61. ALDIZKARIA - 2019ko martxoaren 29a

1. NAFARROAKO FORU KOMUNITATEA

1.1. XEDAPEN OROKORRAK

1.1.2. Foru Dekretuak

20/2019 FORU DEKRETUA, martxoaren 6koa, Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen datu-babeseko eta informazioaren segurtasuneko politika onesten duena.

HITZAURREA

Europako Parlamentuaren eta Kontseiluaren 2016ko apirilaren 27ko 2016/679 (EE) Erregelamenduaren bidez, pertsona fisikoen babesa arautu zen datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez, eta, halaber, 95/46/EE Zuzentaraua (Datuak Babesteko Erregelamendu Orokorra; hemendik aurrera, DBEO) indarrik gabe utzi zen. Aipatutako erregelamendu hori osorik aplikatu behar da 2018ko maiatzaren 25etik aurrera. Erregelamendu horrek 24. artikuluan, datu pertsonalen tratamenduaren erantzulearen betebehar orokorren artean, honako hau ezartzen du: “Tratamenduaren nolakotasuna, eremua, testuingurua eta helburuak kontuan hartuta, bai eta pertsona fisikoen eskubide eta askatasunetarako dauden askotariko probabilitate eta larritasun-mailako arriskuak ere, tratamenduaren arduradunak arrazoizko neurri tekniko eta antolakuntzakoak hartuko ditu, tratamendua erregelamendu honekin bat datorrela bermatzeko eta frogatu ahal izateko”. Halaber, hauxe xedatzen du: “Neurriok beharrezkoa denean berrikusi eta eguneratuko dira. Aurreko neurriak tratamenduaren jardueren araberakoak direnean, haien artean sartuko da tratamenduaren arduradunak datuak babesteko politika egokiak aplikatzea”.

Alde horretatik, Datu Pertsonalak Babesteko eta Eskubide Digitalak Bermatzeko abenduaren 5eko 3/2018 Lege Organikoaren (hemendik aurrera, DPBEDBLO) 28. artikuluak, tratamenduaren erantzulearen eta arduradunaren betebehar orokorrei buruzkoak, ezartzen du, DBEOren 24. eta 25. artikuluetan aipatutako elementuak kontuan hartuta, erantzule eta arduradun horiek arrazoizko neurri tekniko eta antolakuntzakoak hartuko dituztela, tratamendua erregelamendu horrekin, DPBEDBLOrekin, hura garatzeko arauekin eta aplikatu beharreko sektoreko legeriarekin bat datorrela bermatzeko eta frogatu ahal izateko.

Horrez gain, Administrazio Publikoen Administrazio Prozedura Erkideari buruzko urriaren 1eko 39/2015 Legearen 13. artikuluak, pertsonek administrazio publikoekiko harremanetan dituzten eskubideei buruzkoak, honako eskubide hau jasotzen du berariaz: “Datu pertsonalak babestea, eta bereziki administrazio publikoen fitxategi, sistema eta aplikazioetan jasota dauden datuen segurtasuna eta konfidentzialtasuna izatea”.

Sektore Publikoaren Araubide Juridikoari buruzko urriaren 1eko 40/2015 Legeak ezartzen du administrazio publikoen harremanak baliabide elektronikoen bidez garatuko direla, bai haien artean bai haien organo, erakunde publiko eta haiei loturik edo haien mendean dauden entitateekin. Baliabide horiek aukeratzen diren sistema eta soluzioen elkarreragingarritasuna eta segurtasuna ziurtatu behar dituzte, datu pertsonalen babesa bermatuko dute, eta, ahal dela, interesdunei zerbitzuak batera egiten lagunduko diete. Alde horretatik, urriaren 1eko 40/2015 Legearen 156. artikuluak xedatzen du Segurtasunaren.

Eskema Nazionalaren xedea dela segurtasun-politika ezartzea sektore publikoaren eremuan baliabide elektronikoak erabiltzean, eta tratatutako informazioaren segurtasuna behar bezala bermatzen duten oinarrizko printzipioek eta gutxieneko betekizunek osatzen dutela eskema hori.

Administrazio elektronikoaren eremuan Segurtasunaren Eskema Nazionala (hemendik aurrera, SEN) arautzen duen urtarrilaren 8ko 3/2010 Errege Dekretuaren xedea da informazioaren segurtasun-politika zehaztea administrazio publikoek eta herritarrek administrazio publiko horiekiko harremanetan eta administrazio publikoek beren artean dituzten harremanetan baliabide elektronikoak erabiltzean.

Urtarrilaren 8ko 3/2010 Errege Dekretuaren 11. artikuluak eskatzen du administrazio publikoetako organo goren guztiek beren segurtasun-politika izatea formalki; politika hori dagokion organo goreneko titularrak onetsiko du. Segurtasun-politika hori arauaren beraren II. kapituluan jasotzen diren oinarrizko printzipioetan oinarrituta ezarriko da (segurtasun integrala, arriskuen kudeaketa, prebentzioa, erreakzioa eta berreskuratzea, defentsa-lerroak, aldizkako berrebaluazioa eta funtzio bereizia), eta 11.1 artikuluan aipatutako gutxieneko betekizunak aplikatuz garatuko da.

Aldi berean, 2018ko maiatzaren 25etik aurrera DBEO osorik aplikatzeko, Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek datu-babeseko politika bat hartu behar dute, gauzatzen dituzten tratamenduak erregelamendu horrekin bat datozela bermatzeko eta frogatu ahal izateko.

Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen lege betebeharren artean dagoenez informazioaren segurtasun-politika bat eta datu-babeseko beste bat onestea, komenigarritzat jotzen da datu-babeseko eta informazioaren segurtasuneko baterako politika bat hartzea, bi gaien artean lotura estua baitago. Baterako politika horrek datu-babesari eta informazioaren segurtasunari buruzko erantzukizunak eta eginkizunak biltzea eta argi zehaztea ahalbidetu behar du, bi gaien eta horietako bakoitzaren berezko kontuei heldu ahal izateko. Aplikagarria izan behar du Nafarroako Foru Komunitateko Administrazioa eta haren erakunde publikoak osatzen dituzten informazio-sistema eta unitate guztietarako, baita Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen ardurapean dagoen informaziorako irispidea duten langile guztientzat ere, kontuan hartu gabe zein den haien destinoa, lan-egoera edo informaziorako irispidea ematen dien harremana. Erreferentzia-esparru orokorra denez, berariazko politika batzuek osatzen ahalko dute, Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen berezko izaera eta ezaugarriak jasotzen dituztenek, hain zuzen.

Hortaz, datu-babeseko eta informazioaren segurtasuneko politika oinarrizko dokumentua da, zeinaren bidez datu-babesa eta informazioaren segurtasuna kudeatzea ahalbidetzen duen erreferentzia-eremua zehazten baita Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek datu pertsonalak tratatzeko gauzatzen dituzten jardueren eta informazio-sistemen testuinguruan. Esparru orokor horretan, politika hori zehaztu, ezarri eta kudeatzeko behar diren erantzukizunak eta eginkizunak mugatzen dira; eginkizun horiek lehendik dagoen egitura organikoan txertatuko dira. Datu-babesak eta informazioaren segurtasunak zuzendaritza-maila guztien konpromisoa eta laguntza izan behar dituzte, halako moduan non koordinatuta eta integratuta egoten ahalko diren Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen gainerako ekimen estrategikoekin, osotasun koherente eta eraginkorra eratze aldera.

Horrenbestez, Lehendakaritzako, Funtzio Publikoko, Barneko eta Justiziako kontseilariak proposaturik, eta Nafarroako Gobernuak 2019ko martxoaren 6ko bilkuran hartutako Erabakiarekin bat,

DEKRETATU DUT:

1. artikulua. Xedea eta aplikazio-eremua.

1. Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen datu-babeseko eta informazioaren segurtasuneko politika (DBISP) arrazoizko neurri tekniko eta antolakuntzakoen multzoa da, datu pertsonalen tratamenduari aplikatu beharreko araudia betetzen dela bermatzen duena. Halaber, barnean hartzen ditu oinarrizko printzipioak eta gutxieneko betekizunak, Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen eremuan kudeatzen den informazioa behar bezala babestea ahalbidetzen dutenak.

2. Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen ardurapean dauden informazio-sistema guztiei eta datu pertsonalak tratatzeko jarduera guztiei aplikatuko zaie DBISP.

3. DBISP derrigor bete beharko dute Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen egitura osatzen duten unitate guztiek, baita haien ardurapean dagoen informaziorako irispidea duten langile guztiek ere, kontuan hartu gabe zein den haien destinoa, lan-egoera edo informaziorako irispidea ematen dien harremana.

4. DBEOren eta SENen aplikazio-eremuan, Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek beren eskumenak gauzatzean edozein baliabideren bidez kudeatzen duten informazioa ukituko du DBISPk, informazioa tratatzeko euskarria edozein dela ere.

2. artikulua. Datu-babesari eta informazioaren segurtasunari buruzko printzipioak.

Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek datu-babesari eta informazioaren segurtasunari buruzko printzipio hauen arabera tratatuko dituzte informazioa eta datu pertsonalak:

1) Zilegitasuna, leialtasuna eta gardentasuna: datu pertsonalak zilegitasunez, leialtasunez eta gardentasunez tratatuko dira, interesdunari dagokionez.

2) Datu pertsonalen tratamenduaren legitimazioa: datu pertsonalak bakarrik tratatuko dira, DBEOren 6. eta 9. artikuluetan ezarritako legitimazio arrazoiren batek babesten badu tratamendu hori.

3) Xedearen mugapena: datu pertsonalak helburu zehatz, berariazko eta bidezkoetarako tratatuko dira, eta ez dira gero tratatuko helburu horiekin bateraezinak diren xedeetarako.

4) Datuen minimizazioa: datu pertsonalen tratamendua zertarako den, xede horiekin bat heldu diren datu egoki, bidezko eta beharrezkoak baizik ez dira izanen.

5) Zehaztasuna: datu pertsonalak zehatzak izanen dira, eta, beharrezkoa bada, eguneratuak. Arrazoizko neurri guztiak hartuko dira, datu pertsonalak tratatzeko xedeei dagokienez zehaztugabeak direnak luzatu gabe ezabatu edo zuzendu daitezen.

6) Gordetzeko epe mugatua: datu pertsonalak tratamendua justifikatzen duten helburuetarako beharrezkoa den denboran baizik ez dira gordeko, interesdunen identifikazioa posible izateko maneran.

7) Osotasuna eta konfidentzialtasuna: datu pertsonalak halako moduan tratatuko dira, non haien segurtasuna bermatuko baita, honako hauek barnean hartuta: baimenik gabeko edo legez kontrako tratamenduaren aurkako babesa eta datuok ustekabean galdu, suntsitu edo kaltetzearen aurkako babesa, horretarako antolakuntzako neurri edo neurri tekniko egokiak erabiliz. Datuen tratamenduan esku hartzen dutenek sekretu-eginbeharra izanen dute, esku-hartzea justifikatzen zuen harremana amaituta ere.

8) Ardura proaktiboa: Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek aurretik aipatu diren printzipioak betetzeko ardura izanen dute, eta horiek betetzen direla frogatzeko aukera ematen dieten neurri teknikoak eta antolakuntzakoak hartuko dituzte.

9) Ukitutako pertsonen eskubideei erantzutea: antolakuntzako neurri batzuk hartuko dira, ukitutako pertsonek, bidezko denean, beren datu pertsonalak eskuratu, zuzendu, ezabatu eta eramateko, eta datuak tratatzeari mugak jartzeko edo aurka egiteko eskubideak behar bezala egikaritzen dituztela bermatzen dutenak.

10) Irismen estrategikoa: datu-babesak eta informazioaren segurtasunak zuzendaritza-maila guztien konpromisoa eta laguntza izan behar dituzte, halako moduan non koordinatuta eta integratuta egoten ahalko diren Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen gainerako ekimen estrategikoekin, osotasun koherente eta eraginkorra eratze aldera.

11) Erantzukizun bereizia: Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen ardurapeko informazio-sistemetan, erantzukizun bereiziaren printzipioa beteko da, halako moduan non erantzukizun eta eginkizun guztiak mugatuko baitira:

a) Tratamenduaren erantzulea: tratamenduaren xedeak eta baliabideak zehazten dituen pertsona.

b) Tratamenduaren arduraduna: tratamenduaren erantzulearen kontura eta haren errekerimenduei jarraikiz datu pertsonalak tratatzen dituen pertsona.

c) Datu-babesaren ordezkaria: tratamenduaren erantzuleari DBEO betetzeko betebeharrei buruzko informazioa eta aholkularitza ematen diona.

d) Informazioaren erantzulea: tratatutako informazioaren segurtasuneko betebeharrak zehazten dituen pertsona.

e) Zerbitzuaren erantzulea: informaziotik aurrera ematen diren zerbitzuen betebehar funtzionalak eta segurtasunekoak zehazten dituen pertsona.

f) Informazioaren segurtasunaren erantzulea: segurtasuneko betebeharrak betetzeko erabakiak zehazten dituen pertsona.

g) Sistemaren erantzulea: zerbitzuak emateko erabiltzen diren informazio-sistemen betebehar ez-funtzionalen eta diseinu, eraikuntza, eragiketa eta euskarri betebeharren gaineko erantzukizuna duen pertsona.

12) Segurtasun integrala: segurtasunak informazioaren konfidentzialtasuna, osotasuna eta eskuragarritasuna babestera joko du, eta, horrez gain, beste ezaugarri batzuez ere arduratu behar du, adibidez, benetakotasuna, erantzukizuna, fidagarritasuna eta nahitaezko onarpena. Segurtasuna prozesu integrala da, sistemari lotutako giza baliabide eta elementu tekniko, material eta antolakuntzako guztiek osatzen dutena; beharrezko edo premiazko kasuetan izan ezik, edozein jarduketa zehatz edo egoeraren araberako edozein tratamendu saihestuko da.

13) Arriskuen kudeaketa: arriskuaren kudeaketa jarduera koordinatu batzuen multzoa da; jarduera horiek garatzen dira arriskuak eta aktibo baten gaineko eragina edo ondorioak identifikatzeko, mehatxu bat gauzatu, eta datuen edo informazioaren tratamendua uki dezakeenean sisteman ahultasun edo hauskortasun bat egoteagatik datuen babesaren arloan edo informazioaren kudeaketaren arloan. Arriskuen analisia eta kudeaketa datu-babeseko eta informazioaren segurtasuneko prozesuaren funtsezko zati bat dira, eta ingurune kontrolatu bati eustea ahalbidetzen dute, arriskuak minimizatzen baitituzte maila onargarriak lortu arte. Maila horiek minimizatzeko, antolakuntzako segurtasun-neurriak hedatuko dira, baita segurtasun-neurri teknikoak ere, eta, horrela, oreka ezarriko da datuen izaeraren, datu horiek ukitzen dituzten arriskuen tratamenduen, eraginaren eta probabilitatearen, eta segurtasun-neurrien eraginkortasunaren eta kostuaren artean. Arriskua ebaluatzean, Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek kontuan hartuko dituzte pertsonen eskubideei begira dauden arriskuak, haien datu pertsonalen tratamenduari dagokionez.

14) Proportzionaltasuna: Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek babes, atzemate eta berreskuratze neurriak ezarriko dituzte, balizko arriskuekin eta informazioaren, datu pertsonalen tratamenduen eta ukitutako zerbitzuen kritikotasunaren eta balioarekin proportzionalak direnak.

15) Egiaztapen-prozesua: Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek neurri teknikoen eta antolakuntzakoen eraginkortasuna egiaztatu, ebaluatu eta baloratzeko prozesu erregular bat ezarriko dute tratamenduen segurtasuna bermatzearren.

16) Datu-babesa eta “diseinutik abiatutako segurtasuna”: Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek diseinutik abiatutako datu-babesaren printzipioa ezartzea sustatuko dute, DBEOn zehaztutako betekizunak betetzeko eta interesdunen eskubideak bermatzeko asmoz. Gauzak horrela, datu-babesa proiektu bat sortzeko lehen faseetatik agertuko da. Halaber, informazioaren segurtasuna informazio-sistemen hasierako diseinutik beretik aplikatuko da.

17) Datu-babes lehenetsia: Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek sustatuko dute datu-babes lehenetsia bermatzeko moduan diseinatu eta konfiguratzen direla beren titulartasuneko informazio-sistemak, batez ere datuen eta informaziorako irispidearen minimizazioari dagokionez.

18) Informazio-aktiboak tratatzeko eta kudeatzeko jardueren erregistroa: tratatzeko jardueren erregistroa eginen da hurrengo artikuluan ezarri bezala, eta horren inbentarioa jendaurrean jarriko da Gobernu Irekiaren Atarian. Era berean, informazio-aktiboak inbentariatu eta kategorizatuko dira, eta erantzule bati lotuko zaizkio.

19) Pertsonei lotutako segurtasuna: mekanismo batzuk ezarriko dira, informazio-aktiboak eta datu pertsonalak atzitzen dituen edo atzi ditzakeen edonork jakin dezan zer erantzukizun duen, horrela aktibo horiek behar ez bezala erabiltzetik datorren arriskua murrizteko.

20) Segurtasun fisikoa: informazio-aktiboak eremu seguruetan egonen dira, haien kritikotasun-mailarako egokiak diren sarbide fisikoaren kontrolek babestuko baitituzte horiek. Eremu horietan dauden informazio-sistemak eta -aktiboak behar bezala babestuta egonen dira mehatxu fisikoen edo ingurumen arlokoen aurrean.

21) Komunikazioen eta eragiketen kudeaketako segurtasuna: behar diren prozedurak ezarriko dira informazioaren eta komunikazioaren teknologien segurtasuna, eragiketak eta eguneratzea behar bezala kudeatzen direla lortzeko. Komunikazio-sareen bidez helarazten den informazioa behar bezala babestu beharko da haren segurtasuna bermatzen duten mekanismoen bidez, informazioaren sentikortasun- eta kritikotasun-mailak kontuan hartuta.

Sistemak perimetroa babestu behar du, bereziki sare publikoetara konektatuz gero. Nolanahi ere, analizatuko dira sareen bidez sistema beste sistema batzuetara konektatzetik datozen arriskuak, eta haien lotura-puntua kontrolatuko da.

22) Sarbide-kontrola: erabiltzaileek informazio-aktiboak, prozesuak eta beste informazio-sistema batzuk atzitzeko duten aukera mugatuko da aktibo bakoitzaren kritikotasunarekin bat datozen identifikazio, autentifikazio eta baimen mekanismoak ezarriz. Gainera, sistemaren erabilera erregistratuta geratuko da, sarbidearen trazabilitatea bermatzeko eta erabilera egokia ikuskatzeko, erakundearen jardueraren arabera.

Informazioa zuzentzeko edo, hala bada, erantzukizunak exijitzeko, sistemaren informazioa atzitzen duen pertsona bakoitzak modu bakarrean identifikatuta egon beharko du, halako moduan non uneoro ezaguna izanen baita nork jasotzen dituen datuetan sartzeko eskubideak, zer motatakoak diren horiek, eta nork egin duen jarduera zehatz bat.

Delitu-jardueren zantzuak edo Nafarroako Foru Komunitateko Administrazioak edo haren erakunde publikoek tratatzen duten informazioaren segurtasuna arriskuan jartzen dutenak badaude, horien berri eman beharko zaio agintaritza eskudunari, horiek jazar ditzan.

23) Informazio-sistemen erosketa, garapena eta mantentze-lanak: informazioaren segurtasunaren alderdiak jasoko dira informazio-sistemen bizi-zikloaren fase guztietan, eta informazio-sistemen segurtasun lehenetsia bermatuko da.

24) Segurtasun-gorabeheren kudeaketa: segurtasun-gorabeherak behar bezala identifikatu, erregistratu, konpondu eta jakinarazteko mekanismo egokiak jarriko dira, datu-babesari eta informazioaren segurtasunari buruzko araudian ezarri bezala.

25) Jarraitutasunaren kudeaketa: informazio-sistemen erabilgarritasuna bermatzeko eta haien negozio-prozesuen jarraitutasunari eusteko egokiak diren mekanismoak jarriko dira, Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen zerbitzu-mailaren beharren araberakoak.

26) Betetze-maila: informazioaren segurtasunari eta datu pertsonalen babesari buruzko indarreko legezko araudia betetzeko behar diren neurri teknikoak, antolakuntzakoak eta prozedurakoak hartuko dira.

27) Profesionaltasuna: langile kualifikatu, arduratsu eta heziek zaindu, berrikusi eta ikuskatuko dute sistemen segurtasuna haien bizi-zikloaren fase guztietan: instalazioa, mantentze-lanak, gorabeheren kudeaketa eta desegitea. Administrazio publikoetako langileek berariazko prestakuntza jasoko dute, Administrazioaren sistema eta zerbitzuei aplikatu beharreko informazioaren teknologien segurtasuna bermatzeko behar dena. Administrazio publikoek eskatuko dute segurtasun-zerbitzuak ematen dizkieten erakundeek langile kualifikatuak izatea, eta emandako zerbitzuen kudeaketa eta heltze maila egokiak ere bai.

28) Informazio-sistemen erabilera: Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde autonomoen zerbitzuko langileei dagokienez, sistema informatikoen eta komunikazioen administrazio unitateek edo zerbitzuen hornitzaileek zuzenean eman eta instalatuko dituzte erabili beharreko baliabide eta ekipamendu informatikoak, ezartzen den zerbitzu akordioaren zati baita, eta horretaz arduratzen diren unitate teknikoek jakin eta baimendu beharko dute. Baliabide eta ekipamendu informatiko horien erabilera bakarra lanpostuaren berezko eginkizunak behar bezala gauzatzea izanen da, eta debekatuta egonen da horiek edonola eta baimenik gabe aldatzea.

3. artikulua. Tratatzeko jardueren erregistroa.

Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek eguneratua izanen dute haien ardurapean dauden datu pertsonalak tratatzeko jardueren erregistroa, eta bertan DBEOren 30. artikuluak aipatzen duen informazio osoa bilduko da.

Tratatzeko jardueren erregistroa etengabe eguneratuko da, eta haren inbentarioa Gobernu Irekiaren Atarian kontsultatzen ahalko da.

4. artikulua. Arriskuen analisia, datu-babesaren gaineko eraginaren ebaluazioa eta informazioaren segurtasuneko arriskuen kudeaketa.

1. Informazioak datu pertsonalak baditu, arriskuen analisi bat eginen da aldizka, legez ezarritako epeetan, hain zuzen; analisi horrek arriskuak identifikatzea eta kudeatzea ahalbidetuko du onargarritzat jo daitezkeen mailetaraino minimizatzeko. Ebaluazio horrek analisi bat hartuko du barnean, zeinak zehaztuko baitu zer arrisku dauden pertsona fisikoen eskubide eta askatasunetarako –Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek datu pertsonalak tratatzeko egiten dituzten jarduerei dagokienez–, baita tratatzeko jarduera horiei euskarria ematen dioten informazio-sistemetarako ere.

Halaber, Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek ebaluazio bat gauzatuko dute, jakiteko zer ondorio duten tratatzeko jarduerek datu pertsonalen babesean, egindako analisiaren arabera gerta badaiteke tratamenduak arrisku handia ekartzea pertsonen eskubide eta askatasunetarako, DBEOren 35. artikuluan aurreikusitakoarekin bat.

2. Informazioaren segurtasuneko arriskuen kudeaketa etengabe eginen da informazio-sistemaren gainean, arriskuetan eta aldizkako berrebaluazioan oinarritzen den segurtasunaren kudeaketaren printzipioekin bat.

Informazioaren segurtasunaren erantzulea arduratzen da oinarrizko gidalerroen esparru bat gomendatzeaz; gidalerro horiek arriskuak baloratzeko jarraitu behar diren irizpideak bateratuko dituzte.

Tratamenduaren erantzulea eta informazioaren erantzulea tratamenduen eta informazioaren gaineko arriskuen jabeak dira, hurrenez hurren, eta horien guztien jarraipenaz eta kontrolaz arduratzen dira, ezertan eragotzi gabe zeregin hori eskuordetzeko aukera.

5. artikulua. Datu pertsonalen segurtasun urratzeen eta informazioaren segurtasun-gorabeheren jakinarazpena.

Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek beharrezkoak diren neurriak hartuko dituzte bermatze aldera datu pertsonalen arloan dauden segurtasun urratzeak informazioaren segurtasunaren erantzuleak ezarritako prozeduraren bidez jakinarazten direla.

6. artikulua. Berrikuspena eta ikuskapena.

Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek ikuskapen bat gauzatuko dute aldizka, legez ezarritako epeetan, hain zuzen, neurri teknikoak eta antolakuntzakoak tratamenduen eta informazio-sistemen segurtasuna bermatzeko eraginkorrak ote diren egiaztatu, ebaluatu eta baloratzeko.

Nolanahi ere, berariazko eta ohiz kanpoko ikuskapena eginen da informazio-sistema nabarmen aldatzen bada eta aldaketa horrek eragina izan badezake ezarririko segurtasun-neurriak betetzerakoan.

Informazioaren segurtasunaren erantzuleak eta datu-babesaren ordezkariak gainbegiratuko dituzte ikuskapen horiek.

7. artikulua. Antolaketa egitura.

Honako agente hauek osatzen dute Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen datu-babeseko eta informazioaren segurtasuneko politikaren eremuan informazioaren segurtasuna kudeatzeko antolaketa egitura:

1. Tratamenduaren erantzulea.

2. Informazioaren erantzulea.

3. Zerbitzuaren erantzulea.

4. Informazioaren segurtasunaren erantzulea.

5. Sistemaren erantzulea.

6. Datu-babesaren ordezkaria.

7. Datuen Babeseko eta Informazioaren Segurtasuneko Batzordea.

8. artikulua. Tratamenduaren erantzulea eta informazioaren erantzulea.

1. Nafarroako Gobernuko departamentu bakoitzeko kontseilariari edo erakunde publiko bakoitzeko kudeatzaileari dagokio tratamenduaren erantzulea izatea, DBEOren 4.7 artikuluan ezarri bezala.

2. Halaber, Nafarroako Gobernuko departamentu bakoitzeko kontseilariari edo erakunde publiko bakoitzeko kudeatzaileari dagokio informazioaren erantzulea izatea. Hau da, Nafarroako Foru Komunitateko Administrazioan eta haren erakunde publikoetan, pertsona berak gauzatuko ditu tratamenduaren erantzulearen eta informazioaren erantzulearen eginkizunak.

Departamentu bakoitzeko kontseilariari edo erakunde publiko bakoitzeko kudeatzaileari dagokio bere unitateko datu-babeseko eta informazioaren segurtasuneko berariazko politika bat garatu eta onestea, egun dagoenaren osagarri dena, beharrezkotzat jotzen badu.

3. Honako hauek dira tratamenduaren erantzulearen eta informazioaren erantzulearen eginkizunak:

a) Tratamenduaren xedeak eta baliabideak zehaztea, DBEOn eta DPBEDBLOn xedatutakoarekin bat. Aplikatu beharreko legediak esleitutako eginkizunez eta eskumenez gain, berariazko eginkizun hauek gauzatuko dituzte:

–DBEO, DPBEDBLO eta kudeatzen dituen datu pertsonalen tratamenduaren arloan indarrean dauden gainerako arauak benetan betetzen direla zaintzea.

–Bere eskumenen eremuan, datuak tratatzeko jardueren erregistroa mantendu eta eguneratzea.

–Bere eskumenen eremuan kudeatzen dituen datuak tratatzeko jardueren erregistroa jakinaraztea datu-babesaren ordezkariari, baita erregistroaren aldaketak ere.

–Bere eskumenen eremuan kudeatzen dituen datuen tratamenduari dagokionez datu-babesaren ordezkariak igortzen dizkion eskaerei erantzutea.

–Kudeatzen dituen tratamenduetan datu pertsonalak babesteko behar diren pribatutasuneko eta segurtasuneko neurri teknikoak eta antolakuntzakoak ezarri eta aplikatzea.

–Kudeatzen dituen tratamenduei dagokienez datu pertsonalen babesaren arloko arauditik datozen sekretu- eta konfidentzialtasun-betebeharrak betetzen direla bermatzea.

–Datu pertsonalak biltzean informazioa behar bezala eta gardentasunaren printzipioa aplikatuz eman beharra betetzen dela bermatzea.

–Interesdunen betebehar guztiak betetzea eta horien eskubideak errespetatzea, DBEOn, DPBEDBLOn eta indarreko gainerako arauetan aurreikusitakoarekin bat.

–Datu-babesean, eraginari buruzko bidezko ebaluazioak egitea datu-babesaren ordezkariaren aholkuei jarraikiz, gauzatu beharreko datuen tratamenduak arrisku handia badakar pertsona fisikoen eskubide eta askatasunetarako. Eraginari buruzko ebaluazioak agertzen badu tratamenduak arrisku handia dakarrela berekin, kontrol agintaritzarekin hitz egin beharko du.

–Hala bada, segurtasun urratzeen gaineko derrigorrezko jakinarazpenak egitea kontrol agintaritzari, interesdunei eta datu-babesaren ordezkariari.

–Tratamenduaren arduradun batek egiten badu tratamendua edo horren zati bat, tratamenduaren erantzuleak arduradun bakar bat hautatuko du, dokumentu bidez jakinarazten dizkion neurri tekniko eta antolakuntzako neurri egokiak aplikatzeko orduan behar beste berme eskaintzen dituena. Era berean, neurri horien aplikazio zuzenaren jarraipena eginen du.

b) Informazioaren segurtasun-mailak identifikatzea eta modu formalean onestea, zerbitzuaren erantzuleak, informazioaren segurtasunaren erantzuleak edo sistemaren erantzuleak proposatuta, Administrazio Elektronikoaren esparruko Segurtasun Eskema Nazionala arautzen duen urtarrilaren 8ko 3/2010 Errege Dekretuaren I. eta II. eranskinetan aurreikusitako esparruaren barnean.

c) Pertsonen eskubide eta askatasunetarako arriskurako segurtasun-maila egokia bermatzen duten neurri tekniko eta antolakuntzako neurri egokiak onestea, informazioaren segurtasunaren erantzuleak edo erantzuleek proposatuta eta kontuan hartuta teknikaren egoera, aplikazioaren kostuak eta tratamenduaren izaera, irismena, testuingurua eta xedeak, DBEOn, DPBEDBLOn eta SENen eskatzen denaren arabera.

d) Tratamenduaren arduradunari betebeharrak ematea eta horiek betetzen direla egiaztatzea.

Erantzukizun horiek betetzeko behar diren jarduerak zuzendari nagusiei eta 6. artikuluan zehaztutako gainerako rolei eskuordetzen ahalko zaizkie, norberari haren eremuan.

9. artikulua. Zerbitzuaren erantzulea.

Zerbitzuaren erantzuleak ematen diren zerbitzuen segurtasuneko betebeharrak zehazten ditu informaziotik eta zerbitzuaren segurtasun-mailetatik aurrera, 3/2010 Errege Dekretuaren I. eranskinak ezartzen duen esparruaren barnean. Horretarako, segurtasunaren erantzulearen proposamena eta sistemaren erantzulearen iritzia jasotzen ahalko ditu. Datu-babesari dagokionez, zerbitzuaren erantzuleak laguntza emanen dio tratamenduaren erantzuleari, bere eginkizunetan arituz.

Informazioaren tratamenduak hainbat zerbitzu har ditzake barnean, eta beraz, zerbitzuaren erantzule bat edo batzuk egon daitezke.

10. artikulua. Informazioaren segurtasunaren erantzulea.

Informazioaren segurtasunaren erantzuleak antolakuntza neurri eta neurri tekniko batzuk erabakitzen ditu, ematen diren zerbitzuetan datu-babesa eta informazioaren segurtasuna bermatzeko eskatu behar direnak, tratamenduaren erantzuleak eta informazioaren erantzuleak zehazten dituzten baldintzak oinarri hartuta.

Departamentu edo erakunde publiko bakoitzean segurtasunaren erantzule bat egonen da gutxienez. Hala ere, zuzendaritza nagusietan ere segurtasunaren erantzuleak egoten ahalko dira, beharrezkotzat jotzen bada.

Dagokion unitateko titularrak izendatuko du segurtasunaren erantzulea. Dena den, unitatean baldin badago datu pertsonalen babesaren eta informazioaren segurtasunaren arloetan eskumenak dituen zerbitzu edo atalen bat, haren titularra izanen da informazioaren segurtasunaren erantzulea.

Pertsona bat aldi berean izan daiteke departamentu bateko segurtasunaren erantzulea eta departamentuari lotutako erakunde publikoena.

Segurtasunaren erantzuleek beren unitateko zein hari lotutako departamentuko laguntza teknikoa, juridikoa eta antolakuntzakoa izanen dute.

Aplikatu beharreko legediak esleitutako eginkizunez eta eskumenez gain, informazioaren segurtasunaren erantzuleak berariazko eginkizun hauek gauzatuko ditu, bai berezkoak dituenak, bai eskuordeturik bere gain hartu behar dituenak:

a) Datu-babesaren eta informazioaren segurtasunaren arloetako politikak eta jarraibideak proposatzea, lantzea, eguneratzea eta horien jarraipena egitea bere erantzukizunpeko eremuaren barnean.

b) Datu-babeseko eta informazioaren segurtasuneko antolakuntzako neurriak eta neurri teknikoak bultzatzea, koordinatzea, abiaraztea eta horien jarraipena egitea honako arlo hauetan: informazioa tratatzeko prozesuak; bere zerbitzuko langileen prestakuntza, kontzientziazioa eta gaikuntza; eta erabiltzen diren informazio-sistemak. Azken kasu horretan, Informatikaren, Telekomunikazioen eta Berrikuntza Publikoaren Zuzendaritza Nagusiarekin elkarlanean ariko da.

c) Zerbitzuaren erantzuleekin eta sistemaren erantzulearekin batera, bere eremuan egiten diren tratamenduei buruzko arriskuen analisiak eta eraginari buruzko ebaluazioak gauzatzeko prozesua koordinatzea. Halaber, tratamendu bakoitzerako behar diren segurtasun-neurrien ezarpena koordinatzeaz arduratuko da, egindako analisien emaitzak ikusita.

d) Datuak Babesteko Ordezkaritzarekin batera lan egitea bere eginkizunak gauzatzean horrek eskatzen dizkion lan guztietan.

e) Barneko auditoretzak egitea eta kanpoko auditoretzak egiten parte hartzea, datu-babesari eta informazioaren segurtasunari buruzko araudia betetzen dela egiaztatzeko.

f) Datu-babesak eta informazioaren segurtasunak bere eremuan duten egoeraren berri ematea.

g) Bere erantzukizunpeko eremuan datu-babesari eta informazioaren segurtasunari buruzko dokumentu esparrua eguneratuta izatea, eta, bereziki, tratatzeko jardueren erregistroa zaintzea.

h) Informatikaren, Telekomunikazioen eta Berrikuntza Publikoaren Zuzendaritza Nagusiarekin koordinatzea informazio-sistemen segurtasunean sortzen diren gorabeheren kudeaketa, bai euskarri elektronikoan bai beste euskarri batzuetan, segurtasun-gorabeherei erantzun erreaktiboak emanez.

i) Informazioaren segurtasun urratzeak eta segurtasun-gorabeherak jakinaraztea kontrol agintaritza eskudunari, indarreko araudiak jakinarazpen hori derrigorrezkotzat jotzen duenean. Datu-babesaren ordezkariarekin edo sistemaren erantzulearekin batera eginen zaie jakinarazpen hori dagozkion kontrol agintaritzei.

j) Datuen Babeseko eta Informazioaren Segurtasuneko Batzordean parte hartzea.

11. artikulua. Sistemaren erantzulea.

1. Sistemaren erantzulea Informatikaren, Telekomunikazioen eta Berrikuntza Publikoaren Zuzendaritza Nagusiaren titularra izanen da. Sistemaren erantzulea den aldetik, honako ardura hauek izanen ditu:

a) Informazio-sistema eta haren zehaztapenak garatu, landu eta mantentzea haien bizi-ziklo osoan, horiek instalatzea eta horien funtzionamendu zuzena egiaztatzea.

b) Informazio-sistemaren topologia eta kudeaketa-sistema zehaztea, eta erabilera-irizpideak eta sisteman erabilgarri dauden zerbitzuak ezartzea.

c) Berariazko segurtasun-neurriak segurtasun-esparru orokorraren barnean behar bezala txertatzen direla ziurtatzea.

d) Informazio zehatz bat erabiltzeari edo zerbitzu zehatz bat emateari uztea erabakitzea, ezarritako betekizunak betetzeari eragin diezaioketen segurtasun-hutsune larrien berri badu. Erabaki hori ukitutako informazioaren erantzuleekin, ukitutako zerbitzuaren erantzuleekin eta segurtasunaren erantzulearekin batera adostu behar da, gauzatu aurretik.

e) DBISPn ezarritakoa betez prozesu bat garatzeko egin beharreko ekintzak edo zereginak zehazten dituzten prozedurak, gidaliburuak eta jarraibide teknikoak prestatzea.

2. Eginkizun horiek gauzatzeko behar diren jarduerak Informatikaren, Telekomunikazioen eta Berrikuntza Publikoaren Zuzendaritza Nagusiko teknikariei eskuordetzen ahalko zaizkie.

12. artikulua. Datu-babesaren ordezkaria.

Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek datu orokorren babesaren ordezkari bat dute, DBEOren 37. artikuluan eskatutakoa betetzeko asmoz. Ordezkari horrek DBEOren 39. artikuluan ezartzen diren zereginak gauzatuko ditu, baita datu pertsonalak babesteko estatuko arauditik ondorioztatzen direnak ere, ezertan eragotzi gabe datu-babesaren beste ordezkari batzuk izendatzea behe-eremuetan (adibidez, departamentuetan edo erakunde publikoetan), berariazko beharrek horrela eskatzen badute.

Bere eginkizunak gauzatzean, datu-babesaren ordezkariak bai datu pertsonalak bai tratatzeko prozesuak atzitzen ahalko ditu.

13. artikulua. Datuen Babeseko eta Informazioaren Segurtasuneko Batzordea.

1. Lehendakaritzako, Funtzio Publikoko, Barneko eta Justiziako Departamentuari atxikitako Datuen Babeseko eta Informazioaren Segurtasuneko Batzordeak informazio-sistemen datu-babeseko eta segurtasuneko politikari lotutako jarduera guztiak kudeatu eta koordinatuko ditu.

2. Datuen Babeseko eta Informazioaren Segurtasuneko Batzordeak kide hauek ditu:

a) Lehendakaritzaren arloko eskumenak gauzatzen dituen zuzendari nagusia, batzordeburua izanen dena.

b) Departamentu, zuzendaritza nagusi edo erakunde publikoetako informazioaren segurtasunaren erantzuleak.

c) Informatikaren eta telekomunikazioen arloko eskumenak gauzatzen dituen zuzendari nagusia, sistemaren erantzulea den aldetik, edo horretarako eskuordetzen duena.

d) Datu-babesaren ordezkaria, idazkari arituko dena eta hizpidearekin baina botorik gabe parte hartuko duena Datuen Babeseko eta Informazioaren Segurtasuneko Batzordearen bileretan. Nolanahi ere, bozkatzeko ipinitako kontuetan, beti datu-babesaren ordezkariaren iritzia jasoko da aktan.

3. Datuen Babeseko eta Informazioaren Segurtasuneko Batzordea datu-babesari eta informazioaren segurtasunari buruzko indarreko araudia betetzeko arituko da.

4. Datuen Babeseko eta Informazioaren Segurtasuneko Batzordeak informazioaren segurtasunari eta informazio-sistemei lotutako jarduerak koordinatuko ditu, honako eginkizun hauek gauzatuta:

a) Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen DBISP eta haren antolaketa egitura aldatzeko eta etengabe eguneratzeko proposamenak prestatzea.

b) Datu-babesa eta informazioaren segurtasuna hobetzeko bitartekoak eta baliabideak sustatzea.

c) Eraginkortasuna lortzeko ahaleginak egitea Nafarroako Foru Komunitateko Administrazioko eta haren erakunde publikoetako beste unitate batzuek aprobetxatzen ahal dituzten esperientziak, egindako lanak eta ikaskizunak partekatzean.

d) Baliabide publikoen erabileran homogeneotasuna eta eraginkortasuna lortzeko baterako erabakiak sustatzea.

e) Egoerari buruzko baterako txosten bat prestatzea urtean behin, gutxienez, datu-babesari eta informazioaren segurtasunari buruz, segurtasunaren erantzulea duten unitate guztietarako. Txosten hori Nafarroako Foru Komunitateko Administrazioko Koordinazio Batzordeari aurkeztuko zaio, eta Nafarroako Gobernuari igorriko.

5. Datuen Babeseko eta Informazioaren Segurtasuneko Batzordea sei hilean behin bilduko da gutxienez.

14. artikulua. Zereginak esleitzea.

Departamentuetako kontseilariek eta erakunde publikoetako kudeatzaileek politika honetan jasotzen diren printzipioak hobetzeko edo garatzeko zereginak esleitzen ahalko dizkiete zenbait pertsonari edo lantalderi, beren eskumenen esparruaren barnean. Erantzukizun hori zuzendari nagusiei eta dokumentu honetan zehazten diren segurtasunaren gainerako rolei eskuordetzen ahalko zaie, eta, zehazki, informazioaren segurtasunaren erantzuleari, esleitu beharreko zeregin motaren arabera.

15. artikulua. Gatazkak konpontzea.

Datu-babeseko eta informazioaren segurtasuneko politikaren antolaketa egitura osatzen duten erantzule guztien artean gatazka bat egonez gero, departamentuko kontseilariari edo dena delako erakunde publikoko kudeatzaileei egokituko zaie hori ebaztea, tratamenduaren eta informazioaren erantzuleak diren aldetik, zerbitzuaren erantzuleak, informazioaren segurtasunaren erantzuleak eta sistemaren erantzuleak lagunduta, eta, hala bada, datu-babesaren ordezkariak ere lagunduta.

Gatazka baldin badago informazioaren erantzuleen eta zerbitzuen erantzuleen artean, alde batetik, edo tratamenduaren erantzuleen artean, bestetik, datu pertsonalak maila goreneko objektu babestua dira, eta jarraitu beharreko araua ezarriko dute.

16. artikulua. Langileen betebeharrak.

Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen zerbitzuko langileek laguntza emanen dute datu-babeseko eta informazioaren segurtasuneko politika ezartzeko jardueretan.

Langile horiek politika honetan eta hori garatzen duten arauetan eta prozeduretan ezartzen dena jakin eta bete behar dute.

Era berean, Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen zerbitzuko langileek datu-babesaren eta informazioaren segurtasunaren arloetako printzipioak eta betekizunak hobetzen lagundu behar dute, eta Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen ardurapean dauden informazioak eta datu pertsonalek dituzten arriskuak saihestu edo, hala bada, murriztu. Horretarako, informazioaren konfidentzialtasuna, osotasuna eta erabilgarritasuna babesten laguntzen duen edozein proposamen edo iradokizunen berri emanen die datu-babeseko eta informazioaren segurtasuneko politikaren antolaketa egiturako kideei.

17. artikulua. Kontzientziazioa eta prestakuntza.

Berariazko prestakuntza jarduerak garatuko dira, Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen zerbitzuko langileak kontzientziatzeko eta prestatzeko helburua dutenak, baita datu-babeseko eta informazioaren segurtasuneko politika hau eta horren arau-garapena hedatzekoa ere.

Nafarroako Foru Komunitateko Administrazioak eta haren erakunde publikoek behar diren baliabideak izanen dituzte, informazioa atzitzen duten pertsona guztiek jakin dezaten zein diren haien eginbehar eta betebeharrak eta zer arrisku dagoen informazioa tratatzean.

Datu-babesaren ordezkariak datu pertsonalak tratatzeko eragiketetan parte hartzen duten langileen kontzientziazio eta prestakuntza ekintzak ikuskatuko ditu, DBISP betetzen dela bermatzeko asmoz.

18. artikulua. DBISP garatzea eta berrikustea.

1. DBISPn deskribatzen den antolaketa egitura osatzen duten kideek proposatuta, tratamenduaren erantzuleak eta/edo informazioaren erantzuleak –hala bada, Datuen Babeseko eta Informazioaren Segurtasuneko Batzordearen eta/edo datu-babesaren ordezkariaren laguntzaz– prozedurak zehaztuko dituzte, eta politika hau garatzeko behar diren gidaliburu eta jarraibide teknikoak prestatu.

Garatzeko prozesu horretan, Nafarroako Foru Komunitateko Administrazioaren eta haren erakunde publikoen egitura organikoa osatzen duten antolaketa unitateen laguntza eskatzen ahalko da.

2. DBISP hau berrikuspen prozesu baten mende jarriko da urtean behin, gutxienez, zirkunstantzia tekniko edo antolakuntzakoetara egokitzeko eta haren zaharkitzapena saihesteko.

3. DBISP honen berrikuspenak foru dekretu bidez onetsiko dira.

XEDAPEN INDARGABETZAILEA

Xedapen indargabetzaile bakarra.

Indargabetuta geratzen dira foru dekretu honetan ezarritakoari aurka egiten dioten maila bereko edo apalagoko xedapen guztiak.

AZKEN XEDAPENA

Azken xedapen bakarra.–Indarra hartzea.

Foru dekretu honek Nafarroako Aldizkari Ofizialean argitaratu eta biharamunean hartuko du indarra.

Iruñean, 2019ko martxoaren 6an.–Nafarroako Gobernuko lehendakaria, Uxue Barkos Berruezo.–Lehendakaritzako, Funtzio Publikoko, Barneko eta Justiziako kontseilaria, María José Beaumont Aristu.

Iragarkiaren kodea: F1903412