Ebazpenak - Datu Pertsonalen babesa

27/18 EBAZPENA, 2018ko maiatzaren 28koa, Nafarroako Arartekoaren erakundean datu pertsonalen babesaren gaineko eragina ebaluatzea onesten duena.

27/18 EBAZPENA, 2018ko maiatzaren 28koa, Nafarroako Arartekoaren erakundean datu pertsonalen babesaren gaineko eragina ebaluatzea onesten duena.

2018ko maiatzaren 25ean indarrean izango da 2016/679 (EB) Erregelamendua, Europako Parlamentuarena eta Kontseiluarena, 2016ko apirilaren 27koa, datu pertsonalen tratamenduari dagokionez pertsona fisikoak babesteari buruzkoa (aurrerantzean, Europar Batasunaren Datuen Babeserako Erregelamendua).

Europar Batasuneko Erregelamendua agintari publikoei aplikatzekoa da, eta Erregelamenduan ezarritakoaren arabera, zenbait eginkizun bete beharra dakarkie haiei.

Europar Batasuneko Erregelamenduaren 35. artikuluak dio tratamendu-mota batek, bere izaeragatik, irismenagatik, testuinguruagatik edo helburuengatik, pertsona fisikoen eskubide eta askatasunak arrisku handian jar baditzake, tratamendu-eragiketek datu pertsonalen babesean zer eragin izango duen ebaluatu beharko duela tratamenduaren arduradunak, tratamendua egin baino lehen.

Ebazpen honen proiektuaren aldeko txostena eman du Nafarroako Arartekoaren erakundean egiten den datu pertsonalen tratamendua Europar Batasunaren Datuen Babeserako Erregelamendura egokitzeko Batzordeak. Batzorde horren kide oso dira erakundeko datu pertsonalen babeseko ordezkaria, tratamenduaren arduraduna eta tratamendu-eragilea.

Ondorioz, 2005eko azaroaren 21ean Nafarroako Legebiltzarreko Mahaiak onartutako Nafarroako Arartekoaren Antolaketaren eta Funtzionamenduaren Araudiaren 7. artikuluan xedatutakoa betez,

HAU EBAZTEN DUT:

1. Tratamendu-eragiketen deskribapen sistematikoa:

   Nafarroako Arartekoko instituzioan, hurrengo datu pertsonalen tratamendua egiten da:

   1. * Oro har:
      • Erakundean aurkezten diren idazkiak eta dokumentuak jasotzea, artxibatzea, eta haien sarrera- eta irteera-kontrola egitea.
   2. * Kexekin zerikusia duen guztian (herritarren proposamenak eta, hala dagokionean, ofiziozko jarduketak barne):
      • Nafarroako Arartekoari zuzendutako idazki eta dokumentuak jasotzea, haien sarrera-kontrola egitea eta artxibatzea.
      • Pertsona interesdunei, administrazioei eta erakundeei zuzendutako idazki eta dokumentuak bidaltzea eta haien irteera-kontrola egitea.
      • Pertsona interesdunengandik, administrazioetatik eta erakundeetatik jasotako idazki eta dokumentuak jasotzea, haien sarrera-kontrola egitea eta artxibatzea.
      • Kexen laburpen bat egitea eta laburpen hori erakundearen gune digitalean argitaratzea (datu pertsonalak ezabatuta).
      • Nafarroako Arartekoak emandako ebazpenak erakundearen gune digitalean argitaratzea (datu pertsonalak seudonimizatuta).
   3. * Kontsultekin, telefono-deiekin, hitzordu-eskaerekin eta bisitekin zerikusia duen guztian:
      • Nafarroako Arartekoari hitzorduak eskatzeko eta kontsultak egiteko idazkiak jasotzea, haien sarrera-kontrola egitea eta artxibatzea.
      • Telefono-deiak jasotzea.
      • Bisitei harrera egitea.
   4. * Erakundeko langileekin zerikusia duen guztian:
      • Nafarroako Arartekoaren erakundeko plantilla organikoa kudeatzea, eta nominak egitea eta kontrolatzea; horren barnean sartzen dira hautaketa, altak, bajak eta egin behar diren aldaketak gauzatzea, bai eta erakundearen zerbitzura dauden langileei egin beharreko beste ordainketa eta ordainsari batzuk kudeatzea ere.Hori guztia administrazio publiko eskudunei –Ogasun Publikoa, Gizarte Segurantza, montepioak, bankuak eta organo judizialak– nominekin, zergekin, eskubide pasiboekin, altekin eta bajekin, kotizazio-oinarriekin, istripuekin eta gaixotasunekin eta abarrekin lotutako datuak, beharrezkoa denean, jakinarazita, eta araudi hauen arabera: zerga-araudia, gizarte segurantzaren araudia, administrazio publikoetako langileen eskubide pasiboen araudia eta prozedura-araudia.
   5. * Erakundearen jarduera administratiboarekin, kontabilitate-jarduerarekin eta kudeaketa finantzario-ekonomikoarekin zerikusia duen guztian:
      • Erakundearen jarduera administratibotik, kontabibilitate-jardueratik eta jarduera ekonomiko-finantzariotik eratorritako dokumentuak, kontabilitateko egoera-orriak eta kontratazio-espedienteak izapidetzea eta kontrolatzea, eta haien jarraipena egitea.Hori guztia administrazio publikoei, Ogasunari eta bankuei (transferentziak eta ordainketa-aginduak egiteko), beharrezkoa denean, jakinarazita, bai eta, hala badagokio, organo judizialei ere, prozedura-araudiaren arabera.
      • Erakundearen barne-jarduerarekin lotuta Nafarroako Arartekoak emandako ebazpenak erakundearen gune digitalean argitaratzea (datu pertsonalak seudonimizatuta).
   6. * Erakundeko bideozaintzarekin zerikusia duen guztian:
      • Erakundearen egoitzako sarrerako bideozaintzako kamerak grabatutako irudiak ikuskatzea.

2. Tratamendu-eragiketek beren helburuei begira duten beharraren eta proportzionaltasunaren ebaluazioa. Tratamenduaren oinarriko juridikoa.
   Nafarroako Arartekoaren erakundeak, aginte publiko baten funtzioak betetzen dituen aldetik, datu pertsonalen tratamendua egin behar du betetzekoa duen interes publikoko xedea betetzeko, eta tratamenduaren arduradunari aurreko puntuetan adierazi diren legeek ematen dizkioten borete publikoak egikaritzeko.

   Jasotako datu pertsonalekin, erakundeak honako xede hauek ditu helburu:

   • Nafarroako Arartekoaren erakundeak, Nafarroako Parlamentuaren mendeko organoa eta haren goi-komisarioa den aldetik, herritarren eskubideak eta askatasunak babesteko eta babes horren maila handitzeko eginkizunak betetzea; izan ere, betekizun horiek dituela agintzen dute Konstituzioak, Nafarroako Foru Eraentza Berrezartzeari eta Hobetzeari buruzko Lege Organikoak, eta, zehazki, Lege Organiko horren 18 ter artikuluak, uztailaren 3ko 4/2000 Foru Legeak, Nafarroako Foru Komunitateko Arartekoari buruzkoak (gerora, foru-lege hori aldatu du maitzaren 17ko 6/2018 Foru Legeak), eta beste foru-lege batzuek.
   • Administrazioak egin ditzakeen abusuen eta zabarkeriengandik babestea herritarrak.
   • Nafarroako administrazio publikoen jarduera eta Nafarroako erakundeen zerbitzu publikoen jarduera aztertzea, eta egindako jarduketen berri ematea Nafarroako Parlamentuari.
   • Nafarroako Foru Komunitateko Administrazioak eta Nafarroako Foru Komunitateko toki-erakundeek eta erakunde publiko guztiek herritarrei ematen dizkieten zerbitzu publikoak hobetzea.
   • Herritarren interes legitimoen eta Nafarroako administrazio publikoek bete behar duten interes publikoaren arteko bitartekaritza- eta kontziliazio-lana egitea.
   • Herritarrei informazioa eta laguntza ematea, Administrazio publikoan erabil ditzaketen eskubideak behar bezala erabiltzeko.
   • Araubide orokorraren esparruan, Espainiako Herri Defendatzailearen funtzioekin eta haren pareko eginkizunak dituzten goi-komisario parlamentarioen funtzioekin koordinatzea bere eginkizunak.
   • Justizia Administrazioari laguntzea administrazio horri jartzen zaizkion kexetan.
   • Fiskaltzari laguntzea, legeek xedatutako moduan.
   • Erakundearen, langileen, instalazioen, jarduera administratiboaren eta ekonomikoaren eta gardentasunaren barne-kudeaketa egitea, behar bezala betetzeko legeek arautzen dituzten xedeak.

   • Erakundearen (langileen, instalazioen eta edukien) segurtasuna zaintzea bideokameraren bitartez eta, beharrezkoa baldin bada, beste neurri batzuen bitartez.

     Tratamenduaren oinarri juridikoa, 6.1 c) eta e) artikuluan ezarritakoari erreparatuz, Nafarroako Foru Eraentza Berrezarri eta Hobetzeari buruzko abuztuaren 10eko 13/1982 Lege Organikoaren 18.ter artikuluan dago, 7/2010 Lege Organikoa, Nafarroako Foru Eraentza Berrezarri eta Hobetzeari buruzko abuztuaren 10eko 13/1982 Lege Organikoak emandako erredakzioan alegia, uztailaren 3ko 4/2000 Foru Legean, Nafarroako Arartekoari buruzkoak [1.3, 11., 11 bis, 13., 16., 17., 19., 20., 21., 24., 26., 32. eta 35. artikuluetan], baita ere, gerorako beste lege batzuetan zeinak erakunde horrek dituen funtzioak edo eginkizunak handitzeko eta indartzeko eman direnak:

     15/2005 Foru Legea, abenduaren 5ekoa, haurrentzako eta nerabeentzako sustapenari, laguntzari eta babesari buruzkoa (14.3 artikulua).

     11/2007 Foru Legea, apirilaren 4koa, Nafarroako Foru Komunitateko Administrazioan Administrazio Elektronikoa ezartzekoa (lehen xedapen gehigarria).

     11/2012 Foru Legea, ekainaren 21ekoa, Gardentasunari eta Gobernu Irekiari buruzkoa (68.1 artikulua).

     8/2016 Foru Legea, ekainaren 9koa, Nafarroako Kontseiluari buruzkoa (14.2 artikulua).

     8/2017 Foru Legea, ekainaren 19koa, LGTBI+ pertsonen berdintasun sozialari buruzkoa (6.1 art.).

     Era berean, apirilaren 6ko 3/1981 Lege Organikoan, Herri Defendatzaileari buruzko legean ere badu oinarri juridikoa; eta azaroaren 6ko 36/1985 Legea, Herri Defendatzailearen erakundearen eta autonomia-erkidegoetan dauden antzeko figuren arteko harremanak arautzen dituena; eta Estatuaren prozedura legeetan.

     Beraz, tratamendu operazioak ezinbestekoak dira Nafarroako Arartekoko instituzioarentzat betetzekoa duen interes publikoko xedearentzat, herritarren eskubideen defentsan eta zerbitzu publikoaren hobekuntzan alegia, horrela ezartzen zaio abuztuaren 10eko 13/1982 Lege Organikoan Nafarroako Foru Eraentza Berrezarri eta Hobetzeari buruzko legeko 18.ter artikuluan, 7/2010 Lege Organikoak emandako erredakzioan alegia, uztailaren 3ko 4/2000 Foru Legean, Nafarroako Arartekoari buruzkoan baita ere, gerorako beste lege batzuetan zeinak erakunde horrek dituen funtzioak edo eginkizunak handitzeko eta indartzeko eman direnak.

     Bestalde, Nafarroako Arartekoko instituzioaren ustetan ordenamendu juridikoak emandako funtzioen barne dago datu pertsonalen tratamendua, beraz, interesatuen baimena ez da beharrezkoa izango eta dagokion kasutan datu horiek administrazio edota instituzio publikoei komunikatu ahal zaie, betiere euren funtziopean jarduten duenean, (Nafarroako administrazio publikoei ikuskatuak direnean, Espainiako Herri Defendatzaileari, autonomia-erkidegoetako goi-komisarioei, Herri Defendatzailearen parekoei, gaiak azter ditzaten, Nafarroako Kontseiluari, organo judizialei, fiskaltzari, etab.). Edozein modutan kexak interesdunen iniziatibaz aurkezten dira, uztailaren 3ko 4/200 Foru Legaren 21.1 artikuluak ezartzen duen moduan, eta, kasu gehienetan herritarrek aipatzen dituzten datuak lehenagotik administrazioaren esku daude. Gainera, instituzioak kontsideratzen du Nafarroako Arartekoaren instituzioaren xedea arautzen duten legeekin bat egoteko, herritarren bermeari buruz (13/1982 Lege organikoaren, abuztuaren 10ekoaren 18. Artikulua) Administrazio publikoen behar bat dela kexekin harremana duten datu pertsonalen komunikazioa, honela, ez da beharrezkoa izango interesdunaren baimena euren datu pertsonalen tratamendurako.

3. Pertsona fisikoen eskubide eta askatasunetarako arriskuen ebaluazioa.

   Datu pertsonalen tratamenduak ez ditu pertsonen eskubideak eta askatasunak arrisku handian jartzen, honako arrazoi hauengatik:

   1. Datu horiek tratatzen dituen erakundea aginte publiko bat da, eta Konstituzioak pertsonei aitortzen dizkien eskubideak bermatzeko eta babesteko zeregina du, legez.
   2. 2001. urtean funtzionatzen hasi zenetik erakundeak metatu duen esperientziak berak erakusten duenez, erakundeak datu pertsonalak zaintzen ditu, ez da datuen babesaren arloan gorabeherarik izan, eta ez da pertsonen eta familien intimitaterako eskubidean kalterik eragin.

   3. Datuen Babeserako Agentziak berak, Nafarroako Arartekoaren erakundearen fitxategiak onartu zituenean, arrisku txikikotzat jo zituen, haiek inskribatzean. Datu pertsonalei buruzko araubide horretan oinarrituta, datu pertsonalen fitxategiak arautu zituen Nafarroako Arartekoaren erakundeak. Berariaz, ekainaren 18ko 31/04 Ebazpena eta urriaren 17ko 38/07 Ebazpena eman zituen Nafarroako Foru Komunitateko Arartekoak (Nafarroako Aldizkari Ofizialean argitaratu ziren, 2004ko uztailaren 28an –90. zenbakia– eta 2007ko azaroaren 2an –137. zenbakia–, hurrenez hurren).

      Urriaren 17ko 38/07 Ebazpenak arautzen du honako fitxategi hauek dituztela datu pertsonalak:

      • Erregistro orokorrak.
      • Kexen erregistroak.
      • Kontsulten erregistroak.
      • Langileak kudeatzeko erregistroak.

      • Kontularitzako eta kudeaketa ekonomiko eta finantzarioko erregistroak.

        Bost fitxategi horietako segurtasun-neurriek maila oinarrizkoa dutela arautu da.

        Gerora, Nafarroako Foru Komunitateko Arartekoaren abenduaren 11ko 62/07 Ebazpenaren bidez (2008ko urtarrilaren 7an argitaratu zen Nafarroako Aldizkari Ofizialean), erakunde horren bideo-zaintzako fitxategia sortu zen, eta fitxategi horren segurtasun-neurriak maila oinarrizkoa duela arautu zen.

   4. Hirugarrenei transmititutako datuak jakinarazi behar ez direnean Nafarroako Arartekoaren erakundean geratzen dira, segurtasun-neurri egokien pean.
   5. Datu pertsonalak jakinarazten direnean, administrazio eta erakunde publiko eskudunei jakinarazten zaizkie, eta haiei herritarren eskubide eta askatasunen defentsarako txostena edo kudeaketa eskatzeko egiten da hori.
   6. Jarduketa gehienak herritarrek hala eskatu dutelako egiten dira.
   7. Administrazio publiko eskudunengandik jasotako datu pertsonalak dagokien pertsonei soilik jakinarazten zaizkie, eta ez beste pertsona inori.
   8. Komunikabideetara irits daitezkeen dokumentuak edo datuak, edo urteko txostenean edo txosten berezietan jasotzen direnak, seudonimizatu egiten dira.
   9. Pertsona fisikoen datuak ez zaizkie ematen esku-hartzaileak ez diren komunikabideei edo erakundeei, legeak horretara behartzen duenean izan ezik (organo judizialak...).
   10. Publikoak, oro har, eta esku-hartzaileak ez diren hirugarrenek ez dituzte pertsona fisikoen datu pertsonalak ezagutzen Nafarroako Arartekoaren erakundearen bitartez. Kexaren sustatzailea edo espediente batean interesa duen pertsonaren, administrazio eskudunaren eta Nafarroako Arartekoaren arteko lotura hertsira mugatzen da erakundearen jarduna, legeek ezartzen dituzten kasuekin eta baldintzekin bat etorriz, eta hirugarrenei daturik ezagutarazi gabe.
   11. Nafarroako Arartekoaren erakundeak ez ditu datu pertsonalak pertsonen profilak egiteko erabiltzen. Gutxitan, kexuak edo kontsultak aurkezten dituztenen datu estatistikoak eta datu orokorrak ateratzen dira, datu pertsonalik inoiz ezagutarazi gabe.
   12. Nafarroako Arartekoaren erakundeak egindako datu pertsonalen tratamendua ez da gizarte-babesari edo osasun publikoari buruzkoa, hau da, ez da arlo horretako administrazio edo enpresa batean antzeko baldintzetan edo egoeran egingo litzatekeena. Nafarroako Arartekoaren funtzio publikoa da Konstituzioak herritarrei aitortzen dizkien eskubideak babestea administrazioaren abusu zehatzen eta zabarkerien aurrean edo bidezkoak ez diren arauen aurrean, eta pertsona jakin batzuen gizarte-egoerari eta osasunari buruzko datuak ezagutu arren, Arartekoaren jarduketa-esparrua ez da zentzu hertsian gizarte-babesaren eta osasun publikoaren arloko eskumenak kudeatzea, baizik eta herritarren eskubideak defendatzea administrazio eskudunaren jarduera gainbegiratuta.

   13. Erakundearen barne-kudeaketarekin lotutako datuak kontratuzko harreman batetik edo antzeko batetik sortzen dira, eta harreman hori erakundearen funtzionamenduarekin lotuta dago beti.

       Hori horrela, Nafarroako Arartekoaren erakundeak egiten duen datu-tratamenduaren arriskua txikia dela jo daiteke.

4. Eragina ebaluatzearen komenigarritasuna.

   Europar Batasuneko Datuen Babeserako Erregelamenduaren 35.10 artikuluak honela dio: baldin eta 6.1 artikuluko c) edo e) letren arabera tratamenduaren oinarri juridikoa bada tratamenduaren arduradunari aplikatzen zaion Batasuneko edo estatu kide bateko zuzenbidea, eta zuzenbide horrek arautzen badu kasuan kasuko tratamendu-eragiketa espezifikoa edo eragiketa-multzoa, eta dagoeneko datu-babesaren gaineko eraginaren ebaluazioa egin bada, oinarri juridiko hori gauzatzearen testuinguruko eraginaren ebaluazio orokor baten zati moduan, ez dira aplikatuko artikulu honetako 1.tik 7.era bitarteko zenbakiak salbu eta estatu kideek uste badute tratamendu-jardueren aurretiko ebaluazio hori egitea beharrezkoa dela.

   Aipatutako 35.10 artikuluak xedatutakoarekin bat etorriz, baliteke tratamendu-jardueren aurretiko ebaluazioa nahitaezkoa ez izatea, Nafarroako Arartekoaren erakundearen jardueraren oinarri juridikoa Europar Batasuneko Datuen Babeserako Erregelamenduaren 6.1 artikuluko c) eta e) letretan jasoa baitago, eta 4/2000 Foru Legeak, uztailaren 3koak, datu pertsonalak jaso eta jakinarazteko aukera ematen baitio erakundeari bere zeregina betetzeko, herritarrek hala eskatuta edo ofizioz, eta, gainera, datu pertsonal asko gainbegiratutako administrazioaren esku baitaude jadanik.

   Hala eta guztiz ere, erakundeak ezagutzen eta gordetzen dituen datu pertsonalak hobeto zaintzen direla bermatzeko, komenigarritzat jotzen da datu pertsonalen gainean tratamendu-eragiketek izan dezaketen eraginaren ebaluazio bat onestea.

5. Onespena.

   Adierazitakoaren ondorioz, Nafarroako Arartekoaren erakundean datu pertsonalen babesaren gaineko eragina ebaluatzea onesten da, Europar Batasuneko Datuen Babeserako Erregelamenduaren 35.7 artikuluan jasotako edukia oinarri hartuta.

   Erakundeak egiten dituen tratamendu-eragiketa guztientzat ebaluazio bakarra egingo da, eta hauek hartuko ditu barnean:

   1. Aurreikusitako tratamendu-eragiketen eta tratamendu-helburuen deskribapen sistematikoa, bai eta tratamenduaren arduradunak bilatzen duen interes legitimoa ere (aurreko 1 eta 2 zenbakietan jasota dago).
   2. Tratamendu-eragiketek beren helburuei begira duten beharraren eta proportzionaltasunaren ebaluazioa (aurreko 2 zenbakian egin da).
   3. Interesdunen eskubideetarako eta askatasunerako dauden arriskuen ebaluazioa (aurreko 3 zenbakian jaso da).
   4. Arriskuei aurre egiteko aurreikusitako neurriak –datu pertsonalen babesa ziurtatzeko bermeak, segurtasun-neurriak eta mekanismoak barne–, eta Europar Batasuneko Erregelamenduarekin bat datozela frogatzeko neurriak (ondoko 6. zenbakian azaltzen dira).

6. Arriskuei aurre egiteko aurreikusitako neurriak, datu pertsonalen babesa ziurtatzeko bermeak, segurtasun-neurriak eta mekanismoak barne.

   Nafarroako Arartekoaren erakundean datu pertsonalen tratamenduan Datuen Babeserako Erregelamendu Orokorra aplikatzeko batzorde bat dago, eta haren funtzioak dira Datuen Babeserako Erregelamendu Orokorra aplikatzeko har litezkeen neurri egokienak aztertzea, txostenak egitea eta proposamenak aurkeztea.

   Batzordea osatzen dute tratamenduaren arduradunak, datuen babeserako ordezkariak eta tratamendu-egileak; horietako bakoitzak autonomia eta berezko irizpidea du, datu pertsonalak babesteko egokiena zer iruditzen zaion azaltzeko.

   Batzordea berehala bilduko da, kideetako batek balizko arrisku bat edo tratamenduen arrisku-mailan aldaketa bat hauteman eta hala eskatzen badu. Batzordeak beharrezkoak diren neurriak hartuko ditu arriskua murrizteko edo minimizatzeko, eta interesdunen eskubide eta askatasunak hobeto babesteko.

   Aholkularien eta arloan adituak diren pertsonen parte-hartzea eskatu ahal izango du batzordeak, eta adostutako neurriak inplementatzeko kontratuak egitea proposatu ahal izango du.

   Puntu honetan ezarritakoak ez ditu aldatuko datu pertsonalen babeserako ordezkariaren funtzioak eta eginkizunak.

   Oro har deskribatuko dira orain datu pertsonalen babesaren alorrean betetzekoak diren segurtasun-neurriak:

   1. Aurrekariak:

      Datu pertsonalei buruzko araubide horretan oinarrituta, datu pertsonalen fitxategiak arautu zituen Nafarroako Arartekoaren erakundeak.Berariaz, ekainaren 18ko 31/04 Ebazpena eta urriaren 17ko 38/07 Ebazpena eman zituen Nafarroako Foru Komunitateko Arartekoak (Nafarroako Aldizkari Ofizialean argitaratu ziren, 2004ko uztailaren 28an –90. zenbakia– eta 2007ko azaroaren 2an –137. zenbakia–, hurrenez hurren).

      Urriaren 17ko 38/07 Ebazpenak arautzen du honako fitxategi hauek dituztela datu pertsonalak:

      • Erregistro orokorrak.
      • Kexen erregistroak.
      • Kontsulten erregistroak.
      • Langileak kudeatzeko erregistroak.

      • Kontularitzako eta kudeaketa ekonomiko eta finantzarioko erregistroak.

        Bost fitxategi horietako segurtasun-neurriek maila oinarrizkoa dutela arautu da.

        Gerora, Nafarroako Foru Komunitateko Arartekoaren abenduaren 11ko 62/07 Ebazpenaren bidez (2008ko urtarrilaren 7an argitaratu zen Nafarroako Aldizkari Ofizialean), erakunde horren bideo-zaintzako fitxategia sortu zen, eta fitxategi horren segurtasun-neurriak maila oinarrizkoa duela arautu zen.

        Datu pertsonalen fitxategi automatizatuetarako segurtasun-dokumentu bat sortu zen 2007an, erregistro orokorra izateko. Dokumentu horrek xedatutakoek osatu edo orientatu egin dezakete ebazpenak arautzen ez duena, Europar Batasunaren Datuen Babeserako Erregelamenduarekin bat datorren neurrian.

   2. Administratiboak:

      Erakundean lan egiten duten pertsonek soilik hartzen, erregistratzen eta artxibatzen dituzte datu pertsonalak.

      Erakundeko pertsona guztiak Nafarroako Arartekoaren (erantzulearen) mendeko zuzenak dira, eta, ondorioz, arartekoaren mende lan egiten duten pertsona guztiek haren jarraibideak bete behar dituzte datu pertsonalak tratatzeko, baldin eta datu pertsonetarako sarbidea baldin badute.

      Datu pertsonalak eskura ditzaketen lanpostuen zerrenda kudeatzen du tratamenduaren arduradunak.

      Identifikatuta daude artxibo eta sistema informatikoetarako sarbidea duten pertsona guztiak. Erakundean lan egiten duten langileek edo, kasuan kasu, kontratatutako enpresen langileek soilik dute sarbide hori.

      Datuak erregistratzen eta artxibatzen dituzten pertsonek tratamenduaren arduradunaren (Kudeaketa Administratiboko teknikariaren) jarraibideak bete behar dituzte.

      Erakundean lan egiten duten pertsonek konfidentzialtasunerako betebeharra dutela arautzen du Nafarroako Foru Komuniteko arartekoaren Antolaketa eta Funtzionamendu Erregelamenduaren 27. artikuluak (Nafarroako Parlamentuko Mahaiak onartu zuen erregelamendu hori, 2005eko azaroaren 21ean): Nafarroako Foru Komunitateko arartekoaren zerbitzuko langile orok isilpean gorde beharko ditu erakundean izapidetutako gaiak. Betebehar hori ez betetzeari zehapena egokituko zaio, erregelamendu honetan xedatutakoarekin bat. Diziplina-zehapenen araubidea xedatzen du 28. artikuluak. Pertsona horiek, zerbitzua ematean, erabateko dedikazioko araubidea izanen dutela arautzen du 26.1 artikuluak.

      Nafarroako arartekoaren mendeko zuzenak dira bulegoko pertsona guztiek.

      Xede instituzionala betetzean tratatzen diren datuak administrazio publikoei, instituzio publikoei, organo judizialei, agintari publikoei eta, beharrezkoa denean, funtzionario publikoei soilik komunikatuko zaizkie, uztailaren 3ko 4/2000 Foru Legeak, Nafarroako Foru Komunitateko arartekoari buruzkoak, arautzen dituen interes publikoko xedeak eta indarreko legeak betetzeko eta, beti, legeek arautzen duten moduan.Erakundeak, bere jardunbidean, legezkotasun-printzipioa bete behar du.

   3. Fisikoak:

      Datu pertsonalak dituzten dokumentuak espedienteetan gordetzen dira, eta horiek, era berean, urteen arabera sailkatuta artxibatzen dira:

      1. Armairuetan, sarrailadun ate bakarra duten geletan.Amaitutako espedienteak gordetzen dira armairu horietan, hau da, espediente gehienak.

      2. Giltzaz itxitako armairuetan gordetzen dira tramitatzen ari diren espedienteak.

         Erakundea 2001ean sortu eta eratu zen, eta orduz geroztik egin diren espediente guztiak paper-formatuan gordetzen dira, karpetetan eta kaxetan sartuta, erakundearen egoitzan (Emilio Arrieta kalea 12 behea).

         Bideo-zaintzako kamera batek kontrolatzen du eraikinerako sarbidea, eta erakundeko geletara nor edo nortzuk sartzen diren behatzeko eta erregistratzeko aukera ematen du.

         Horrez gainera, alarma-sistema bat dago, eta bulegoa itxita eta langilerik gabe dagoenean aktibatzen da, gauetan eta egun baliogabeetan.

         Bulegoan mantentze- eta garbiketa-lanak egiten dituzten pertsonak beren eginkizunei dagozkien lanak egitera bakarrik sartzen dira lokalera (pertsona horiek ez dira erakundearen plantillako langileak, eta kontratu publikoen legediaren arabera kontratatu dira).

         Erantzulearen edo arduradunaren baimena eskuratu ondoren soilik atera daitezke lokaletatik kanpora datu pertsonalak daramatzen dokumentuak (baimena eman duenak horren berri eman behar die datuen babesaren arduradunari eta ordezkariari).

         Zenbait neurri betetzen dira suterik, uholderik, suntsiketa partzialik edo osorik, lapurretarik edo dokumentuen alteraziorik gerta ez dadin, eta neurri horiek nahiko direla ulertzen da, horiek hobetzeko aukerak izan daitezkeen arren.Aurreko urteetan ez da datu pertsonalen galerarik, lapurretarik edo alteraziorik gertatu arrazoi horien ondorioz.

   4. Informatikoak:
      1. Erakundeak aplikazio informatiko propio bat du, eta aplikazio horretan jasotzen dira kexak, ofiziozko jarduketak, txostenak eta pertsona interesdunen datuak eta agiriak dakartzaten gainerako dokumentu guztiak.Erakundeko langileek erabiltzen dute aplikazioa, kexak kudeatzeko lan-tresna baita.Aplikazio informatikoa abian jarri eta eguneratzeko, Andaluziako Herri Defendatzailearen erakundeak utzitako aplikazio informatikoa erabili zen, eta egokitzapen tekniko batzuk egin zitzaizkion, Nafarroako arartekoaren jarduera propioa eta berariazkoa gauzatzeko.Informatika-zerbitzuen enpresa bat kontratatu zen lan hori egiteko.Kontratu publikoen legediaren eskakizunak beteta, enpresa horrek ematen du aplikazioaren zaintza-lanak egiteko laguntza teknikoa, aplikazioa egokitzekoa eta segurtasun informatikoa bermatzekoa.Aplikazio informatikoaren funtzionamenduak eta erabilerak ez du intzidente adierazgarririk eragin.

      2. Windows sistema-eragilea erabiltzen da kexak eta dokumentuak artxibatzeko eta idatziak egiteko (hartu-agiriak, administrazio publikoei bidali behar zaizkien idatziak, interesatuei bidali behar zaizkienak, etab.).Sare lokala da, ez du konexiorik beste sare lokal batzuetara eta sare hori da sarbide bakarra, ezin baita kanpotik sartu sare horretara.

         Dokumentuak eta idatziak hartu eta bidaltzeko sistema informatikoak erabiltzen dira administrazio eta erakunde publiko batzuekin (Nafarroako Gobernuarekin, Iruñeako Udalarekin, Tuterako Udalarekin eta beste batzuekin).

         Kontratu publikoen legediak arautzen duena beteta, enpresa batek zerbitzu informatikoak ematen dizkio Nafarroako arartekoari, erakundearen sistema informatikoaren eta erakundeak bere esku dituen datu pertsonalen konfidentzialtasuna, osotasuna, eskuragarritasuna eta erresilientzia bermatzeko.

      3. Intzidente fisikoak edo teknikoak gertatuz gero, datu pertsonalen sarbidea eta eskuragarritasuna azkar leheneneratzeko aukera izango dela bermatzen da beste enpresa baten bidez.

      4. Aplikazio informatikoan eta Windows sistema eragilean dagoen informazio guztiaren segurtasuneko kopia bat egiten da egunero, astelehenetik ostiralera.

         Erakundearen gailu berezi batean gordetzen da kopia, leku seguru batean, zerbitzarietatik urrun eta hamabost egun balioduneko epean.Erantzuleak eta arduradunak soilik har dezakete kopia erabiltzeko erabakia (horren berri eman behar diote babeseko ordezkariari).

      5. Aplikazio informatiko eta sistema eragile horietara sartzeko, erabiltzailea eta pasahitza daramaten sarbide-gakoak erabiltzen ditu pertsona bakoitzak, eta, horrez gainera, pantaila-babesak eta aldi baterako blokeoak erabiltzen dira.Pantailen, inpresoren eta lanpostu bakoitzera konektatutako gainerako gailuen kokapen fisikoak bermatu egiten du konfidentzialtasuna.

         Debekatuta dago kanpo-sare edo -sistemetatik konektatzea fitxategietara, salbu eta arduradunak horretarako baimen berariazkoa ematen baldin badu.

         Erantzulearen edo arduradunaren baimena eskuratu ondoren soilik atera daitezke lokaletatik kanpora datu pertsonalak daramatzen euskarri informatikoak (baimena eman duenak horre berri eman behar die datuen babesaren arduradunari eta ordezkariari).

      6. Aplikazio informatiko bat erabiltzen da langileak kudeatzeko (nominak) eta beste bat erakundearen ekonomia eta aurrekontuak kudeatzeko, eta biek darabiltzate datu pertsonalak.Kudeaketa Administratiboko teknikariak erabiltzen ditu aplikazio horiek.Enpresa banaren bidez ematen dira, kontratu publikoen legediaren eskakizunak beteta, aplikazioaren zaintza-lanak egiteko laguntza teknikoa, aplikazioa egokitzekoa eta segurtasun informatikoa bermatzekoa.Aplikazio informatiko horien funtzionamenduak eta erabilerak ez du intzidente adierazgarririk eragin.
      7. Irudiak grabagailu batean artxibatzen dira, eta modu automatikoan ezabatzen dira, egutegiko hogeita hamar egun igarotzean.

   5. Seudonimizazio-bermeak:

      Kendu egiten dira datu pertsonalak erakundearen gune digitalean (www.defensornavarra.es) argitaratzen diren ebazpenetatik eta dokumentuetatik, datu pertsonalik ez bistaratzeko.Ebazpenak eta dokumentuak argitaratzean, kexa-egileen datu pertsonalik ez dela aipatzen egiaztatzen du erakundeak.

      Datu pertsonalak daramatzaten informazioak eskatzen baldin badituzte hirugarren pertsonek, ukitutako pertsonen adostasuna eskatzen da, edo datu pertsonalak ezabatzen dira, ukitutako pertsona fisikorik ez identifikatzeko.

7. Kontrol-aginteari kontsulta.

   Ez da beharrezkotzat joko kontrol-aginteari (hau da, Datuen Babeserako Espainiako Agentziari) aurrez kontsulta egitea tratamendua egin baino lehen. Izan ere, Europar Batasuneko Datuen Babeserako Erregelamenduaren 35. artikuluaren arabera, arriskuaren ebaluazioak adierazten du tratamendu horrek ez duela arrisku handirik.

   Eta ez da ikusten gaur egun Espainiako estatuan edo Nafarroako Foru Komunitatean inolako legek behartzen duenik Nafarroako Arartekoaren erakundea, tratamenduaren arduraduna den aldetik, datuen tratamenduari buruz aginte-kontrolari kontsulta egitera eta haren aurretiko baimena lortzera, arduradun batek interes publikoko zeregin bat bete behar duenean, eta bereziki gizarte-babesarekin eta osasun publikoarekin lotutako tratamendu bat egin behar duenean (Europar Batasuneko Datuen Babeserako Erregelamenduaren 36. artikulua).

8. Jakinarazpena.

   Ebazpen hau erakundeko datu pertsonalen tratamenduaren arduradunari, datuen babeseko ordezkariari eta tratamendu-eragileari jakinaraztea.

9. Argitalpena.

   Ebazpen hau erakundearen gune digitalean (www.defensornavarra.es) argitaratzea, bere hedadura handitzeko.

Iruña, 2018ko maiatzaren 28an.

El Defensor del Pueblo de Navarra

Nafarroako Arartekoa

Francisco Javier Enériz Olaechea