Erabakia, 2019ko otsailaren 27koa, Universidad del País Vasco/Euskal Herriko Unibertsitateko Gobernu Taldearena, onartzeko Idazkari Nagusiaren eta Gerentearen baterako proposamena, hau da: eguneratzea datu pertsonalak babesteari buruzko UPV/EHUren arautegiko II. eranskineko II. suposamendu zehatza, “UPV/EHUren aginduz datuak tratatzen dituzten kanpoko enpresek hartu beharreko konpromisoak” izenburuduna (Gobernu Kontseiluak 2008ko apirilaren 10ean onartutako arautegia)

2016ko apirilaren 27an onartu zen Europako Parlamentuak eta Kontseiluak apirilaren 27an emandako 2016/679 EB Erreglamendua, datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez pertsona fisikoak babesteari buruzkoa, eta urte bereko maiatzaren 4an argitaratu zen Europako Batasuneko Aldizkari Ofizialean; horren bidez, era berean, indargabetu egin zen 95/46/CE Zuzentaraua, datuen babesari buruzko erreglamendu orokorra. Erreglamendu berria Aldizkari Ofizialean argitaratu eta hogeigarren egunean sartu zen indarrean, eta 2018ko maiatzaren 25etik aurrera ezarri beharrekoa zen, bere osotasunean, Europar Batasuneko herrialde guztietan, 99. artikuluan zehaztutakoari jarraituz.

Bestalde, uztailaren 27ko 5/2018 Errege Lege Dekretuak, datuen babesaren arloan Europako Batasuneko arautegia Espainiako zuzenbidera egokitzeko premiazko neurriei buruzkoak (30eko BOE), xedapen iragankorretatik bigarrenean zehaztu zuen, tratamenduaren arduradunaren kontratuei dagokionean, tratamenduaren arduradunaren kontratua 2018ko maiatzaren 25a baino lehen egindakoa denean abenduaren 13ko 15/1999 Lege Organikoak, Izaera Pertsonaleko Datuak Babesteari buruzkoak, 12. artikuluan zehaztutakoaren babesean, kontratuak indarrean jarraituko duela indarraldia bukatu arte, eta kontratua mugagabea denean, 2022ko maiatzaren 25ean bukatu dela kontratu horren indarraldia. Era berean, zehazten du epe horretan aldeetako edozeinek eska diezaiokeela besteari kontratua aldatzea egokitzeko 2016/679 EB Erreglamenduak 28. artikuluan zehaztutakoari.

Azkenik, 2018ko abenduaren 6ko BOEn abenduaren 5eko 3/2018 Lege Organikoa argitaratu zen, datu pertsonalak babesteari eta eskubide digitalak bermatzeari buruzkoa, eta 33. artikuluan tratamenduaren arduradunaren irudia arautzen du.

Datuak babesteari buruzko aurreko araudiari jarraituz, Gobernu Kontseiluak, 2008ko apirilaren 10eko bileran, datu pertsonalak babesteari buruzko UPV/EHUren arautegia onartu zuen (2008ko irailaren 29ako EHAA), eta arautegi hori izan da oinarri unibertsitatean datu pertsonalak tratatu dituztenentzat arautegi horretako eranskinen arabera.

UPV/EHUren arautegiko azken xedapenak dio: "Aldian behin arautegi hau berrikusi egingo da, izan daitezkeen arauzko eskakizun berrien arabera, edo aurkitzen diren arautu beharreko suposamenduen arabera. Eranskinak aldatu edo gehitzeko erabakiak hartu ahal izango dira UPV/EHUko Zuzendaritza Kontseiluko kideen botoen gehiengoarekin eta Idazkaritza Nagusiaren eta Gerentziaren baterako proposamenarekin".

Azaldutako lege eremuan, aldatu eta egokitu beharra dago datu pertsonalak babesteari buruzko UPV/EHUren arautegiko II. eranskina, datu pertsonalen tratamenduari buruzko suposamendu zehatzen ingurukoa, eta, hain zuzen ere II. SZ "UPV/EHUren aginduz datuak tratatzen dituzten kanpoko enpresek hartu beharreko konpromisoak" delakoa. Horrela, lehen aipatutako 5/2018 Errege Lege Dekretuaren babesean, unibertsitateko zerbitzu eta egituretako langileek erreferente bat izango dute eta indarreko legediak zehaztutakoa bete ahal izango dute datu pertsonalak tratatzerakoan.

Hori guztia kontuan hartuta, UPV/EHUko gobernu taldeak, 2019ko otsailaren 27an egindako bileran, idazkari nagusiak eta gerenteak egindako betarako proposamen hau onartzen du.

ERABAKIA

LEHENENGOA: - Onartzea datu pertsonalak babesteari buruzko UPV/EHUren arautegiko II. eranskina, II. suposamendu zehatza, "UPV/EHUren aginduz datuak tratatzen dituzten kanpoko enpresek hartu beharreko konpromisoak" izenburuduna, erabaki honetako eranskinean jasotako eran.

 

BIGARRENA.- Idazkari nagusiari ematea eranskina http://www.ehu.eus/babestu web gunean zabaltzeko ardura, eta erabaki hau behar bezala ezarri eta eraginkorra izan dadin beharrezko diren egintza eta erabakiak ematekoa, horren berri emanda gobernu taldeari.

Sinadurak

UPV/EHUko ERREKTOREA - Nekane Balluerka Lasa

IDAZKARI NAGUSIA- Pedro Iriondo Bengoa

ERANSKINA

Tratamenduari buruzko II. suposamendu zehatza, "UPV/EHUren aginduz datuak tratatzen dituzten kanpoko enpresek hartu beharreko konpromisoak" izenburuduna, datu pertsonalak babesteari buruzko UPV/EHUren arautegiko II. eranskinean jasoa (Gobernu Kontseiluak 2008ko apirilaren 10ean onartua; irailaren 29ko EHAA) era honetara idatzita geratuko da:

II. SZ.- UPV/EHUren AGINDUZ DATUAK TRATATZEN DITUZTEN KANPOKO ENPRESEK HARTU BEHARREKO KONPROMISOAK

UPV/EHUk hainbat jenderekin ezartzen ditu harremanak (pertsona fisiko eta juridikoekin) bere premiei aurre egiteko, eta antolamendu juridikoak ematen dizkion funtzio eta eskumenak betetzeko, eta horretarako, beharrezkoa da pertsona horiek UPV/EHUren ardurapeko datu pertsonalak atzitzea. Beraz, unibertsitateak ziurtatu behar du harremanak oinarri daukan kontratuan, hitzarmenean edo egintza juridikoan zehaztuta daudela datuen tratamenduaren helburua, iraupena, izaera eta pertsona interesatuen kategoria, bai eta unibertsitateak, tratamenduaren arduradun legez, dituen betebehar eta eskubideak ere.

Horrela, bada, ondoko oharra egon beharko da jasota UPV/EHUk hirugarrenekin sinatutako agirietan, baldin eta UPV/EHUren ardurapekoak diren datu pertsonalak atzitu behar badituzte tratamenduaren eragile izanik:

"UPV/EHUren ardurapeko datu pertsonalen tratamenduaren eragilea ……….. (pertsona fisiko edo juridikoaren izena, UPV/EHUren aginduz datu pertsonalak tratatuko dituena eta, hortaz, bi aldeen arteko harremana zehazteko kontratua, hitzarmena edo egintza juridikoa izenpetu duena) izango da, eta datu horiek tratatzean honakoak bete beharko ditu: Europako Parlamentuak eta Kontseiluak apirilaren 27an emandako 2016/679 EB Erreglamendua, datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez pertsona fisikoak babesteari buruzkoa (horren bidez indargabetu egin zen 95/46/CE Zuzentaraua, datuen babesari buruzko erreglamendu orokorra); abenduaren 5eko 3/2018 Lege Organikoa, datu pertsonalak babesteari eta eskubide digitalak bermatzeari buruzkoa; eta arloan ezar daitekeen gainontzeko araudia. Hala ere, honakoa ez da datu pertsonalen komunikaziotzat hartuko.

Ondorio horietarako, sinatzaileek (kontratu, hitzarmen edo egintza juridiko (harremana arautzeko erabilitako agiriaren arabera) honen (I., II., III….) eranskina izenpetuko dute, bertan zehaztuta egonik: tratamenduaren iraupena, izaera, helburua, datu pertsonalen mota eta kategoria eta tratamenduaren arduradunaren eta eragilearen betebeharrak eta eskubideak, bai eta 2016/679 (EB) Erreglamenduko 28.3 artikuluan eta ezar daitekeen gainontzeko arauetan zehaztutako gorabeherak ere. (I., II., III….) eranskina (kontratu, hitzarmen edo egintza juridiko (harremana arautzeko erabilitako agiriaren arabera)) honen parte banaezina da."

UPV/EHUk eta UPV/EHUren ardurapeko datu pertsonalak tratatuko dituen pertsona fisiko edo juridikoak kontratua, hitzarmena edo egintza juridikoa izenpetuko dute bi aldeen arteko harremana gauzatzeko, bertan zehaztuta tratamenduaren iraupena, izaera, helburua, datu pertsonalen mota eta kategoria eta tratamenduaren arduradunaren eta eragilearen betebeharrak eta eskubideak, bai eta 2016/679 (EB) Erreglamenduko 28.3 artikuluan eta ezar daitekeen gainontzeko arauetan zehaztutako gorabeherak ere. Agiri hori harremana gauzatzeko sinatutako kontratu, hitzarmen edo egintza juridikoaren eranskin banaezina izango da, eta honakoak izan beharko ditu jasota: "

  1. (Kontratu, hitzarmen edo egintza juridiko (harremana arautzeko erabilitako agiriaren arabera)) honetan zehaztutako helburuak betetzeko, UPV/EHUk ……………………………………. eragilearen eskura jarriko ditu helburua betetzeko beharrezko diren datu pertsonalak, eta eragileak hitzarmenean zehaztutako helburuetarako baino ez ditu erabiliko datuok.
  2. Agiri honen bidez, UPV/EHUk, tratamenduaren arduraduna izanik, ………………….. entitatea gaitzen du, entitatea izanik datuen eragilea, (kontratu, hitzarmen edo egintza juridiko (harremana arautzeko erabilitako agiriaren arabera)) honetan zehaztutako helburuak betetzeko beharrezko diren datu pertsonalak tratatzeko.
  3. Unibertsitatearen ardurapeko datuak tratatuko dituen pertsona fisiko edo juridikoak, honetarako tratatuko ditu datuok: ……………………………….; bai eta (kontratu, hitzarmen edo egintza juridiko (harremana arautzeko erabilitako agiriaren arabera)) honetan zehaztutako helburuak betetzean sor daitezkeen gorabeherak konpontzeko ere.
  4. UPV/EHUk ondoko datuak jarriko ditu (unibertsitatearen ardurapeko datuak tratatuko dituen pertsona fisiko edo juridikoaren) eskura:
    • -----------------------.
    • -----------------------.
  5. (Kontratu, hitzarmen edo egintza juridiko (harremana arautzeko erabilitako agiriaren arabera)) honetan zehaztutako helburuak behin bukatuta, (unibertsitatearen ardurapeko datuak tratatuko dituen pertsona fisiko edo juridikoak) ezabatu egingo ditu datuak edo UPV/EHUri itzuliko dizkio (zehaztu aukeretako bat). Hala ere, kopia bat gorde ahal izango du, datuak behar bezala blokeatuta, (kontratu, hitzarmen edo egintza juridiko (harremana arautzeko erabilitako agiriaren arabera)) hau betetzeagatik erantzukizunen bat izan dezakeen bitartean.
  6. (unibertsitatearen ardurapeko datuak tratatuko dituen pertsona fisiko edo juridikoak), tratamenduaren eragile izanik, honako betebeharrak ditu:
    • a.- Enkargu honen helburua gauzatzeko baino ez ditu erabiliko tratatu beharreko datu pertsonalak. Ezingo ditu datuak erabili bere helburu propioetarako.
    • b.- Datuok tratamenduaren arduradunaren jarraibideak aintzat hartuta tratatu beharko ditu.
    • c.- Erregistro bat edukitzea arduradunaren kontura egindako tratamendu jardueren kategoriarekin, eta, hala behar denean, hirugarren herrialde bati edo nazioarteko erakunde bati egindako datu pertsonalen transferentzia, eta segurtasunaren neurrien nondik norakoa, ezaugarri teknikoena zein antolamenduari dagozkionak.
    • d.- Datuak ez komunikatzea hirugarrenei, tratamenduaren arduradunaren berariazko baimena eduki ezean, legez onargarriak diren kasuetan.
    • e.- Beharrezkoa bada tratamenduren bat azpikontratatzea, aldez aurretik, gutxienez astebete lehenago, idatziz eman beharko du horren berri, eta adierazi beharko du zein tratamendu azpikontratu nahi dituen, argi eta garbi identifikatuta zein den enpresa azpikontratatzailea eta bere harremanetarako datuak. Ezarritako epean tratamenduaren arduradunak ez badu kontrakorik esaten, azpikontratazioa egin ahal izango da. Azpikontratatzaileak, tratamendu eragilearen kategoria duenez, bete egin beharko ditu agiri honetan tratamenduaren eragilearentzat ezarrita dauden betebeharrak eta arduradunak ezartzen dituen jarraibideak ere bai. Hasierako tratamendu eragileak du harreman berria arautzeko ardura, eta eragile berriak (eragileordeak) datu pertsonalak babesteari buruzko eta ukitutako pertsonen eskubideei buruzko gauza guztietarako, hasierako tratamendu eragileak bete behar dituen baldintza berak (jarraibideak, betebeharrak, segurtasun neurriak...) bete beharko ditu, formari buruz ere bai. Eragileordeak ez baditu bere eginbeharrak betetzen, lehendabiziko tratamendu eragilea izango da beti ez-betetzearen erantzulea tratamenduaren arduradunaren aurrean.
    • f.- UPV/EHUk emandako datu guztiak beti sekretupean gorde beharrari eustea, datuok hirugarrenei inolaz ere ez erakusteko, ez transferitzeko, ez lagatzeko eta ez jakinarazteko betebeharra izanik, enkarguaren xedea bukatzen denean ere bai.
    • g.- Bermatzea, datu pertsonalak tratatzeko baimena duten pertsonak konpromisoa hartzen dutela, berariaz eta idatziz, konfidentzialtasuna errespetatzeko eta egoki diren segurtasun neurriak hartzeko.
    • h.- Tratamenduaren arduradunari laguntzea honako eskubideei erantzuten: atzitzea, zuzentzea, ezereztea eta aurka egitea; tratamendua mugatzea; datuen eramangarritasuna; erabaki automatizatuen menpe ez egotea (profilak egitea barne). Ukitutakoek aipatutako eskubideak egikaritu nahi badituzte tratamenduaren arduradunaren aurrean, horrek berehala eman beharko dio horren berri UPV/EHUri posta elektronikoz, eta eskaria ebazteko beharrezko izan daitekeen informazio guztia erantsiko dio.
    • i.- Tratamendu eragileak egin behar diren datu tratamenduei buruzko informazioa eman beharko du datu bilketa egiteko unean.
    • j.- UPV/EHUri eta Datuen Babeserako Agintaritzari berehala ematea datuen segurtasunean izandako urraketen berri, zehaztuta informazio garrantzitsu guztia (urraketaren azalpena, eragindako interesdunen kategoriak eta gutxi gorabeherako kopurua eta eragindako datu pertsonalen erregistroen kategoriak eta gutxi gorabeherako kopurua, Datuak babesteko ordezkariaren izena edo informazio gehiago eman dezakeen beste harremangune batenak, urratzeak izan ditzakeen ondorioak, ondorio kaltegarriak arintzeko hartu diren edo proposatu diren neurriak).
    • k.- Tratamenduaren arduradunari laguntzea datuen babesaren gaineko eraginaren ebaluazioak egiten, hala dagokionean.
    • l.- Arduradunaren esku jartzea bere obligazioak betetzen dituela egiaztatzeko behar den informazio guztia, eta arduradunak berak egin beharreko edo arduradunak baimendutako beste auditore batek egin beharreko auditoriak edo ikuskaritzak egiteko behar dena ere bai.
    • m.- Beharrezko segurtasun neurriak ezartzea kontratuak dirauen bitartean indarrean dauden edo egon daitezkeen datu pertsonalak babesteko, eta, edozelan ere, mekanismoak ezarri beharko ditu honako helburuekin: tratamendu sistemen eta zerbitzuen konfidentzialtasun, integritate, erabilgarritasun eta erresilientzia iraunkorra bermatzea; gorabehera fisiko edo teknikorik izanez gero, datu pertsonalak berriro erabilgarri eta irispidean azkar jartzea; tratamenduaren segurtasuna bermatzen duten neurri tekniko eta antolakuntzakoen eraginkortasuna aldian-aldian egiaztatzeko, ebaluatzeko eta baloratzeko prozesua ezartzea; datu pertsonalak seudonimizatzea eta zifratzea, hala badagokio. Hori guztia, informazioaren segurtasunaren arloan UPV/EHUn indarrean dagoen politikari jarraituz (2013ko maiatzaren 14ko EHAA) edo etorkizunean egon daitekeenari jarraituz.
    • n.- Datuak babesteko ordezkari bat izendatzea eta bere identitatea eta harremanetarako datuak jakinaraztea arduradunari.
  7. UPV/EHU jakitun da tratamenduaren arduradun legez dituen errekerimendu eta betebeharrak bete behar dituela honakoetan zehaztu bezala: Europako Parlamentuak eta Kontseiluak apirilaren 27an emandako 2016/679 EB Erreglamendua, datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez pertsona fisikoak babesteari buruzkoa (horren bidez indargabetu egin zen 95746/CE Zuzentaraua); abenduaren 5eko 3/2018 Lege Organikoa, datu pertsonalak babesteari eta eskubide digitalak bermatzeari buruzkoa; eta arloan ezar daitekeen gainontzeko araudia Horrela, bada, UPV/EHUren eginbeharrak dira:
    • a.- Kontratu honetako 4. klausulan aipatzen diren datuak ematea tratamendu eragileari.
    • b.- Tratamendu eragileak egin beharreko eragiketek datu pertsonalen babesean izango duten inpaktuaren ebaluazioa egitea.
    • c.- Tratamenduaren eragileak Erregelamendua betetzen duela zaintzea tratamendua egin baino lehen eta tratamendua egin ostean ere bai.
    • d.- Tratamendua gainbegiratzea, ikuskaritzak eta auditoriak barne."