Iragarkia

36. ALDIZKARIA - 2019ko otsailaren 21a

1. NAFARROAKO FORU KOMUNITATEA

1.7. BESTELAKOAK

162/2019 Ebazpena, 2019ko urtarrilaren 31koa, Nafarroako Unibertsitate Publikoko errektoreak emana. Haren bidez agintzen da argitaratzeko 2019ko urtarrilaren 31ko Gobernu Kontseiluak onetsi zuen “Erabakia, Nafarroako Unibertsitate Publikoak datuak babesteko duen politika onesten duena”.

2003ko maiatzaren 12ko 110/2003 Foru Dekretuak onetsitako Unibertsitateko Estatutuetako 40. artikuluak ematen dizkidan ahalmenak erabiliz, 2019ko urtarrilaren 31n Gobernu Kontseiluak hartu zuen erabakia argitaratzeko agintzen da. Erabaki horren bidez, Nafarroako Unibertsitate Publikoak datuak babesteko duen politika onetsi zen.

“GOBERNU KONTSEILUAREN ERABAKIA,
DATUAK BABESTEKO POLITIKA ONESTEN DUENA

Datuak Babesteko Erregelamendu Orokorra eta Datuak Babesteko Lege Organiko berria aplikatzean, entitate publikoak behartuta daude arreta handiz jokatzera. Ikerketan, kudeaketa akademikoan edo unibertsitate zabalpeneko eginkizunetan datuak tratatzeak dakartzan arriskuei aurre egin behar die Unibertsitateak.

Ondorioz, datuak babesteko politika bat onestea proposatzen da, Unibertsitateak datuak babesteko izango duen araudi berria betearazteko inplementatu behar dituen arautegiaren, jarraibideen eta jarduera administratiboaren oinarri gisa.

Errektoreak proposaturik, hona hemen Nafarroako Unibertsitate Publikoko Gobernu Kontseiluak 2019ko urtarrilaren 31ko bileran hartu duen

ERABAKIA:

Lehena.–NUPek datuak babesteko duen politika onestea (eranskinean ageri da).

Bigarrena.–Ebazpen hau Unibertsitatearen webgunean eta Nafarroako Aldizkari Ofizialean argitaratzeko agintzea.

Hirugarrena.–Erabaki honen aurka, zilegi da administrazioarekiko auzi-errekurtsoa jartzea Nafarroako Administrazioarekiko Auzietako Epaitegietan, bi hilabeteko epean, Erabakia Nafarroako Aldizkari Ofizialean argitaratu eta biharamunetik kontatzen hasita, Administrazioarekiko Auzien Jurisdikzioari buruzko 1998ko uztailaren 13ko 29/1998 Legearen xedapenetan ezarritakoarekin bat.”

Iruñean, 2019ko urtarrilaren 31n.–Errektorea, Alfonso Carsolena.

ERANSKINA

Nafarroako Unibertsitate Publikoak
datuak babesteko duen politika

Aitzinsolasa.

Datuak Babesteko Erregelamendu Orokorra eta Datuak Babesteko Lege Organiko berria aplikatzeko, entitate publikoek neurriak hartu behar dituzte arlo horretan. Datuak Babesteko NUPen Politikak finkatzen ditu datu pertsonalak babesteko Espainiako eta EBko araudia betetzearren Unibertsitateak ezarri behar dituen arauen oinarria, jarraibideak eta jarduera administratiboa.

Izan ere, Unibertsitateak aurre egin behar die ikerketan, kudeaketa akademikoan, administrazioan eta unibertsitate zabalpeneko beste zerbitzu batzuk ematean datu pertsonalak tratatzeak dakartzan arriskuei. Teknologiak eta sistema digitalak etengabe aurrera egiten dutenez, datuak babesteko politikak bat etorri behar du informazioaren segurtasunerako eta gardentasun administratiborako politikarekin eta gai horrekin lotura duten beste arlo batzuetakoarekin.

Unibertsitateak zeharkako ikuspegiarekin egin behar dio aurre erronka horri, hau da, Unibertsitateko komunitateko kide guztiak inplikatuz, bai eta, beharrezkoa den kasuetan, harekin harremanak dituzten subjektuak eta entitateak inplikatuz ere. Zeharkako ikuspegia izateko, eginkizunak ere esleitu behar dira, ezin baitzaio unitate edo eragile jakin bati bakarrik esleitu datuak babesteko zeregina.

Horregatik guztiagatik, Datuak Babesteko Politika hau onestea erabaki du Nafarroako Unibertsitate Publikoaren Gobernu Kontseiluak, beherago adierazten diren alderdien arabera.

1. Erreferentziazko arauak.

Nafarroako Unibertsitate Publikoak araudi hauetako aginduak bete behar ditu datu pertsonalak tratatzea eskatzen duten jardueretan (aurrerantzean, tratamendu jarduera): batetik, Europako Parlamentuaren eta Kontseiluaren 2016/679 Erregelamendua (EB), 2016ko apirilaren 27koa, Datu pertsonalen tratamenduaren eta datu horien zirkulazio askearen gaietan pertsona fisikoak babesteari buruzkoa (aurrerantzean, Datuak Babesteko Erregelamendu Orokorra); eta, bestetik, 3/2018 Lege Organikoa, 2018ko abenduaren 5ekoa, Datu Pertsonalak Babesteari eta eskubide digitalak bermatzeari buruzkoa (aurrerantzean, Datuak Babesteko Lege Organikoa).

2. Xedea eta irispidea.

Nafarroako Unibertsitate Publikoaren Datuak Babesteko Politika datu tratamendu guztietan aplikatu behar da, baldin eta tratamenduaren arduraduna, erantzunkidea edo eragilea NUP bada, dokumentu honetako definizioen arabera.

Horretaz gainera, datu pertsonalen babesean eragina duten jardueretan ere aplikatu behar da, baldin eta Unibertsitateak bultzatzen edo kudeatzen baditu edo erakunde gisa haietan parte hartzen badu langileen bidez edo hitzarmen, kontratu, mandatu edo bestelako lankidetzaren baten bidez.

3. Helburua.

Datuak babesteko indarrean diren arauak aplikatzea du helburu Nafarroako Unibertsitate Publikoaren Datuak Babesteko Politikak. Unibertsitateko komunitateko kide guztiek bete behar dute, bai eta Unibertsitatearekin harremana duten pertsona eta entitate guztiek ere.

4. Zeharkako ikuspegia eta Unibertsitateko komunitatearen konpromisoa.

Politika hau definitzen duen bereizgarria zeharkakotasuna da, Unibertsitateko instantzia guztietan eta unibertsitate zabalpeneko helburu guztietan islatzen baita.

Politika hau zeharkako ikuspegiaz aplikatzearren, eginkizunak esleitu behar zaizkie Unibertsitateko komunitateko kideei, eta datuak babesteko politika gauzatzeko zenbateko konpromisoa duten definitu. Hortaz, datuak babesteko araudia betetzeari dagokionez kideek zer eginkizun dituzten ere zehazten da hemen.

5. Tratamenduaren arduraduna eta eragilea.

Unibertsitateari eragiten dioten tratamenduen arduradun eta eragile izatea zer den Datuak Babesteko Erregelamendu Orokorrean eta Datuak Babesteko Lege Organikoan ezarritakoaren arabera definituko da.

Nafarroako Unibertsitate Publikoa izango da tratamenduen arduradun eta eragile -kasu bakoitzean zer dagokion-, nortasun juridiko propioa duen entitatea den aldetik.

6. Tratamenduaren arduraduna.

Nafarroako Unibertsitate Publikoa izango da tratamenduaren arduraduna, datu tratamenduek Unibertsitateak berak finkatzen dituen helburuak eta bitartekoak badituzte.

Nafarroako Unibertsitate Publikoa tratamenduaren erantzukide izan daiteke, baldin eta Unibertsitateak beste pertsona edo entitate batzuekin batera finkatzen baditu datu-tratamenduen helburuak eta bitartekoak.

7. Tratamenduaren eragilea.

Nafarroako Unibertsitate Publikoa tratamenduaren arduraduna denean, NUPen kontura datu pertsonalak tratatzen dituen pertsonari edo entitateari eman dakioke tratamenduaren eragile izaera.

Nafarroako Unibertsitate Publikoa ere izan daiteke tratamenduaren eragile, beste arduradun baten kontura datu pertsonalak tratatzen baditu.

Tratamenduaren eragile izaera idatziz jaso behar da tratamendua formalizatzen duten egintzetan edo tratamenduaren ondorio direnetan, eta Unibertsitateari eman behar zaio izaera hori edo behar den entitateari.

8. Datuen babeserako delegatua.

Datuen babeserako delegatua Nafarroako Unibertsitate Publikoaren lanpostuen zerrendan lanpostu hori betetzen duena izango da.

Datuak Babesteko Erregelamendu Orokorraren eta Datuak Babesteko Lege Organikoaren arabera bete behar dituenak dira datuen babeserako delegatuaren eginkizunak.

Datuen babeserako delegatua independentea da, eta lotura bakarra eta zuzenekoa Nafarroako Unibertsitate Publikoko errektorearekin du.

Hala ziurtatzen da delegatua independentea izango dela bere eginkizunak betetzean, eta, injerentziaren bat gertatuko balitz, hura dokumentatu eta errektoreari jakinarazi beharko lioke.

9. Gobernu Kontseiluaren eginkizunak.

1. Gobernu Kontseiluak onetsi eta berrikusi behar du Datuak Babesteko NUPek dituen Politika eta Araudia.

2. Aldian-aldian eman behar zaio informazioa Gobernu Kontseiluari Datuak Babesteko Politika eta Araudia aplikatzeari buruz, bai eta errektoreak agintzen badu edo datuen babeserako delegatuak eskatzen badu ere.

10. Errektorearen eginkizunak.

1. Datuak Babesteko Politika onets dezala proposatuko dio errektoreak Gobernu Kontseiluari.

2. Errektoreak du politika hau betearazteko ardura, eta datuen babeserako delegatuak aholku emango dio horretarako.

3. Politika betearazteko, errektoreak zilegi du gidalerroak, aginduak, jarraibideak eta errekerimenduak ematea, eta hartzaile jakin batzuei horien berri ematea edo Nafarroako Unibertsitate Publikoaren baliabide elektronikoetan argitaratzea.

11. Kudeatzailearen eginkizunak.

1. Kudeatzaileak du ardura, datuen babeserako delegatuak proposatuta, tratamendu jardueren erregistroa onesteko.

2. Datuak tratatzea eskatzen duten jarduerak egiteko jarraibideak ere eman behar ditu, datuak erregistratzeko eta artxibatzeko egin beharrekoak izan ezik, Idazkaritza Nagusiaren eskumena baita azken hori.

3. Kudeatzaile postua duen titularrak formalizatuko ditu erregistroa eta jarraibideak, horretarako ebazpenak emanez.

12. Idazkari nagusiaren eginkizunak.

1. Idazkari nagusiak proposatu behar du Datuak Babesteko Nafarroako Unibertsitate Publikoak duen Araudia, zeina datuen babeserako delegatuak prestatuko baitu lehenago.

2. Idazkari nagusiaren postua duen titularrak osatu egin behar du araudia, eta, horretarako, jarraibideak onetsi, araudia behar bezala inplementatzen dela eta interpretatzen dela ziurtatzeko. Jarraibideak ebazpen bidez formalizatuko dira.

3. Idazkari nagusiaren postua duen titularrak eman behar ditu jarraibideak ebazpen bidez, Unibertsitateak artxibatu eta erregistratu behar dituen jarduerak egiteko.

4. Idazkari nagusiaren postua duen titularrak klausula-ereduen gidak eta inprimaki-ereduen katalogoak onetsi behar ditu, datuen babeserako delegatuak proposatuta, unitate administratiboek eta haiei atxikitako langileek erabil ditzaten.

13. Informazioaren Segurtasunerako Politikarekin koordinatzea.

Informazioaren Segurtasunerako NUPek duen Politikarekin koordinatu behar da Datuak Babesteko Politika.

Datuen babeserako delegatua Informazioaren Segurtasunerako Batzordeko kide da, eta agindua eman zaio Datuak Babesteko Politika Informazioaren Segurtasunerako Politikarekin koordinatzeko.

14. Errektoreordeen eginkizunak.

1. Errektoreorde bakoitzak ziurtatu behar du bere ardurapeko errektoreordetzan Datuak Babesteko Politika eta Araudia betetzen direla, berak agindutakoaren arabera eta errektorearen gidalerroen eta idazkari nagusiaren eta kudeatzailearen jarraibideen arabera.

2. Errektoreordeek zilegi dute errektorearen, idazkari nagusiaren eta kudeatzailetzaren jardueren parte ematea eta jarduera jakin batzuk egiteko eskatzea.

3. Jarraibide sektorial eta zirkular osagarriak ere eman ditzakete, Errektoretzak, Idazkaritza Nagusiak eta Kudeatzailetzak aldez aurretik emandako jarraibideen arabera.

15. Unitate administratiboen eginkizunak.

1. Unitate administratibo bakoitzak Datuak Babesteko Politika eta Araudia aplikatu behar ditu bere arloan.

2. Unitateen titularrek unitateari atxikita dauden langileen jarduerak koordinatuko dituzte, aplikatu beharreko politikan eta araudian ezarritakoa bete dadin. Jarduerak koordinatu beharrak ez ditu langileak norberaren erantzukizunetik salbuetsiko.

3. Unitateek behar bezala identifikatu behar dituzte beren jardunean erabiltzen dituzten datu-tratamenduak eta haien ezaugarriak zehaztu.

4. Unitate bakoitzeko arduradunak eta langileek Unibertsitateak finkatutako klausulak, inprimakiak eta protokoloak erabili behar dituzte tratatu beharreko datuak babesteko.

16. Irakasle eta ikertzaileen betebeharrak eta administrazioko eta zerbitzuetako langileenak.

Unibertsitateko langile guztiek ezagutu behar dute Datuak Babesteko Politika eta Araudia, irakaslana, ikerlana eta administrazioko eta zerbitzuetako lanak egiten dituztenean araudian ezarritakoa bete dezaten. Langile gisa hirugarren batzuekin aritzen direnean ere bete behar dute hori.

17. Ikasleak.

Unibertsitateak ikasleak inplikatu behar ditu Datuak Babesteko Politika eta Araudia bete dezaten. Ikasleak inplikatzeko, ulertarazi behar zaie nolako balioa duten beren datu pertsonalek eta ez dituztela arriskuan jarri behar beren edo beste batzuen datuak.

18. Unibertsitateko gainerako kideak.

Ikaslea edo langilea izan gabe Unibertsitateko komunitateko kide direnek Datuak Babesteko Politika eta Araudia bete behar dute.

19. Hirugarrenak eta Unibertsitatearekin lotura duten entitateak.

Nafarroako Unibertsitate Publikoarekin jarduten duten pertsonek eta entitateek beren gain hartu behar dituzte Datuak Babesteko Politika eta Araudia. Erantzukizun hori beren gain hartu behar dutela jakinarazi behar die Unibertsitateak, hitzarmen, kontratu, mandatu eta deialdien baldintzetan idatziz jasoz edo bestelako kasuetan behar den bezala jakitera emanez.

Modu horretan lotesten den baldintzak zera adierazi behar du: nolako egoeran dagoen kontratu, hitzarmen edo mandatu bidez edo formalki identifika daitekeen beste harreman baten bidez Unibertsitatearekin lotura duen entitatea.

20. Datuak Babesteko Araudia.

Nafarroako Unibertsitate Publikoak datuak babesteari buruzko araudi propioa onetsi behar du, 9.1 puntuan ezarritakoarekin bat etorriz.

Datuak Babesteko Erregelamendu Orokorrean eta Datuak Babesteko Lege Organikoan ezarritako arauetara egokitu behar du horrek, bai eta gai horretan aplikatu beharreko gainerako legeetan ezarritakora ere.

Unean-unean indarrean den araudia aplikatuko du Unibertsitateak, legezkotasunaren, arau-hierarkiaren, publikotasunaren eta segurtasun juridikoaren printzipioen arabera.

21. Tratamendu jardueren erregistroa.

Tratamendu jardueren erregistroa kudeatzailearen ebazpen baten bidez onetsi behar da, datuen babeserako delegatuak proposatuta.

Erregistroak legezko balioa du, eta datuak tratatzeko eta haien segimendua egiteko tresna ere izango da. Unibertsitateak kudeatzen dituen tratamendu jardueren nolabaiteko mapa izango da.

Tratamendu jardueren erregistroa prestatzeko, tratamendu jarduerak lokalizatu eta identifikatu behar ditu datuen babeserako delegatuak. Horretarako, datuak tratatzen dituzten langileek nahitaez lagundu behar diote datuen babeserako delegatuari, fitxategiak, artxiboak, erregistroak edo bestelako tratamenduak hari erakutsiz edo horiei buruzko informazioa emanez.

Langileren batek laguntza emateari uko egingo balio edo laguntza ematea eragotziko balu, datuen babeserako delegatuak dokumentatu egin beharko luke, eta, gero, errektoreari, kudeatzaileari edo idazkari nagusiari jakitera eman. Halakorik gertatuz gero, langilea betebeharrak betetzera behartuko dute instantzia horiek, eta egoera zuzentzeko beharrezko neurriak ere hartzen ahalko dituzte.

22. Tratamendu jarduerak arautzea.

Tratamendu jardueren erregistroa aurretiazko euskarria izango da datuak nola tratatu behar diren arautzeko. Izan ere, erregistroa izango da oinarria lehenagoko tratamenduen arauketa eguneratzeko eta sortzen diren jardueren tratamendua arautzeko.

Tratamendu jarduera bakoitzari dagozkion arau zehatzak kudeatzaileak finkatuko ditu ebazpen bidez, haien erregistratzea eta artxibatzea izan ezik, azken horiek idazkari nagusiak arautuko baititu ebazpen bidez.

Ebazpenek arauak ezarri behar dituzte, eta haiek jendaurrean jarri behar dira eta jakitera eman, bai eta kontrolerako agintaritzaren erregistroan haien inskripzioa egin ere, hau da, Datuak Babesteko Espainiako Agentziaren erregistroan. Indarrean den araudiak eskatzen duenaren arabera beteko dira betebehar horiek.

Tratamendu jardueren erregistroan finkatutakoa baino xehetasun gehiagorekin deskribatuko dute ebazpenetako arauek tratamendu bakoitza, eta datuak tratatzeko segitu beharreko protokoloak eta hartu beharreko neurriak finkatuko dituzte.

Tratamendu bakoitza arautzeko, tratamendu jardueren erregistroan lehenago egindakoa baino azterketa sakonagoa egin beharko zaio. Politika honetako 20. artikuluko 3. eta 4. apartatuetan adierazten den laguntzeko betebehar bera eskatzen da tratamenduak aztertzeko ere.

23. Tratamendu jarduera berriak onestea.

Tratamendu jardueren erregistroan hasierako onespena eman ondoren sortzen diren tratamendu jarduera berriak onetsi eta arautu egin behar dira.

Jarduera horiek tratamendu jardueren erregistroan sartu behar dira onetsi eta arautu ondoren, eta erregistroa berrikusi egingo da orduan. Tratamendu jarduera berriak onetsi ondoren erregistroan sartuz berrikusiko da aldian behin erregistroa.

Horretaz gainera, tratamendu jarduera berriak onesteko prozedura nola arautuko den proposatu behar da. Subjektu edo unitateren batek tratamendu jarduera berriak onesteko proposamena egiten badu, tratatu beharreko datuen iturria zehaztu behar du, eta neurri tekniko egokiak proposatu, batez ere datuak anonimo bihurtzeko eta identifikatzeko moduko pertsonengandik bereizteko.

Tratamendu jarduerek jende askori eragiten diotela-eta alderdi teknikoen inguruko erabakiak hartu behar badira (datuak anonimo bihurtzea, identifikatzeko moduko pertsonengandik bereiztea, zenbateraino zehaztu behar diren eta abar), Informazioaren Segurtasunerako Batzordeak onetsi beharko ditu aldez aurretik.

Tratamenduek Unibertsitateko komunitateko kide gehienei eragiten badiete eta asmorik ez badago horietako bakoitzari onespena eskatzeko, Unibertsitateko Gobernu Kontseiluak onetsi beharko ditu, eta jendaurrean jartzeko tramitea egin.

24. Arriskuen analisia.

Datuak babesteko gaiek dituzten arriskuen analisia egin behar du bere aldetik datuen babeserako delegatuak, Informazioaren Segurtasunerako Batzordeak egiten duenaz aparte. Analisi horren bidez, datu-tratamenduek eragindakoen eskubideetan nolako eragina duten ebaluatu behar du.

Analisia egiteko, jakin behar du zer tratamendu ebaluatu behar dituen, eta, horretarako, tratamendu jardueren erregistroa izan behar du, eta Unibertsitatean egiten diren jardueren nolabaiteko antolaketa ere bai. Gainera, Unibertsitatearen araudi sektorialarekin eta sektore bakoitzaren prozedurekin lotu behar dira jarduerak, identifikatzeko moduko araudiak eta prozedurak aldez aurretik aztertu ondoren.

Tratamendu jarduerak eta haiei dagozkien arauak eta prozedurak ere sartuko dira arriskuen analisian, artikulu honetako 1. apartatuarekin bat etorriz.

Arriskuen analisia egitean, arauak interpretatzeko eta prozedurak aplikatzeko jarraibideak sortu behar dira, bai eta arauak eta prozedurak aldatzeko gomendioak ere.

Tartean diren instantzia guztiek lagundu behar dute tratamendu jarduerak ezagutarazten eta prozedurak behar bezala identifikatzen. Bestela, zaildu egingo litzateke arriskuen analisia, edo baita eragotzi ere.

25. Klausulak eta inprimakiak.

25.1. Datuak babesteko klausula eta inprimaki eguneratuak izan behar ditu Unibertsitateak.

Unitateek, berriz, dokumentu honen 12.4 artikuluan deskribatutako gidan eta katalogoan ezarritako erreferentziak. Erreferentziak ez dira zehatz-zehatzak, eta, beraz, behar diren klausulak eta inprimakiak baliatu behar dira une oro.

Klausulak eta inprimakiak baliatuz gero, deialdietan, ebazpenetan, kontratu-baldintzetan eta bestelako dokumentu administratiboetan sartu behar dira. Hitzarmenetan eta subjektu anitzen arteko beste dokumentuetan ere txertatu behar dira, bai eta hirugarrenen dokumentuetan ere baldin eta haien jarduerak eragina badu Unibertsitateak tratatutako datuetan.

26. Webgunea.

Politika honen muinak argitaratua egon behar du Unibertsitatearen webgunean, bai eta tratamenduen helburuari buruzko erreferentzia orokorrek ere, eta argi adierazi behar da tratamenduak eragindakoek nola erabil ditzaketen beren eskubideak.

Datuen babeserako delegatua azalduko da webgunean, datuak babesteko gaietarako harremanetarako pertsona gisa.

Datuak babesteko gaiei buruzko informazioa argitaratuko du Unibertsitateak webgunean, eta hala esku-eskura jarriko du Datuak Babesteko Politika eta Araudia.

Webgunean, erabiltzaileei jakitera eman behar zaie balitekeela erabiltzen dituzten sistemak monitorizatzea edo beren datuak noizbait erabiltzea, eta, beraz, zilegi dutela datu pertsonalak babesteko dituzten eskubideak erabiltzea.

27. Unibertsitate zabalpena.

Jarduerak tratatu beharra justifikatzen duten helburuak unibertsitate zabalpeneko arloei dagozkie. Arlo bakoitzeko araudia da tratamendu bakoitzaren oinarri juridikoa.

Lehen xedapen gehigarria.–Erreferentziak generoari dagokionez.

Hemen aipatzen diren erreferentziek ez dute generorik bereizten, horretarako arrazoirik ez badago.

Bigarren xedapen gehigarria.–Politika honen izaera.

Politika honetako aginduak nahitaez bete behar dira, emaitza- edo portaera-betebeharrak ezartzen badituzte. Subsidiarioki, programatikoa izango da.

Hirugarren xedapen gehigarria.–Osasun ikasketetako graduak.

Osasunari buruzko datuen tratamenduak behar bezala babesteko beharrezko ahalegina egin behar dute Unibertsitateko komunitateko kide guztiek.

Laugarren xedapen gehigarria.–Indarra hartzea.

Nafarroako Aldizkari Ofizialean argitaratzen den egunean hartuko du indarra Datuak Babesteko Politika honek.

Iragarkiaren kodea: F1902008