; eta profesionalen taldeko pertsonen zerrendak honako datu hauek baino ez dituztenak: izena titulua lanbidea jarduera maila akademikoa helbidea eta taldekoa izatearen adierazpena. Era berean jendearen eskurako iturriak dira egunkariak eta aldizkari ofizialak eta gizarteko hedabideak.
q) Ezereztea: prozedura zeinaren bitartez arduradunak datuak erabiltzeari uzten dion. Ezerezteak datuak blokeatzea ekarriko du; hau da datu horiek identifikatu eta gorde egingo dira inork erabili ez ditzan. Alabaina administrazio publikoen epaileen eta auzitegien esku jar daitezke datuen tratamenduaren ondorioz sor daitezkeen erantzukizunak aintzat hartzeko betiere erantzukizun horien preskripzio-epeak iraun bitartean. Epe hori amaitu ondoren datuak ezabatu egin beharko dira.
r) Kentzea ezabatzea: datu pertsonalak tratatzearen ondorioz sor daitezkeen erantzukizunen preskripzio-epea amaitu ondoren ezereztutako datu pertsonalak fisikoki ezabatzea.
s) Erabiltzailea: datuak atzitzeko edo datuak lortzeko baliabideak erabiltzeko baimena duen pertsona edo prozesua. Erabiltzailetzat hartuko dira erabiltzaile fisiko bat identifikatzeko beharrik izan gabe datuak eskuratzeko edo datuak lortzeko baliabideak erabiltzeko aukera ematen duten prozesuak. «Erabiltzaileen profilak» erabiltzaile-taldeek dituzten sartzeko baimenak dira.
4.2.- Arautegi honen ondorioetarako jarraian zerrendatzen diren kontzeptuak hartu beharreko segurtasun-neurriekin zerikusia dutenak honela ulertu behar dira:
a) Informazio-sistema: datu pertsonalak gorde eta erabiltzeko fitxategi tratamendu programa euskarri eta ekipamenduen multzoa.
b) Tratamendu-sistema: informazio-sistema bat antolatu edo erabiltzeko modua. Tratamendu-sistemaren arabera informazio-sistemak izan daitezke automatizatuak ez-automatizatuak edo erdi-automatizatuak.
c) Baliabidea: informazio-sistema baten edozein osagai.
d) Baimendutako atzipena: erabiltzaileari ematen zaion baimena hainbat baliabide erabil ditzan.
e) Identifikazioa: erabiltzaile baten identitatea ezagutzeko prozedura.
f) Autentifikazioa: erabiltzaile baten identitatea egiaztatzeko prozedura.
g) Sarbide-kontrola: identitatea egiaztatutakoan datuak eta baliabideak atzitzeko aukera ematen duen mekanismoa.
h) Pasahitza: isilpeko informazioa askotan karaktere-kate batez osaturikoa erabiltzaile baten identitatea kautotzeko edo baliabide bat atzitzeko erabil daitekeena.
i) Fitxategi iragankorra: erabiltzaile edo prozesu batek lan egiteko sortutako fitxategia inoizka egiten den tratamendu baterako edo tratamendu bat burutzeko bitarteko urratsa emateko.
j) Segurtasun-gorabehera: datuen segurtasunean eragiten duen edo eragin dezakeen edozein irregulartasun.
k) Euskarria: datuak eduki edo gordetzen dituen objektu fisikoa edo informazio-sistema batean erabil litekeen objektua datuak grabatzeko edo berreskuratzeko balio duena.
l) Segurtasun-kopia: fitxategi automatizatu bateko datuen kopia egitea datuak berreskuratzeko moduko euskarri batean.
m) Dokumentazioa: erregistraturiko informazioa duen euskarri fisikoa (euskarri hori izan daiteke idazkia seinalea grafikoa soinua irudia pelikula argazkia zinta magnetikoa zinta mekanografikoa kaseta diskoa CD-Roma DVDa kanpoko biltegiragailua edo beste edozer).
n) Dokumentuen transmisioa: dokumentuetako informazioa lekualdatu jakinarazi bidali eman edo zabaltzea.
5. artikulua.- Arduradunak.
5.1.- Eguneroko lanean edo noizean behin datu pertsonalak erabiltzen dituzten UPV/EHUko kide guztiek errespetatu beharko dituzte datu pertsonalen inguruko arauak. Unibertsitateko langileak zer betebehar dituzten jakiteaz arduratuko dira. Halaber arautegi honek agintzen duena betetzen ez badute izan ditzaketen diziplinazko ondorioak edo hirugarrenen aurrean izan ditzaketenak ezagutu behar dituzte.
5.2.- Beren menpeko langileak dituztenek datu pertsonalak babestearen inguruko betebeharrak ezagutzeko prestakuntza egokia eman beharko diete haiei; arreta berezia jarriko dute beren taldeetan sartzen diren langile berriengan.
5.3.- Datu pertsonalak babesteari buruzko arauek agintzen dutenaren itzalpean UPV/EHUk bere gain hartzen du ardura korporatiboa unibertsitatean datu pertsonalak eraginkortasunez eta egokitasunez babesteko duen eginbeharra betetzen duela bermatzeko. Beraz UPV/EHUk bertako langileei informazioa eta prestakuntza emateko ekintzak antolatuko ditu aldian behin batez ere datu pertsonal ugari eta bereziki babestutako datuak erabiltzen dituztenentzat.
5.4.- UPV/EHUk datu pertsonalak babesteari buruzko arautegia egiazki ezartzeari dagokionez errektorea izango ezarpen horren arduradun nagusia eta unibertsitateak aitorturiko fitxategi guztien azken arduraduna ere bai. Era berean datu pertsonalak babesteari dagokionez UPV/EHUk honako arduradun hauek izango ditu:
a) DBLO segurtasun-arduraduna: UPV/EHUko informazioaren segurtasuna zaintzeko estrategia orokorra zehazteaz gain estrategia hori bete egiten dela eta datu pertsonalak babesteari buruzko arauek agindutakora egokitzen dela egiaztatzeko ardura duen pertsona. Bere eginkizunetako bat da datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskubideak baliatu ahal izateko aukez daitezkeen eskaerak bideratzea baita adostasuna baliogabetzekoak eta balorazioak aurkaratzekoak ere.
b) Fitxategiaren barne-erantzulea: esleitzen zaizkion fitxategiak zertarako izango diren zer eduki izango duten eta nola erabiliko diren erabaki ahal izateko errektorearen eskuordetzea jaso duen pertsona. Fitxategiaren barne-erantzuleak datu pertsonalak babesteari buruzko arautegiak esleitzen dizkion eginkizunez gain arautegi honek «fitxategiaren edo tratamenduaren erantzulea» den pertsonari esleitzen dizkionak beteko ditu.
c) Segurtasun Informatikorako eta Dokumentuen Gestiorako Batzordea: «Segurtasun-arduraduna» izenekoaren eginkizuna (DBLOGEk zehaztutakoa) betetzen duen organoa. Eginkizun hori UPV/EHUko fitxategi guztietan aplika daitezkeen segurtasunerako neurrien ezarpena koordinatu eta kontrolatzean datza.
d) Datuak Babesteko Batzordea: Arautegi hau benetan ezartzeko koordinazio- eta kontrol-lanez arduratzen dena; eta datuak babesteari dagokionez UPV/EHUren jarduera-ildo nagusiak ezartzeko ardura duena.
e) Errektorego errektoreordetza ikastegi sail unibertsitateko ikerketa-institutu unibertsitateko zerbitzu edo beste organo batzuetako datu pertsonalen babeserako koordinatzailea: Errektorego errektoreordetza ikastegi sail unibertsitateko ikerketa-institutu unibertsitateko zerbitzu edo bestelako organoen arduradun nagusiek bere gain hartuko dute erantzukizuna unibertsitateko datu pertsonalak babesteari buruzko arautegia zabaldu ezarri eta benetan betetzen dela bermatzeko bakoitzak dagokion arloan eta unibertsitateko datu pertsonalak babesteko gainerako erantzuleekin koordinatuz eta lankidetzan arituz; era berean lan horiek egiteko beste pertsona batzuk izenda ditzakete baina beren erantzukizuna horien gain utzi gabe.
5.5.- Arautegi honetako IV. Tituluan zehazten dira datu pertsonalak babesteko unibertsitateko arduradun horien eginkizunak.
II. TITULUA
DATU PERTSONALEN TRATAMENDUA
1. KAPITULUA
DATU PERTSONALEN BILKETA
6. artikulua.- Datuak bildu eta tratatzeko modua.
6.1.- Datu pertsonalak zintzotasunez eta legea betez tratatuko dira; beraz debekatuta dago datuak biltzeko iruzurra egitea edo legezkoak ez diren bide makurrak erabiltzea.
6.2.- Helburu zehatz esplizitu eta legezkok betetzeko baino ez dira bilduko datu pertsonalak.
6.3.- UPV/EHUk uneoro aintzat hartuko du datu pertsonalak haien jabeenak baino ez direla dioen printzipioa eta ez ditu ez eskatuko ez tratatuko helburu zehatzetarako ez bada eta horretarako behar bezalako eskubiderik ez badu.
7. artikulua.- Erabilera eta helburuari buruzko informazioa.
7.1.- Datuak biltzen dituzten formularioek paperean nahiz monitorean daudenek berariaz informazio hau eman beharko dute zehatz eta argi:
a) Datu pertsonalak tratatzeko fitxategi bat dagoela adierazi beharko dute datuak zertarako biltzen diren jakinarazi eta informazio hori norentzat izango den esan.
b) Lagapen-hartzaileak zeintzuk diren edo zer kategoria duten adierazi beharko dute horien jarduera zehatza eta esplizitua behintzat zein den adieraziz.
c) Egiten diren galderak erantzutea derrigorra edo aukerakoa den argitu beharko dute.
d) Datuak emateak edota ez emateak dituen ondorioak azaldu beharko dituzte.
e) Datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskubideak daudela adierazi beharko dute eta eskubide horiek zein organoren aurrean balia daitezkeen jakinarazi.
f) Fitxategiaren edo tratamenduaren pertsona erantzulearen identitatea eta helbidea adierazi beharko dituzte.
7.2.- Eskatutako datu pertsonalak nolakoak diren edo zer egoeratan biltzen diren ikusita c) eta d) atalei dagokien informazioa ondorioztatzerik baldin badago atal horiek ez dira derrigorrak izango.
7.3.- Informaziorako eskubideari ahalik eta indar gehien emateko unibertsitateak formularioen bidez datu pertsonalak biltzen dituenean arautegi hau interneten eskura daitekeela adieraziko du bai bere web-orrian bai Datuak Babesteko Euskal Bulegoaren orrian.
7.4.- Datu pertsonalak interesdunaren bitartez jasotzen ez dituenean UPV/EHUk datu horiek erregistratzen dituen egunetik kontatzen hasi eta hiru hilabeteko epean berariaz honako informazio hau eman beharko dio interesdunari modu zehatz eta argian baldin eta lehenago halako jakinarazpenik egin ez badio:
a) tratamenduaren edukia;
b) datuen jatorria;
c) datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskubidea baliatzeko aukera.
d) fitxategiaren edo tratamenduaren erantzulearen identitatea eta helbidea.
7.5.- Arautegi honetako I.I.E. eranskinean hirugarrenei buruzko datuak biltzen dituzten formularioetan sartu behar den informazio-klausula dago jasota. Informazio-klausula horren edukia izan daitekeen txikiena da; beraz zenbaitetan beharrezkoa izango da eduki hori beste zerbaitekin osatzea; adibidez unibertsitateak etorkizunean datuak uzteko eskubidea izateko baimen-eskaera egiteko formularekin.
8. artikulua.- Datuen kalitatea.
8.1.- Datu pertsonalak bildu eta tratatzerako kontuan hartu beharko da zertarako jaso nahi diren eta ezinbestekoa izango da datu horiek egokiak izatea helburu zehatz argi eta legezko horretarako; halaber datuek ez dute neurriz gainekoak izan beharko.
8.2.- Tratatuko diren datu pertsonalak ez dira erabiliko datu horiek biltzearen helburuarekin bat ez datorren xedeetarako.
8.3.- Datu pertsonalak zehatzak eta eguneratuak izango dira; beraz beren jabearen uneko egiazko egoera adieraziko dute. Datuak zuzenean euren jabearen eskutik biltzen badira hark emandako datuak hartuko dira egiazkotzat. Erregistratutako datu pertsonal guztiak edo horietako batzuk okerrak badira edo osatu gabe badaude okerra ezagutzen den egunetik kontatzen hasita hamar eguneko epea egongo da akats horiek zuzentzeko edo datuak ezerezteko kalterik egin gabe arautegi honetako 14 15 16 eta 17. artikuluetan aitortzen diren eskubideak baliatzeko interesdunak duen aukerari.
Datu horiek lehenagotik jakinarazi badira fitxategiaren edo tratamenduaren pertsona erantzuleak egindako zuzenketa edo ezereztea jakinarazi beharko dio lagapen-hartzaileari hamar eguneko epean. Datuak erabiltzen dituen lagapen-hartzaileak jakinarazi zaion zuzenketa edo ezereztea egin beharko du hamar eguneko epean jakinarazpen hori jasotzen duen egunetik kontatzen hasita. Datu pertsonalen eguneratze hori ez zaio interesdunari jakinaraziko.
9. artikulua.- Helburu estatistiko historiko edo zientifikoak dituen tratamendua.
9.1.- Datu pertsonalak helburu historiko estatistiko edo zientifikoetarako erabiltzea ez da bateraezina izango arautegi honetako 8.2 artikuluak agintzen duenarekin. Aurreko paragrafoan aipatutako helburu horiek zehazteko aintzat hartuko da kasu bakoitzean ezar daitekeen legea eta bereziki honako hauek agintzen dutena: ekainaren 25eko 16/1985 Legea Espainiako Historia Ondareari buruzkoa; maiatzaren 9ko 12/1989 Legea Funtzio Estatistikoari buruzkoa; Ikerketa Zientifikoa Sustatu eta Koordinatzeko apirilaren 14ko 13/1986 Legea; lege horiek garatzeko xedapenak; eta gai horien inguruko autonomia erkidegoko araudia.
9.2.- DBLOGEren IX. Tituluko VII. Kapituluaren bigarren atalean ezarritako prozedurarekin bat etorriz eta fitxategiaren edo tratamenduaren pertsona erantzuleak aurretiaz hala eskatzen badio Datuak Babesteko Euskal Bulegoak zenbait datu osorik gordetzea erabaki dezake goiko zatian aipatutako arauen arabera datu horiek balio historikoa estatistikoa edo zientifikoa badute.
10. artikulua.- Datuak gordetzea eta ezereztea.
10.1.- Datuak ezereztu eta ondoren kendu edo ezabatzen ez diren bitartean datu pertsonalak tratatuko dira datuak atzitzeko eskubidea baliatzeko aukera emanez.
10.2.- Datu pertsonalak ezereztu egingo dira datu horien bilketa edo erregistroak zuen helbururako beharrezkoak edo egokiak izateari uzten diotenean. Alabaina harreman edo betebehar juridiko baten ondorioz edo kontratu bat egitearen ondorioz erantzukizunen bat eskatu behar denean datu horiek denbora batez gorde ahalko dira.
10.3.- Ezerezteak datuak blokeatzea ekarriko du; hau da datu horiek identifikatu eta gorde egingo dira inork erabili ez ditzan. Alabaina administrazio publikoen epaileen eta auzitegien esku jar daitezke datuen tratamenduaren ondorioz sor daitezkeen erantzukizunak aintzat hartzeko betiere erantzukizun horien preskripzio-epeak iraun bitartean. Epe hori amaitu ondoren datuak kendu edo ezabatu egin beharko dira.
10.4.- Datuak kendu edo ezabatzeak esan nahi du ezereztutako datu pertsonalak fisikoki ezabatuko direla datu pertsonalak tratatzearen ondorioz sor daitezkeen erantzukizunen preskripzio-epea amaitu ondoren.
10.5.- Edozein modutan dokumentu eta euskarrietako datuak gorde eta ezabatzeari buruz UPV/EHUk ezartzen duena errespetatu beharko da.
11. artikulua.- Interesdunaren adostasuna.
11.1.- Legeak besterik adierazi ezean interesdunaren adostasun garbia beharko da datu pertsonalak tratatu ahal izateko. Adostasun hori lortuko da arautegi honetako 12. artikuluan adierazitako moduren batean.
11.2.- Alabaina honako kasu hauetan unibertsitatea ez da derrigorturik egongo erabili nahi dituen datu pertsonalen jabeei adostasuna eskatzera:
a) Unibertsitateak bere eskumenen barruan dagozkion eginkizunak betetzeko biltzen dituenean datu pertsonalak.
b) Kontratuetako aurrekontratuetako edo negozio- lan- eta administrazio-harremanetako aldeei buruzko datu pertsonalak direnean eta kontratu edo harreman horiei eusteko edo horiek betetzeko beharrezkoak direnean.
c) DBLOren 7.6 artikuluan ezarritakoaren arabera datu pertsonalak interesdunaren bizitza edo osasuna babesteko helburuarekin erabiltzen direnean.
d) Datuak jendearen eskurako iturrietan daudenean eta UPV/EHUk edo datu- jakinarazpena jaso duen hirugarren batek datu horiek bere legezko interesak betetzeko behar dituenean betiere interesdunaren oinarrizko eskubideak urratzen ez badira.
11.3.- Interes orokorren bat tarteko lege batek agintzen duenean baino ezingo dira bildu tratatu edo utzi osasunari bizitza sexualari edo arrazari buruzko datu pertsonalak; edo bestela interesdunak berariaz horretarako adostasuna agertzen duenean. Langileen osasunarekin harreman zuzena duten UPV/EHUko profesionalek haiengana jotzen duten pertsonen osasunari buruzko datu pertsonalak tratatu ahalko dituzte osasunari buruzko eta lan-arriskuen prebentzioari buruzko indarreko araudiak ezartzen duenarekin bat etorriz.
11.4.- Ideologia erlijio sinesmen eta sindikatu-bazkidetzari buruzko datuak erabili ahal izateko interesdunak idatziz agertu beharko du berariazko adostasuna. Ideologia erlijio sinesmen eta sindikatu-bazkidetzari buruzko datuak biltzen badira interesdunari datu horiek erabiltzeko debekua ezar dezakeela jakinaraziko zaio.
11.5.- Adostasuna agertu ondoren adostasun hori ezeztatu ahalko da horretarako arrazoi justifikaturik egonez gero eta atzeraeraginezko ondoriorik ez badago. Adostasuna ezeztatzeko eskaera idatziz egin beharko zaio DBLO segurtasun-arduradunari eta horrek dagokion fitxategiaren edo tratamenduaren pertsona erantzuleari kontsulta egin ondoren hamar eguneko epea izango du eskaera jasotzen duen egunetik kontatzen hasita horri erantzun eta adostasuna ezeztatzeko. Lehenagotik jakinarazita edo utzita dauden datuak tratatzeko adostasuna ezeztatu bada UPV/EHUk datuen jakinarazpena jaso zuenari ezeztatze horren berri eman beharko dio baldin eta hark datuak tratatzen jarraitzen badu. I.II.E. eranskinean jasotzen da adostasuna ezeztatzeko eredua. Halaber arautegi honetako 16. artikuluan adierazten den ezerezteko eskubidearen bitartez ere ezeztatu ahalko da adostasuna.
12. artikulua.- Adostasuna jasotzeko ereduak.
12.1.- Arautegi honetako I.III.E eranskinean dago datuak erabiltzeko berariazko baimena emateko eredua.
12.2.- Halaber zenbait kasutan interesdunari beste aukera batzuk emango zaizkio bere datuak tratatu edo uzteko baimena berariaz ukatu ahal izan dezan. Adibidez fitxategiaren edo tratamenduaren pertsona erantzuleak kontratu bat egiteko prozesuaren barruan adostu nahi den kontratu-harremana mantendu garatu edo kontrolatzeko beharrezkoak ez diren datuak tratatu edo uzteko eskaera egiten badu interesdunak eskaerari uko egin ahalko dio kontratua egiteko ematen zaion dokumentuan argi ikusteko moduan agertuko den lauki zuri bat markatuz edo antzeko beste prozedura bat erabiliz.
12.3.- Legearen aginduz berariazko baimena nahitaezkoa ez denean fitxategiaren edo tratamenduaren pertsona erantzuleak DBLOren 5. artikuluan eta DBLOGEren 12.2 artikuluan adierazitako moduan jakinarazpena egingo dio interesdunari; 30 eguneko epea emango dio datuak erabiltzeko baimena ukatu dezan eta jakinaraziko dio datu pertsonalak erabiltzeko baimena emandakotzat hartuko dela interesdunak epe horretan bestelakorik adierazten ez badu. Edonola ere fitxategiaren edo tratamenduaren pertsona erantzuleak jakin egin beharko du arrazoiren bat tarteko jakinarazpen-itzultzerik izan den ala ez; halakorik egon bada ezingo ditu interesdunari dagozkion datuak erabili.
Interesdunari bide erraza eta doanekoa eskainiko zaio datuak tratatzeari ezetza eman diezaion. Datuak tratatzeari ezetza emateko arautegi honi lotuko zaio bereziki posta elektronikoa erabiltzea; edo bestela posta-bidalketa egitea frankeo ordaindua duen gutun-azalean (aurretiaz unibertsitateak emanikoa) edo beste moduren batean.
Interesdunaren adostasuna azken prozedura horri jarraituz eskatzen denean eskaera hori egiten den egunetik kontatzen hasi eta urtebeteko epean ezingo da eskaera bera egin datuen tratamendu eta helburuak aldatu ez badira.
2. KAPITULUA
INTERESDUNEN ESKUBIDEAK
13. artikulua.- Datuak atzitu zuzendu ezereztu eta datuen aurka egiteko eskubideak.
13.1.- Datuak atzitu zuzendu ezereztu eta datuen aurka egiteko eskubideak oso pertsonalak dira eta interesdunak baino ezingo ditu erabili. Eskubide horiek erabiltzeko:
a) Interesdunak bere identitatea egiaztatu beharko du.
b) Interesdunaren legezko ordezkariak jokatu beharko du haren izenean interesduna ezintasun-egoeran dagoenean edo adin txikikoa denean eta eskubide horiek bere kabuz baliatu ezin dituenean. Horretarako egiaztatu egin beharko du legezko ordezkaria dela.
c) Berariaz borondatezko ordezkaria izendatu ahalko da eskubide horiez baliatzeko. Kasu horretan ordeztuaren identitatea egiaztatu beharko da haren Nortasun Agiri Nazionala edo horren baliokidea den agiriren bat aurkeztuz. Halaber egiaztatu egin beharko da interesdunak emandako ordezkaritza egiaztatzen dena modu fidagarrian jasota uzten duen eta zuzenbidean baliozkoa den bitartekoren bat erabiliz (adibidez notario-ahalordea) edo interesduna bera agertuz ordezkaritza hori jakinarazteko.
13.2.- Interesdunak nahitaez egiaztatu beharko du bere identitatea. Horregatik eskubide horiek baliatzeko eskaera egitean erabiltzen diren bideek interesdunaren identitatea egiaztatzeko aukerarik ematen ez badute ez dira aintzat hartuko eskaera horiek (adibidez telefonoz egiten direnak).
13.3.- Gurasoek tutoreek edo beste hirugarren batzuek ezingo dute eskuratu beren seme-alaba edo hurbilekoek UPV/EHUn duten espediente akademikoa artikulu honetan berariaz onartzen diren kasuetan ez bada.
Datu pertsonalen titularra hiltzen denean ere ezingo dira bere datuak eskuratu. Alabaina hildakoarekin lotuta dutenek bai familia lotura bai izatezkoa DBLO segurtasun-arduradunarengana jo dezakete hari heriotzaren berri emateko horretarako agiri egokiak aurkeztuz eta datuak ezerezteko eskatuz hori egiterik balego. DBLO segurtasun-arduradunak eman zaion informazioa jakinaraziko dio ukitutako fitxategiaren edo tratamenduaren pertsona erantzuleari.
13.4.- Datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskubidea baliatzeko DBLO segurtasun-arduradunari edo fitxategiaren erantzuleari idazki bat aurkeztu beharko zaio unibertsitateko erregistro orokorrean edo UPV/EHUko 2007ko maiatzaren 28ko erabakian zerrendatutako bulegoetan (2007ko abuztuaren 3ko EHAA 149. zk.); bestela Herri Administrazioen Araubide Juridikoaren eta Administrazio Prozedura Erkidearen azaroaren 26ko 30/1992 Legeko 38.4. artikuluak ezarritako bideak erabiliz ere aurkez daiteke idazkia. DBLO segurtasun-arduradunak jaso dituen eskaerak helaraziko dizkie ukitutako fitxategien edo tratamenduen pertsona erantzuleei. Eskaerak egiteko idazkian honako hauek agertu beharko dute:
a) Interesdunaren izen-abizenak; nortasun agiri nazionalaren kopia edo pasaportea edo identifikatuko duen baliozko beste dokumentu edo tresna elektronikoren bat. Interesdunaren ordezkoak identifikazio-dokumentuaz gain ordezkaritza egiaztatuko duen agiria edo tresna elektronikoa aurkeztu beharko du. Ez da NAN edo horren ordezko dokumentu baliokidearen kopiarik aurkeztu beharrik izango identifikatzeko firma elektronikoa erabiltzen bada.
b) Eskatzen denaren adierazpena.
c) Jakinarazpenak jasotzeko helbidea eskatzailearen sinadura eta data.
d) Egiten duen eskaera aintzat hartzeko nahitaezkoak diren egiaztagiriak halakorik eskatzen denean.
13.5.- Interesdunak eskaera bidali eta jaso egin dela egiaztatzeko edozein bitarteko erabili beharko du. Eskubide horiek baliatzeko bideak errazteko unibertsitateko erregistro nagusian erregistro osagarrietan eta web-orrian eskaerak egiteko formularioak jarriko dira.
13.6.- Eskaerak artikulu honen laugarren puntuan zehaztutako baldintzak betetzen ez baditu DBLO segurtasun arduradunak fitxategiaren edo tratamenduaren pertsona erantzuleak emandako argibideak aintzat hartuz akats horiek zuzentzeko eskatu beharko du.
13.7.- UPV/EHUk beharrezko bitartekoak jarriko ditu datu pertsonalak erabiltzen dituzten unibertsitateko kideek interesdunari jakinaraz diezaioten zer prozedura jarraitu behar duen bere eskubideak baliatu ahal izateko.
13.8.- Interesdunak tratamenduaren arduradun baten aurrean baliatzen dituenean bere eskubideak horrek DBLO segurtasun-arduradunari igorri beharko dio egin zaion eskaera berariaz ez bada aurreikusten pertsona erantzuleak eskumena emango diola tratamenduaren arduradunari datuak atzitu zuzendu ezereztu edo datuen aurka egiteko eskubideak baliatzeko eskaerei erantzuteko.
14. artikulua.- Datuak atzitzeko eskubidea.
14.1.- Datuak atzitzeko eskubidea da interesdunak honako hauek jakiteko duen eskubidea: inor bere datu pertsonalak tratatzen ari den datuak zertarako ari diren tratatzen (tratatzen ari badira) datuak nondik lortu diren eta nori jakinarazi zaizkion edo jakinaraziko zaizkion.
14.2.- Datuak atzitzeko eskubidea baliatzeko eskaera egitean interesdunak fitxategia kontsultatzeko honako sistema hauen artean aukera egin dezake betiere fitxategiaren konfigurazioak edo ezarpenak horretarako modurik eskaintzen badio:
a) Bertaratu eta pantailan begiratuz.
b) Posta bidez idazkia kopia edo fotokopia jasoz.
c) Posta elektronikoa edo bestelako komunikazio-sistema elektronikoren bat erabiliz.
d) Fitxategiaren konfigurazioarekin edo ezarpen materialarekin edo tratamendu-motarekin bateragarria den beste edozein prozedura jarraituz.
Edonola ere fitxategiak kontsultatzeko goian ezarri diren sistema horiek murriztu egin daitezke fitxategiaren konfigurazioaren edo ezarpen materialaren arabera edo tratamendu-motaren arabera baina interesdunari eskainiko zaion sistema doakoa izango da beti eta idatzizko jakinarazpenerako aukera eman beharko du interesdunak hala eskatzen badu.
14.3.- Datuak atzitzeko eskaera jasotzen den egunetik kontatzen hasita gehienez ere hilabeteko epean hartuko da haren gaineko erabakia. Eskaera baietsi egin dela jakinarazten bada baina jakinarazpenarekin batera ez bada eskatutako informazioa ematen jakinarazpena jasotzen den egunetik hamar eguneko epea egongo da datuak atzitzeko eskubidea betetzeko.
14.4.- Berdin da informazioa zer euskarritan ematen den baina irakurgarria eta ulergarria izango da eta ez du izango gailu mekaniko espezifikoak erabiltzea eskatzen duten klabe edo koderik. Informazio horrek honako hauek zehaztu beharko ditu: interesdunaren datuak edozein lanketa edo prozesu informatikoren ondorioz lortutakoak datuen jatorriari erabilerari eta lagapen-hartzaileei buruzko informazioa eta datuak gordetzearen arrazoiari buruzko zehaztapenak.
14.5.- Artikulu honetan aipatzen den datuak atzitzeko eskubide hori ezingo da baliatu 12 hilabeteko epearen barruan behin baino gehiagotan interesdunak eskubidea gehiagotan baliatzeko bidezko interesa duela egiaztatu ezean.
14.6.- I.IV.E eranskinean dago datuak atzitzeko eskaera egiteko eredua.
15. artikulua.- Datuak zuzentzeko eskubidea.
15.1.- Datuen titularrak ziur badaki fitxategi batean tratatzen diren bere datu pertsonalak okerrak direla edo osatu gabe daudela UPV/EHUri horiek zuzentzea eska diezaioke. Datuak zuzentzeko eskaerak zehaztu beharko du zer datu diren zuzendu beharrekoak eta zer zuzenketa egin behar den. Halaber eskatutakoa justifikatzeko agiriak aurkeztu beharko dira.
15.2.- Unibertsitateak hamar eguneko epea izango du datuak zuzentzeko interesdunaren eskubidea betetzeko.
15.3.- Datu pertsonalak zuzenduko dira haien tratamenduak DBLOk agintzen duenari jarraitzen ez badio eta bereziki datu horiek okerrak edo osatugabeak badira.
15.4.- Zuzendutako datuak lehenagotik beste inori utzi bazaizkio lagapen-hartzaileari egindako zuzenketa jakinaraziko zaio epe berean hark ere zuzenketa egin dezan jakinarazpena jasotzen duen egunetik kontatzen hasi eta hamar eguneko epean.
15.5.- I.V.E eranskinean dago datuak zuzentzeko eskaera egiteko eredua.
16. artikulua.- Datuak ezerezteko eskubidea.
16.1.- Datuak ezerezteko eskubidea baliatzeak datu desegokiak edo neurriz gainekoak blokeatzea ekarriko du. Alabaina administrazio publikoen epaileen eta auzitegien esku egoten jarraituko dute datuen tratamenduaren ondorioz sor daitezkeen erantzukizunak aintzat hartzeko erantzukizun horien preskripzio-epeak iraun bitartean. Epe hori amaitu ondoren datuak ezabatu egingo dira.
16.2.- Datuak ezerezteko eskaeran zehaztu beharko da zer datu ezereztu nahi diren eta datuak ezerezteko justifikazio-agiriak aurkeztu beharko dira halakorik eskatzen bada. Interesdunak bere datuak erabiltzearekiko adostasuna ezeztatzeko erabili ahalko du ezerezte-eskaera.
16.3.- Unibertsitateak hamar eguneko epea izango du datuak ezerezteko interesdunaren eskubidea betetzeko.
16.4.- Datuak ezabatzea bidezkoa bada baina datu horiek ezin badira fisikoki desagerrarazi (arrazoi teknikoengatik edo erabilitako prozedura edo euskarriagatik) fitxategiaren edo tratamenduaren pertsona erantzuleak blokeatu egingo ditu datu horiek berriro tratatu edo erabili ez daitezen. Alabaina honako salbuespen hau egingo da: datuak iruzurra eginez edo zilegitasunik gabe jaso edo erregistratu direla egiaztatzen bada datu horien euskarria suntsitu egingo da beti.
16.5.- Ezereztutako datuak lehenagotik beste inori utzi bazaizkio lagapen-hartzaileari egindako ezereztea jakinaraziko zaio epe berean hark ere ezereztu ditzan jakinarazpena jasotzen duen egunetik kontatzen hasi eta hamar eguneko epean.
16.6.- I.IV.E eranskinean dago datuak ezerezteko eskaera egiteko eredua.
17. artikulua.- Datuen aurka egiteko eskubidea.
17.1.- Datuen aurka egiteko eskubidea da interesdunak duen eskubidea bere datu pertsonalak inork tratatu ez ditzan edo tratatu dituenak tratatzeari utz diezaion honako kasu hauetan:
a) Datuak tratatzeko interesdunaren adostasuna behar ez denean eta aldi berean interesdunak bere egoera pertsonalari dagokion bidezko arrazoi sendo bat daukanean datuen aurka egitea justifikatzeko aurkakorik agintzen duen legerik egon ezean.
b) DBLOGEk 36. artikuluan ezartzen duen bezala interesdunaren datu pertsonalen tratamendu automatizatua oinarritzat duen interesdunari buruzko erabakia hartzea denean tratamenduaren helburua.
17.2.- UPV/EHUk datuen aurka egiteko eskaera jasotzen duen egunetik kontatzen hasita hamar egun balioduneko epea izango du interesdunak bere eskaeran aipatzen dituen datuak tratatzeari uzteko edo eskaera horri uko arrazoitua egiteko.
17.3.- I.VII.E eranskinean dago datuen aurka egiteko eskaera-eredua dago.
18. artikulua.- Datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskaerak bideratzea.
18.1.- Datuak atzitzeko zuzentzeko ezerezteko edo datuen aurka jotzeko eskaerei DBLO segurtasun-arduradunak erantzungo die eskaerak ukitzen duen fitxategian interesdunari buruzko daturik egon ala ez. Fitxategiaren edo tratamenduaren pertsona erantzuleak adierazten dionaren arabera emango du erantzuna administrazio-jakinarazpenaren bidez jarraian xedatzen denarekin bat etorriz. Interesdunari buruzko datu pertsonalik ez badago horren berri emango zaio interesdunari.
18.2.- Datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka jotzeko eskubideak baliatzeagatik ez da inolako ordainik eskatuko.
18.3.- UPV/EHUren zerbitzu juridikoari dagokio DBLO segurtasun-arduradunari eta fitxategiaren edo tratamenduaren pertsona arduradunari aholkua ematea interesdunaren eskubideak aintzat hartzerakoan jarraitu beharreko irizpideak bateratuak izan daitezen. Horretarako beren ezaugarri bereziengatik edo mahaigaineratzen dituzten kontuengatik zerbitzu juridikoak aztertu beharreko eskaerak direnean DBLO segurtasun-arduradunak zerbitzu horri igorriko dizkio datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka jotzeko eskaerak beharrezko dokumentazioarekin batera. Zerbitzu juridikoak egoki deritzen txosten guztiak bildu eta ahalik eta azkarren egingo du erabaki-proposamena; edozein kasutan unibertsitateak bere gain hartutako epeak bete beharko ditu erantzuna ematerakoan.
18.4.- Eskaerak ez dira onartuko kasu hauetan:
a) Legeak edo zuzenean aplikatzeko erkidegoko zuzenbidearen arauren batek agintzen duen kasuetan.
b) Eskatzailea ez denean ez interesduna ez haren ordezkoa (arautegi honen 13.1 artikuluan ezarritakoarekin bat).
c) Datuak atzitzeko eskubidearen kasuan interesdunari datu horiek ezagutaraztea galarazten duen legeren bat edo zuzenean aplikatzeko erkidegoko zuzenbidearen arauren bat dagoenean. Azken hamabi hilabeteetan eskubide hori dagoeneko baliatu denean eta ez denean egiaztatzen bidezko interesen bat dagoela eskubide hori berriro baliatzeko.
d) Datuak zuzentzeko eskubidearen kasuan zein datu den okerra eta egin beharreko zuzenketa zein den adierazten ez denean.
e) Datuak ezerezteko eskubidearen kasuan interesdunaren edo hirugarren baten bidezko interesei kalteren bat eragin dakiekeenean; kontratu-harreman bat dagoenean; ordainketak eta kobrantzak gestionatu behar direnean; edo datu horiek gordetzea beharrezkoa denean UPV/EHUren helburuak modu egokian betetzeko.
18.5.- Datuak atzitzea zuzentzea ezereztea edo datuen haurka egitea eskatu denean eta interesdunaren eskaera onartzea ez dela bidezkoa pentsatzen denean horren berri emango zaio arrazoiak azalduz. Edonola ere UPV/EHUk justifikatu egin beharko du eskaerari egindako ukoa eta interesdunari jakinarazi beharko dio Datuak Babesteko Euskal Bulegoaren babesa jasotzeko eskubidea duela DBLOren 18. artikuluan ezarritakoarekin bat.
18.6.- UPV/EHUk eskaera guztiei erantzuteko eginbeharra dauka eta eginbehar hori bete duela egiaztatzeko dokumentazioa gordeko du; alabaina ezarritako epeetako isiltasun administratiboak adieraziko du eskaera ez dela onartu.
18.7.- Interesdunak Datuak Babesteko Euskal Bulegoaren babesa jasotzeko eskubidea baliatu ahalko du datuak atzitzeko eskubidea baliatzen duen egunetik kontatzen hasi eta hilabete bat igaro bada edo hamar egun baliodun igaro badira datuak zuzentzeko ezerezteko edo datuen aurka jotzeko eskubideak baliatzen dituen egunetik eta tarte horretan inolako erantzunik jaso ez badu edo jasotako erantzuna ezezkoa izan bada edo erantzunarekin ados ez badago.
19. artikulua.- Balorazioak aurkaratzea.
Interesdunek beraiei buruzko hainbat alderdi ebaluatzeko helburua duten datuen tratamenduan oinarrituriko balorazioak DBLO segurtasun-arduradunaren aurrean aurkaratzeko eskubidea izango dute eta horrek aurkaratze-eskaerak ukitzen duen fitxategi edo tratamenduaren pertsona erantzuleari helaraziko dio eskaera.
3. KAPITULUA
DATU PERTSONALAK JAKINARAZTEA
20. artikulua.- Sekretua gordetzeko betebeharra.
20.1.- UPV/EHUren datu pertsonalen tratamenduko edozein fasetan parte hartzen duen orok sekretu profesionalaren betebeharra eta datuak gordetzekoa izango ditu; betebehar horiek indarrean jarraituko dute langileak unibertsitatearekin duen harremana hausten denean ere.
20.2.- Sekretua gordetzeko betebeharra ez betetzea zigortu egingo da indarreko legediak ezartzen duen moduan eta diziplinazko erantzukizunak edo hirugarrenen aurrean ezar daitezkeenak ekarriko ditu.
21. artikulua.- Datuen jakinarazpenari dagozkion betebeharrak.
21.1.- Arautegi honetako 23. artikuluan berariaz ezarrita eta adierazita dauden kasuetan izan ezik erabiltzen diren datu pertsonalak hirugarren bati jakinarazi ahalko zaizkio baldin eta UPV/EHUren eta lagapen-hartzailearen bidezko funtzioak betetzearekin zerikusi zuzena duen helbururen bat betetzeko egiten bada eta aurretiaz interesduna jakinarazpena egitearekin ados agertzen bada betiere arautegi honetako 11. artikuluan ezarritakoa errespetatuz.
21.2.- Datu pertsonalak hirugarren bati jakinarazteko adostasuna baliogabea izango da interesdunak ematen zaion informazioarekin ezin duenean jakin zer datu-mota jakinarazteko baimena ematen ari den zertarako izango diren datu horiek eta datu horiek jasoko dituenak zer nolako jarduera duen.
21.3.- Datu pertsonalak jakinarazteko adostasuna ezeztatu ahal izango da. Arautegi honetako 11.5 artikuluan ezarritakoarekin bat etorriz datuak jakinarazteko adostasuna ezeztatzen bada berehala eman beharko zaie horren berri lagapen-hartzaileei interesdunaren datuak erabiltzeari utz diezaioten.
21.4.- Datu pertsonalen jakinarazpen hutsak DBLOren aginduak betetzera behartzen du jakinarazpen hori jasotzen duen oro.
21.5.- Jakinarazpenaren aurretik disoziazio-prozedurarik izan bada ez da aurreko puntuetan ezarritakoa aplikatuko.
22. artikulua.- Interesdunaren adostasuna eskatzen duten datu-uzteak.
22.1.- Kanpoko erakunderen batek UPV/EHUri eskatzen badio bere esku dituen datu pertsonalak uzteko unibertsitateari bere interesekoa iruditzen zaion helburu batetarako datu horiek uzteko hitzarmenaren izapideak egiteari ekingo zaio aplika daitekeen unibertsitateko araudia errespetatuz. Arautegi honetako II.IV.SZ eranskinean sakonago aztertzen da kasu hori.
Hitzarmena tramitatzean txostenak eskatuko zaizkio DBLO segurtasun-arduradunari eta fitxategiaren edo tratamenduaren pertsona erantzuleari; txosten horiek lotesleak izango dira. Datuak utzi ahal izateko fitxategiaren edo tratamenduaren pertsona erantzuleak bere txostenean egiaztatu beharko du eskatzen diren datuen jabeak aurretiaz ados agertu direla datuak uztearekin; horiek uzteko baimena eman ez duten kasuetan eskatu egin beharko da. Adostasun-eskaera arautegi honetako 12. artikuluan ezarritakoarekin bat etorriz egingo da.
Fitxategiaren edo tratamenduaren pertsona erantzuleak egiten diren datu-uzteak erregistratuko ditu etorkizunean datu horiek atzitzeko zuzentzeko ezereztekok eta datu horien aurka egiteko eskubideak benetan baliatzen direla bermatzeko. Halaber egindako datu-uzteak fitxategiaren segurtasun-agiriko sarrera eta irteeren erregistroan agertuko dira.
22.2.- Aurreko puntuetan adierazitako prozeduraren salbuespen moduan kanpoko erakunde batek datuak eskatzen baditu eta UPV/EHUk pentsatzen badu kanpoko erakundeak emandako informazioa zabaltzen laguntzeko interesa duela (interes horrek zerikusia izan behar du Estatutuen arabera UPV/EHUrenak diren helburuekin) unibertsitateak informazio hori hedatu ahalko du eta gastuak bere gain hartuko ditu.
Informazio-zabalkundea antolatzen duen UPV/EHUren unitateak (Errektoregoa errektoreordetza gerentzia ikastegi institutu edo katedrak) DBLO segurtasun-arduradunari eskatuko dio dagokion baimena unitate horren arduradun nagusiak zabalkunderako ekimenari oniritzia eman ostean. DBLO segurtasun-arduradunak baimen hori idatziz eman ostean unitate antolatzaileak bere gain hartuko du kanpoko erakundeak emandako informazioa bidaltzea. Informazio horrek aurretik unibertsitatearen aurkezpen-idazkia izango du eta bertan informazio hori bidaltzea justifikatuko da.
Informazioa bidaltzeko lehenetsitako bidea posta elektronikoa izango da. Salbuespen moduan ohiko posta erabiliko da. Horretarako DBLO segurtasun-arduradunari egindako eskaeran behar bezala justifikatuko da ohiko posta erabiltzeko arrazoia eta unibertsitateak bere gain hartuko ditu bidalketaren gastuak.
Halaber unibertsitatearen web-orrian gune batzuk gorde ahalko dira bertan unibertsitateko kideentzat interesagarria den informazioa jartzeko informazio horrek unibertsitatearekin zerikusi zuzena izan ez arren.
23. artikulua.- Interesdunaren adostasuna eskatzen ez duten datu-uzteak.
23.1.- Aurreko artikuluek ezartzen dutena alde batera utzita unibertsitateari datuak uztea eskatzen zaionean edo unibertsitateak datu horiek hirugarren bati utzi nahi dizkionean honako kasu hauetan aurretiaz ez da interesdunaren adostasuna eskatuko DBLOren 11 eta 12. artikuluekin bat etorriz:
a) Datuak uztea lege-mailako arau batek edo erkidegoko zuzenbidearen arau batek baimentzen duenean.
b) Datuak jendearen eskurako iturrietan daudenean eta UPV/EHUk edo datu- jakinarazpena jaso duen hirugarren batek datu horiek bere legezko interesak betetzeko behar dituenean betiere interesdunaren oinarrizko eskubideak urratzen ez badira.
c) Tratamendua askatasunez eta modu legitimoan onartutako harreman juridikoen ondorio denean eta harreman horiek garatzeko betetzeko zein kontrolatzeko nahitaezkoa denean tratamendua hirugarrenen fitxategiekin konektatzea. Halako kasuetan datu-jakinarazpena legitimoa izango da hura justifikatzen duen xedea dagoenean eta xede hori betetzeko baino egiten ez denean.
d) Egin beharreko jakinarazpenaren jasotzailea herriaren defentsaria fiskaltza epaileak zein auzitegiak edo kontu-auzitegia direnean eta datuak horiek dituzten eginkizunak gauzatzeko uzten direnean. Era berean ez da adostasunik beharko jakinarazpenaren jasotzaileak herriaren defentsariaren edo kontu-auzitegiaren antzeko eginkizunak dituzten autonomia-erkidegoetako erakundeak direnean.
e) Datu-uztea administrazio publikoen artean egiten denean honako hiru kasu hauetan: datu-uztearen helburua datuak geroagoko aldietan tratatzea denean xede historiko estatistiko eta zientifikoekin; administrazio publiko batek beste administrazio publiko batentzat bildu edo landutako datu pertsonalak direnean; datu-jakinarazpena eskumen berberak edo gai berberen inguruko eskumenak baliatzeko denean.
f) Datu-uztea disoziazio-prozeduraren ondotik egiten denean; hau da datuak uztetik lortzen den informazioa identifikatutako norbaitekin edo identifikagarria den norbaitekin lotu ezin daitekeenean.
23.2.- Kasu horietan datu-uzteak DBLO segurtasun-arduradunaren eta fitxategiaren edo tratamenduaren pertsona erantzulearen kontrolpean egingo dira. Zalantzarik egonez gero nahitaezkoa izango da DBLO segurasun-arduradunari kontsulta egitea.
24. artikulua.- Datuen nazioarteko transferentzia.
24.1.- Arautegi honen arabera datuen nazioarteko transferentzia izango da Europako Batasuneko herrialdeek eta Liechtenstein Norvegia eta Islandiak osatzen duten Europako Ekonomia Eremutik eta Suitzatik kanpo egiten dena. Berdin da datuak utzi edo jakinarazteko diren edo fitxategiaren edo tratamenduaren pertsona erantzuleak erabiltzeko diren.
24.2.- Datu pertsonalen nazioarteko transferentzia egin daiteke datu horiek DBLOk ematen duen segurtasun mailaren pareko segurtasuna ematen duten herrialdeetarako direnean DBLOGEren 67 68 eta 69. artikuluetan ezarritakoaren arabera. Bestela aurretiaz Datuak Babesteko Espainiako Agentziaren zuzendariaren baimena lortu beharko da; eta baimen hori emateko bermeak egokiak izan beharko dira.
24.3.- Interesdunak bere datuak uzteko zalantzarik gabeko adostasuna adierazten duenean eta datu-uztea beharrezkoa denean interesdunaren mesederako zerbitzu edo kontratu bat gauzatzeko ez da aplikatuko aurreko puntuan ezarritakoa; halaber ez da aplikatuko DBLOren 34. artikuluan jasotzen diren kasuetako edozeinetan.
4. KAPITULUA
TRATAMENDUAREN ARDURADUNA
25. artikulua.- Fitxategiaren barne-erantzulearen eta tratamenduaren arduradunaren arteko harremanak.
25.1.- Tratamenduaren arduradunak zerbitzu bat emateko datuak atzitzen dituenean ez da ulertuko datuak jakinarazi direnik betiere DBLOk eta artikulu honek ezarritakoa betetzen bada.
Tratamenduaren arduradunak ematen duen zerbitzua ordaindu beharrekoa izan daiteke edo ez eta aldi baterako edo mugagabea izan ahal da.
Alabaina datuak jakinarazi direla ulertuko da datuak atzitzearen helburua atzipena egiten duenaren eta interesdunaren artean harreman berri bat ezartzea denean.
25.2.- Fitxategiaren edo tratamenduaren pertsona erantzuleak zerbitzu bat emateko kontratazioa egiten duenean eta kontratazioak artikulu honetan ezarritakoari lotu behar zaion datu pertsonalen tratamendua eragiten duenean fitxategiaren edo tratamenduaren pertsona erantzulearen ardura izango da berme guztiak biltzea tratamenduaren arduradunak arautegi honetan ezarritakoa bete dezan.
25.3.- Tratamenduaren arduradunak datuak beste xede batekin erabiltzen baditu edo DBLOren 12.2 artikuluan adierazitako kontratu-akordioak bete gabe jakinarazi edo erabiltzen baditu tratamenduaren arduraduna tratamenduaren edo fitxategiaren pertsona erantzuletzat hartuko da eta modu pertsonalean erantzungo du egin dituen arau-hausteen aurrean.
Alabaina datuak hirugarren bati jakinaraztean ez da inolako erantzukizunik eroriko tratamenduaren arduradunaren gain artikulu honetan jasotakoarekin bat etorriz hirugarrenari zerbitzu bat ematea eskatu bazaio eta fitxategiaren edo tratamenduaren pertsona erantzuleak aldez aurretik berariaz adierazi badio tratamenduaren arduradunari datuak hirugarren horri uzteko.
26. artikulua.- Zerbitzuak azpikontratatzeko aukera.
26.1.- Tratamenduaren arduradunak ezingo du hirugarren bat azpikontratatu fitxategiaren edo tratamenduaren pertsona erantzuleak agindutako tratamenduren bat burutzeko baldin eta ez badu horretarako baimenik lortu. Kontratazioa beti fitxategiaren edo tratamenduaren pertsona erantzulearen izenean egingo da eta haren kontura.
26.2.- Aurreko puntuan xedatutakoa alde batera utzita baimen berririk eskatu gabe azpikontratatu ahal izango da baldintza hauek betetzen badira:
a) Unibertsitateak eta tratamenduaren arduradunak izenpeturiko kontratuan azpikontratatu daitezkeen zerbitzuak zehazten badira eta zerbitzu horretarako zein enpresa azpikontratatuko den zehazten bada (azken hori zehazterik badago). Kontratu horretan ez bada zerbitzua azpikontratatzeko enpresa identifikatzen tratamenduaren arduradunak unibertsitateko kide erantzuleari enpresa hori identifikatzen duten datuak jakinarazi beharko dizkio azpikontratazioa egin aurretik.
b) Azpikontratistaren datu pertsonalen tratamenduak fitxategiaren edo tratamenduaren pertsona erantzuleak emandako jarraibideak betetzen baditu.
26.3.- Zerbitzugintza horretan zerbitzuaren zati bat azpikontratatzeko beharra sortzen bada eta behar hori kontratuan aurreikusi ez bada fitxategiaren edo tratamenduaren pertsona erantzuleak bere iritzia eman beharko du horri buruz. Azken horrek erabakiko du azpikontratazio-eskaera onartu ala ez; onartzen badu beharrezko izapideak egingo ditu azpikontratatu behar den enpresak gutxienez kontrataturiko enpresak hartu dituen konpromisoak bete ditzan.
27. artikulua.- Tratamenduaren arduradunak datuak gordetzea.
27.1.- Behin zerbitzu-kontratua beteta datu pertsonalak suntsitu egin beharko dira edo fitxategiaren edo tratamenduaren pertsona erantzuleari edo hark izendaturiko arduradun bati itzuli beharko zaizkio. Beste horrenbeste egingo da edozelako euskarri edo agirirekin ere halakoek tratamendurako datu pertsonalen bat jaso badute.
Datuak suntsitzea ez da bidezkoa izango legeak datu horiek gordetzea eskatzen duenean. Kasu horretan datuak itzuli egingo dira eta fitxategiaren edo tratamenduaren pertsona erantzuleak datuak gorde egiten direla bermatuko du.
27.2.- Tratamenduaren arduradunak behar bezala blokeaturik gordeko ditu datuak fitxategiaren edo tratamenduaren pertsona erantzulearekin duen harremanaren ondorioz erantzukizunak sor litezkeen bitartean.
III. TITULUA
FITXATEGIEN BALDINTZA FORMALAK
28. artikulua.- Fitxategiak sortu aldatu edo ezabatzea.
28.1.- Gobernu Kontseiluak hartuko ditu UPV/EHUko fitxategiak sortu aldatu edo ezabatzeko erabakiak eta horiek Euskal Herriko Agintaritzaren Aldizkarian argitaratuko dira. Behin argitaratu ondoren Datuak Babesteko Euskal Bulegoari emango zaio erabakien berri hark Datuak Babesteko Euskadiko Erregistroan erregistratu ditzan.
28.2.- Fitxategiak sortu edo aldatzeko xedapenek zehaztu beharko dute:
a) Fitxategiaren identifikazioa bere izena adieraziz; baita bere helburuaren azalpena ere eta zertarako erabiltzea aurreikusten den.
b) Zein pertsona edo kolektiborengandik lortu nahi diren datu pertsonalak edo pertsona edo kolektibo horietatik nork eman behar dituen datuak nahitaez.
c) Datu pertsonalak biltzeko prozedura.
d) Fitxategiaren oinarrizko egitura.
e) Fitxategian zer-nolako datu pertsonalak sartzen diren eta datu horien deskripzioa.
f) Aurreikusitako datu pertsonalen jakinarazpenak.
g) Hirugarren herrialdeetara egin daitezkeen transferentziak halakorik aurreikusten bada.
h) Fitxategiaren edo tratamenduaren erantzulea izango den organoa; kasu honetan UPV/EHU.
i) Datuak atzitu zuzendu ezereztu eta datuen aurka egiteko eskubidea zein unitatetan erabil daitekeen; kasu honetan unibertsitateko Errektoregoan.
j) Segurtasun-neurriak oinarrizkoak erdi-mailakoak edo goi-mailakoak izan behar diren zehaztuta.
28.3.- Zerbitzuko arrazoiak direla eta unibertsitateko unitateren batek datuak behar baditu eta horiek ez badaude Datuak Babesteko Euskal Bulegoan erregistraturik dauden UPV/EHUko fitxategietan unitate horrek DBLO segurtasun-arduradunari idatzi bat aurkeztuko dio bertan bere eskaera adieraziz eta eskaera egiteko dituen arrazoiak emanez. Unibertsitateko unitate horrek behar dituen datuak bildu ditzan DBLO segurtasun-arduradunak unibertsitateko Lege Zerbitzuarekin batera beharrezko izapide guztiak egingo ditu erregistraturiko fitxategiak aldatzeko edo fitxategi berriak sortzeko betiere legeak lege hori garatzeko xedapenek eta arautegi honek eskatutako baldintza guztiak betetzen badira.
28.4.- Unibertsitateko Gobernu Kontseiluak 2007ko otsailaren 8an unibertsitateko datu pertsonalen fitxategiak sortu aldatu eta ezabatzeri buruz hartutako erabakia betez aitortu zituen fitxategiak erantsi dira I.E.VIII eranskinean. Erabaki hori UPV/EHUko idazkari nagusiaren 2007ko otsailaren 28ko aginduz argitaratu zen (2007ko apirilaren 11ko EHAA 69. zk.).
IV. TITULUA
DATUAK BABESTEAREN ARDURADUNAK
29. artikulua.- DBLO segurtasun-arduraduna.
29.1.- UPV/EHUk segurtasunaz arduratzeko pertsona bat izango du unibertsitate osoan aurrerantzean DBLO segurtasun-arduraduna deituko duguna. Bera izango da UPV/EHUko informazioa babesteko estrategia orokorra zehaztu eta hura betearazteko ardura izango duen pertsona; bereziki estrategia horrek datu pertsonalak babesteari buruzko lege eta arauek ezarritakoa modu egokian betetzen duela zaindu beharko du.
29.2.- DBLO segurtasun-arduradunaren eginkizunak besteak beste honako hauek dira:
a) Aurkezten diren eskaerak bideratzea: datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskubideak baliatzeko eskaerak adostasuna baliogabetzekoak eta balorazioak aurkaratzekoak.
b) Kanpoko erakundeei datuak uzteko eskaerak ikuskatzea.
c) Datu pertsonalak babesteari buruz sor daitezkeen zalantzak argitzea.
d) Datu pertsonalak babesteari buruzko informazio-klausulak eta baimen-agiriak idaztea eta kontrolatzea.
e) Arautegi honek edo eskumena duten unibertsitate-organoek bere gain utz ditzaketen bestelako eginkizunak.
30. artikulua.- Fitxategien erantzule gorena eta fitxategien barne-erantzuleak.
30.1.- UPV/EHUk datu pertsonalak babesteari buruzko arautegia egiazki ezartzeari dagokionez errektorea izango ezarpen horren pertsona erantzule gorena eta unibertsitateak aitorturiko fitxategi guztien azken erantzulea ere bai.
Alabaina fitxategi bakoitzak fitxategiaren barne-erantzulea izango den pertsona bat izango du eta berak erabakiko du esleitu zaion fitxategiak zer helburu eduki eta tratamendu izango dituen; horretarako errektorearen eskuordetzea jasoko du. Fitxategiaren barne-erantzulea den pertsonak esleitu zaion fitxategiari dagokionez legeak edo arautegi honek fitxategiaren edo tratamenduaren pertsona erantzuleari esleitzen dizkion eginkizunak beteko ditu.
30.2.- Fitxategiaren barne-erantzulea den pertsonaren eginkizunak izango dira:
a) fitxategiaren segurtasuna zaintzea; beraz esleitu zaion fitxategian segurtasun informatikoarekin eta datuak babestearekin zerikusirik duen unibertsitateko arautegia ezartzeaz arduratuko da;
b) beharrezko ekintzak burutzea UPV/EHUko kideek bereziki Errektogo errektoreordetza ikastegi sail unibertsitateko ikerketa-institutu unibertsitateko zerbitzu edo beste organo batzuetako datu pertsonalen babeserako koordinatzaileek beren fitxategiarekin loturiko eginkizunen garapenean eragina duten arauak ezagutu ditzaten baita arau horiek ez betetzeak ekar ditzakeen ondorioak ere;
c) Arautegi honek edo eskumena duten unibertsitate-organoek bere gain utz ditzaketen bestelako eginkizunak.
30.3.- Pertsona bera izan daiteke hainbat fitxategiren barne-erantzulea.
31. artikulua.- Segurtasun Informatikorako eta Dokumentuen Gestiorako Batzordea.
31.1.- Fitxategien barne-erantzuleek batzorde bat izendatuko dute beren fitxategien «segurtasun-arduradun» (DBLOGEren definizioaren arabera). Batzorde hori Segurtasun Informatikorako eta Dokumentuen Gestiorako Batzordea izango da. Beraz batzorde hori arduratuko da UPV/EHUren fitxategi guztietan ezar daitezkeen segurtasun-neurriak koordinatu eta kontrolatzeaz eta horretarako bere ustez egokiak diren pertsonen laguntza izango du.
31.2.- Batzorde hori osatzen dutenak hauek izango dira:
- Informazio eta Komunikazio-Teknologien gerenteordea (edo gerenteak izendaturiko gerenteordea).
- DBLO segurtasun-arduraduna.
- Unibertsitateko informatika-gune bakoitzeko pertsona bat.
- Idazkaritza Nagusiko artxiboko teknikaria.
- Lege Zerbitzuko pertsona bat.
32. artikulua.- Datuak Babesteko Batzordea.
32.1.- Batzorde hori gutxienez sei hilabetez behin bilduko da arautegi hau benetan ezar dadin kontrol- eta koordinazio-lanak burutu asmoz eta datuak babesteari dagokionez UPV/EHUren jarraibideak ezarri asmoz.
32.2.- Batzorde hori osatzen dutenak hauek izango dira:
- Baliabide Orokorren gerenteordea (edo gerenteak izendaturiko gerenteordea).
- DBLO segurtasun-arduraduna.
- DBLO segurtasun-arduradunaren proposamenari jarraituz errektoreak izendaturiko fitxategien barne-erantzuleak (bi pertsona erantzule).
- Idazkaritza Nagusiko burua.
- Lege Zerbitzuko pertsona bat.
- Unibertsitate-ikastegiko administratzailea gerenteak izendaturikoa.
- Campuseko idazkaria idazkari nagusiaren proposamenari jarraiki errektoreak izendaturikoa.
32.3.- Datuak Babesteko Batzordeak eginkizun hauek izango ditu besteak beste:
a) Arautegi honen ezarpena ikuskatzea eta neurriak bultzatzea benetan aplikatzea lor dadin.
b) Arautegiak beharrezko dituen eguneratzeak proposatzea eta proposamenen onarpena bultzatzea unibertsitate-organo eskudunen aurrean.
c) DBLO segurtasun-arduradunaren aurrean aurkezten diren eskaeren jarraipena egitea; hain zuzen ere datuak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskubideak baliatzeko eskaerena eta adostasuna baliogabetzeko nahiz balorazioak aurkaratzeko eskaerena.
d) Arautegi honek edo eskumena duten unibertsitate-organoek bere gain utz ditzaketen bestelako eginkizunak.
33. artikulua.- Errektorego errektoreordetza ikastegi sail unibertsitateko ikerketa-institutu unibertsitateko zerbitzu edo beste organo batzuetako datu pertsonalen babeserako koordinatzailea.
Errektorego errektoreordetza ikastegi sail unibertsitateko ikerketa-institutu unibertsitateko zerbitzu edo bestelako organo baten erantzule nagusiak bere gain hartuko du ardura unibertsitateko datu pertsonalak babesteari buruzko arautegia zabaldu ezarri eta benetan betetzen dela bermatzeko berari dagokion arloan eta unibertsitateko datu pertsonalak babesteko gainerako erantzuleekin koordinatuz eta lankidetzan arituz; era berean lan horiek egiteko beste pertsona batzuk izenda ditzake baina bere erantzukizuna horien gain utzi gabe.
V. TITULUA
SEGURTASUN NEURRIAK
1. KAPITULUA
EZARTZEKO NEURRI OROKORRAK
34. artikulua.- Segurtasun-mailak.
34.1.- Hiru segurtasun-maila ezarriko dira: oinarrizkoa erdikoa eta goikoa. Maila horiek fitxategi eta tratamenduei aplikatuko zaizkie automatizatuei nahiz ez-automatizatuei tratatzen den informazioa nolakoa den aintzat hartuta eta kontuan izanik informazio hori isilpean eta osorik gordetzeko beharra norainokoa den.
34.2.- Datu pertsonalen fitxategi edo tratamendu guztiek hartu beharko dituzte oinarrizko segurtasun-neurriak.
34.3.- Oinarrizko segurtasun-neurri horiez gain erdi-mailako segurtasun-neurriak ezarri beharko dira datu pertsonalen fitxategi edo tratamendu hauetan:
- Arau-hauste administratibo eta penalak egitearen inguruko datuak dituztenetan.
- Zerga-administrazioen finantza-erakundeen ondare-kaudimenaren eta kredituaren gaineko informazio-zerbitzua ematen duten erakundeen eta Gizarte Segurantzaren erakunde kudeatzaileen eta zerbitzu komunen ardurapean dauden fitxategietan eta lan-istripu eta gaixotasun profesionaletarako Gizarte Segurantzaren mutuetan.
- Herritarren ezaugarriak edo nortasuna definitzen dituzten datuak izanik horien nortasunaren edo portaeraren hainbat alderdi baloratzeko aukera ematen duten datu-multzoak dituzten fitxategietan.
34.4.- Oinarrizko eta erdi-mailako segurtasun-neurriez gain goi-mailakoak ezarriko dira datu pertsonalen fitxategi edo tratamendu hauetan:
- Ideologiari sindikatu-bazkidetzari erlijioari sinesmenei arrazari osasunari edo bizitza sexualari buruzko datuak dituzten fitxategietan.
- Interesdunen adostasunik gabe polizia-xedeetarako bildutako datuak dituzten fitxategietan.
- Genero-indarkeriaren ondoriozko datuak dituzten fitxategietan.
34.5.- Oinarrizko mailako segurtasun-neurriez gain eta erdi-mailakoez gain DBLOGEren 103. artikuluak jasotzen duen goi-mailako segurtasun-neurria aplikatuko da jendearen eskurako komunikazio elektronikoetarako zerbitzuak eskaintzen dituzten operadoreen ardurapean dauden fitxategietan edo trafiko- eta lokalizazio-datuen inguruko komunikazio elektronikoetarako sare publikoak ustiatzen dituzten operadoreen ardurapean dauden fitxategietan.
34.6.- Ideologiari sindikatu-bazkidetzari erlijioari sinesmenei arrazari osasunari edo bizitza sexualari buruzko datuak dituzten fitxategiei dagokienez nahikoa izango da oinarrizko segurtasun-neurriak ezartzea kasu hauetan:
a) Datuak banketxeetara diru-transferentzia egiteko baino ez direnean erabiltzen interesdunak banketxe horietako bazkideak edo kideak direnean.
b) Datu-fitxategi edo datu-tratamendu ez-automatizatuak direnean eta beren helburuarekin zerikusirik ez duten halabeharrezko datuak edo datu osagarriak dauzkatenean.
34.7.- Eginkizun publiko bat bete behar denean osasunari buruzko datuak dituzten fitxategi edo tratamenduetan oinarrizko segurtasun-neurriak ezarri ahalko dira minusbaliotasun-maila baizik aipatzen ez denean edo minusbaliotasuna zein baliaezintasuna aitortzeko interesdunaren adierazpen hutsa baizik ez denean.
34.8.- Gorago deskribatu diren maila bakoitzerako neurriak bete beharreko gutxieneko baldintzak dira kalterik egin gabe kasu bakoitzean ezar daitezkeen indarreko lege- edo arau-xedapen espezifikoei edo fitxategi edo tratamenduaren pertsona erantzulearen ekimenei.
34.9.- Titulu honetan xedatutakoa errazago bete dadin informazio-sistema batean sistema nagusiko segurtasun-neurriez bestelako neurriak ezartzea beharrezkoa bada sistema horretako fitxategi edo tratamenduen helburuak edo erabilerak edo dituzten datuen ezaugarriek hala eskatzen dutelako sistema nagusitik bereizi ahal izango dira eta kasu bakoitzean dagokien segurtasun-mailaren araberako neurriak aplikatu ahal izango zaizkie betiere ukitutako datuak eta datuak atzitzerik duten erabiltzaileak zehaztu badaitezke eta hori segurtasun-agirian idatziz jasotzen bada.
34.10.- DBLOGEk agintzen duenaren arabera fitxategi automatizatuetan eta ez-automatizatuetan aplika daitezkeen segurtasun-neurriei buruzko laburpen-koadroak daude hurrenez hurren I.IX.E eta I.X.E. eranskinetan.
35. artikulua.- Tratamenduaren arduraduna.
35.1.- Fitxategi edo tratamenduaren pertsona erantzuleak bere lokalean zerbitzuren bat ematen duen tratamenduaren arduradunari ahalbidea ematen badio datuak edo datuen euskarriak edo datuak tratatzen dituen informazio-sistemaren baliabideak atzitzeko idatziz jaso beharko da hori aipatutako erantzulearen segurtasun-agirian eta tratamenduaren arduradunaren langileek aipatutako agirian ezarritako segurtasun-neurriak betetzeko konpromisoa hartuko dute.
Urruneko atzipena bada eta tratamenduaren arduradunari datu horiek pertsona erantzulearenak ez diren sistema edo euskarrietan sartzea debekatu bazaio debeku hori idatziz jaso beharko da pertsona erantzulearen segurtasun-agirian eta tratamenduaren arduradunaren langileek aipatutako agirian ezarritako segurtasun-neurriak betetzeko konpromisoa hartuko dute.
35.2.- Tratamenduaren arduradunak zerbitzua bere lokaletan ematen badu (hau da fitxategiaren edo tratamenduaren pertsona erantzulearenak ez diren lokaletan) segurtasun-agiri bat egin beharko du edo lehendik egina izan lezakeen agiria osatu fitxategia edo tratamendua eta horien pertsona erantzulea identifikatuz eta tratamendu horri dagozkion segurtasun-neurriak ezarriz.
35.3.- Edonola ere tratamenduaren arduradunaren datu-atzipena arautegi honetako segurtasun-neurrien menpe egongo da.
36. artikulua.- Zerbitzuak datu pertsonalak atzitu gabe ematea.
Datu pertsonalak tratatzea eskatzen ez duten lanak egiteko fitxategiaren edo tratamenduaren pertsona erantzuleak neurri egokiak hartuko ditu langileei datu pertsonalen atzipena mugatzeko; baita datuen euskarrien eta informazio-sistemaren baliabideen atzipena mugatzeko ere.
UPV/EHUz kanpoko pertsonala bada zerbitzuak emateko kontratuan berariaz jasoko dira datu pertsonalak atzitzeko debekua eta pertsonalak daukan betebeharra zerbitzua emateagatik ezagutu ditzakeen datu pertsonalak sekretuan gordetzeko.
37. artikulua.- Baimenak eskuordetzea.
Titulu honetan fitxategiaren edo tratamenduaren pertsona erantzuleari esleitzen zaizkion baimenak eskuordetu ahal izango zaizkio horretarako izendatzen denari. Segurtasun-agirian baimen horiek emateko gaitu diren pertsonak eta eskuordetzea jasotzeko izendatu direnak adieraziko dira. Izendapen horrek ez du inola ere esan nahiko fitxategiaren edo tratamenduaren pertsona erantzuleari dagokion erantzukizuna eskuordetzen denik.
38. artikulua.- Komunikazio-sareen bidez datuak atzitzea.
Komunikazio-sareen bidezko datuen atzipenei eskatuko zaizkien segurtasun-neurriek bermatu beharreko segurtasun-maila atzipen lokalekoek bermatu beharrekoaren parekoa izango da (sare horiek publikoak izan ala ez) arautegi honen 34. artikuluan ezarritako irizpideak jarraituz.
39. artikulua.- Fitxategiaren edo tratamenduaren pertsona erantzulearen eta tratamenduaren arduradunaren lokalez kanpoko lan-araudia.
39.1.- Datu pertsonalak gailu eramangarrietan gorde ahal izateko edo fitxategiaren edo tratamenduaren pertsona erantzulearen nahiz tratamenduaren arduradunaren lokaletatik kanpo tratatu ahal izateko fitxategiaren edo tratamenduaren pertsona erantzuleak aurretiaz baimena eman beharko du eta tratatzen den fitxategi motari dagokion segurtasun-maila bermatu beharko da beti.
39.2.- Aurreko paragrafoan aipatutako baimen hori segurtasun-agirian jaso beharko da eta baimenaren erabiltzailea edo erabiltzaile-profila ezarri ahalko da baimenaren baliotasun-epea zehaztuz.
40. artikulua.- Fitxategi iragankorrak edo aldi baterako lanetarako dokumentuen kopiak.
40.1.- Fitxategi iragankorrek edo aldi baterako lanak edo lan osagarriak egiteko baizik sortu ez diren dokumentuen kopiek bete beharreko segurtasun-neurriak arautegi honen 34. artikuluan ezarritakoaren arabera dagozkienak izango dira.
40.2.- Fitxategi iragankorrak edo aldi baterako lanei dagozkien kopiak ezabatu edo suntsitu egingo dira horiek sortzea eragin zuen helburua betetzeko beharrezkoak izateari uzten diotenean.
2. KAPITULUA
SEGURTASUN-AGIRIA ETA AUDITORETZA
41. artikulua.- Segurtasun-agiria.
41.1.- UPV/EHUk segurtasunari buruzko araudia ezarriko du teknika eta antolakuntzari buruzko neurriak jasoko dituen agiri baten bidez; agiri hori bat etorriko da indarreko segurtasun-araudiarekin. Datu pertsonalak eta informazio-sistemak atzitu ahal dituztenek derrigor bete beharko dute agiri horretan ezartzen dena.
41.2.- Agiriak gutxienez honako alderdi hauek jaso beharko ditu:
a) Agiria zer esparrutan aplikatuko den eta zeintzuk diren babestutako baliabideak.
b) Arautegi honetan eskatzen den segurtasun-maila bermatzeko neurriak arauak jarduteko prozedurak erregela eta estandarrak zeintzuk izango diren.
c) Fitxategietako datu pertsonalak tratatzeari dagokionez langileek zer eginkizun eta betebehar dituzten.
d) Datu pertsonalak dituzten fitxategien egitura eta horiek tratatzen dituzten informazio-sistemen deskribapena.
e) Gorabeherak jakinarazteko gestionatzeko eta horien aurrean erantzuteko prozedura.
f) Segurtasun-kopiak egiteko prozedura eta datu-fitxategi edo datu-tratamendu automatizatuetako datuak berreskuratzekoa.
g) Dokumentu eta euskarriak garraiatzeko hartu behar diren neurriak dokumentu eta euskarriak suntsitzeko hartu behar direnak edo behar izanez gero horiek berriro erabiltzeko hartu behar direnak.
h) Datu-fitxategi edo datu-tratamendu ez-automatizatuei dagozkienez hartu diren segurtasun-neurriak.
i) «Segurtasun-arduraduna» denaren identifikazioa; hau da Segurtasun Informatikorako eta Dokumentuen Gestiorako Batzordearena.
j) Agirian bertan ezarritakoa betetzen dela egiaztatzeko aldian behin egin behar diren kontrolak.
41.3.- Datuak hirugarrenen enkarguz tratatzen badira segurtasun-agiriak identifikatu egin beharko ditu enkargu moduan tratatzen diren fitxategi eta tratamenduak eta berariaz adierazi beharko du zein kontratu edo agiritan arautzen diren enkarguaren baldintzak baita enkarguaren erantzulea eta indarraldia zein den ere.
41.4.- Fitxategi edo tratamendu bateko datu pertsonalak tratamenduaren arduradunaren sisteman baino ez badira sartzen eta tratatzen fitxategiaren edo tratamenduaren pertsona erantzuleak segurtasun-agirian idatzi beharko du hori. Aipatutako hori fitxategi edo tratamenduaren pertsona erantzulearen fitxategi edo tratamendu batzuekin edo guztiekin gertatzen denean tratamenduaren arduradunari eskuordetu ahalko zaio segurtasun-agiria eramatea baliabide propioetan dituen datuak izan ezean. Gertaera hori berariaz adierazi beharko da Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoaren 12. artikuluaren babespean eginiko kontratuan eta ukitutako fitxategi edo tratamenduak zehaztu beharko dira. Kasu horretan arautegi honetan ezarritako betetzeko arduradunaren segurtasun-agiriari jarraituko zaio.
41.5.- Segurtasun-agiria uneoro eguneraturik egon beharko da eta berrikusi egin beharko da aldaketa garrantzitsuak gertatzen direnean informazio-sisteman tratamendu-sistemaren erabileran eta antolakuntzan eta fitxategi eta tratamenduetako informazioaren edukian; halaber aldian behingo kontrolen ondorioz aldaketak egon direnean ere berrikusi egin beharko da. Edozein kasutan aldaketa bat garrantzitsua dela ulertuko da ezarritako segurtasun-neurrietan eragina izan dezakeenean.
41.6.- Segurtasun-agiriaren edukia datu pertsonalen segurtasunari buruzko indarreko xedapenetara egokitu beharko da uneoro.
42. artikulua.- Auditoretza.
42.1.- Segurtasun-neurrien maila ertainetik aurrera gutxienez bi urtean behin kanpo- zein barne-auditoretza egin beharko da datuei buruzko informazio-sistemak eta datuak tratatu eta gordetzeko instalazioak aztertu eta titulu honetan ezarritakoa betetzen dela egiaztatzeko. Salbuespen moduan auditoretza egin beharko da informazio-sistemak egokituak egokiak eta eraginkorrak direla egiaztatzeko ezarritako segurtasun-neurriak betetzean eragina duten aldaketak egiten badira informazio-sistema horietan. Auditoretza horrek aurreko paragrafoan adierazitako bi urteko zenbaketa hasiko du.
42.2.- Auditoretzak egindako txostenak irizpidea eman behar du erabilitako neurriak eta kontrolak arautegi honi legeari eta legea garatzen duten arauei egokitzen zaizkien ala ez erabakitzeko; halaber txosten horrek hutsuneak identifikatu behar ditu eta hutsune horiek zuzendu edo osatzeko beharrezko neurriak proposatu beharko ditu. Era berean datuak eta gorabeherak jakinarazi eta oharrak egin behar ditu emandako irizpenak eta egindako proposamenak zertan oinarritzen diren erakusteko.
42.3.- Auditoretzaren txostenak DBLO segurtasun-arduradunak aztertuko ditu eta azterketaren ondorioak jakinaraziko dizkie fitxategien barne-erantzuleei Segurtasun Informatikorako eta Dokumentuen Gestiorako Batzordeari eta Datuak Babesteko Batzordeari horiek neurri zuzentzaile egokiak har ditzaten. Gainera txosten horiek Datuak Babesteko Euskal Bulegoaren esku geratuko dira.
3. KAPITULUA
DATU-FITXATEGI ETA DATU-TRATAMENDU AUTOMATIZATUEI EZAR DAKIZKIEKEEN SEGURTASUN-NEURRIAK
LEHENENGO ATALA
OINARRIZKO SEGURTASUN NEURRIAK
43. artikulua.- Langileen eginkizunak eta betebeharrak.
43.1.- Segurtasun-agirian argi eta garbi zehaztu eta dokumentatuko dira datu pertsonalak eta informazio-sistemak atzitu ahal dituzten erabiltzaileen edo erabiltzaile-profilen eginkizun eta betebeharrak. Fitxategi edo tratamenduaren pertsona erantzuleak eskuordetzen dituen kontrol-eginkizunak eta baimenak ere zehaztuko dira.
43.2.- Fitxategi edo tratamenduaren pertsona erantzuleak beharrezko neurriak hartuko ditu langileei beren eginkizunen garapenean eragina duten segurtasun-neurriak modu ulergarrian ezagutarazteko eta neurri horiek bete ezean izan ditzaketen ondorioak jakinarazteko.
44. artikulua.- Gorabeheren erregistroa.
Datu pertsonalei eragiten dieten gorabeherak jakinarazi eta gestionatzeko prozedura bat egon beharko da eta erregistro bat ezarri beharko da honako hauek adierazteko: nolako gorabehera izan den noiz gertatu edo antzeman den gorabeheraren jakinarazpena nork nori egin dion jakinarazpenak izan dituen ondorioak eta ezarri diren neurri zuzentzaileak.
45. artikulua.- Sarbide-kontrola.
45.1.- Erabiltzaileek beren zereginak betetzeko behar dituzten datuak eta baliabideak baino ez dituzte atzituko.
45.2.- Fitxategi edo tratamenduaren pertsona erantzuleak izango du ardura erabiltzaileen eta erabiltzaile-profilen zerrenda eguneratu bat egon dadin (horiek dituzten baimendutako atzipenak adieraziko dituen zerrenda).
45.3.- Fitxategi edo tratamenduaren pertsona erantzuleak mekanismoak ezarriko ditu erabiltzaile batek baimendu gabeko eskubideak ematen dituzten baliabideak atzitzerik izan ez dezan.
45.4.- Segurtasun-agirian berariaz horretarako baimena duten langileek baino ez dute izango baliabideei buruzko atzipen-baimena eman aldatu edo kentzeko ahalmena betiere fitxategi edo tratamenduaren pertsona erantzuleak ezarritako jarraibideen arabera.
45.5.- Fitxategi edo tratamenduaren pertsona erantzulearen mendekoak izan gabe baliabideak atzitu ahal dituzten langileek langile propioek dituzten segurtasunaren inguruko baldintza eta betebehar berberak bete beharko dituzte.
46. artikulua.- Euskarrien eta dokumentuen gestioa.
46.1.- Datu pertsonalak jasota dituzten euskarri eta dokumentuek beti eman behar dute aukera gordetzen duten informazio-mota identifikatu eta datuak inbentarioan jaso ahal izateko; era berean euskarri eta dokumentu horiek segurtasun-agiriaren arabera baimena duten langileek baino ezingo dituzte atzitu.
Euskarriaren ezaugarri fisikoak direla eta betebehar hori betetzetik salbuetsi ahalko da eta salbuespena bera eta salbuespena egiteko arrazoiak idatziz jasoko dira segurtasun-agirian.
46.2.- Datu pertsonalak jasota dituzten euskarri eta dokumentuak (baita posta elektronikoak ere datu pertsonalak postan bertan edo hari erantsita badituzte) fitxategi edo tratamenduaren pertsona erantzulearen kontrolpean dauden lokaletatik kanpora atera ahal izateko baimena fitxategi edo tratamenduaren pertsona erantzuleak baino ez du emango eta baimen hori segurtasun-agirian behar bezala jasota egon beharko da.
46.3.- Dokumentazioa lekualdatzean beharrezko neurriak hartuko dira informazioa garraiatu bitartean inork informazioa hori ostu galdu edo atzitzerik izan ez dezan.
46.4.- Datu pertsonalak dituzten dokumentu eta euskarriak baztertu behar badira suntsitu edo ezabatu egingo dira horietan dagoen informazioa atzitu edo berreskuratzea galarazteko neurriak hartuz.
47. artikulua.- Identifikazioa eta autentifikazioa.
47.1.- Fitxategi edo tratamenduaren pertsona erantzuleak erabiltzaileak modu egokian identifikatu eta autentifikatzeko neurriak hartuko ditu. Horretarako besteak beste ziurtagiri digital elektronikoetan edo datu biometrikoen identifikazioan oinarrituriko mekanismoak erabili ahal izango dira.
47.2.- Fitxategi edo tratamenduaren pertsona erantzuleak ezarriko du informazio-sistema atzitzen saiatzen den erabiltzailea zalantzarik gabe eta modu pertsonalizatuan identifikatzeko mekanismoa; aldi berean mekanismo horrek erabiltzaileak baimena duela egiaztatu beharko du.
47.3.- Autentifikazio-mekanismoa pasahitzetan oinarritzen denean pasahitzak esleitu banatu eta gordetzeko prozedura egongo da pasahitz horiek isilpean eta seguru egongo direla bermatzeko.
47.4.- Segurtasun-agiriak pasahitzak zenbatean behin aldatu behar diren ezarriko du; edonola ere aldizkakotasun hori ez da urtebetekoa baino luzeagoa izango. Pasahitzak indarrean dauden bitartean ulertezin egoteko moduan gordeko dira.
48. artikulua.- Segurtasun- eta berreskurapen-kopiak.
48.1.- Jarduteko prozedurak ezarri beharko dira gutxienez astean behin segurtasun-kopiak egiteko epe horretan datuak eguneratu ezean.
48.2.- Halaber datuak berreskuratzeko prozedurak ezarri beharko dira. Prozedura horiek uneoro bermatu beharko dute datuak galdu edo suntsitu zirenean zeuden bezala utziko dituztela berriz ere.
Datu-fitxategi edo datu-tratamendu partzialki automatizatuak galdu edo suntsitu direnetan baino ezingo dira eskuz grabatu datuak betiere dagoen dokumentazioak aurreko paragrafoan adierazitako helburua lortzeko aukera ematen badu. Bestalde segurtasun-agirian jaso beharko dira horrelako gertakariak arrazoiak adieraziz.
48.3.- Fitxategi edo tratamenduaren pertsona erantzuleak sei hilabetez behin egiaztatu beharko du segurtasun- eta berreskurapen-kopiak egiteko prozedurak ongi zehazturik daudela funtzionamendu egokia dutela eta zuzen aplikatzen direla.
48.4.- Datu pertsonalak dituzten fitxategiak tratatzen dituzten informazio-sistemak ezarri edo aldatu aurreko probak ez dira benetako datuekin egingo baldin eta ez bada egiten den tratamenduari dagokion segurtasun-maila ziurtatzen eta tratamendu hori ez bada segurtasun-agirian jasotzen.
Probak benetako datuekin egitea aurreikusi bada aldez aurretik segurtasun-kopia bat egin beharko da.
BIGARREN ATALA
MAILA ERTAINEKO SEGURTASUN NEURRIAK
49. artikulua.- Auditoretza.
49.1.- Maila ertainetik aurrera gutxienez bi urtean behin derrigor egin beharko da auditoretza datuei buruzko informazio-sistemak eta datuak tratatu eta gordetzeko instalazioak aztertzeko.
50. artikulua.- Euskarrien eta dokumentuen gestioa.
50.1.- Euskarrien sarrera-erregistrorako sistema bat ezarri beharko da zuzenean zein zeharka honako argibide hauek emango dituena: euskarri-mota eguna eta ordua igorlea igorpenean bidalitako dokumentu eta euskarrien kopurua horiek gordetzen duten informazio-mota igorpen-mota eta euskarria jasotzeaz arduratuko den pertsona (behar bezala baimendutakoa).
50.2.- Halaber euskarrien irteera-erregistrorako sistema bat ezarri beharko da zuzenean zein zeharka honako argibide hauek emango dituena: euskarri-mota eguna eta ordua igorlea igorpenean bidalitako dokumentu eta euskarrien kopurua horiek gordetzen duten informazio-mota igorpen-mota eta euskarria igortzeaz arduratuko den pertsona (behar bezala baimendutakoa).
51. artikulua.- Identifikazioa eta autentifikazioa.
Fitxategi edo tratamenduaren pertsona erantzuleak mekanismo bat ezarriko du informazio-sistema baimenik gabe atzitzeko behin eta berriz egiten diren saiakerak mugatzeko.
52. artikulua.- Sarbide fisikoaren kontrola.
Segurtasun-agiriaren arabera baimena duten langileak baino ezingo dira sartu informazio-sistemari euskarria ematen dioten ekipo fisikoak instalaturik dauden tokietara.
53. artikulua.- Gorabeheren erregistroa.
53.1.- 40. artikuluan araututako erregistroan datuak berreskuratzeko prozedurak ere jaso behar dira honako hauek adieraziz: prozedura burutu duen pertsona berreskuratutako datuak eta berreskurapen-prozeduran eskuz grabatu behar izan diren datuak (datuak eskuz grabatzeko beharrik izan bada).
53.2.- Fitxategi edo tratamenduaren pertsona erantzulearen baimena beharrezkoa izango da datuak berreskuratzeko prozedurak burutzeko.
HIRUGARREN ATALA
GOI-MAILAKO SEGURTASUN NEURRIAK
54. artikulua.- Euskarrien gestioa eta banaketa.
54.1.- Euskarriak edo dokumentuak identifikatzeko etiketatze-sistemak erabiliko dira; sistema horiek ulergarriak eta esanahidunak izango dira euskarri edo dokumentuak atzitzeko baimena duten erabiltzaileentzat horrela euskarri edo dokumentuen edukia identifikatu ahal izan dezaten. Aitzitik beste batzuei identifikazioa zailduko dieten etiketatze-sistemak izango dira.
54.2.- Datu pertsonalak dituzten euskarriak banatu behar direnean datu horiek zifratu egin beharko dira; edo bestela beste edozein mekanismo erabili beharko da garraiatu bitartean informazio hori inork ulertu edo manipulatzerik izan ez dezan.
Era berean gailu eramangarrietako datuak ere zifratu egingo dira gailu horiek fitxategi edo tratamenduaren pertsona erantzulearen kontrolpeko instalazioetatik kanpo daudenean.
54.3.- Datu pertsonalak gailu eramangarrietan tratatzea ekidin beharko da datu horiek zifratzeko aukera ematen ez badute. Hala ere behar beharrezkoa bada datuak tratatu egingo dira. Segurtasun-agirian horretarako egon diren arrazoiak jasoko dira eta tratamendua babesik gabeko egoeretan egiteak dituen arriskuak kontuan hartuko dituzten segurtasun-neurriak hartuko dira.
55. artikulua.- Segurtasun- eta berreskurapen-kopiak.
Datuen segurtasun-kopia bat eta datuak berreskuratzeko prozeduren kopia bat gorde beharko dira datu horiek tratatzen dituzten tresna informatikoak dauden lekuaz bestelako tokiren batean beti Titulu honetan eskatzen diren segurtasun-neurriak betez edo informazioa osorik gorde eta berreskuratzeko aukera ematen duten elementuak erabiliz informazioa berreskuratzeko modurik egon dadin.
56. artikulua.- Atzipenen erregistroa.
56.1.- Atzipen bakoitzeko gutxienez argibide hauek gordeko dira: erabiltzailearen identifikazioa atzipena zein egunetan eta zer ordutan egin den atzitutako fitxategia atzipen-mota eta atzipena baimendu ala ukatu egin den.
56.2.- Atzipena baimendutakoa izan bada beharrezkoa izango da atzitutako erregistroa identifikatzeko aukera emango duen informazioa gordetzea.
56.3.- Atzipenak erregistratzeko aukera ematen duten mekanismoak horretarako eskumena duen segurtasun-arduradunak kontrolatuko ditu zuzenean; hau da Segurtasun Informatikorako eta Dokumentuen Gestiorako Batzordeak. Mekanismo horiek inola ere ez dira desaktibatu edo manipulatuko.
56.4.- Erregistroan jasotako datuak gordetzeko epea gutxienez bi urtekoa izango da.
56.5.- DBLO segurtasun-arduradunak Segurtasun Informatikorako eta Dokumentuen Gestiorako Batzordearekin batera erregistroan jasotako kontrolerako informazioa aztertuko du gutxienez hilabetean behin eta egindako azterketen eta aurkitutako arazoen inguruko txostena egingo du.
56.6.- Artikulu honetan zehaztutako moduan atzipenak erregistratzea ez da beharrezkoa izango honako kasu hauetan:
a) Fitxategi edo tratamenduaren erantzulea pertsona fisikoa denean.
b) Fitxategi edo tratamenduaren pertsona erantzuleak bermatzen duenean datu pertsonalak berak baino ezin dituela atzitu eta tratatu.
Aurreko puntuan adierazitako kasu horiek berariaz adierazi beharko dira segurtasun-agirian.
57. artikulua.- Telekomunikazioak.
Sare publikoen bidezko edo haririk gabeko sareen bidezko komunikazio elektronikoen bitartez datu pertsonalak transmititzeko datu horiek zifratu egingo dira; edo bestela beste edozein mekanismo erabili beharko da informazio hori beste inork ulertzeko edo manipulatzeko modurik izan ez dezan.
4. KAPITULUA
DATU-FITXATEGI ETA DATU-TRATAMENDU EZ-AUTOMATIZATUEI EZAR DAKIZKIEKEEN SEGURTASUN-NEURRIAK
LEHENENGO ATALA
OINARRIZKO SEGURTASUN NEURRIAK
58. artikulu.- Guztien betebeharrak.
58.1.- Kapitulu honetan agindutakoaz gain titulu honetako I. eta II. Kapituluetan xedatutakoa ezarriko zaie fitxategi ez-automatizatuei honako hauei dagokienez:
a) Garrantzia.
b) Segurtasun-mailak.
c) Tratamenduaren arduraduna.
d) Zerbitzuak datu pertsonalak atzitu gabe ematea.
e) Baimenen eskuordetzea.
f) Fitxategi edo tratamenduaren pertsona erantzulearen eta tratamenduaren arduradunaren lokalez kanpoko lan-araudia.
g) Aldi baterako lanetarako dokumentuen kopiak.
h) Segurtasun-agiria.
58.2.- Halaber titulu honetako III. Kapituluaren lehenengo atalean ezarritakoa aplikatuko zaie honako hauei dagokienez:
a) Langileen eginkizunak eta betebeharrak.
b) Segurtasun-gorabeheren erregistroa.
c) Sarbide-kontrola.
d) Euskarrien gestioa.
59. artikulua.- Artxibatzeko irizpideak.
Euskarri eta dokumentuak artxibatzeko dagokion unibertsitateko araudi aplikagarrian ezarritako irizpideak jarraituko dira. Irizpide horiek bermatu beharko dute dokumentuen kontserbazio egokia eta informazioaren lokalizazioa eta kontsulta. Era berean datuak atzitu zuzendu ezereztu eta datuen aurka egiteko eskubideak baliatzeko aukera eman beharko dute.
Arau aplikagarririk ez dagoen kasuetan fitxategi edo tratamenduaren pertsona erantzuleak ezarriko ditu artxibatzeko jarraitu behar diren irizpideak eta jarduteko prozedurak.
60. artikulua.- Informazioa biltzeko gailuak.
Datu pertsonalak dituzten dokumentuak biltzeko gailuek dokumentu horiek irekitzea galaraziko duten mekanismoak izan beharko dituzte. Dokumentuen ezaugarri fisikoek horretarako aukerarik ematen ez badute fitxategi edo tratamenduaren pertsona erantzuleak hartuko ditu baimenik ez dutenei atzipena galarazteko neurriak.
61. artikulua.- Euskarrien zaintza.
Datu pertsonalak dituen dokumentazioa aurreko artikuluan ezarri bezala dagokion gailuan bilduta ez badago dokumentazio hori artxibatu aurreko edo ondorengo azterketa- edo tramitazio-prozesuan dagoelako horren ardura daukanak zaindu beharko du dokumentazioa eta uneoro galarazi beharko die atzipena baimenik ez dutenei.
BIGARREN ATALA
MAILA ERTAINEKO SEGURTASUN NEURRIAK
62. artikulua.- Auditoretza.
Maila ertainetik aurrera fitxategien barne- eta kanpo-auditoretza derrigor egin beharko da gutxienez bi urtetik behin.
HIRUGARREN ATALA
GOI-MAILAKO SEGURTASUN NEURRIAK
63. artikulua.- Informazioa biltegiratzea.
63.1.- Goi-mailako segurtasun-neurriak dituzten datu-fitxategi ez-automatizatuak gordetzeko armairu agiritegi edo bestelako elementuak egongo dira giltzarekin edo bestelako gailu baliokideren batekin irekitzen diren ateen bidez babesturiko guneetan. Gune horiek itxita egongo dira fitxategiko dokumentuak atzitzeko beharrik ez dagoenean.
63.2.- Fitxategi edo tratamenduaren pertsona erantzuleak dituen lokalen ezaugarriak direla-eta ezin bada bete aurreko puntuan ezarritakoa pertsona erantzuleak bestelako neurriak hartuko ditu. Segurtasun-agirian adieraziko da zer neurri hartu diren eta zergatik.
64. artikulua.- Kopia edo erreprodukzioa.
64.1.- Kopiak egin edo dokumentuak erreproduzituko dira segurtasun-agiriaren arabera horiek kontrolatzeko baimena duen pertsonaren kontrolpean ez bestela.
64.2.- Baztertutako kopiak edo erreprodukzioak suntsitu egin beharko dira inork bertako informazioa atzitu edo geroago berreskuratzerik izan ez dezan.
65. artikulua.- Dokumentazioa atzitzea.
65.1.- Baimena dutenek baino ezingo dute atzitu dokumentazioa.
65.2.- Erabiltzaile askok erabil ditzaketen dokumentuen kasuan egin diren atzipenak identifikatzeko mekanismoak ezarriko dira.
65.3.- Aurreko paragrafoan aipatutakoak ez diren pertsonek egindako atzipenak behar bezala erregistratuko dira horretarako segurtasun-agirian ezarritako prozedurarekin bat etorriz.
66. artikulua.- Dokumentazioa lekualdatzea.
Fitxategi bateko dokumentazioa fisikoki lekualdatu behar denean lekualdatzen den informazioa atzitu edo manipulatzea galarazteko neurriak hartuko dira.
VI. TITULUA
DATUAK BABESTEKO EUSKAL BULEGOA
67. artikulua.- Datuak Babesteko Euskal Bulegoa.
67.1.- Otsailaren 25eko 2/2004 Legeak datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzkoak ezartzen du bulego hori zuzenbide publikoko entea izango dela nortasun juridiko propioa eta gaitasun publiko eta pribatu erabatekoa izango dituela eta herri-administrazioekiko inongo loturarik gabe beteko dituela bere eginkizunak.
67.2.- Datuak Babesteko Euskal Bulegoak herritarren intimitate pertsonala eta etxekoena babesteko eginbeharra hartzen du bere gain baita herritarrek legeak onartzen dizkien eskubideak baliatzeko duten ahala zaintzekoa ere datuak babesteari buruzko araudia betetzeko ardura hartuz. Kontrol-agintaritza moduan jarduten du eginkizun horiek betetzeko eta horretarako lanerako erabateko objektibitatea eta independentzia bermatzen dizkio legeak.
67.3.- Datuak Babesteko Euskal Bulegoaren kontrol-eremuaren barruan dago UPV/EHU.
68. artikulua.- Datuak Babesteko Euskal Bulegoaren jarduerak.
Datuak Babesteko Euskal Bulegoak legeak ematen dizkion funtzioak betetzeko besteak beste honako lan edo jarduera hauek egiten ditu:
a) Datu pertsonalen tratamenduaren inguruan dituzten eskubideei buruzko informazioa ematen die pertsonei; era berean laguntza eta babesa eskaintzen die eskubide horiek balia ditzaten.
b) Legezkoak ez diren jokabideak aztertzen ditu eta hala badagokio egin diren arau-hausteei buruzko erabakiak hartu eta beharrezko neurriak hartzen ditu datuen tratamendua indarrean dagoen legediarekin bat etor dadin.
c) Datu pertsonalak dituzten fitxategien erregistroa gordetzen du. Bertan Euskal Autonomia Erkidegoko administrazio publikoek eta zuzenbide publikoko erakundeek beren fitxategiak erregistratu beharko dituzte beren eginkizunak betetzeko fitxategi horietan nolako datu pertsonalak tratatu eta biltzen dituzten adieraziz.
d) Datu pertsonalak babesteari dagokionez pertsonek nahiz erakundeek egindako kontsulta eta txostenenez arduratzen da.
e) Datuak babesteari buruzko kultura hedatu eta zabaltzen du alde batetik gizarteko taldeak sentsibilizatuz; eta beste alde batetik erakunde publikoetako langileak prestatuz jardunbide hobeak har ditzaten.
XEDAPEN IRAGANKORRA
Arautegi honetako V. Tituluan jasotako segurtasun-neurriek UPV/EHUrentzat duten izaera loteslea egokituko da DBLOGEk segurtasun-neurrien derrigortasunari buruz bigarren xedapen iragankorrean ezartzen duenera.
AZKEN XEDAPENA.- Arautegia eta eranskinak eguneratzea - Indarrean sartzea
Aldian behin arautegi hau berrikusi egingo da izan daitezkeen arauzko eskakizun berrien arabera edo aurkitzen diren arautu beharreko suposamenduen arabera.
Eranskinak aldatu edo gehitzeko erabakiak hartu ahal izango dira UPV/EHUko Zuzendaritza Kontseiluko kideen botoen gehiengoarekin eta Idazkaritza Nagusiaren eta Gerentziaren baterako proposamenarekin.
Datuak Babesteko Batzordeak Idazkaritza Nagusiari igorri ahalko dizkio bere aldaketa-proposamenak.
Arautegiaren bertsio eguneratua unibertsitatearen web-orrian egongo da eskuragarri (www.ehu.es/babestu).
Arautegi hau indarrean jarriko da 2008ko urriaren 1ean Datuak Babesteko Euskal Bulegoan behar bezala erregistratu ondoren.
I. EREDUEI BURUZKO ERANSKINAK ETA INFORMAZIO OSAGARRIA
I.I.E. DOKUMENTU EDO PANTAILETAKO INFORMAZIO-KLAUSULAREN EREDUA
Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoari jarraiki adierazten dizugu zure datuak UPV/EHUren _____________________________ fitxategian sartuko ditugula. Fitxategi horren helburua da ______________________________________
Jakinarazten dizugu datuak atzitu zuzendu ezereztu edo datuen aurka egiteko eskubideak balia ditzakezula. Horretarako idazki bat igorri behar diozu UPV/EHUko DBLO segurtasun-arduradunari helbide honetara:UPV/EHU - Errektoregoa - Sarriena auzoa z.g. 48940 Leioa (Bizkaia). Idazkiari zure identitatea egiaztatzeko dokumentuaren kopia erantsi behar diozu.
Datu Pertsonalak Babesteari buruzko UPV/EHUren arautegia kontsulta dezakezu interneteko helbide honetan: www.ehu.es/babestu.
ERANSKINA
I.II.E. DATU-TRATAMENDUAREKIKO ADOSTASUNA EZEZTATZEA
UPV/EHUri NIRE DATU PERTSONALAK TRATATZEAREKIKO AGERTUTAKO ADOSTASUNA EZEZTATZEKO ESKAERA
Nire datu pertsonalak tratatzearekiko adostasuna ezeztatzeak ukitzen d(it)uen fitxategi(ar)ei buruzko datuak:
Fitxategi(ar)en izena(k)
Tratamenduaren deskribapena
Adostasuna zein egunetan eman zen
Nori zuzendua EUSKAL HERRIKO UNIBERTSITATEA
Informazio eta Komunikazio Teknologietarako Gerenteordetza
Nori zuzendua: DBLO segurtasun-arduraduna
Auzoa Sarriena Zk. - Solairua -
Herria Leioa Lurralde historikoa Bizkaia Posta-kodea 48940
Eskatzaileari buruzko datuak:
Abizenak
Izena NAN
Kalea Zk. Solairua
Herria Lurralde historikoa Posta-kodea
Telefonoa Posta elektronikoa
Legezko ordezkariari buruzko datuak:
Abizenak
Izena NAN
ESKATZEN DUT:
1.- UPV/EHUri nire datu pertsonalak tratatzearekiko agertutako adostasuna ezeztatzea.
2.- Adostasuna benetan ezeztatu dela niri jakinaraztea.
3.- Nire datuen jakinarazpena jaso duten fitxategi edo tratamenduen pertsona erantzuleei jakinaraztea adostasuna ezeztatu dela.
Tokia eta eguna
Eskatzailearen sinadura
INFORMAZIO OSAGARRIA
I.- Formularioa betetzeko eta idazkiari dokumentazioa eransteko argibideak:
" Formularioaren atal guztiak bete behar dira eta formulario hori interesdunak izenpetu beharko du.
" Beti aurkeztu behar da NANaren fotokopia edo interesduna identifikatuko duen beste edozein dokumentu baliodunena.
" Interesduna adin txikikoa bada edo ezgaiturik badago bere ordezkari legalaren NANaren fotokopia aurkeztu beharko da edo ordezkari hori identifikatuko duen beste edozein dokumentu baliodun; baita ordezkaritza legezkoa dela egiaztatzen duen benetako agiriaren fotokopia ere.
II.- Eskubidea baliatzen duenak jarraitu beharreko prozedura:
" Adostasuna ezeztatzeko idazki bat aurkeztu beharko zaio DABLO segurtasun-arduradunari unibertsitateko erregistro orokorrean edo UPV/EHUko 2007ko maiatzaren 28ko erabakian zerrendatutako bulegoetan (2007ko abuztuaren 3ko EHAA 149. zk.); bestela Herri Administrazioen Araubide Juridikoaren eta Administrazio Prozedura Erkidearen azaroaren 26ko 30/1992 Legeko 38.4. artikuluak ezarritako bideak erabiliz ere aurkez daiteke idazkia.
" Idazkia bidali dela frogatze aldera komeni da UPV/EHUko erregistroko sarrera-zigilua egiaztagiritzat gordetzea.
III.- Fitxategi edo tratamenduaren pertsona erantzuleak jarraitu beharreko prozedura:
" Pertsona erantzuleak gehienez hamar egun balioduneko epea izango du eskatzaileari erantzuteko bere eskaera jasotzen duen egunetik kontatzen hasita.
" Epe hori amaitu eta atzipen-eskaerari buruzko erantzun garbirik egon ez bada eskaerari uko egin zaiola ulertuko da.
" Adostasuna ezeztatzeko eskaera baietsi bada interesdunak jakinarazpena jasotzeko aukeratutako moduan adierazi beharko dio pertsona erantzuleak eskaera baietsi dela berori jasotzen duen egunetik kontatzen hasi eta hamar egun balioduneko epean.
" Adostasuna ezeztatzeak ez du atzeraeraginezko ondoriorik izango.
" Datuak tratatzeko adostasun-ezeztatzea gauzatzeko ez da ezer ordainduko.
IV.- Araudi aplikagarria:
" Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa 6.3 artikulua.
" Abenduaren 21eko 1720/2007 Errege Dekretua Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena 17. artikulua.
" Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia unibertsitateko Gobernu Kontseiluak 2008ko apirilaren 10ean onartua 11.5. artikulua.
V.- Erreklamazioak (eskubideen babesa):
" Eskatzaileak uste badu oztopoak jarri zaizkiola bere datuak tratatzearekiko agertutako adostasuna ezeztatzeko eskubidea baliatu ahal izateko erreklamazioa egin dezake Datuak Babesteko Euskal Bulegoan bertan bere eskubideak babesteko prozedura abiaraz dezaten.
" Hori egin aurretik bere datuak tratatzearekiko adostasuna ezeztatzeko eskubidea baliatu ahal izateko eskaera egiten duen egunetik hamar egun igaro beharko dira bitarte horretan erantzun garbirik jaso gabe.
" Erreklamazioa Datuak Babesteko Euskal Bulegoari zuzenduko zaio (Tomas Zumarraga Dohatsuaren kalea 71 3a - 01008 Vitoria-Gasteiz - Tel. 945 01 62 30 - Faxa: 945 01 62 31 avpd@avpd.es) eta agiri hauek aurkeztuko dira:
- Adostasun-ezeztatzea gauzatzeari DBLO segurtasun-arduradunak egindako ukoa.
- Adostasuna ezeztatzeko ereduaren kopia UPV/EHUren erregistroko sarrera-zigiluarekin.
- Posta-bulegoko zigiluaren kopia eskaera ohiko postaz egin bada.
ERANSKINA
I.III.E. DATUAK TRATATZEKO BAIMENA
EMATEA.
INTERESDUNARI BURUZKO DATUAK
Adinez nagusia den .......................................................................... ..... jaunak/andreak ............................................................ kaleko ...........zenbakian ................... posta-kodea duen .............................. herrian .............................. probintzian bizi denak eta .................................................. zenbakidun NANaren kopia eransten duenak idazki honen bidez:
«Bere datu pertsonalak tratatzeko baimena ematen du eta datu horiek [dagokion helburua adierazi]tzeko helburua duen UPV/EHUren [dagokion fitxategia adierazi] fitxategian sartzekoa ere bai bat etorriz 2007ko apirilaren 11ko EHAAn (69. zk.) argitaratu zen fitxategiei buruzko UPV/EHUren ebazpenean ezarritakoarekin.»
Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoarekin bat etorriz eta unibertsitateko Gobernu Kontseiluak apirilaren 10ean onartutako Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegian ezarritakoaren arabera interesdunak eskubidea izango du datuak atzitu zuzendu ezereztu edo datuen aurka egiteko eskubideak baliatzeko. Horretarako idazki bat igorri behar dio UPV/EHUko DBLO segurtasun-arduradunari helbide honetara:UPV/EHU - Errektoregoa - Sarriena auzoa z.g. 48940 Leioa (Bizkaia). Idazkiari bere identitatea egiaztatzeko dokumentuaren kopia erantsi behar dio.
Interesdunaren sinadura:
OHARRA:
* Interesdunaren ideologia erlijio edo sinesmenari buruzko datuak bilduko balira interesdunari datu horiek tratatzeko debekua ezar dezakeela jakinaraziko zaio.
ERANSKINA
I.IV.E. ATZIPEN-ESKUBIDEA
UPV/EHUren FITXATEGIETAKO NIRE DATU PERTSONALAK ATZITZEKO ESKAERA
Nire datu pertsonalak atzitzeko eskaerak ukitzen d(it)uen fitxategi(ar)ei buruzko datuak:
Fitxategi(ar)en izena(k)
Nori zuzendua EUSKAL HERRIKO UNIBERTSITATEA
Informazio eta Komunikazio Teknologietarako Gerenteordetza
Nori zuzendua: DBLO segurtasun-arduraduna
Auzoa Sarriena Zk. - Solairua -
Herria Leioa Lurralde historikoa Bizkaia Posta-kodea 48940
Eskatzaileari buruzko datuak:
Abizenak
Izena NAN
Kalea Zk. Solairua
Herria Lurralde historikoa Posta-kodea
Telefonoa Posta elektronikoa
Legezko ordezkariari buruzko datuak:
Abizenak
Izena NAN
Datu pertsonalak babesteari buruzko arautegian ezarritakoarekin bat etorriz atzipen-eskubidea baliatu nahi dut; beraz ESKATZEN DUT adierazitako fitxategia(k) atzitzeko doako aukera izatea bertan dauden nire datu pertsonal guztien berri eman diezadaten eskaera hau jasotzen den egunetik kontatzen hasi eta gehienez hilabete bateko epean. Informazio hori era honetara eman diezadaten nahi dut betiere horrela egitea posible bada:
Ni neu bertaratu eta pantailan begiratuz.
Posta bidez idazkia kopia edo fotokopia jasoz adierazitako helbidean.
Posta elektronikoa edo bestelako komunikazio-sistema elektronikoren bat erabiliz.
<<<NEED-LINES=70>>> itxategiaren konfigurazioarekin ezarpen materialarekin edo tratamendu-motarekin bateragarria den beste edozein prozedura jarraituz.
Tokia eta eguna
Eskatzailearen sinadura
INFORMAZIO OSAGARRIA
I.- Formularioa betetzeko eta idazkiari dokumentazioa eransteko argibideak:
" Formularioaren atal guztiak bete behar dira eta formulario hori interesdunak izenpetu beharko du.
" Beti aurkeztu behar da NANaren fotokopia edo interesduna identifikatuko duen beste edozein dokumentu baliodunena.
" Interesduna adin txikikoa bada edo ezgaiturik badago bere ordezkari legalaren NANaren fotokopia aurkeztu beharko da edo ordezkari hori identifikatuko duen beste edozein dokumentu baliodun; baita ordezkaritza legezkoa dela egiaztatzen duen benetako agiriaren fotokopia ere.
II.- Eskubidea baliatzen duenak jarraitu beharreko prozedura:
" Datuak atzitzeko eskubidea ezingo da baliatu 12 hilabeteko epearen barruan behin baino gehiagotan interesdunak eskubidea gehiagotan baliatzeko bidezko interesa duela egiaztatu ezean.
" Atzipen-eskubidea baliatzeko idazki bat aurkeztu beharko zaio DBLO segurtasun-arduradunari unibertsitateko erregistro orokorrean edo UPV/EHUko 2007ko maiatzaren 28ko erabakian zerrendatutako bulegoetan (2007ko abuztuaren 3ko EHAA 149. zk.); bestela Herri Administrazioen Araubide Juridikoaren eta Administrazio Prozedura Erkidearen azaroaren 26ko 30/1992 Legeko 38.4. artikuluak ezarritako bideak erabiliz ere aurkez daiteke idazkia.
" Idazkia bidali dela frogatze aldera komeni da UPV/EHUko erregistroko sarrera-zigilua egiaztagiritzat gordetzea.
III.- Fitxategi edo tratamenduaren pertsona erantzuleak jarraitu beharreko prozedura:
" Pertsona erantzuleak gehienez hilabete bateko epea izango du eskatzaileari erantzuteko bere eskaera jasotzen duen egunetik kontatzen hasita.
" Epe hori amaitu eta atzipen-eskaerari buruzko erantzun garbirik egon ez bada eskaerari uko egin zaiola ulertuko da.
" Atzipen-eskubidea baliatzeko eskaera baietsi bada interesdunak jakinarazpena jasotzeko aukeratutako moduan adierazi beharko dio pertsona erantzuleak eskaera baietsi dela berori jasotzen duen egunetik kontatzen hasi eta hamar egun balioduneko epean. Interesdunak aukeratu duen kontsultarako bidea alde batera utzita UPV/EHUk erabaki dezake kontsultarako zer sistema erabili interesdunak egindako aukerak unibertsitateari zerbitzuak normaltasunez ematea galarazten badio.
" Ematen den informazioa ulergarria eta irakurgarria izan beharko da eta honako hauek zehaztu beharko ditu: interesdunari buruz fitxategian zer datu dauden eta zer datu sortu diren edozein lanketa tratamendu edo prozesuren ondorioz; datuek zer jatorri duten eta lagapen-hartzaileak nortzuk diren (lagapen-hartzaileak datuen jakinarazpena jaso duten edo jasoko duten erakunde publiko nahiz pribatuak izango dira); eta datuak zergatik eta zertarako bildu edo gorde ziren.
" Datuak atzitzea doakoa da.
IV.- Araudi aplikagarria:
" Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa 15 artikulua.
" Abenduaren 21eko 1720/2007 Errege Dekretua Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena 23 24 25 26 27 28 29 eta 30. artikuluak.
" 2/2004 Legea otsailaren 25ekoa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzkoa 8. eta 9. artikuluak.
" 308/2005 Dekretua urriaren 18koa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzko otsailaren 25eko 2/2004 Legea garatzen duena 6 7 eta 8. artikuluak.
" Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia unibertsitateko Gobernu Kontseiluak 2008ko apirilaren 10ean onartua 13 14 eta 18. artikuluak.
V.- Erreklamazioak (eskubideen babesa):
" Eskatzaileak uste badu oztopoak jarri zaizkiola bere datuak atzitzeko eskubidea baliatu ahal izateko erreklamazioa egin dezake Datuak Babesteko Euskal Bulegoan bertan bere eskubideak babesteko prozedura abiaraz dezaten.
" Hori egin aurretik bere datuak atzitzeko eskubidea baliatu ahal izateko eskaera egiten duen egunetik hilabete bat igaro beharko da bitarte horretan erantzun garbirik jaso gabe.
" Erreklamazioa Datuak Babesteko Euskal Bulegoari zuzenduko zaio (Tomas Zumarraga Dohatsuaren kalea 71 3a - 01008 Vitoria-Gasteiz - Tel. 945 01 62 30 - Faxa: 945 01 62 31 avpd@avpd.es) eta agiri hauek aurkeztuko dira:
- Eskatutako informazioa emateari DBLO segurtasun-arduradunak egindako ukoa.
- Atzipen-eskaera egiteko ereduaren kopia UPV/EHUren erregistroko sarrera-zigiluarekin.
- Posta-bulegoko zigiluaren kopia eskaera ohiko postaz egin bada.
ERANSKINA
I.V.E. DATUAK ZUZENTZEKO ESKUBIDEA
UPV/EHUren FITXATEGIETAKO NIRE DATU PERTSONALAK ZUZENTZEKO ESKAERA
Nire datu pertsonalak zuzentzeko eskaerak ukitzen d(it)uen fitxategi(ar)ei buruzko datuak:
Fitxategi(ar)en izena(k)
Nori zuzendua EUSKAL HERRIKO UNIBERTSITATEA
Informazio eta Komunikazio Teknologietarako Gerenteordetza
Nori zuzendua: DBLO segurtasun-arduraduna
Auzoa Sarriena Zk. - Solairua -
Herria Leioa Lurralde historikoa Bizkaia Posta-kodea 48940
Eskatzaileari buruzko datuak:
Abizenak
Izena NAN
Kalea Zk. Solairua
Herria Lurralde historikoa Posta-kodea
Telefonoa Posta elektronikoa
Legezko ordezkariari buruzko datuak:
Abizenak
Izena NAN
Datu pertsonalak babesteari buruzko arautegian ezarritakoarekin bat etorriz datuak zuzentzeko eskubidea baliatu nahi dut; beraz ESKATZEN DUT:
1.- Aipatutako fitxategi(et)an dauden niri buruzko datu oker hauek zuzentzea:
Datu okerra Datu zuzena
Edo erantsitako orrian adierazten ditudan datuak
2.- Azaldutako zuzenketa niri jakinaraztea.
3.- Nire datuen jakinarazpena jaso duten fitxategi edo tratamenduen pertsona erantzuleei jakinaraztea datuak zuzendu direla.
Tokia eta eguna
Eskatzailearen sinadura
INFORMAZIO OSAGARRIA
I.- Formularioa betetzeko eta idazkiari dokumentazioa eransteko argibideak:
" Formularioaren atal guztiak bete behar dira eta formulario hori interesdunak izenpetu beharko du.
" Eskaerarekin batera aurkeztu beharko dira behar izanez gero datu berriak egiazkoak direla frogatuko duten dokumentuak.
" Beti aurkeztu behar da NANaren fotokopia edo interesduna identifikatuko duen beste edozein dokumentu baliodunena.
" Interesduna adin txikikoa bada edo ezgaiturik badago bere ordezkari legalaren NANaren fotokopia aurkeztu beharko da edo ordezkari hori identifikatuko duen beste edozein dokumentu baliodun; baita ordezkaritza legezkoa dela egiaztatzen duen benetako agiriaren fotokopia ere.
II.- Eskubidea baliatzen duenak jarraitu beharreko prozedura:
" Datuak zuzentzeko eskubidea baliatzeko idazki bat aurkeztu beharko zaio DBLO segurtasun-arduradunari unibertsitateko erregistro orokorrean edo UPV/EHUko 2007ko maiatzaren 28ko erabakian zerrendatutako bulegoetan (2007ko abuztuaren 3ko EHAA 149. zk.); bestela Herri Administrazioen Araubide Juridikoaren eta Administrazio Prozedura Erkidearen azaroaren 26ko 30/1992 Legeko 38.4. artikuluak ezarritako bideak erabiliz ere aurkez daiteke idazkia.
" Idazkia bidali dela frogatze aldera komeni da UPV/EHUko erregistroko sarrera-zigilua egiaztagiritzat gordetzea.
III.- Fitxategi edo tratamenduaren pertsona erantzuleak jarraitu beharreko prozedura:
" Pertsona erantzuleak gehienez hamar egun balioduneko epea izango du eskatzaileari erantzuteko bere eskaera jasotzen duen egunetik kontatzen hasita.
" Epe hori amaitu eta datuak zuzentzeko eskaerari buruzko erantzun garbirik egon ez bada eskaerari uko egin zaiola ulertuko da.
" Datuak zuzentzeko eskaera baietsi bada pertsona erantzuleak eskaera hori jasotzen duen egunetik kontatzen hasi eta hamar egun balioduneko epean egin beharko du zuzenketa.
" Datuak zuzentzea doakoa da.
IV.- Araudi aplikagarria:
" Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa 16 artikulua.
" Abenduaren 21eko 1720/2007 Errege Dekretua Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena 23 24 25 26 31 32 eta 33. artikuluak.
" 2/2004 Legea otsailaren 25ekoa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzkoa 8. eta 9. artikuluak.
" 308/2005 Dekretua urriaren 18koa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzko otsailaren 25eko 2/2004 Legea garatzen duena 9. artikulua.
" Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia unibertsitateko Gobernu Kontseiluak 2008ko apirilaren 10ean onartua 13 15 eta 18. artikuluak.
V.- Erreklamazioak (eskubideen babesa):
" Eskatzaileak uste badu oztopoak jarri zaizkiola bere datuak zuzentzeko eskubidea baliatu ahal izateko erreklamazioa egin dezake Datuak Babesteko Euskal Bulegoan bertan bere eskubideak babesteko prozedura abiaraz dezaten.
" Hori egin aurretik bere datuak zuzentzeko eskubidea baliatu ahal izateko eskaera egiten duen egunetik hamar egun igaro beharko dira bitarte horretan erantzun garbirik jaso gabe.
" Erreklamazioa Datuak Babesteko Euskal Bulegoari zuzenduko zaio (Tomas Zumarraga Dohatsuaren kalea 71 3a - 01008 Vitoria-Gasteiz - Tel. 945 01 62 30 - Faxa: 945 01 62 31 avpd@avpd.es) eta agiri hauek aurkeztuko dira:
- Fitxategi edo tratamenduaren pertsona erantzuleak eskatutako zuzenketari egindako ukoa.
- Zuzenketa-eskaera egiteko ereduaren kopia UPV/EHUren erregistroko sarrera-zigiluarekin.
- Posta-bulegoko zigiluaren kopia eskaera ohiko postaz egin bada.
ERANSKINA
I.VI.E. DATUAK EZEREZTEKO ESKUBIDEA
UPV/EHUren FITXATEGIETAKO NIRE DATU PERTSONALAK EZEREZTEKO ESKAERA
Nire datu pertsonalak ezerezteko eskaerak ukitzen d(it)uen fitxategi(ar)ei buruzko datuak:
Fitxategi(ar)en izena(k)
Nori zuzendua EUSKAL HERRIKO UNIBERTSITATEA
Informazio eta Komunikazio Teknologietarako Gerenteordetza
Nori zuzendua: DBLO segurtasun-arduraduna
Auzoa Sarriena Zk. - Solairua -
Herria Leioa Lurralde historikoa Bizkaia Posta-kodea 48940
Eskatzaileari buruzko datuak:
Abizenak
Izena NAN
Kalea Zk. Solairua
Herria Lurralde historikoa Posta-kodea
Telefonoa Posta elektronikoa
Legezko ordezkariari buruzko datuak:
Abizenak
Izena NAN
Datu pertsonalak babesteari buruzko arautegian ezarritakoarekin bat etorriz datuak ezerezteko eskubidea baliatu nahi dut. Horretarako:
Ezereztea justifikatzen duen dokumentazioa eransten dut.
Lehenago agertutako adostasuna ezeztatzen dut eta ez dut inolako dokumentaziorik eransten.
Beraz ESKATZEN DUT:
1.- Aipatutako fitxategi(et)an dauden niri buruzko datuak ezereztea ez baitago horiek gordetzea justifikatzen duen lotura juridiko edo lege-xedapenik.
2.- Eskatutako ezereztea burutu dela niri jakinaraztea.
3.- Nire datuen jakinarazpena jaso duten fitxategi edo tratamenduen pertsona erantzuleei jakinaraztea datuak ezereztu direla haiek ere dagozkien aldaketak egin ditzaten.
Tokia eta eguna
Eskatzailearen sinadura
INFORMAZIO OSAGARRIA
I.- Formularioa betetzeko eta idazkiari dokumentazioa eransteko argibideak:
" Formularioaren atal guztiak bete behar dira eta formulario hori interesdunak izenpetu beharko du.
" Beharrezkoa da ezereztea justifikatzen duen dokumentazioa eranstea edo bestela lehenago agertutako adostasuna ezeztatzea.
" Beti aurkeztu behar da NANaren fotokopia edo interesduna identifikatuko duen beste edozein dokumentu baliodunena.
" Interesduna adin txikikoa bada edo ezgaiturik badago bere ordezkari legalaren NANaren fotokopia aurkeztu beharko da edo ordezkari hori identifikatuko duen beste edozein dokumentu baliodun; baita ordezkaritza legezkoa dela egiaztatzen duen benetako agiriaren fotokopia ere.
II.- Eskubidea baliatzen duenak jarraitu beharreko prozedura:
" Datuak ezerezteko eskubidea baliatzeko idazki bat aurkeztu beharko zaio DBLO segurtasun-arduradunari unibertsitateko erregistro orokorrean edo UPV/EHUko 2007ko maiatzaren 28ko erabakian zerrendatutako bulegoetan (2007ko abuztuaren 3ko EHAA 149. zk.); bestela Herri Administrazioen Araubide Juridikoaren eta Administrazio Prozedura Erkidearen azaroaren 26ko 30/1992 Legeko 38.4. artikuluak ezarritako bideak erabiliz ere aurkez daiteke idazkia.
" Idazkia bidali dela frogatze aldera komeni da UPV/EHUko erregistroko sarrera-zigilua egiaztagiritzat gordetzea.
III.- Fitxategi edo tratamenduaren pertsona erantzuleak jarraitu beharreko prozedura:
" Pertsona erantzuleak gehienez hamar egun balioduneko epea izango du eskatzaileari erantzuteko bere eskaera jasotzen duen egunetik kontatzen hasita.
" Epe hori amaitu eta datuak ezerezteko eskaerari buruzko erantzun garbirik egon ez bada eskaerari uko egin zaiola ulertuko da.
" Datuak ezerezteko eskaera baietsi bada pertsona erantzuleak eskaera hori jasotzen duen egunetik kontatzen hasi eta hamar egun balioduneko epean ezereztu beharko ditu.
" Ezerezteak datuak blokeatzea ekarriko du; alabaina datu horiek administrazio publikoen epaileen eta auzitegien esku egoten jarraituko dute datuen tratamenduaren ondorioz sor daitezkeen erantzukizunak aintzat hartzeko erantzukizun horien preskripzio-epeak iraun bitartean. Epe hori amaitu ondoren datuak behin betikoz ezabatzeari ekingo zaio eta horren berri emango zaio interesdunari.
" Argi dagoenean ez dagoela datuen tratamendutik erator daitekeen erantzukizunik datuak fisikoki ezabatuko dira. Hori egiterik ez badago erantzuleak datuak blokeatu egingo ditu inork erabili edo tratatu ez ditzan.
" Datuak ezereztea doakoa da.
IV.- Araudi aplikagarria:
" Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa 16 artikulua.
" Abenduaren 21eko 1720/2007 Errege Dekretua Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena 23 24 25 26 31 32 eta 33. artikuluak.
" 2/2004 Legea otsailaren 25ekoa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzkoa 8. eta 9. artikuluak.
" 308/2005 Dekretua urriaren 18koa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzko otsailaren 25eko 2/2004 Legea garatzen duena 9. artikulua.
" Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia unibertsitateko Gobernu Kontseiluak 2008ko apirilaren 10ean onartua 13 16 eta 18. artikuluak.
V.- Erreklamazioak (eskubideen babesa):
" Eskatzaileak uste badu oztopoak jarri zaizkiola bere datuak ezerezteko eskubidea baliatu ahal izateko erreklamazioa egin dezake Datuak Babesteko Euskal Bulegoan bertan bere eskubideak babesteko prozedura abiaraz dezaten.
" Hori egin aurretik bere datuak ezerezteko eskubidea baliatu ahal izateko eskaera egiten duen egunetik hamar egun igaro beharko dira bitarte horretan erantzun garbirik jaso gabe.
" Erreklamazioa Datuak Babesteko Euskal Bulegoari zuzenduko zaio (Tomas Zumarraga Dohatsuaren kalea 71 3a - 01008 Vitoria-Gasteiz - Tel. 945 01 62 30 - Faxa: 945 01 62 31 avpd@avpd.es) eta agiri hauek aurkeztuko dira:
- Fitxategi edo tratamenduaren pertsona erantzuleak eskatutako ezerezteari egindako ukoa.
- Datuak ezerezteko eskaera egiteko ereduaren kopia UPV/EHUren erregistroko sarrera-zigiluarekin.
- Posta-bulegoko zigiluaren kopia eskaera ohiko postaz egin bada.
ERANSKINA
I.VII.E. DATUEN AURKA EGITEKO ESKUBIDEA
UPV/EHUren FITXATEGIETAKO NIRE DATU PERTSONALAK TRATATZEAREN AURKA EGITEKO ESKAERA
Nire datu pertsonalak tratatzearen aurka egiteak ukitzen d(it)uen fitxategi(ar)ei buruzko datuak:
Fitxategi(ar)en izena(k)
Nori zuzendua EUSKAL HERRIKO UNIBERTSITATEA
Informazio eta Komunikazio Teknologietarako Gerenteordetza
Nori zuzendua: DBLO segurtasun-arduraduna
Auzoa Sarriena Zk. - Solairua -
Herria Leioa Lurralde historikoa Bizkaia Posta-kodea 48940
Eskatzaileari buruzko datuak:
Abizenak
Izena NAN
Kalea Zk. Solairua
Herria Lurralde historikoa Posta-kodea
Telefonoa Posta elektronikoa
Legezko ordezkariari buruzko datuak:
Abizenak
Izena NAN
Datu pertsonalak babesteari buruzko arautegian ezarritakoarekin bat etorriz aipatutako fitxategi(et)an dauden nire datu pertsonalak tratatzearen aurka egiteko eskubidea baliatu nahi dut; izan ere nire egoera pertsonal zehatz bati dagozkion bidezko zio arrazoituak dauzkat horretarako jarraian ematen ditudan arrazoiek erakusten duten moduan.
Nire arrazoibidea
Modu desegokian tratatzen ari diren datu pertsonalen deskribapena
Zergatik da desegokia tratamendua
Nire arrazoibidea egiaztatzeko eransten dudan dokumentazioa
Beraz lehen adierazitako moduan aurka egiteko eskubidea onartzea ESKATZEN DUT.
Tokia eta eguna
Eskatzailearen sinadura
INFORMAZIO OSAGARRIA
I.- Formularioa betetzeko eta idazkiari dokumentazioa eransteko argibideak:
" Formularioaren atal guztiak bete behar dira eta formulario hori interesdunak izenpetu beharko du.
" Egoera pertsonal zehatz bati dagozkion bidezko zio arrazoituak baliatzen badira horiek egiaztatzen dituzten dokumentuen kopiak eman beharko zaizkio fitxategi edo tratamenduaren pertsona erantzuleari.
" Beti aurkeztu behar da NANaren fotokopia edo interesduna identifikatuko duen beste edozein dokumentu baliodunena.
" Interesduna adin txikikoa bada edo ezgaiturik badago bere ordezkari legalaren NANaren fotokopia aurkeztu beharko da edo ordezkari hori identifikatuko duen beste edozein dokumentu baliodun; baita ordezkaritza legezkoa dela egiaztatzen duen benetako agiriaren fotokopia ere.
II.- Eskubidea baliatzen duenak jarraitu beharreko prozedura:
" Aurka egiteko eskubidea baliatzeko idazki bat aurkeztu beharko zaio DBLO segurtasun-arduradunari unibertsitateko erregistro orokorrean edo UPV/EHUko 2007ko maiatzaren 28ko erabakian zerrendatutako bulegoetan (2007ko abuztuaren 3ko EHAA 149. zk.); bestela Herri Administrazioen Araubide Juridikoaren eta Administrazio Prozedura Erkidearen azaroaren 26ko 30/1992 Legeko 38.4. artikuluak ezarritako bideak erabiliz ere aurkez daiteke idazkia.
" Idazkia bidali dela frogatze aldera komeni da UPV/EHUko erregistroko sarrera-zigilua egiaztagiritzat gordetzea.
III.- Fitxategi edo tratamenduaren pertsona erantzuleak jarraitu beharreko prozedura:
" Pertsona erantzuleak gehienez hamar egun balioduneko epea izango du eskatzaileari erantzuteko bere eskaera jasotzen duen egunetik kontatzen hasita.
" Epe hori amaitu eta aurka egiteko eskaerari buruzko erantzun garbirik egon ez bada eskaerari uko egin zaiola ulertuko da.
" Aurka egiteko eskaera baietsi bada pertsona erantzuleak eskaera hori jasotzen duen egunetik kontatzen hasi eta hamar egun balioduneko epean baztertu beharko d(it)u eskatzaileak adierazitako tratamendua(k).
" Datuen tratamendua baztertzea doakoa da.
IV.- Araudi aplikagarria:
" Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa 6.4 eta 17. artikuluak.
" Abenduaren 21eko 1720/2007 Errege Dekretua Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena 23 24 25 26 34 35 eta 36. artikuluak.
" 2/2004 Legea otsailaren 25ekoa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzkoa 8. eta 9. artikuluak.
" 308/2005 Dekretua urriaren 18koa datu pertsonaletarako jabetza publikoko fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzko otsailaren 25eko 2/2004 Legea garatzen duena 5. artikulua.
" Datu Pertsonalak Babesteari buruzko UPV/EHUren Arautegia unibertsitateko Gobernu Kontseiluak 2008ko apirilaren 10ean onartua 13 17 eta 18. artikuluak.
V.- Erreklamazioak (eskubideen babesa):
" Eskatzaileak uste badu oztopoak jarri zaizkiola datuen aurka egiteko duen eskubidea baliatu ahal izateko erreklamazioa egin dezake Datuak Babesteko Euskal Bulegoan bertan bere eskubideak babesteko prozedura abiaraz dezaten.
" Hori egin aurretik aurka egiteko eskubidea baliatu ahal izateko eskaera egiten duen egunetik hamar egun igaro beharko dira bitarte horretan erantzun garbirik jaso gabe.
" Erreklamazioa Datuak Babesteko Euskal Bulegoari zuzenduko zaio (Tomas Zumarraga Dohatsuaren kalea 71 3ª - 01008 Vitoria-Gasteiz - Tel. 945 01 62 30 - Faxa: 945 01 62 31 avpd@avpd.es) eta agiri hauek aurkeztuko dira:
- Fitxategi edo tratamenduaren pertsona erantzuleak tratamendua baztertzeko jaso duen eskaerari egindako ukoa.
- Aurka egiteko eskaera-ereduaren kopia UPV/EHUren erregistroko sarrera-zigiluarekin.
- Posta-bulegoko zigiluaren kopia eskaera ohiko postaz egin bada.
ERANSKINA
I.VIII.E. UPV/EHUK AITORTU DITUEN DATU PERTSONALEN FITXATEGIAK
Jarraian Datuak Babesteko Euskal Bulegoan erregistraturik dauden UPV/EHUren datu pertsonalen fitxategiak aurkezten dira unibertsitateko datu pertsonalen fitxategiak sortu aldatu eta ezabatzeari buruz UPV/EHUren Gobernu Kontseiluak 2007ko otsailaren 8an hartutako erabakiari jarraiki [UPV/EHUko idazkari nagusiaren 2007ko otsailaren 28ko erabakiz argitaratua (2007ko apirilaren 11ko EHAA 69. zk.)] aitortutakoak.
1.- Unibertsitaterako sarrera. Unibertsitatean sartzeko prozesuen kudeaketa.
2.- Lehen eta bigarren zikloko matrikulazioa. Unibertsitateko lehen eta bigarren zikloetan matrikula egiteko prozesuak kudeatzea.
3.- Hirugarren zikloko matrikulazioa. Unibertsitateko master eta graduondoko ikastaroetako matrikulazioa.
4.- Bekak eta laguntzak. Unibertsitateko bekak eta laguntzak eskatzen dituen jendearen datuak.
5.- Unibertsitate-tituluen bidalketa. Unibertsitate-tituluen kudeaketa.
6.- Ikasketa propioak. Ikasketa propioak egiten dituzten ikasleen matrikula eta espedienteak kudeatzea.
7.- Hirugarren ziklorako sarrera. Unibertsitateko graduondoko ikastaroetan sartzeko prozesuen kudeaketa.
8.- Doktoregoen kudeaketa. Unibertsitatean doktorego-tesia defendatzen duten ikasleen datu akademikoak eta kalifikazioak.
9.- Espediente akademikoak. Espediente akademikoak kudeatzea.
10.- Nominak. Nominak eta Gizarte Segurantzako kotizazioak kudeatzea.
11.- Gizarte-funtsa. Osasun-gastuak finantzatzeko laguntzak emateko erabiltzen den gizarte-funtsa kudeatzea.
12.- Langileen espedienteak. Giza baliabideak kudeatzea. Unibertsitateko giza baliabideak kudeatzea unibertsitateko langileak aukeratzea eta administratzea.
13.- Kontsumo-kredituak. Unibertsitateko langileei kredituak emateko funtsa.
14.- Lanpostuak aukeratzea eta hornitzea. Lan-poltsak eta lanpostuak eskuratzeko eta hornitzeko deialdiak.
15.- Goi-mailako ikerkuntza. Ikerkuntza-xedeetarako fitxategia da; behar diren datu pertsonalak goi-mailari dagozkio.
16.- Ikerkuntza kudeatzea. Erakunde publiko eta pribatuek ikerkuntza-jarduerak egiteko ematen dituzten laguntzak eta diru-laguntzak kudeatzea eta bideratzea Unibertsitateko sailek eta ikastegiek burututako ikerkuntza-jarduerari buruzko azterketak eta analisiak bilduz.
17.- Erdi-mailako ikerkuntza. Ikerkuntza-xedeetarako fitxategia da; behar diren datu pertsonalak maila ertainari dagozkio.
18.- Oinarrizko mailako ikerkuntza. Ikerkuntza-xedeetarako fitxategia da; behar diren datu pertsonalak oinarrizko mailari dagozkio.
19.- Enpresatako praktikak eta lan-poltsa. UPV/EHUko ikasleek enpresetan praktikak egin ditzaten eta UPV/EHUn ikasketak bukatu dituzten ikasleek enplegua topa dezaten erraztea.
20.- Erregistro orokorra. Dokumentuen sarrera- eta irteera-erregistroa.
21.- Idazkaritza Nagusia. Erabakiak izendapenak auzi judizialak eta beste administrazio batzuen eskakizunak kudeatzea.
22.- Hirugarrenen kudeaketa. Finantza-kudeaketa. Finantza-kudeaketaren aurrekontu-kontabilitatearen eta finantza-kontabilitatearen gaineko datu-basea.
23.- Erosketak eta kontratazioa. Unibertsitateko hornitzaileak eta kontratistak.
24.- Hezkuntza-premia bereziak dituzten ikasleak. Hezkuntza-premia bereziak dituzten ikasleek unibertsitatean ikasketak egin ahal izan ditzaten behar diren egokitzapenak kudeatzea.
25.- Kirolak eta kultur jarduerak. Kultur jarduerak eta kirol ekitaldiak kudeatzea.
26.- Prebentzioa eta mediku-laguntza. Osasun-kontroletarako mediku-azterketetarako kontsulten segimendurako eta arriskuen prebentziorako behar diren datuak.
27.- Odontologiako klinikako bezeroak erregistratzea. UPV/EHUren odontologiako klinikaren administrazio- eta asistentzia-kudeaketa.
28.- Argitalpen-zerbitzua. Salmentak eta harpidetzak kudeatzea eta argitalpenak sustatzea.
29.- Fitxategi informatiko osagarria. Sistema eta domeinuetan erabiltzaileak baliozkotzea hainbat aplikaziotan autentifikazioak erraztea eta oro har unibertsitateko baliabide informatikoen eta komunikazioen barne-kudeaketa burutzea.
30.- Liburutegia. Liburuen eta aldizkarien maileguak eta erreserbak kudeatzea.
31.- Irakaskuntza-kalitateari buruzko galdeketak. Irakasleen gaineko iritzi- eta gogobetetze-galdeketak eta irakaskuntzarekin zerikusia duten galdeketa orokorrak kudeatzea.
32.- Protokoloa. UPV/EHUko protokolo-ekitaldien informazioa eta gonbidapenak bidaltzea.
33.- Mezenasgoa. Pertsona fisikoek unibertsitateari eginiko ekarpenen kudeaketa eta dagozkien ziurtagiriak ematea.
ERANSKINA
I.IX.E. DBLOGEKO SEGURTASUN-NEURRIEN LABURPEN-KOADROA - FITXATEGI AUTOMATIZATUAK
Oinarrizko maila: datu pertsonalen fitxategi edo tratamenduak
Maila ertaina: administrazio-arloko edo zigor-arloko arau-hausteei buruzko datuen fitxategi edo tratamenduak; ondare-kaudimenaren eta kredituaren gaineko informazio-zerbitzua ematen dutenak; zerga-administrazioenak; finantza-erakundeenak; Gizarte Segurantzaren erakunde kudeatzaileen eta zerbitzu komunen ardurapean daudenak; lan-istripu eta gaixotasun profesionaletarako Gizarte Segurantzaren mutuetan daudenak eta azkenik izaeraren edo jokaeraren hainbat alderdi ebaluatzen dutenak.
Goi-maila: ideologiari erlijioari sinesmenei sindikatu-bazkidetzari arrazari osasunari edo bizitza sexualari buruzko datuen fitxategi edo tratamenduak; interesdunaren adostasunik gabe poliziaren xedeetarako bildutako datuak dituztenak eta azkenik genero-indarkeriaren ondoriozko datuak dituztenak.
Segurtasun-agiria - Segurtasunari buruzko araudia ezartzen du eta honako hauek zehazten ditu: arau horien aplikazio-eremua; segurtasunari buruzko neurri arau prozedura eta estandarrak; langileen eginkizun eta betebeharrak; fitxategien eta informazio-sistemen deskribapena; segurtasun-gorabeherak kudeatzeko prozedurak; euskarriak dokumentuak eta segurtasun-kopiak.
- Euskarri eta dokumentuak garraiatu berrerabili edo baztertzerakoan hartu behar diren neurriak ezartzen ditu.
- Tratamenduaren eta fitxategien arduraduna identifikatzen du eta hori guztia jasota geratzen da segurtasun-agirian eta kontratuan.
- Eguneraturik egon behar da bai antolakuntzari bai indarreko legediari dagokionez. - Segurtasun-arduradunak identifikatzen ditu
- Segurtasun-agirian ezarritakoa betetzen dela egiaztatzeko aldian behingo kontrolak ezartzen ditu.
Segurtasun-arduraduna - Agirian jasotzen diren segurtasun-neurriak koordinatu eta kontrolatzeko ardura dauka.
- Horrek ez du esan nahi fitxategiaren erantzulea bere erantzukizunetik libratzen denik
Auditoretza - Barne- edo kanpo-auditoretza egin beharko da gutxienez bi urtean behin - eta sistema informatikoetan aldaketa garrantzitsuak gertatzen direnean.
- Auditoretzaren txostenak erabilitako neurriak egokiak diren erabakitzeko irizpidea ematen du hutsuneak identifikatzen ditu eta beharrezko neurri zuzentzaileak proposatzen ditu
- Auditoretzaren txostenak segurtasun-arduradunak aztertzen ditu
- Txosten horiek DBEBren esku uzten dira
Langileak - Segurtasun-agiriak langileen funtzio eta betebeharrei buruzko informazio argia eta zehatza biltzen du.
- Langileei beren eginkizunetan eragina duten segurtasun-neurriak eta horiek ez betetzeak dakartzan ondorioak jakinarazten zaizkie.
Identifikazioa eta autentifikazioa - Erabiltzaileak identifikatu eta autentifikatzeko neurriak daude
- Erabiltzaile bakoitzaren identifikazio uniboko eta pertsonala egiten da
- Pasahitzak gorde eta banatzeko gestioak egiteko prozedura bat dago
- Pasahitzen iraungipena kontrolatzeko eta pasahitzak modu ez-ulergarrian gordetzeko prozedura bat dago - Baimendu gabeko atzipenak egiteko saiakeren kopurua murrizteko mekanismoa ezartzen da
Atzipenen kontrola eta erregistroa - Erabiltzaileek beren zereginak betetzeko behar dituzten datuak eta baliabideak baino ez dituzte atzitzen.
- Erabiltzaileen erabiltzaile-profilen eta baimendutako atzipenen zerrenda eguneratua dago
- Baliabideak atzitzeko eskubideak kontrolatu ahal izateko mekanismo bat dago
- Atzitzeko baimenak ematea gestionatzeko mekanismo bat dago segurtasun-agiriaren arabera baimen horiek eman ahal dituzten langileek baizik eman ez ditzaten. - Informazio-sistemak dauden lokaletan fisikoki sartzea kontrolatu egiten da. - Atzipen-saiakera bakoitzari buruzko datuak erregistratzen dira.
- Datuak bi urtez gordetzen dira.
- Segurtasun-arduradunaren kontrolpean dago
- Segurtasun-arduradunak hilero txostena egiten du
- Salbuespena dago: pertsona fisikoa izatea eta berak baino ez atzitzea
Euskarri eta dokumentuen gestioa eta banaketa - Daukaten informazio-mota identifikatzen da
- nbentarioa gordetzen da
- Atzipen murriztuarekin gordetzen dira
- Fitxategiaren erantzuleak euskarrien irteera baimentzen du
- Euskarriak baztertu behar direnean neurriak hartzen dira - Euskarrien sarrera eta irteeren erregistroa dago argibide hauek ematen dituena: euskarri edo dokumentu mota data eta ordua igorlea edo hartzailea informazio-mota igorpen-mota eta pertsona erantzulea - Erabiltzaile baimenduek baino ulertu ezin duten etiketatze-sistema bat dago
- Datuak zifratu egiten dira euskarriak banatzerakoan edo datuak gailu eramangarrietan lekualdatzerakoan
Segurtasun eta berreskurapen kopiak - Datuen segurtasun-kopia egiteko eta datuak berreskuratzeko prozedura bat egon behar da
- Datuak berreskuratzeko ezarritako prozedurak bermatu beharko du datuak galdu edo suntsitu zirenean zeuden bezala utziko dituela berriz ere
- Segurtasun-kopia bat egiten da gutxienez astean behin
- Fitxategiaren erantzuleak sei hilean behin egiaztatuko ditu kopiak egiteko prozedurak
- Datu errealak erabiliko dira baldin eta tratatzen den fitxategiari dagokion segurtasun-maila ziurtatzen bada eta kopia bat egin bada - Segurtasun-kopia bat eta datuak berreskuratzeko prozeduren kopia bat gordeko da datuen tratamendurako tresna informatikorik ez dagoen lekuan
Gorabeheren erregistroa - Honako hauek erregistratu beharko dira: nolako gorabehera izan den noiz gertatu den gorabeheraren jakinarazpena nork nori egin dion eta jakinarazpen horrek zer ondorio izan dituen - Erregistroan datuak berreskuratzeko prozedurak ere jaso behar dira honako hauek adieraziz: prozedura burutu duen pertsona berreskuratutako datuak eta berreskurapen-prozeduran eskuz grabatu behar izan diren datuak
- Fitxategi edo tratamenduaren erantzuleak ematen du baimena datuak berreskuratzeko prozedurak burutzeko
Telekomunikazioak - Komunikazio-sareen bidezko datuen atzipenei eskatuko zaizkien segurtasun-neurriek bermatu beharreko segurtasun-maila atzipen lokalekoek bermatu beharrekoaren parekoa izango da - Sare publikoen edo haririk gabeko sareen bidezko komunikazio elektronikoen bitartez transmititutako datuak zifratu egingo dira
ERANSKINA
I.X.E. DBLOGEKO SEGURTASUN-NEURRIEN LABURPEN-KOADROA - FITXATEGI EZ-AUTOMATIZATUAK
Oinarrizko maila: datu pertsonalen fitxategi edo tratamenduak
Maila ertaina: administrazio-arloko edo zigor-arloko arau-hausteei buruzko datuen fitxategi edo tratamenduak; ondare-kaudimenaren eta kredituaren gaineko informazio-zerbitzua ematen dutenak; zerga-administrazioenak; finantza-erakundeenak; Gizarte Segurantzaren erakunde kudeatzaileen eta zerbitzu komunen ardurapean daudenak; lan-istripu eta gaixotasun profesionaletarako Gizarte Segurantzaren mutuetan daudenak eta azkenik izaeraren edo jokaeraren hainbat alderdi ebaluatzen dutenak.
Goi-maila: ideologiari erlijioari sinesmenei sindikatu-bazkidetzari arrazari osasunari edo bizitza sexualari buruzko datuen fitxategi edo tratamenduak; interesdunaren adostasunik gabe poliziaren xedeetarako bildutako datuak dituztenak eta azkenik genero-indarkeriaren ondoriozko datuak dituztenak.
Segurtasun-agiria - Segurtasunari buruzko araudia ezartzen du eta honako hauek zehazten ditu: arau horien aplikazio-eremua; segurtasunari buruzko neurri arau prozedura eta estandarrak; langileen eginkizun eta betebeharrak; fitxategien eta informazio-sistemen deskribapena; segurtasun-gorabeherak kudeatzeko prozedurak; euskarriak dokumentuak eta segurtasun-kopiak.
- Euskarri eta dokumentuak garraiatu berrerabili edo baztertzerakoan hartu behar diren neurriak ezartzen ditu.
- Tratamenduaren eta fitxategien arduraduna identifikatzen du eta hori guztia jasota geratzen da segurtasun-agirian eta kontratuan.
- Eguneraturik egon behar da bai antolakuntzari bai indarreko legediari dagokionez.
Langileak - Segurtasun-agiriak langileen funtzio eta betebeharrei buruzko informazio argia eta zehatza biltzen du.
- Langileei beren eginkizunetan eragina duten segurtasun-neurriak eta horiek ez betetzeak dakartzan ondorioak jakinarazten zaizkie.
Gorabeheren erregistroa Honako hauek erregistratu beharko dira: nolako gorabehera izan den noiz gertatu den gorabeheraren jakinarazpena nork nori egin dion eta jakinarazpen horrek zer ondorio izan dituen
Atzipenen kontrola eta erregistroa - Erabiltzaileek beren zereginak betetzeko behar dituzten datuak eta baliabideak baino ez dituzte atzitzen.
- Erabiltzaileen erabiltzaile-profilen eta baimendutako atzipenen zerrenda eguneratua dago
- Baliabideak atzitzeko eskubideak kontrolatu ahal izateko mekanismo bat dago
- Atzitzeko baimenak ematea gestionatzeko mekanismo bat dago segurtasun-agiriaren arabera baimen horiek eman ahal dituzten langileek baizik eman ez ditzaten.
Euskarri eta dokumentuen gestioa - Daukaten informazio-mota identifikatzen da
- Inbentarioa gordetzen da
- Atzipen murriztuarekin gordetzen dira
- Fitxategiaren erantzuleak euskarrien irteera baimentzen du
- Euskarriak baztertu behar direnean neurriak hartzen dira
Artxiborako irizpideak Irizpide horiek bermatu beharko dute dokumentuen kontserbazio egokia eta informazioaren lokalizazioa eta kontsulta eta datuak atzitu zuzendu ezereztu edo datuen aurka egiteko eskubideak baliatzeko aukera eman beharko dute
Datuak gordetzeko gailuak Gailuak irekitzea galaraziko duten mekanismoak izan beharko dituzte
Euskarrien zaintza Datu pertsonalak dituen dokumentazioa dagokion gailuan artxibaturik ez dagoenean zaindu egin beharko da
Segurtasun arduraduna - Agirian jasotzen diren segurtasun-neurriak koordinatu eta kontrolatzeko ardura dauka.
- Horrek ez du esan nahi fitxategiaren erantzulea bere erantzukizunetik libratzen denik
Auditoretza - Barne- edo kanpo-auditoretza egin beharko da gutxienez bi urtean behin eta sistema informatikoetan aldaketa garrantzitsuak gertatzen direnean.
- Auditoretzaren txostenak erabilitako neurriak egokiak diren erabakitzeko irizpidea ematen du hutsuneak identifikatzen ditu eta beharrezko neurri zuzentzaileak proposatzen ditu
- Auditoretzaren txostenak segurtasun-arduradunak aztertzen ditu
- Txosten horiek DBEBren esku uzten dira
Informazioa biltegiratzea Sarrera giltzaz edo bestelako sistema batez babesturik duten agiritegiak
Kopia edo erreprodukzioa - Segurtasun-agiriaren arabera bimena dutenek baino ez
- Baztertutako kopiak suntsitu egin behar dira
Dokumentazioa atzitzea - Baimendutako langileek baino ez
- Atzipenak identifikatzeko mekanismoa dago
- Baimendu gabeko atzipenen erregistroa dago
Dokumentazioa lekualdatzea Atzipena edo manipulazioa galarazteko neurriak hartzen dira
II. DATU PERTSONALEN TRATAMENDUARI BURUZKO SUPOSAMENDU ZEHATZEN INGURUKO ERANSKINAK
ERANSKINA
II.I.SZ. IKERKETAKO
DATU-TRATAMENDUA
UPV/EHUk ikerketarekin zerikusia duten hiru fitxategi orokor sortu zituen fitxategiei buruzko aitorpena egitean: oinarrizko mailako ikerketa erdi-mailako ikerketa eta goi-mailako ikerketari dagozkionak hain zuzen. Aitorpen hori datu pertsonalen fitxategiak sortu aldatu eta ezabatzeari buruz UPV/EHUren Gobernu Kontseiluak 2007ko otsailaren 8an hartutako erabakiari jarraiki onartu zen (UPV/EHUko idazkari nagusiaren 2007ko otsailaren 28ko erabakiz argitaratua [2007ko apirilaren 11ko EHAA 69. zk.]).
Alabaina fitxategi orokor horiez gain litekeena da UPV/EHUn garatzen diren ikerketa-jardueren ondorioz fitxategi espezifikoak sortu beharra izatea. Ildo horretatik honako hau xedatzen da:
a) Ikerketa-jarduerarekin loturiko fitxategiak urtebete baino gutxiago iraun behar badu dagoeneko sorturik dauden fitxategietako batean sartuko da oinarrizko mailakoan erdi-mailakoan zein goi-mailakoan.
b) Ikerketa-jarduerarekin loturiko fitxategiak urtebete baino gehiago iraun behar badu:
b.1.- Ikerketa-jarduera horretarako fitxategi espezifiko berri bat sortuko da;
b.2.- Ordurako aitortuta egon daitekeen ikerketako fitxategi espezifikoren batean sartuko da (fitxategiaren aitorpeneko 5.puntuan adierazten diren datuez bestelako daturen bat sartu behar bada dagoeneko aitortuta dagoen fitxategi espezifikoa aldatu beharko da ikerketa jarduera berriak bere lekua izan dezan fitxategi horretan).
Ikerketa-jarduera bat egiteko datu pertsonalak erabili behar dituzten ikertzaileek jarduera horri ekin aurretik Ikerketako Errektoreordetzarekin harremanetan jarri beharko dute arautegi honetako aginduak errespetatzeko jarraibideak ezartze aldera.
ERANSKINA
II.II.SZ. UPV/EHUREN AGINDUZ DATUAK TRATATZEN DITUZTEN KANPOKO ENPRESEK HARTU BEHARREKO KONPROMISOAK
UPV/EHUk bere beharrei erantzuteko zerbitzuak ematen dituzten hainbat enpresa kontratatzen ditu. Enpresa horietako batzuk besteak beste segurtasun-enpresek eta lana bilatzeko lan-poltsak kudeatzen dituztenek UPV/EHUren fitxategietako datu pertsonalak behar dituzte eman zaien eginkizuna bete ahal izateko. Beraz enpresa horiek ere datu pertsonalak babesteari buruzko arauak errespetatzen dituztela bermatu beharko du unibertsitateak haiekin izenpetzen dituen kontratuetan.
UPV/EHUren fitxategietako datu pertsonalak atzitu behar dituzten enpresekin izenpetuko diren kontratuetan -hau da unibertsitatearen aginduz tratamenduaren arduradun moduan jokatuko duten enpresekin sinatuko direnetan- honako klausula hauek jarriko dira:
Lehenengoa.- Datu pertsonalak atzitzeko beharra
Kontratu honen xede diren eginkizunak betetzeko UPV/EHUk enpresa esleipendunari datu pertsonalen fitxategiak atzitzen utziko dio eta enpresa horrek kontratuaren helburuak betetzeko baino ez ditu erabiliko datu horiek.
Bigarrena.- Tratamenduaren arduraduna.
Datu pertsonalak babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoan agindutakoaren arabera tratamenduaren arduraduna enpresa esleipenduna izango dela ulertzen da; hau da bera izango da UPV/EHUren aginduz datuak tratatzen dituen pertsona juridikoa. Bestalde UPV/EHUK fitxategiaren edo tratamenduaren erantzulea den aldetik enpresa esleipendunak atzitzen duen informazioak zer helburu eta erabilera izango dituen erabakiko du.
Hirugarrena.- Jarraibideak.
Enpresa esleipendunak UPV/EHUren jarraibideak aintzat hartuz tratatuko ditu datuak ez bestela. Halaber datu horiek ez ditu erabiliko kontratu honetan ezarrita ez dauden helburuetarako eta ez dizkio beste inori jakinaraziko ezta soilik gordetzeko badira ere.
Laugarrena.- Arautegia betetzea.
Enpresa esleipendunak ezagutzen ditu tratamenduaren arduraduna izateagatik dagozkion betebehar eta errekerimenduak eta badaki horiek nahitaez errespetatu behar dituela honako lege eta xedapenen arabera: Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa; 1720/2007 Errege Dekretua abenduaren 21ekoa Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena; eta datu pertsonalak babesteari buruzko beste edozein xedapen aplikagarri.
Bosgarrena.- Segurtasun-neurriak.
Enpresa esleipendunak bere burua behartzen du datuei segurtasun-neurriak ezartzera tratatuko dituen fitxategien segurtasun-mailaren arabera; hain zuzen ere honako lege honetan jasota dauden neurriak:1720/2007 Errege Dekretua abenduaren 21ekoa Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena. Halaber kontratu honek iraun bitartean indarrean dauden edo egon daitezkeen segurtasun-neurriak ezartzera behartzen du bere burua.
Seigarrena.- Sekretu profesionala.
Enpresa esleipendunak beti gordeko du isilpean sekretu profesionala eta UPV/EHUren eskutik jaso dituen datuen konfidentzialtasuna errespetatuko du; beraz bere burua behartzen du datu horiek hirugarrenei edonola ez erakusteko ez transferitzeko ez uzteko edo ez jakinarazteko obligazioa betetzera baita UPV/EHUrekin duen harremana bukatu ondoren ere. Enpresa esleipendunak bere gain hartzen du kontratu honetan ezarritako obligazioak langileei jakinarazi eta betearazteko konpromisoa bereziki sekretu profesionala gordetzeari eta segurtasun-neurriak betetzeari buruzko obligazioak.
Zazpigarrena.- Kontratua amaitzea.
Behin zerbitzu-kontratua beteta enpresa esleipendunak jaso dituen datu pertsonalak suntsituko ditu edo UPV/EHUri itzuliko dizkio. Beste horrenbeste egingo du edozelako euskarri edo agirirekin ere halakoek tratamendurako datu pertsonalen bat gordetzen badute edo jasotako fitxategiei buruzko informazioren bat baldin badute.
ERANSKINA
II.III.SZ. UPV/EHUK ESLEITZEN DIZKIEN EGINKIZUNAK BETETZEAN UPV/EHUREN ESKU DAUDEN DATUAK ATZITU DITZAKETEN KANPOKO ENPRESEK HARTU BEHARREKO KONPROMISOAK
Datu pertsonalak tratatzea eskatzen ez duten zerbitzuak ematen dituzten enpresetako langileek UPV/EHUren instalazioetan sartzean datu pertsonalak gordetzen dituen informazioa atzitu dezakete. Hori gertatzen da adibidez garbiketa- eta birziklatze-zerbitzuak ematen dituzten enpresen kasuan.
UPV/EHUk bermatu behar du enpresa horiek eskura duten informazioa ez dutela modu desegokian erabiliko; beraz horretarako beharrezko neurriak hartuko ditu eta gutxienez honako klausula hauek jarriko ditu enpresa horiekin izenpetuko dituen kontratuetan:
Lehenengoa.- Datuak tratatzen diren lokaletan sartzea.
Euskal Herriko Unibertsitatean kontratu honen xede diren eginkizunak betetzeko enpresa esleipenduneko langileek datu-fitxategi pertsonalak eta bestelako dokumentu konfidentzialak tratatzen diren lokaletan sartu beharra daukate.
Bigarrena.- Segurtasun-neurriak.
Enpresa esleipenduneko langileek betebeharra daukate sartzen diren lokaletako segurtasun neurriak errespetatzeko eta langile horiek lokaletan egotearen edo lokaletatik pasatzearen ondorioz ezingo dira hasiera bateko segurtasun-baldintzak eskastu (ate eta leihoak ixtea alarmen konexioa eta abar).
Hirugarrena.- Sekretu profesionala.
Enpresa esleipenduneko langileek beti gordeko dute isilpean sekretu profesionala eta agindu zaizkien eginkizunak betetzean halabeharrez atzitu ditzaketen datuen konfidentzialtasuna errespetatuko dute. Beraz enpresa esleipenduneko langileek derrigor bete beharko dute datu horiek hirugarrenei edonola ez erakusteko ez transferitzeko ez uzteko edo ez jakinarazteko obligazioa baita UPV/EHUrekin duten harremana bukatu ondoren ere. Enpresa esleipendunak bere gain hartzen du kontratu honetan ezarritako obligazioak langileei jakinarazi eta betearazteko konpromisoa bereziki sekretu profesionala gorde eta segurtasun-neurriak ezartzeari buruzko obligazioak.
ERANSKINA
II.IV.SZ. KANPOKO ERAKUNDEEK
UPV/EHUREN ESKU DAUDEN DATU PERTSONALAK ESKATZEA
Kanpoko erakunde batek UPV/EHUri eskatzen badio bere esku dituen datu pertsonalak uzteko eta datu horiek hirugarrenei uzteko interesdunen adostasuna behar bada jarraian adierazitako bideetako bat hautatuko da:
a) Hitzarmena izenpetzea.
Kanpoko erakunderen batek UPV/EHUri eskatzen badio bere esku dituen datu pertsonalak uztea unibertsitateari bere estatutuen arabera interesekoa iruditzen zaion helburu batetarako datu horiek uzteko hitzarmenaren izapideak egiteari ekingo zaio aplika daitekeen unibertsitateko araudia errespetatuz.
Hitzarmenari dagozkion izapideak egitean txostenak eskatuko zaizkio DBLO segurtasun-arduradunari eta fitxategiaren edo tratamenduaren pertsona erantzuleari; txosten horiek lotesleak izango dira. Datuak utzi ahal izateko fitxategi edo tratamenduaren pertsona erantzuleak bere txostenean egiaztatu beharko du eskatzen diren datuen jabeek aurretiaz adostasuna agertu dutela datuak uzteko; adostasun hori agertu ez duten kasuetan eskatu egin beharko da arautegi honetako 12. artikuluan ezarritako moduren bat aukeratuz.
Kanpoko erakundearekin izenpetu beharreko hitzarmenak gutxienez honako klausula hauek izan beharko ditu:
Kanpoko erakundeak edo datuen lagapen-hartzaileak berariaz adierazi beharko du datu pertsonalak babesteari buruzko indarreko araudia betetzen duela eta konpromiso hauek hartuko ditu bere gain:
1.- Uzten zaizkion datuak honako helburu honetarako baino ez erabiltzeko konpromisoa:[adierazi helburu zehatza eta zenbat denbora iraungo duen; hasiera batean une baterako baino ez eta epe mugatu baterako].
Datuak uztearen helburua errespetatzen ez duen edozein datu-tratamenduren gaineko erantzukizuna lagapen-hartzaileak baino ez du izango eta lagapen-hartzaile hori eragindako kalteen erantzule gisa agertuko da hirugarrenen aurrean eta unibertsitatearen beraren aurrean.
2.- Berehala datuak tratatzeari utzi eta horiek ezabatzeko konpromisoa interesdunak datuak ezerezteko eskubidea baliatzen duenean edo unibertsitateak egoki deritzolako lagapen-hartzaileari komunikatzen dionean datuak tratatzeari utziko zaiola.
3.- Datuei honako lege hauetan jasota dauden segurtasun-neurriak ezartzeko konpromisoa: abenduaren 13ko 15/1999 Lege Organikoa Datu Pertsonalak Babesteari buruzkoa 9. artikulua; eta 1720/2007 Errege Dekretua abenduaren 21ekoa Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena VIII. Titulua. Konpromiso hori ez errespetatzearen gaineko erantzukizuna lagapen-hartzaileak baino ez du izango eta lagapen-hartzaile hori eragindako kalteen erantzule gisa agertuko da hirugarrenen aurrean eta unibertsitatearen beraren aurrean.
4.- Uzten zaizkion datuak beste inori ez uzteko konpromisoa.
Fitxategiaren edo tratamenduaren pertsona erantzuleak egiten diren datu-uzteak erregistratuko ditu etorkizunean datu horiek atzitzeko zuzentzeko ezerezteko eta datu horien aurka egiteko eskubideak benetan baliatzen direla bermatzeko. Halaber egindako datu-uzteak fitxategiaren segurtasun-agiriko sarrera eta irteeren erregistroan agertuko dira.
b) Kanpoko erakundearen informazio-hedapena bere gain hartzea.
Aurreko puntuetan adierazitako prozeduraren salbuespen moduan kanpoko erakunde batek datuak eskatzen baditu eta UPV/EHUk pentsatzen badu kanpoko erakundeak emandako informazioa zabaltzen laguntzeko interesa duela (interes horrek zerikusia izan behar du Estatutuen arabera UPV/EHUrenak diren helburuekin) unibertsitateak informazio hori hedatu ahalko du eta gastuak bere gain hartuko ditu.
Informazio-hedapena antolatzen duen UPV/EHUren unitateak (Errektoregoa errektoreordetza gerentzia ikastegi institutu edo katedrak) DBLO segurtasun-arduradunari eskatuko dio dagokion baimena unitateko arduradun nagusiak informazioa hedatzeko ekimen horri adostasuna eman ostean. DBLO segurtasun-arduradunak baimen hori idatziz eman ostean unitate antolatzaileak bere gain hartuko du kanpoko erakundeak emandako informazioa hedatzeko ardura. Informazio horrek aurretik unibertsitatearen aurkezpen-idazkia izango du eta bertan informazio hori bidaltzea justifikatuko da.
Informazioa hedatzeko lehenetsitako bidea posta elektronikoa izango da. Salbuespen moduan ohiko posta erabiliko da. Horretarako DBLO segurtasun-arduradunari egindako eskaeran behar bezala justifikatuko da ohiko posta erabiltzeko arrazoia.
Halaber unibertsitatearen web-orrian gune batzuk gorde ahalko dira bertan unibertsitateko kideentzat interesgarria den informazioa jartzeko informazio horrek unibertsitatearekin zerikusi zuzena izan ez arren; bestalde informazio hori jartzeko ezarritako prozedura errespetatuko da.
ERANSKINA
II.V.SZ. AGINTARI JUDIZIAL POLIZIAL
ETA ADMINISTRATIBOEN
DATU-ESKAERA
1.- UPV/EHUren esku dauden fitxategietako datu pertsonalei buruzko informazioa ikasleak langileak edo hirugarrenak ukitzen dituena agintari judizial polizial edo administratiboei jakinaraziko zaie legeak ezarritako prozedurari eta jarraian adierazitako arauei jarraiki. Datu pertsonalei buruzko informazio-eskaerak arrazoitzen ez badira ez dira onartuko. Agintari judizial polizial edo administratiboei egindako datu-uzteak DBLO segurtasun-arduradunak eta fitxategiaren edo tratamenduaren pertsona erantzuleak ikuskatuko ditu.
2.- Agintari judizial polizial eta administratiboek datuak uzteko eskaera egiten duten momentutik unibertsitateko Lege Zerbitzuarekin harremanetan jarri beharko da. Ez da inolako informaziorik bidaliko Lege Zerbitzuak aurretiaz bere oniritzia ematen ez badu. Lege Zerbitzua arduratuko da fitxategiaren edo tratamenduaren pertsona erantzulearekin eta DBLO segurtasun-arduradunarekin harremanetan jartzeaz. Ez da inolako daturik emango aurretiaz Lege Zerbitzuak bere oniritzia ematen ez badu.
3.- Agintari judizialen eskaerei erantzungo zaie epailearen bitartekotzarekin eginak diren neurrian. Gobernu-organoek prozesu judizialak prestatu edo osatzeko jarduerekin lotura zuzena duten informazio-eskaerak egiten dituztenean horiei erantzungo zaie idatziz argi jasota geratzen denean zein den zehazki eskaera egin duen gobernu-organo hori.
4.- Agintari polizialen eskaerei dagokienez poliziaren fitxategiak arautzen dituen artikulu berezia dago DBLOn; 22. artikulua hain zuzen ere. Artikulu horren arabera interesdunen adostasunik gabe segurtasunerako poliziaren indarrek eta kidegoek polizia-xedeetarako baino ez dituzte bildu edota tratatuko irakaskuntzarako zentro publikoek beren esku dituzten datu pertsonalak; bilketa eta tratamendu hori mugatuko da kasu hauetara: segurtasun publikoa benetan arriskuan jartzen duten egoerak prebenitzera eta arau-hauste penalak zigortzera. Beraz eginkizun horrekin zerikusirik duten datuak biltzeko fitxategi espezifikoak ezarriko dira eta bertan gorde beharko dira datuak fidagarritasun-mailaren arabera sailkaturik. Artikulu horren arabera segurtasunerako poliziaren indar eta kidegoek baimena dute datuak lortu eta tratatzeko; horretarako datuak uzteko eskaeraren jatorria adierazi beharko da eta baldintza hauek bete:
a) Behar bezala egiaztatu beharko da datuak biltzea beharrezkoa dela segurtasun publikorako benetakoa eta larria den arrisku bat prebenitzeko edo arau-hauste penalak zigortzeko.
b) Eskaera zehatza eta espezifikoa egin beharko da; izan ere lehen adierazitakoa eta datu-eskaera masiboa ez dira bateragarriak.
c) Eskaera behar bezala arrazoitu beharko da eta adierazi diren kasuekin lotura duela egiaztatu beharko da.
d) Datuak ezereztu egin beharko dira beharrezkoak izateari uzten diotenean datu horiek biltzeko arrazoia izan zen miaketarako DBLOren 22.4. artikuluak ezarritakoa betez.
5.- Agintari administratiboek eskatutako datuak emango dira baldin eta:
a) Eskaera Zerga Ikuskaritzak lurralde historikoetako foru ogasunek edo toki ogasunen zerga-bilketarako bulegoek aurkezten badute eta eskatutako informazioak garrantzia badu zergei dagokienez honako hauek ezarritakoari jarraiki: Zergari buruzko Lege Orokorra 111 eta 112. artikuluak; zergen ikuskaritzari buruzko arautegi orokorraren 37. artikulua; dagokion foru-araudia edo une bakoitzean indarrean dagoen araudia.
b) Eskaera Gizarte Segurantzaren Institutu Nazionalak edo bere agentziaren batek egiten badu dituen eskumenak erabiliz.
c) Eskaera dagokion lan-agintaritzak egiten badu dituen eskumenak erabiliz.
d) Funtzio publiko estatistikoari buruzko maiatzaren 12ko 12/1989 Legean eta Euskal Autonomia Erkidegoko Estatistikari buruzko apirilaren 23ko 4/1986 Legean oinarriturik egiten bada eskaera horrelako ikerketak egiteko.
e) Lege baten arabera datuak derrigor utzi behar badira.
ERANSKINA
II.VI.SZ. UPV/EHUK KANPOKO ERAKUNDEEI ZERBITZUAK EMATEA
Enpresa/erakundeekin izenpetzen diren hitzarmen/kontratuetan honako klausula hauek jarriko dira unibertsitatea hirugarrenen enkarguz datu pertsonalen tratamenduaren arduraduna baldin bada.
Lehenengoa.- Datu pertsonalak atzitzeko beharra.
Hitzarmen/kontratu honen xede diren zerbitzuak emateko (adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)k UPV/EHUri behar dituen datu pertsonalen fitxategiak atzitzen utziko dio eta unibertsitate horrek hitzarmen/kontratuaren helburuak betetzeko baino ez ditu erabiliko datu horiek.
Bigarrena.- Tratamenduaren arduraduna.
Datu pertsonalak babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoan agindutakoaren arabera UPV/EHU tratamenduaren arduraduna izango dela ulertzen da; hau da bera izango da (adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)ren aginduz datuak tratatzen dituen pertsona juridikoa. Bestalde (adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)k fitxategiaren erantzulea den aldetik UPV/EHUK atzitzen duen informazioak zer helburu eta erabilera izango dituen erabakiko du.
Hirugarrena.- Jarraibideak.
UPV/EHUk (adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)ren jarraibideak aintzat hartuz tratatuko ditu datuak ez bestela. Halaber datu horiek ez ditu erabiliko hitzarmen/kontratu honetan ezarrita ez dauden helburuetarako eta ez dizkio beste inori jakinaraziko ezta soilik gordetzeko badira ere.
Laugarrena.- Arautegia betetzea.
(adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)k ezagutzen ditu fitxategiaren edo tratamenduaren erantzulea izateagatik dagozkion betebehar eta errekerimenduak eta badaki horiek nahitaez errespetatu behar dituela honako lege eta xedapenen arabera: Datu Pertsonalak Babesteari buruzko 15/1999 Lege Organikoa abenduaren 13koa; 1720/2007 Errege Dekretua abenduaren 21ekoa Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena; datu pertsonalak babesteari buruzko beste edozein xedapen aplikagarri bereziki Datuak Babesteko Euskal Bulegoari fitxategiak aitortzeko betebeharra ezartzen duena eta aplikagarriak diren bestelako xedapenak.
Bosgarrena.- Segurtasun-neurriak.
UPV/EHUk bere burua behartzen du datuei segurtasun-neurriak ezartzera tratatuko dituen fitxategien segurtasun-mailaren arabera; hain zuzen ere honako lege honetan jasota dauden neurriak:1720/2007 Errege Dekretua abenduaren 21ekoa Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoa garatuko duen erregelamendua onartzen duena. Halaber kontratu honek iraun bitartean indarrean dauden edo egon daitezkeen segurtasun-neurriak ezartzera behartzen du bere burua.
Seigarrena.- Sekretu profesionala.
UPV/EHUK beti gordeko du isilpean sekretu profesionala eta (adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)ren eskutik jaso dituen datuen konfidentzialtasuna errespetatuko du; beraz bere burua behartzen du datu horiek hirugarrenei edonola ez erakusteko ez transferitzeko ez uzteko edo ez jakinarazteko obligazioa betetzera baita (adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)rekin duen harremana bukatu ondoren ere. UPV/EHUk bere gain hartzen du kontratu honetan ezarritako obligazioak langileei jakinarazi eta betearazteko konpromisoa bereziki sekretu profesionala gorde eta segurtasun-neurriak betetzeari buruzko obligazioak.
Zazpigarrena.- Kontratua amaitzea.
Behin zerbitzu-kontratua beteta UPV/EHUk jaso dituen datu pertsonalak suntsituko ditu edo (adierazi unibertsitateak zein erakunde edo enpresarekin izenpetzen duen hitzarmen edo kontratua)ri itzuliko dizkio. Beste horrenbeste egingo du edozelako euskarri edo agirirekin ere halakoek tratamendurako datu pertsonalen bat gordetzen badute edo jasotako fitxategiei buruzko informazioren bat baldin badute.
ERANSKINA
II.VII.SZ. AZTERKETAN NOTAK ARGITARATZEA
Azterketan notak iragarki-oholetan argitaratuko dira eta ikaslea identifikatzeko NAN zenbakia baino ez da erabiliko.
Azterketen notak argitara emateko helburua bete dadin eta ikasleek beren eskubideak baliatu ahal izan ditzaten nahikoa denbora utziko da noten zerrendak kendu aurretik baina denbora horrek ez du inoiz hilabetea gaindituko.
Zerrenda horiek klausula bat izango dute honako hau adieraziko duena:
Zerrenda honek datu pertsonalak ditu eta datuak babesteari buruzko gaur egungo arautegia betetzen du; bere helburu bakarra ebaluazio-prozesu hau argitara ematea da. Ez da jendearen eskurako iturria eta ezin da zerrenda osoaren nahiz zati baten kopiarik egin; halaber informazioa berreskuratzeko inolako sistemaren bitartez ezingo da zerrenda transmititu ezta erregistratu ere interesdunek horretarako adostasunik agertzen ez badute.
Web orrietan azterketen notak argitaratzeko sarbide-gakoa eskatuko duen sarbide-kontrola ezarriko da; hala interesdunak baino ezingo du egin kontsulta.
ERANSKINA
II.VIII.SZ. LEHIAKETA BIDEZKO
PROZESUAK
Lehiaketa bidezko prozesuetan argitara emango diren behin-behineko eta behin betiko zerrendetan datu pertsonal gutxi agertuko dira zabalkunde printzipioak betetzeko beharrezkoak direnak baino ez (izena abizenak eta NAN zenbakia) argitara emateko modua edozein dela ere (iragarki-ohola web-orria...). Zerrenda horiek dagokien prozesua amaitu arte egongo dira ikusgai eta era berean erreklamazioak edo errekurtsoak jartzeko beharrezkoa izan daitekeen denbora guztian.
Zenbait prozesutan eskumena daukan organoak NAN zenbakia baizik ez argitaratzea erabaki dezake.
Unibertsitatekoak diren lehiaketa bidezko prozesuetan adibidez beka-deialdietan poltsa eta laguntzen deialdietan eta praktiketan izen-abizenak jartzearekin nahikoa izango da.
Zerrenda horiek klausula bat izango dute honako hau adieraziko duena:
Zerrenda honek datu pertsonalak ditu eta datuak babesteari buruzko gaur egungo arautegia betetzen du; bere helburu bakarra ebaluazio-prozesu hau argitara ematea da. Ez da jendearen eskurako iturria eta ezin da zerrenda osoaren nahiz zati baten kopiarik egin; halaber informazioa berreskuratzeko inolako sistemaren bitartez ezingo da zerrenda transmititu ezta erregistratu ere interesdunek horretarako adostasunik agertzen ez badute.
ERANSKINA
II.IX.SZ. IRAKASLEEK IKASLEEN DATUAK ESKURATZEA
Ikasturte bakoitzaren hasieran irakasleek jakin eta eskuratu behar dituzten ikasleei buruzko datu pertsonalak (argazkia barne) akademi gestiorako sistema informatikoaren bidez lortu ahal izango dituzte.
Beraz orain arteko sistema tradizionalak ez du balio eta ezingo dira erabili ikasturte bakoitzaren hasieran irakasleek eskatzen zituzten eskuz egindako fitxak.
Matrikula egitean ikasleari adieraziko zaio zertarako erabiliko den bere argazkia.
ERANSKINA
II.X.SZ. UNIBERTSITATEAREN WEB ORRIA
1.- Sarrera libreko UPV/EHUren web orriek ezin dituzte datu pertsonalak izan ez badituzte baldintza hauek betetzen:
a) UPV/EHUk aitortutako fitxategietakoak izatea.
b) Datuen jabeek titularrari adostasuna agertzea web orrian erakusten diren datuak argitaratzeko.
2.- Ez dira argitaratuko ikasle-taldeen zerrendak (irakasgaietako taldeak praktiketakoak eta abar) kasu hauetan izan ezik:
a) Autentifikazio-prozesu bati esker interesdunak baino sartu ezin direnean.
b) Interesdunek zerrendak argitaratzeko prozedurarekiko adostasuna agertu dutenean.
3.- Datu pertsonalak helburu zehatz batekin biltzen direnean interesdunari arautegi honetako 7.1. artikuluan aipatzen den informazioa eman beharko zaio.
4.- UPV/EHUren web orriek zorrotz bete behar dute unibertsitatearen pribatutasun-politika. Politika hori unibertsitatearen interneteko atarian argitara ematen da «Lege oharra» izeneko atalean «Datu pertsonalak babesteko politika» izenburupean.
1) Euskal Herriko Unibertsitateak web guneko erabiltzaileei jakinarazten die web gunea erabiltzearen ondorioz emandako datu pertsonalekin artxibo automatizatu bat egin dezakeela; betiere datuak babesteko arautegiari jarraiki.
2) Erabiltzaileek bermatzen dute web gunea erabiltzerakoan eman dituzten datuak egiazkoak direla. Alde horretatik erabiltzaileen ardura da datuak eguneratuta edukitzea unean uneko errealitatearekin bat etor daitezen. Emandako datuen ondorioz gezurrezko adierazpenak edo adierazpen okerrak egiten badira eta informazio horrek kalteak eragiten baditu erantzuleak erabiltzaileak izango dira.
3) Datu Pertsonalak Babesteko abenduaren 13ko 15/1999 Lege Organikoak zehaztutakoari jarraiki datu pertsonalak bildu eta datu-fitxategi batean gordeko dira; fitxategi horren erantzulea Euskal Herriko Unibertsitateko gerentzia da.
4) Erabiltzaileek bildutako eta artxibatutako haien datu pertsonalak atzitzeko zuzentzeko ezerezteko eta datuen aurka egiteko eskubidea daukate. Horretarako idatzi bat bidali behar diote Euskal Herriko Unibertsitateko DBLO segurtasun-arduradunari. Eskubide horiek erabiltzeak ez du eraginik izango web gunerako sarbidean ezta erabiltzaileen harpidetzan ere.
5) Erregistratutako datuak erabil daitezke datu-bilketaren xede diren ekintzetarako eta gainera estatistikak egiteko informazio zientifikoa bidaltzeko intzidentziak kudeatzeko eta merkatu-azterketak egiteko.
6) Erabiltzaileek emandako datu pertsonalak hirugarrenei emango zaizkie bakarrik aipatu helburuekin eta betiere Datu Pertsonalak Babesteko 15/1999 Lege Organikoaren 11. eta 21. artikuluei jarraiki; alde horretatik interesdunen baimena hala dagokionean bakarrik eskatuko da.
7) Euskal Herriko Unibertsitateari datu pertsonalak emateak esan nahi du erabiltzaileak ados daudela datu horiek Euskal Herriko Unibertsitateak erabiltzearekin.
8) Euskal Herriko Unibertsitateak datu pertsonalak ezkutuan gordetzeko konpromisoa hartzen du bere gain; halaber neurri teknikoak eta antolakuntza-neurriak hartzeko asmoa agertzen du datu horiek seguru gorde eta datuak aldatu galdu edo baimenik gabe eskuratzea ekiditeko kontuan hartuta teknologiaren gaur egungo egoera bildutako datuen izaera eta datuen arriskuak bai gizakiek eta ingurune fisiko eta naturalak eragin ditzaketenak.
ERANSKINA
II.XI.SZ. WEB DIREKTORIOA
UPV/EHUren web orriko langileak atalean unibertsitatearen zerbitzurako lan egiten duten guztien identifikazioa eta haiekin harremanetan jartzeko datuak aurkitzen dira. Unibertsitateko kideen arteko komunikazioa bermatzeko kontsultak egiteko aukera ematen da baina horretarako kontsulta-egileak kautotu egin behar du. Hala eginez gero identifikazio-datu guztiak eta harremanetan jartzekoak ikus daitezke; bestalde unibertsitateaz kanpoko edonork langile horien datuak kontsultatzea galarazteko kautotze-sistemaren bitartez kanpokoei ezkutatu nahi zaizkien identifikaziorako eta harremanetarako datuak ez erakusteko aukera dago.
ERANSKINA
II.XII.SZ. LAN-BALDINTZAK ZAINDU
ETA BABESTEKO DATU-UZTEA
Langileen ordezkari diren organoek lan-baldintzak zaindu eta babesteko duten eginkizuna modu egokian bete dezaten ez dago UPV/EHUren zerbitzurako lan egiten duten langileei buruzko datuak masiboki uzteko beharrik.
Alabaina arazo zehatz bat sortu duen pertsona partikular bat zaindu edo kontrolatu behar denean pertsona horri buruzko datu espezifikoa eman ahalko da.
Gainerako kasuetan kontrolatzeko eginkizuna erabat beteko da informazioa modu agregatuan utziz; edo bestela informazioa behar bezala bereizirik utziz. Hau da datuek ezingo dituzte aipatu identifikatutako pertsonak edo identifikagarriak direnak eta era berean pertsona zehatz bati erreferentziarik egiten ez dion informazioak kontrolatu behar den egoera ezagutzeko aukera emango dio kontrolatzeko eginkizuna duenari.
Langileen ordezkariei datu pertsonalak uzten bazaizkie datuen jakinarazpen horretan adieraziko da sekretua gordetzeko betebeharra dutela datu horiek ezagutzen dituztenek.
ERANSKINA
II.XII.SZ. LANEKO ARRISKUEN PREBENTZIORAKO DATUAK UZTEA
Laneko arriskuen prebentzioari buruzko azaroaren 8ko 31/1995 Legearen 30.3 artikuluak zera dio: «Prebentzio-jarduera gauzatzeko enpresaburuak ahalbidetu beharko du izendatutako langileek eskura izatea lege honen 18. eta 23. artikuluek aipatu informazioa eta agiriak».
Dokumentazioa aipatzen duen artikulua 23.a da eta honako hau jasotzen da bertan:
«1.- Enpresaburuak egin eta gorde beharko ditu aurreko artikuluetan ezarri betebeharren inguruan ondoko agiriak lan-agintaritzaren esku jartzeko:
a) Lan-arriskuak prebenitzeko plana lege honen 16. artikuluaren 1. idatz-zatiak ezarritakoa aintzat hartuta.
b) Laneko segurtasun eta osasunerako arriskuen ebaluazioa lan-baldintzen eta langileen jardueraren aldizkako kontrolen emaitzak
barne lege honen 16. artikuluaren 2.- idatz-zatiko a) paragrafoan xedatutakoaren arabera.
c) Prebentzio-jardueraren plangintza hartu beharreko babes- eta prebentzio-neurriak barne eta hala denean erabili beharreko babes-tresneria lege honen 16. artikuluaren 2. idatz-zatiko b) paragrafoan xedatutakoaren arabera.
d) Lege honen 22. artikuluan jaso langileen osasun-egoeraren inguruan egindako kontrolak eta kontrol horien emaitzak aipatu artikuluko 4. idatz-zatiaren azken lerrokadak ezarritakoaren arabera.
e) Langileari lanegun bat baino gehiagoz lan egiteko ezgaitasuna eragin dioten lan-istripuen eta lanbide-gaixotasunen zerrenda. Halakoetan gainera enpresaburuak egingo du artikulu honen 3. idatz-zatian jaso jakinarazpena.
Transkribaturiko zerrenda horretatik ulertzen da informazio agregatuaren bitartez bete daitezkeela legeak ezarritako helburuak. Alabaina dokumentazio horrek datu pertsonalak baldin baditu edo burututako jardueren ondorioz datu pertsonalak ezagutzen badira lege horretako 37.3 artikuluan jasotzen den lanbide-isilpekoari buruzko betebeharra bete beharko da.
ERANSKINA
II.XIV.SZ. ERREFERENTZIA PERTSONALAK
Arautegi honen testuinguruan «erreferentzia pertsonalak» terminoak ikasleei edo ikasketak bukatu dituztenei buruzko informazioa eskatu edo emateko ekintza aipatzen du; informazio hori normalean helburutzat lana edo hobekuntza profesionala duen gomendioa izaten da. Erreferentziak emateak askotan datu pertsonalak jakinaraztea eskatzen du.
Datu pertsonalei buruzko legezko arautegira egokitzeko funtsezkoa da erreferentzia pertsonalen gaineko politika eta praktika berrikustea. Horregatik UPV/EHUk etorkizunean erreferentzia pertsonalei buruzko politika instituzionala ezarri ahalko du eta horrela jakin ahal izango da nork eman ditzakeen erreferentziak erakundearen izenean erreferentzia-eskaerekin nola jokatu behar den zer informazio-mota eman daitekeen erreferentzien atzipena nola artikulatzen den eta abar. UPV/EHUk ziurtatuko du erreferentzia-eskaera jasotzen duen orok ezagutzen dituela gai horien inguruko gomendioak edo badakiela zein den erreferentzien gaineko politika halako politikarik zehaztuta egotekotan.
Erreferentziak nola eman.
Etorkizunean norbaiti lana bekak edo profesionalki aberasteko beste edozein aukera emateko helburua duen pertsona batek eskatzen badu profil zehatz bat duen ikasle edo titulatu baten identitatea edo UPV/EHUko pertsona jakin bati eskatzen badizkio ikasle edo titulatu zehatz batzuen gaineko ebaluaziori buruzko datuak honako protokolo hau bete beharko da:
1.- Jakinarazi beharko da badaudela erakundeek beren lan-eskaintzak prestakuntza-planak plan profesionalak eta abar iragartzeko guneak eta iragartzen den eskaintza edo aukerari heltzeko interesa dutenek beren burua aurkez dezaketela gaur egun Praktiges eta Lanbila deitzen diren gune horietan.
2.- Erreferentziak UPV/EHUren izenean egiten direla ulertuko da; beraz erreferentziak egiten dituzten langileek egiten dutenaz jabetu beharko dute unibertsitateko kideak diren aldetik.
3.- Jakinarazi beharko da unibertsitateko egitura- edo antolakuntza-unitate bakoitzean UPV/EHUren izenean eta unitate horien erabakiz nork eman ditzakeen ikasle edo titulatuei buruzko erreferentziak. Horri dagokionez printzipio hau aplikatu beharko da: ebalua dezaketenek formalki ebaluatzeko eskumena izan beharko dute; bestalde ikasle baten nahiz ikasle-talde baten gaitasun orokor eta espezifiko batzuk neurtzeko beste batzuek baino aukera gehiago eta aukera hobeagoak edukitakoak izan beharko dira. Ildo horretatik ikasle edo titulatuak ebaluatzeko gaituenak izango dira beren tutoreak praktiketako irakasleak edo irakaskuntza-ikaskuntzaren prozesuan ikaslearekin hurbileko harreman iraunkorra izan dutenak.
4.- UPV/EHUren izenean hirugarrenei erreferentziak ematen dizkietenek ziurtatu beharko dute erreferentziaren xede den pertsonak nahi duela berari buruzko erreferentzi horiek ematea; hau da aldez aurretik bere adostasuna lortu beharko dute.
5.- Erreferentziak ematen dituenak horien kopia bat bidali beharko du ikastegiko idazkaritzara edo dagokion egiturara espediente akademikoarekin batera artxiba dadin.
6.- Erreferentzia guztien oinarrian ikasle edo titulatuek dituzten gaitasunen edo gaitasunak lortzeko dauzkaten bitartekoen ebaluazio edo neurketa egon beharko da. Neurketa hori erabilgarria bideragarria eta ongi funtsaturikoa izango da; bestalde pertsonak eta programak ebaluatzeko komunitate zientifikoak eskuarki onartzen dituen estandarrekin bat etorriz egingo da neurketa estandar horiek hezkuntzaren alorrean aplikatuz.
7.- Erreferentziak egingo dira onartuz datuaren titularrak aukera izango duela berari buruz idatzi dena ikusteko. Gizabanakoak berari buruz idatzi dena ezagutzeko duen eskubideak sendotu egiten du erreferentzia bat egiteko prozesua.
8.- Ez da gomendatzen ahozko erreferentziak ematea; edozein modutan horrelakorik ematekotan beharrezkoa izango da aldez aurretik interesdunen adostasuna lortzea. UPV/EHUk ez du hartuko bere langileek ahoz eman ditzaketen erreferentzien gaineko erantzukizunik; izan ere datu pertsonalen tratamendu horrek duen kalitate faltak arazoak sor ditzake eta ebaluaziorako datuen fidagarritasuna eta balioa galarazi.
Norberari buruzko erreferentziak nola atzitu.
Interesdunaren adostasunarekin erreferentzia bat ematean ikaslea ebaluatzen duena ez da derrigorturik egongo ikasle horri erreferentziaren kopia bat ematera. Berari buruz eman diren erreferentziak ezagutu nahi dituen ikasleak ikastegiko idazkaritzan edo dagokion egituran atzitu ahal izango ditu erreferentzia horiek.
Ikasleek espediente akademikoarekin batera artxibaturiko beraiei buruzko erreferentziak ezereztea eskatu ahal izango dute erreferentzia horiek ezerezteko eskubidea baliatuz.
ERANSKINA
II.XV.SZ. IRAKASKUNTZA-JARDUERAREN EBALUAZIOA
Puntu honi dagokionez irakaskuntzaren ebaluazioa jasotzen duen UPV/EHUko estatutuetako 160.2 artikulua da garrantzitsuena eta artikulu horren arabera irakasleek sailek ikastegiek eta ikasleen ordezkariek ebaluazio indibidualen berri izango dute baita horrela egin bada taldeka egindako ebaluazioena ere irakaslana hobetzera zuzendutako balorazioak egin ditzaten. Kautela guztiak hartuko dira interesdunen eskubideak bermatzeko eta arrazionaltasun zorroztasun konfidentzialtasun eta objektibotasun printzipioak errespetatzeko. Interesdunek egokitzat hartuko dituzten alegazioak egiteko aukera ere izango dute.
Edonola ere irakasleek sailek ikastegiek eta ikasleen ordezkariek irakasleen ebaluazioetatik ateratako taldekako emaitzen berri jakin ahal izango dute ebaluazio horietan interesdunak izatearen baldintza betetzen badute.
Halaber instantzia horiek irakaskuntzaren ebaluaziotik ateratako emaitza indibidualak eskatu ahal izango dituzte behar bezala justifikatutako kasuetan; adibidez ematen duten irakaskuntza hobetzeko xedearekin sail eta ikastegien ordezkaritzarako kide anitzeko organoek egindako eskariak direnean.
Eskatutako dokumentazioa bidaltzearekin batera gogoraraziko zaie jasotzen duten informazioa ez dela publikoa eta beraz informazio horren edukia isilpean gorde beharko dutela. Sekretua gordetzeko betebeharra betetzen ez duenak diziplinazko erantzukizunak izango ditu.
ERANSKINA
II.XVI.SZ. MATRIKULARAKO KLAUSULA-MOTA
Datu pertsonalak babestea: Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoaren 5. artikuluari jarraiki adierazten dizugu zure datuak UPV/EHUren fitxategian sartuko ditugula. Fitxategi horren helburuak zure unibertsitateko ikasketekin du zerikusia.
Datuak atzitu
zuzendu ezereztu edo datuen aurka egiteko eskubideak balia ditzakezu. Horretarako idazki bat igorri behar diozu UPV/EHUko DBLO segurtasun-arduradunari helbide honetara:UPV/EHU - Errektoregoa - Sarriena auzoa z.g. 48940 Leioa (Bizkaia). Idazkiari zure identitatea egiaztatzeko dokumentuaren kopia erantsi behar diozu.
* Nahi izanez gero unibertsitateko ikastegiek beste klausula batzuk ezarri ahalko dituzte hirugarrenei datuak uzteko ikasleen adostasuna lortzeko xedez datu-uzte horrek unibertsitatearen helburuekin zerikusirik duenean.
