Iragarkia

153. ALDIZKARIA - 2022ko abuztuaren 2a

1. NAFARROAKO FORU KOMUNITATEA

1.7. BESTELAKOAK

1368/2022 EBAZPENA, ekainaren 30ekoa, Nafarroako Unibertsitate Publikoaren errektoreak emana. Haren bidez agintzen da argitaratzeko Gobernu Kontseiluak 2022ko ekainaren 30ean onetsi duen “Erabakia, datuak babesteari buruzko Nafarroako Unibertsitate Publikoaren politika berria onesten duena”.

2003ko maiatzaren 12ko 110/2003 Foru Dekretuaren bidez onetsi ziren Unibertsitateko Estatutuetako 40. artikuluak ematen dizkidan eskumenak erabiliz, agindua ematen dut Gobernu Kontseiluak 2022ko ekainaren 30ean hartutako erabakia argitaratzeko. Erabaki horren bidez, Datuak babesteari buruzko Nafarroako Unibertsitate Publikoaren politika berria onetsi da.

“GOBERNU KONTSEILUAREN ERABAKIA, DATUAK BABESTEKO NUP-EK DUEN POLITIKA BERRIA ONESTEN DUENA

Datuak Babesteko Erregelamendu Orokorra eta Datuak Babesteari eta Eskubide Digitalak Bermatzeari buruzko Lege Organikoa aplikatzearren, erantzukizun proaktiboa behar da arau horiek betetzeko. NUPek ikerketari, irakaskuntzari eta kudeaketa administratiboari lotutako datuen tratamendu guztietan jokatu behar du halako erantzukizunez.

2019ko urtarrilaren 31n, Datuak Babesteko Politika onetsi zuen NUPek; horrela, aurrerapauso bat eman zuen arestian aipatutako legeetara egokitzen hasteko.

Erantzukizun proaktiboa edukitzeko, ordea, politika berria izan beharra dago, zehatzagoa, eta orain arteko indarrean izan dena politika berriarekin ordeztu.

Hortaz, Datuak Babesteko Politika berria onestea proposatzen da datuen tratamenduan aplikatu beharreko arauak zorrotzago betetzeko.

Idazkari nagusiak proposaturik, hona hemen Nafarroako Unibertsitate Publikoko Gobernu Kontseiluak 2022ko ekainaren 30eko bileran hartu duen

ERABAKIA:

Lehenbizikoa.–Nafarroako Unibertsitate Publikoak Datuak Babesteko duen politika berria onestea (eranskinean ageri da).

Bigarrena.–Erabaki honen bidez onesten den politika berriak orain arte indarrean izan dena ordezteko agintzea.

Hirugarrena.–Ebazpen hau eta bere eranskina Unibertsitatearen iragarki-ohol elektronikoan eta Nafarroako Aldizkari Ofizialean argitaratzeko agintzea.”

Iruñean, 2022ko ekainaren 30ean.–Errektorea, Ramón Gonzalo García.

NUP-EN DATUAK BABESTEKO POLITIKA

Aurretiko atala

Aplikazio-eremua.

NUPen Datuak Babesteko Politika aplikatuko da NUPek arduradun, eragile, erantzunkide, azpiarduradun, lagapen-hartzaile, lagatzaile eta hirugarren gisa datu pertsonalak tratatzeko egiten dituen eragiketa guztietan, bai eta NUPek beste izaera batez egindako eragiketa baten ondorioz datuak babesteko araudiaren mende geratzen denean ere. Politika hau Gobernu Kontseiluak onetsi zuen 2022ko ekainaren 30ean, eta guztiz ordezkatzen du 2019ko urtarrilaren 31n onartutakoa. Ondorioz, aurreko politika aplikatzeari utziko zaio honako hau Nafarroako Aldizkari Ofizialean argitaratzen denetik aurrera.

Egitura.

Aurretiko atal hau gorabehera, politikak lau zati bereizi ditu: atal orokorra, kudeaketa, irakaskuntza eta ikerketa. Zati horietako bakoitza elkarren segidan zenbakitutako ataletan dago banatuta.

Atal orokorra

1. Atal orokorrerako sarrera.

Atal orokorrean, gainerako hiru ataletan ere (kudeaketa, irakaskuntza eta ikerketa) aplika daitezkeen kontzeptu, printzipio eta orientabideak ezartzen dira. Atal horien artean hutsunerik edo kontraesanik badago, atal orokorrari jarraikiz ebatziko da.

2. Datuen babesaren inguruko kontzeptuak.

Datu pertsonala da pertsona fisiko identifikatu edo identifikagarri bati buruzko informazio oro; hau da, identifikatzaile baten bidez (izena, kokalekua, biometria) zuzenean nahiz zeharka identifika daitezkeen pertsonei buruzko informazioa.

Adibidez, honako hauek izan daitezke datu pertsonalak: izena, abizenak, NAN zenbakia, harremanetarako datuak (helbidea, telefonoa, e-maila), adina, generoa, osasuna, ideologia, lanbidea, elkarte bateko kide izatea, aurrekari penalak, zaletasunak, kontsumo-ohiturak, etab.

Bereziki babesten dira datu pertsonal bereziak eta, horregatik, halakoak tratatzeko mugak daude. Hauek dira datu pertsonal bereziak: osasuna, sexualitatea, identifikatzeko biometria, genetika, ideologia, sinesmen erlijiosoa, sindikatu-afiliazioa eta jatorri etnikoa edo arraza. Era berean, aurrekari penalei buruzko datuak bereziki babestuak dira eta, horregatik, araubide berezi bat dute.

Datu pertsonalen tratamenduaz ari garenean, baliabide erabat edo partzialki automatizatuen edo fitxategien bidez egindako tratamendu-eragiketa orori (datuak jasotzea, aztertzea, komunikatzea, suntsitzea...) buruz ari gara.

3. Gaian aplikagarriak diren printzipioak.

Datuen tratamenduek printzipio hauek bete behar dituzte: zilegitasuna (araudiarekin bat etortzea), leialtasuna eta gardentasuna (tratamendu horiei buruzko baldintzak zehaztuz), helburura mugatzea (aurreikusitako helburuetarako soilik), denbora-muga (ezinbestekoa den denboran egitea), minimizazioa (ahalik eta datu-kopuru txikiena eta ahalik eta tratamendu-eragiketa gutxien), kalitatea, konfidentzialtasuna (sarbide mugatua), erantzukizun proaktiboa (arauak betetzen direla frogatzeko gaitasuna), pribatutasuna lehenespenez (beti minimizaziora jotzea) eta pribatutasuna diseinutik hasita.

Diseinutik hasita pribatutasuna mantentzea funtsezkoa da arauak behar bezala betetzen direla bermatzeko. Datuen tratamenduak planifikatzean datza, datuak babesteko araudiak horri buruz ezarritako eskakizunak kontuan hartuta.

4. Erantzukizun-rolak datu pertsonalen tratamenduan.

Unibertsitatea da datuen tratamenduaren arduraduna; hau da, datuak babesteko araudia betearazteko erantzukizuna du, helburuak eta bitartekoak zehazten dituen tratamenduetan. Helburu eta bitarteko horiek beste erakunde batekin adostuta zehazten badira, biak izango dira datuen tratamenduaren erantzunkideak.

NUPek, tratamenduaren arduradun den aldetik, beste erakunde bati datu-tratamenduko eragiketak egiteko eskatzen badio, erakunde hori tratamenduaren eragilea izango da. Era berean, NUP izango da tratamenduaren eragilea, baldin eta eragiketa horiek beste tratamendu-arduradun baten kontura egiten baditu.

NUPen kontura datu-tratamenduko eragiketetan parte hartzen duen unibertsitateko langile orok NUPen baimena izango du datuak tratatzeko. Era berean, datuak tratatzeko eragiketa berriak bultzatzen dituzten edo aurrez dauden eragiketetan nolabaiteko garrantzia duten langileek barneko arduradun- edo erreferente-rola izango dute.

Baimendutako pertsonek datuak babesteko araudia bete beharko dute NUPen kargura egindako datu-tratamenduko eragiketa guztietan. Barneko arduradun- edo erreferente-rola dutenek inplikazio handiagoa izan beharko dute eta NUPi gaiari buruzko arauak egokiro betetzen lagundu beharko diote. Arduradun edo erreferenteok datu-tratamendu guztien berri eman beharko dute eta tratamendu horien eraginpeko pertsonei edo interesdunei dagozkien eskubideak erabiltzeko aukera eman behar diete.

5. Datuak Babesteko Unitatea.

Datuak Babesteko Ordezkariak edo Unitateak datuak tratatzeko baimena duten pertsonak kontzientziatu eta aholkatu behar ditu, araudia behar bezala bete dezaten.

Horretarako, zehazki, barneko arduradun edo erreferenteekin beharrezkoak diren harremanak izango ditu. Harreman horiek aholkularitza- eta kontzientziazio-funtzioak betetzeko beharrezkoa den informazioa emango diote. Ez badira barneko arduradun edo erreferente horiek izendatu edo bereizi, Datuak Babesteko Unitateak datuen tratamendu baten diseinuan edo betearazpenean esku hartzen duen edozein pertsona baimendurengana jo ahal izango du, eta behar duen informazioa eskatu.

Datuak Babesteko Unitateak ez ditu zehazten datuen tratamenduaren helburu eta bitartekoak, eta ez du esku hartzen eragiketetan. Hori dela eta, unitate hori bereizita dago NUPek datu-tratamenduko eragiketetan arduradun edo eragile gisa (edo dagokion beste funtzioren batean) duen posiziotik.

Unitate horrek ikuspegi espezializatu bat eman behar du gaiaren inguruan aurkezten zaizkion kontuetan eta haren esku-hartzea eskatzen dutenetan. Aztertutako elementuak zuzenbidearen araberakoak diren aztertuko du ikuspegi horrek, eta aplikatu beharreko araudiarekin bat ez datozen alderdiak azalduko ditu, arrazoituta eta zehatz-mehatz.

NUPek kasu bakoitzean dagokion moduan hartuko du aintzat Datuak Babesteko Unitateak emandako ikuspegia. NUP ez dago behartuta sistematikoki eta kasu guztietan betetzera unitate horren irizpidea; aldiz, jarduerak zuzenbidearen arabera egin behar ditu, besterik ez. Desadostasunik egonez gero, NUPek egokitzat jotzen dituen gogoeta gehigarriak egin ahal izango ditu, baita beste aditu edo eragile kualifikatu bati bigarren iritzi bat eskatu ere.

Unibertsitateko langileak datuen babesaren arloan prestatzea funtsezkoa da gai hori behar bezala betetzen dela bermatzeko. Horretarako, NUPek, Datuak Babesteko Unitatearen bidez, prestakuntza hori emango die langileei.

Inpaktu-ebaluazioen eta arrisku-azterketen egikaritzea eta erantzukizuna aplikatzekoa den araudian jasota dagoenaren eta aipatutako agintariek esandakoaren araberakoak izango dira.

6. Datu-tratamenduko eragiketen erregistroa.

Unibertsitateak publikoki erregistratuko ditu egiten dituen datu pertsonalen tratamendu guztiak, datuak babesteko araudia eta gardentasunari buruzko legeria betetze aldera.

Kasuan kasuko barneko arduradunek edo erreferenteek behar den informazioa emango dute, behar bezala erregistra dadin. Unibertsitateak Datuak Babesteko Ordezkariaren edo Unitatearen laguntza izango du eta, horregatik, beharrezkoa den informazioa emango dio.

7. Informazioaren segurtasuna.

NUPek tratamenduaren xede diren datu pertsonalen segurtasuna bermatu behar du, dagozkion neurri tekniko egokiak ezarrita. Datu pertsonalen segurtasuna aintzat hartuko da tratamenduko eragiketen diseinuan eta, bereziki, datu horiek kontserbatzeari eta suntsitzeari dagokionez.

Segurtasun-maila egokiak lortzeko, neurri ugari ezarriko dira, besteak beste: sarbideak mugatzea, baimendutako erabiltzaileak erregistratzea eta unibertsitateko langileek datuen segurtasunaren arloko prestakuntza jasotzea eta horrekiko konpromisoa hartzea.

NUPek datuen tratamendua beste erakunde bati agintzen dionean, datuen tratamenduaren arduradunaren kontratuan ezarritako neurrien bidez eskatuko da aplikatu beharreko segurtasun-maila.

Era berean, Datuak Babesteko ordezkaria Informazioaren Segurtasun Batzordeko kide izango da, eta datuen babesa informazioaren segurtasunarekin egoki integratzen lagunduko du.

Datu pertsonalak unibertsitate-azpiegituran kokatutako sistemen bidez edo unibertsitateak baimendutako sistema deslokalizatuen bidez tratatuko dira. Aurrez esandakoa betetzen ez duen datu-tratamenduko eragiketa orok unibertsitateak berariaz gaitutako prozedurek babestuta egon beharko du. Unibertsitateak erabakiko du zer erantzukizun izan behar duten esleitutako sistemak erabiltzen ez dituzten eta gaitutako prozedurek babesten ez dituzten unibertsitateko langileek.

8. Garapen digitala.

Garapen digitalaren, administrazio elektronikoaren eta prozesu-berrikuntzaren esparruan aurreikusitako datu-tratamenduko eragiketek dagozkion neurriak ezarriko dituzte araudia behar bezala betetzen dela ziurtatzeko. Zehazki, pribatutasuna kontuan hartuko da diseinuan, datuen segurtasunean, interesdunentzako informazioan eta datuak eskuratu, zuzendu, aurkaratu eta ezabatzeko eskubideak baliatzeko bideak ezartzean. Era berean, beharrezkoak diren neurriak hartuko dira ebaluazio eta erabaki automatizatuen kasuan, profilatuak egitean, lokalizazioko, kokapeneko edo mugimenduko datu masiboak tratatzean, datu biometrikoak erabiltzean eta bereziki babestutako beste eragiketa batzuk egitean.

9. Unibertsitate-Gizarte Fundazioa.

Unibertsitate-Gizarte Fundazioak NUPen Datu Tratamendurako Eragile gisa jardungo du, eskuarki. NUPek, Datuak Tratatzeko arduraduna den aldetik, behar diren jarraibideak emango ditu Unibertsitate-Gizarte Fundazioak esku hartzen duen datu-tratamenduko eragiketa guztietan araudia betetzen dela bermatzeko. Horretarako, dagokion aholkularitza eskatuko zaio Datuak Babesteko Unitateari.

Baimena eskatuko da edo aurreikusitako datu-tratamenduen berri emango da, kasuan-kasuan dagokion moduan, ekitaldien inskripzioan, prestakuntzen kudeaketan, enpleguari buruzko orientazioan eta datu pertsonalen tratamendua sortzen duten ekintza guztietan.

Unibertsitate-Gizarte Fundazioak tratamendu-jardueren barne-arduradun izaera emango die jarduera horien kudeaketa koordinatu ohi duten langileei. Langile horiei edo hierarkian gorago daudenei dagokie Datuak Babesteko Unitatearen aholkularitza eskatzea eta, horretarako, beharrezko informazioa ematea.

10. Osasuneko datuak eta beste datu berezi batzuk kontserbatzea.

Mota guztietako datu pertsonalak neurri egokien bidez eta gehiegizkoa ez den epe batez gorde behar dira eta, ondoren, modu seguruan suntsitu. Datu berezien kasuan (osasuna, sexualitatea, identifikatzeko biometria, genetika, ideologia, sinesmen erlijiosoa, sindikatu-afiliazioa eta jatorri etnikoa edo arraza), aipatutako neurriak muturreraino eraman behar dira.

Datu pertsonalak dituzten dokumentu eta espedienteak NUPeko Artxibo Nagusiaren Erregelamenduan xedatutakoaren arabera gorde eta suntsitu beharko dira.

Datu bereziei aplikatutako segurtasun-neurriek datu horiek behar bezala babestu behar dituzte, desegokiro suntsitzeko arriskuetatik, gaitu gabeko sarbideetatik, baimendu gabeko aldaketetatik eta haien segurtasuna, konfidentzialtasuna, osotasuna eta eskuragarritasuna mehatxatzen dituzten beste faktore batzuetatik.

NUPek sarbideak mugatzeko, erabiltzaileak erregistratzeko, erabiltzaile horientzako behar besteko prestakuntza emateko, segurtasun-kopien sistemak ezartzeko eta zifratzea eta izenordetzea egiteko neurriak eta beharrezkoak diren beste neurri batzuk aplikatzen direla zainduko du.

Aipatutako segurtasun-maila aplikatuko du datu berezi oso zein partzialak dituzten fitxategi, artxibo, euskarri, gailu eta sistema guztietan.

Era berean, datu horiek kontserbatu, aztertu, suntsitu edo beste nolabait tratatzeko zerbitzuak kontratatzean, neurri berberak hartu beharko dira. Horretarako, dagozkion kontratu edo akordioak formalizatuko dira, eta dagozkion klausulak sartuko dira tresna horietan. Zehazki, datuen babesaren arloan aplikatzekoa den araudiarekin bat datozela bermatzen duten tratamendu-enkarguak artikulatzea eskatuko da.

Enkargatutako tratamendua egiteko EBko edo EEEko kide ez den herrialde batera igorri behar badira datu pertsonalak, Datuak Babesteko Erregelamendu Orokorrean (DBEO) nazioarteko datu-transferentzietarako ezarritako araudia aplikatuko da. Nazioarteko transferentzia horiek berme egokiak hartu direla eta pertsonen babes-maila DBEOn jasotakoaren baliokidea dela egiazta badaiteke soilik onartuko dira.

Asistentzia sanitarioko edo osasun-sektore bati arreta emateko zerbitzu estandarizatuak kontratatzean, legediaren eta eskumena duten agintarien erabakien arabera aplikatzekoa den erantzukizun-eskema bete beharko da. Kontratista bada kudeatutako osasun-datuen tratamendu-arduraduna, NUPek, datu horiek atzitzean, lagatzeko edo jakinarazteko modua erabiliko du. Ondorioz, interesdunen baimen informatua beharko da, edo, hala badagokio, beste oinarri juridiko baliodun bat aurkitzea, eta pertsona horiei informazioa eman eta haien eskubideak behar bezala bermatzea.

Halako zerbitzu sanitarioak ematen dituen kontratista batek behar adinako gaitasuna izan beharko du eraginpeko osasun-datuak bere baliabideen bidez kontserbatzeko. Aipatutako zerbitzuak unibertsitate-azpiegituraren eremuan ematen badira, egoera horrek bat etorri beharko du NUPeko Informazioaren Segurtasunerako Politikarekin eta Araudiarekin. Aipatutako kasuan, kontratistak NUPeko sarea eta NUPen ekipamendu eta programak erabiltzea erabaki ahal izango da. Erabaki hori gorabehera, kontratistak tratamendu-arduraduna izaten jarraituko du, eta, horregatik, NUP tratamenduaren eragile izango da, kontratista horri dagokionez eta sarea eta sistemak hornitzeari buruz soilik.

Arlo sanitarioko zerbitzu bereziak kontratatu behar direla irizten bada, NUPek azaldu beharko du zergatik zehaztu behar diren eta aurrez orokorrean araututako edo dagoeneko merkatuan dauden beste zerbitzu batzuetatik zerk bereizten dituen. Aipatutako kasuan, NUPek adieraziko du ea kontratistak, hala badagokio, tratamenduaren eragile gisa jarduten duen, NUPek, arduradun gisa, horretarako emandako jarraibideen arabera. Zerbitzuak bereziak direnez, eraginpeko datuen tratamendua protokolizatu beharko da. Horretarako, datuen babesean duen inpaktua ebaluatu beharko da, eta, egoki bada, kontrol-agintaritzari gaiari buruz galdetuko zaio aurretiaz.

Unibertsitate-komunitatearen mesederako osasun-zerbitzuak kudeatu edo kontratatzen badira, historia klinikoari aplikatu beharreko araudian jasotako kontserbazio- eta mugaketa-epeak bete beharko dira, eta datuen blokeoa bermatuko da ezabatzen diren arte, datu horiek jada tratatu behar ez direnean.

Kudeaketa.

1. Sarrera.

Atal honetan, administrazio-kudeaketarekin, prozesu burokratikoekin eta erakundearen administrazio orokorrarekin lotutako datuen tratamenduak jorratuko dira.

2. Erantzukizun-rolak.

Kudeaketarekin lotutako tratamenduetan erantzukizun-rolak Atal Orokorrean azaldutakora egokituko dira. Atalen buru diren langileak izango dira barneko arduradun edo erreferenteak. Langileok dauden datu-tratamenduei buruz behar bezala informatzen dela ziurtatuko dute, eta beharrezkoak diren neurriak ezarriko dituzte araudia behar bezala betetzen dela ziurtatzeko.

Emandako barne-erantzukizuna dagokion atalaren esparruko datu-tratamenduko eragiketetara mugatzen da. Buruzagitza hutsik badago edo eremu organiko hori ez bada existitzen, zerbitzu-zuzendaria, bulegoko burua edo dagokion unitate organikoko titularra izango da barne-arduradun.

Barne-arduradunek dagokion aholkularitza eskatuko diote Datuak Babesteko Unitateari, eta aholkularitza hori emateko beharrezkoa den informazioa emango diote unitate horri. Nolanahi ere, Datuak Babesteko Unitateak dagokion informazioa eskatu ahal izango du, arduradun horiek kudeatzen dituzten datuen tratamenduak ezagutzeko.

3. Informazio-klausulak.

Interes publikoan edo legezko betebeharrean oinarritutako datu-tratamenduek beren datuen tratamenduari buruzko informazioa eman beharko diete interesdunei edo eraginpekoei. Ondorioz, administrazio-unitate eskudunek dagozkion informazio-klausulak txertatu beharko dituzte lehiaketa, oposizio, dirulaguntza, sari eta bestelako prozesuei buruzko deialdi, iragarki, eskabide eta bestelako euskarrietan.

Datuak Babesteko Unitateak aholkularitza egokia emango du klausula horiek idazteko eta horien kokapena zehazteko. Horretarako, administrazio-unitateetako barne-arduradunek beharrezkoa den informazioa emango dute.

4. Online inkestak eta inprimakiak.

Online inkestek eta inprimakiek datuak tratatzeko askotariko eragiketak sortzen dituzte. Halako eragiketetan, sistema horietan gordetako informazioaz gain, sarbide-puntu elektronikoa, erabilitako gailu mota, nabigazio-datuak eta lineako beste identifikatzaile batzuk ukitzen dira. Horregatik, beren lan-eremuan halako sistemak erabiltzen dituzten unibertsitateko langileek dagokion aholkularitza eskatu beharko diote Datuak Babesteko Unitateari. Aholkularitza horretan, sistemon egokitasuna, erabiltzeko gomendatutako modua eta informazio-klausulak edo baimen informatua sartzeko aukera aztertuko dira.

5. Unibertsitate-tituluak egiaztatzea.

NUPek emandako titulazioak egiaztatzearekin lotutako datu-tratamendu oro sektoreak aplikatzekoa den araudiaren eta datuak babesteari buruzko legediaren arabera egingo da. Eremu horretan beste erakunde batzuei datuak lagatzeko, nahitaezkoa izango da aurretiaz interesduna behar bezala identifikatzea eta dagokion baimena eskatu dela edo informazioa eman dela ziurtatzea.

6. Prestazioen kontratazioa.

NUPek prestazioak kontratatzen baditu, gerta daiteke erakunde kontratistari datuak tratatzeko eskatu behar izatea. Aplikazio bat, datuak biltegiratzeko sistema bat, sarbide-kontrol bat, inkesta batzuk edo datu-tratamendua sortzen duten bestelako prestazio batzuk kontratatzen badira, eragile-kontratu bat sinatu beharko da.

NUPen erantzukizuna da datu-tratamenduaren eragile baten kontratua formalizatzea, eta helburua da ziurtatzea kontratistak edo tratamenduaren eragileak NUPek (tratamenduaren arduraduna) emandako jarraibide egokien arabera jarduten duela.

Kontratu bakoitzaren unitate sustatzaile edo arduradunek tratamendu-eragilearen kontratuak sinatu direla ziurtatu behar dute, eta, horretarako, Datuak Babesteko Unitatearen aholkularitza eskatuko dute.

Unitateok ez badute aholkularitza hori eskatu, kontratazioaren kudeaketa zentralizatzen duen unitateak, zerbitzu juridikoa ematen duenak edo kontratazioa prestatzen parte hartzen duen beste edozein unitatek aipatutako aholkularitza eskatuko dute.

7. Hitzarmenak.

Lankidetza-hitzarmenak sinatzean, datu-tratamendua eskatzen duten zenbait ekintza aurki daitezke. Datu-baseetarako sarbidea, baterako titulazioak, kanpo-praktikak, ikerketa demoskopikoak edo datu-tratamenduko beste eragiketa batzuk artikulatzen dituen hitzarmen orok datuak babesteari buruzko araudia bete behar du. Horretarako, hitzarmenaren testuan dagozkion klausulak sartuko dira, ezertan eragotzi gabe sinatu beharreko eragile-kontratuak, erantzukizun-akordioak, lagapen-akordioak eta beste tresna espezifiko guztiak.

Hitzarmen bakoitza proposatzen duen unitateari dagokio Datuak Babesteko Unitatearen aholkularitza eskatzea, eta, horretarako, beharrezko informazioa ematea. Osterantzean, Idazkaritza Teknikoak dagokion laguntza emango dio Datuak Babesteko Unitateari.

8. Arau-proiektuak edo bestelako xedapen batzuk.

NUPi buruzko prozesuak eraentzen dituen edozein araudi, protokolo, politika, instrukzio, jarraibide edo tresna, baldin eta datu-tratamenduari buruzko gaian eragina badu, gai horretan aplikatzekoa den araudiarekin bat datorren eta zer inpaktu duen aztertuko da. Horretarako, aholkularitza eskatuko dio Datuak Babesteko Unitateari.

9. Kudeaketarekin lotutako tratamenduen erregistroa.

NUPek kudeaketarekin lotuta egiten dituen datu-tratamendu guztiak erregistratu behar ditu. Horretarako, barneko arduradunek eta, halakorik ezean, datuak tratatzeko baimena duen edonork horren berri emango dio Datuak Babesteko Unitateari.

Irakaskuntza.

1. Sarrera.

Irakaskuntzan, datuak babestearen gaian aplikatzekoa den araudia beteko da. NUPek dagokion araudia bete beharko du ikasleei, irakasleei eta irakaskuntzaren eremuko beste interesdun batzuei eragiten dieten datu-tratamenduetan.

2. Irakaskuntzari buruzko printzipioak.

Irakaskuntzaren esparruan egindako datu-tratamenduek oinarri juridiko nahikoa izan beharko dute, eta interesdunei edo eraginpekoei dagokien informazioa eman beharko zaie. Interes publikoan edo legezko betebeharrean oinarritutako tratamenduak aplikatzekoa den sektoreko legerian oinarritu beharko dira.

Datuak tratatzeko eragiketak eta horien hedadurak dagokion beharrizanaren, egokitasunaren eta proportzionaltasunaren araberakoak izan behar dute, justifikaziorik gabeko eragiketarik egin ez dadin eta datu gehiegi bildu ez daitezen.

3. Ikasleak informatzea.

Datuen tratamendua legitimatzen duen oinarri juridikoa gorabehera, ikasleei tratamenduaren baldintzen berri emango zaie behar bezala. Diseinutik pribatutasuna mantentzeko printzipioaren arabera, aldez aurretik emango da intereseko informazio guztia. Era berean, beren eskubideak baliatzeko Datuak Babesteko Unitatera jo dezaketela adieraziko zaie.

4. Baliabide korporatiboak.

Irakasleek baliabide korporatiboak erabiliko dituzte irakaskuntzan, batez ere ikasleekiko harremanetan. Horregatik, unibertsitateko helbide elektronikoa erabiltzea aurreikusten da, baita online plataformak eta baliabideak eta NUPenak diren edo unibertsitateak kontratatu dituen beste informazio-sistema batzuk ere. Era berean, irakasleek beren ikasleei NUPeko ikasle gisa betetzen dituzten funtzio akademikoetan baliabide korporatiboak nahitaez erabili behar dituztela adieraziko diete.

5. Kalifikazio akademikoak argitaratzea.

Emaitzak dagozkien bermeekin eta komunikazio-ingurune instituzional eta itxietan argitaratu beharko dira, ahal dela, elektronikoki eta baimendutako subjektuentzako sarbide mugatuaz. Baimendutako subjektuak zehazteko, aplikatzekoa den araudian jasotakoa eta agintari eskudunek eta aipatutako erakundeek xedatutakoa bete beharko da.

6. Dokumentazio akademikoa gorde eta ezabatzea.

Azterketei, ikasketa-amaierako lanei edo ikasleek egindako bestelako lan akademiko batzuei buruzko dokumentazioa NUPeko Artxibo Batzordeak ebatzitako kontserbazio-egutegien eta NUPek horretarako onartutako ezabatze-prozeduren mende egongo da. Ondorioz, irakasleek dagozkion epeak bete eta NUPek datuak suntsitzeko dituen sistemak erabili beharko dituzte.

7. Unibertsitateko kanpo-praktikak.

Unibertsitateko kanpo-praktikak prestatu eta gauzatzean datuen babesaren inguruko araudia behar bezala aplikatzen dela ziurtatuko du NUPek. Praktika horiek gauzatzean, ikasleek datuen babesaren arloan prestakuntza jasotzea bultzatuko da, bereziki adingabeekin, desgaitasuna duten pertsonekin, genero-indarkeriaren biktimekin, osasun arloko pazienteekin, gizarte-zerbitzuen erabiltzaileekin eta pertsona kalteberekin zerikusia duten praktiken kasuetan.

8. Ikasleek ikerketa-proiektuetan parte hartzea.

Ikasleek ikerketa-proiektuetan parte hartzen badute, haien baimen informatua beharko da, aplikatzekoa den araudian jasotako baldintzetan. Partaidetza borondatezkoa bada, ezingo da ebaluazio akademikorako kontuan hartu.

Unibertsitateko ikerketa.

1. Sarrera.

Politika honetan, ikasketa-amaierako lanak, doktoretzak eta NUPeko irakaskuntza- eta ikerketa-esparruko ikerketa-proiektuak egitearekin lotutako datu pertsonalen tratamenduari buruzko zenbait orientabide jaso dira.

Orientabideok bi ikuspegitatik egin dira: bata didaktikoa, eta bestea operatiboa. Alderdi didaktikoan, datuen babesaren arloan kontuan hartu beharreko kontzeptuak argitzen dira. Alderdi operatiboak, berriz, arlo horretan jarduteko printzipioak nabarmentzen ditu, eremuko arauak betetzen laguntzeko.

Ikasketa-amaierako lana, doktoretza edo proiektua egiteko datu pertsonalak tratatu behar badira, aplikatzekoa den araudia bete beharko da: EBren Datuak Babesteko Erregelamendu Orokorra (DBEO) eta 3/2018 Lege Organikoa, datu pertsonalak babesteari eta eskubide digitalak bermatzeari buruzkoa (DPBEDBL).

Adibidez, datu-tratamendua egiten da kasu hauetan: online inkestak eta inprimakiak, paperezko galdetegiak, elkarrizketen grabaketa, pertsona bati buruzko soinu edo irudien erregistroa, pertsona bati buruzko informazioa idatziz jasotzea, pertsona baten itxura, mugimenduak edo beste ezaugarri batzuk biometrikoki erregistratzea, datu pertsonalak dituzten artxiboak atzitzea, etab.

Interesdunekin kontaktatzean eta haiek hautatzean ere (telefono-zerrenda, posta elektroniko bat igortzea, parte-hartzeko inprimakiak, hautatzeko aurretiazko baheketak...) datu pertsonalak tratatzen dira eta, horregatik, datuak babesteko araudia bete behar da, halakoetan ere.

Ondorioz, akademiako lanean edo ikerketa proiektuan aritzean egiten diren datu-tratamendu guztiei heldu behar zaie. Horregatik, ikerketako edo akademiako jarduerarekin lotutako tratamenduez gain, aintzat hartu behar dira, halaber, interesdunekin kontaktatzeko eta haiek aukeratzeko egindakoak eta aipatutako jarduera prestatu, garatu edo amaitzearekin lotutako beste guztiak.

2. Erantzukizun-rolak datu pertsonalen tratamenduan.

Unibertsitatea da datuen tratamenduaren arduraduna; hau da, datuak babesteko araudia betearazteko erantzukizuna du. Tesien eta ikasketa-amaierako lanen zuzendariek eta zuzendari akademikoek ekimen akademiko horietan aipatutako arauak betetzen direla bermatzeko barne-erantzukizuna dute. Unibertsitateko ikasleek baimena dute datuak Unibertsitatearen kontura eta erreferentziazko zuzendariaren jarraibideei jarraikiz tratatzeko. Ikerketa-proiektuetan, ikertzaile nagusia barne-arduraduna eta datuak tratatzeko baimendutako pertsona da, aldi berean. Proiektuan datuak tratatzen aritzen den beste edozein ikertzaile datuak tratatzeko baimendutako pertsona soilik izango da eta, beraz, barne-arduradunaren edo ikertzaile nagusiaren jarraibideak bete beharko ditu.

Ikerketa-proiektua edo -lana beste erakunde batek kontratatutako zerbitzu baten barruan badago, erakunde hori izango da tratamenduaren arduraduna. Halakoetan, NUP izango da tratamenduaren eragilea; hau da, tratamenduaren arduradunaren kontura jardungo du. Doktoretzako eta ikasketa-amaierako lanetako ikasleak eta ikertzaile nagusi ez diren ikertzaileak datuak zuzenean eragilearen (NUP) eta zeharka arduradunaren (erakunde kontratatzailea) kontura tratatzeko baimendutako pertsonak izango dira. Ikasketa-amaierako lanen eta doktoretzen zuzendariak barne-erreferenteak izango dira eta aplikatzekoa den araudia betetzen dela zainduko dute. Ikertzaile nagusiak aldi berean izango dira pertsona baimenduak eta barne-erreferenteak.

3. Datuak Babesteko Unitatearen eginkizuna.

Datuak Babesteko ordezkariak edo Unitateak ikasleei laguntza eta aholkua eman behar die, eta, hala badagokio, baita haien zuzendariei ere. Ikerketa-proiektuetan, eginkizun hori betetzeko, ikertzaile nagusiarekin harremana izango da, eta, behar izanez gero, baita proiektu horietan parte hartzen duten beste ikertzaile batzuekin ere.

4. Ikerketaren eremuko tratamenduen erregistroa.

Unibertsitateak erregistratu egingo ditu doktoretzak, ikasketa-amaierako lanak, ikerketa-proiektuak eta ikerketako beste ekimen akademiko batzuk egiteko martxan jarritako datu pertsonalen tratamendu oro.

Lanak, doktoretzak edo ekimenak egin dituzten ikertzaile edo ikasleek dagokion informazioa emango dute behar bezala erregistratzeko. Unibertsitateak ikertzaile eta ikasle horiek informazio zehatza ematen dutela bermatuko du, hornikuntza hori protokolizatuz.

Doktoretzako eta ikasketa-amaierako lanetako zuzendariek eraginpeko datuen tratamenduak erregistratzea ahalbidetzen duen informazioa emateko eskatuko diete ikasleei. Ikertzaile nagusiak arduratuko dira zeregin horretaz. Unibertsitateak Datuak Babesteko Ordezkariaren edo Unitatearen laguntza izango du eta, horregatik, beharrezkoa den informazioa emango dio.

5. Informazioaren segurtasun-neurriak.

Beharrezkoak diren neurri teknikoak eta antolamendu-neurriak hartu behar dira segurtasun- eta konfidentzialtasun-maila egokiak lortzeko. Neurrion artean, nabarmentzekoak dira zifratzea eta izenordetzea.

Zifratzeari esker, intereseko informaziorako sarbidea kodetu daiteke. Hala, kode hori ezagutzen duenak soilik atzi dezake informazioa.

Izenordetzean, izenordetu nahi diren datuekin lotutako bi zerrenda sortu behar dira. Zerrenda batean, datu horien atzeko pertsonen identitateak sekuentzia alfanumeriko batekin lotzen dira. Bestean, sekuentzia alfanumeriko hori ikerketarako interesekoak diren aldagai informatiboekin lotzen dira. Kontua da pertsonen identitateak eta intereseko aldagai informatiboak bereiztea, zerrenda desberdinetan kokatuz.

6. Baimen informatua eta datu-tratamenduei buruzko informazioa.

Ikusi behar da ea datuen tratamendua borondatezkoa den eta interesdunen baimenean oinarritzen den (DBEOren 6.1.a eta 9.2.a artikuluak) edo 6. eta 9. artikuluetan jasotako beste oinarri juridiko batzuk dituen oinarritzat.

Baimen informatuak edo beste oinarri juridiko batzuekin lotuta emandako informazioak, besteak beste, honako alderdi hauek identifikatu behar ditu: tratamenduaren arduraduna, tratamenduaren xedea eta baldintzak, tratatu beharreko datuak, eskubideen erabilera, datuak babesteko ordezkariarekiko harremana, tratamenduaren xedea eta oinarri juridikoa, segurtasun-neurriak eta kontserbazio-epea.

7. Ikerketa sanitarioa.

Arlo sanitarioko ikerketetan, osasun-datuen izaera berezia hartuko da kontuan. Ikerketa horietan, beren borondatez parte hartzen duten pertsonen baimena eskatuko da. Parte-hartzea ez bada borondatezkoa edo baimenean oinarritzen ez bada, ahalmena ematen duen oinarri juridikoa identifikatu eta dagokion informazioa eman beharko da.

Izenordetutako datuak tratatzeko, dagokion izenordetze-prozesua egin beharko da aldez aurretik. Prozesu horretan, identifikazio-datuak eta aldagai sanitarioak bereiziko dira, bereziki, ordenamenduaren arabera datu izenordetuak berariazko baimenik edo horri buruzko informazio puntualik gabe tratatu daitezkeenean.

Izenordetu beharreko datuen bertsio osoa duen eta datu horiek zuzenbidearen arabera lortu dituela justifikatu dezakeen erakundeak egingo du bereizketa. Erakunde horrek ezin badu beharrezkoa den izenordetzea egin, ikerketa sanitarioko proiektuan edo lanean laguntzen duen beste erakunde baten esku utzi ahal izango da. Betiere, eginkizun hori ezingo du egin ikerketa sanitarioko proiektua edo lana kudeatzen duen ikertzaileak edo ikasleak; hala, ikertzaile edo ikasle horrek ezingo ditu ezagutu identifikazio-datuak.

8. Ingeniaritzarekin lotutako ikerketa.

Mota horretako ikerketei buruzko proiektu edo lan akademikoek datuak babesteko araudia beteko dute, baldin eta proiektu edo lan horiek datu pertsonalen tratamendua sortzen badute. Ikasle eta ikertzaileek pertsonek emandako informazioaren erabilerari buruzko gogoeta egin eta informazio hori datu pertsonala den ala ez hausnartuko dute.

Arreta berezia jarriko da behar bezalako bermeak ezartzeko ebaluazio eta erabaki automatizatuen kasuan, profilatuak egitean, adimen artifiziala erabiltzean, geolokalizazioan, biometrian, mugimenduko edo komunikazioko datuak atzitzean eta halako ikerketetan dauden beste datu-tratamenduko eragiketa batzuk egitean.

9. Ikerketa soziologikoa.

Ikertzaileek behar besteko prestakuntza-maila izan beharko dute arlo horretan, indarrean dagoen araudia behar bezala betetzen dela bermatzeko.

Langileok beharrezkoak diren neurriak hartuko dituzte ikerketa-proiektuetako parte-hartzaileak hautatzeko orduan. Elkarrizketak eta inkestak egiteko eta artxiboetara sartzeko, egiaztatu beharko da aldez aurreko baimena dagoela edo juridikoki jasotako bermeen arabera gaitzen duen beste lege-oinarri bat dagoela. Era berean, behar bezala gorde eta ezabatuko dira erregistratutako inkestak eta elkarrizketak eta artxiboetatik datorren informazioa.

10. Doktoretzarekin lotutako ikerketak.

Doktoregaiak eta tesi-zuzendariak Datuak Babesteko Unitatearekin harremanetan jarri beharko dira beren ikerketekin lotutako datuen tratamenduak kontsultatzeko, ikerketok datu pertsonalak dituztenean. Era berean, Datuak Babesteko Unitateari bere aholkularitza-lana egiteko beharrezkoa den informazioa eta harremanetarako datuak jakinaraziko zaizkio. Nafarroako Doktoretza Eskolak edo erakunde baliokide batek informazio hori eta datu horiek helarazteko erraztasunak emango ditu.

11. Ikasketa-amaierako lanarekin lotutako ikerketak.

Ikasketa-amaierako lanetako ikasleak eta zuzendariak Datuak Babesteko Unitatearekin harremanetan jarri beharko dira beren ikerketetan egin beharreko datu-tratamenduak kontsultatzeko, ikerketok datu pertsonalak dituztenean. Era berean, Datuak Babesteko Unitateari bere aholkularitza-lana bermatzeko beharrezkoa den informazioa jakinaraziko zaio, bereziki babestutako tratamenduak sortzen dituzten, datu bereziak erabiltzen dituzten edo pertsona kalteberei eragiten dieten ikerketetan.

12. Azken ondorioa.

Datuen babesa ezartzea komeni da datu-tratamenduen diseinuan. Horretarako, Datuak Babesteko ordezkariaren edo Unitatearen laguntza izan behar da. Legeak betetzeko barne-eskakizunaz gain, aldizkari zientifikoek, erakunde finantzatzaileek eta datuak eskuratzea edo intereseko pertsonen datuak atzitzeko edo haiekin harremanetan jartzeko aukera ematen duten erakundeek datuen babesa betetzen dela egiaztatzeko eskatzen dute, gero eta sarriago.

Iragarkiaren kodea: F2209612