DATUEN BABESA

Datuen babesa pertsona fisiko guztiek duten oinarrizko eskubidea da.

Eskubide horrek esan nahi du edozein pertsonak kontrola dezakeela bere datu pertsonalen erabilera.

Kontrol horrek saihesten du beste edonork gure datuen erabileraren bidez gure intimitateari, eskubideei eta oinarrizko askatasunei eragiten dien informazioa izatea.

Datuak babesteko eskubidea Espainiako Konstituzioaren 18. artikuluan dago jasota: Legeak informatikaren erabilera mugatuko du, herritarren ohorea eta norberaren eta familiaren intimitatea bermatzeko eta haien eskubideak erabat baliatzeko.

Araudia eta DBD

Erreglamendua (EB) 2016/679

El Datuak babesteko erregelamendu orokorra (DBEO) Europar Batasun osoan zuzenean aplikatzen den araudia da. Horren bidez pertsona fisikoak bere datu pertsonalen tratamendutik eta zirkulazio asketik babesten dira. BAO: https://www.boe.es/doue/2016/119/L00001-00088.pdf

3/2018 Lege organikoa, abenduaren 5ekoa

Datu pertsonalen babesari eta eskubide digitalen bermeari buruzko abenduaren 5eko 3/2018 Lege Organikoak estatu mailako legea da, horren bidez ordenamendu juridiko nazionala Europako araudira egokitzen du eta herritarren eskubide digitalak bermatzen ditu. BAO: https://www.boe.es/buscar/pdf/2018/BOE-A-2018-16673-consolidado.pdf

Abenduaren 21eko 16/2023 Legea, Datuak Babesteko Euskal Agintaritzarena

Abenduaren 21eko 16/2023 Legea, Datuak Babesteko Euskal Agintaritzarena, Eusko Legebiltzarren legea da, zeinaren helburua baita Euskal Autonomia Erkidegoan aplikatu behar den araudiaren antolamendua eta funtzionamendua egokitzea lege-arau hauen aurreikuspenetara: 2016/679 (EB) Erregelamendua; 3/2018 Lege Organikoa, abenduaren 5ekoa, Datu Pertsonalak Babestekoa eta Eskubide Digitalak Bermatzekoa, eta 7/2021 Lege Organikoa, maiatzaren 26koa, arau-hauste penalak prebenitu, detektatu, ikertu eta epaitzeko eta zehapen penalak betearazteko tratatutako datu pertsonalak babesteari buruzkoa: https://www.euskadi.eus/web01-bopv/eu/bopv2/datos/2024/01/e24_0003.pdf

Datuen babeseko delegatuaren eginkizunak, ardurak, estatutua eta ekipoa Bizkaiko Foru Aldundian datuen babesaren eta informazioaren segurtasunaren arloan eskumena duen unitate organikoaren burutzak betetzen ditu, 81/2023 Foru Dekretuaren arabera (uztailaren 4koa, Bizkaiko Foru Aldundiaren sektore publikoko datu pertsonalen babeserako eta informazioaren segurtasunerako politika onartzen duena). Dekretu hori 2023ko uztailaren 6ko Bizkaiko Aldizkari Ofizialean argitaratu zen (130. zk.).

DATU-BABESAREN ARLOKO ESKUBIDEAK BIZKAIKO FORU ALDUNDIAN (BFA)

Pertsona fisikoek datuak babesteko eskubideaz balia daitezke honako hauek aurkeztuta:

  • Eskaera Bizkaiko Foru Aldundiko datuak babesteko ordezkariari
  • Erreklamazioa Datuak Babesteko Euskal Agintaritzan

Eskubideak zuzenean eta doan balia ditzake pertsonak berak edo ordezkari edo pertsona boluntario baten bidez.

Datu Pertsonalen Tratamendu Jardueren Erregistroa

Zertan datza erregistroak?

Bizkaiko Foru Aldundiak datu pertsonalen Tratamendu Jardueren Erregistroa (TJE) argitaratu du. TJEa inbentario bat da. Bertan Bizkaiko Foru Aldundiko zerbitzuak, prestazioak edo jarduerak erabiltzen dituzten pertsonen datu pertsonalak jasotzen dira, Bizkaiko Foru Aldundiko sail bakoitzak datu horiei ematen dien erabilerari buruzko informazio osoarekin batera.

Foru TJEa BFAren betebehar legala da, datu pertsonalak erabiltzeko herri administrazio erantzule den heinean. Erregistroa hurrengo hauen arabera sortzen, eguneratzen eta berrikusten da.

  • Europar Batasuneko 2016/679 Erregelamendua (30. artikulua, Datuak Babesteko Erregelamendu Orokorra)
  • 3/2018 Lege Organikoa, Datu Pertsonalak Babesteari eta Eskubide Digitalak Bermatzeari buruzkoa (Datuak Babesteko Lege Organikoaren 31. eta 77. artikuluak)

Herritarrek TJEa eskuratu dezakete bitarteko elektronikoen bidez, webgunean, eta Datuak Babesteko Euskal Agintaritzaren (DBEA) esku jarriko da, gai horretan eskumena duen kontrol agintaritza.

Iragarkia

BFAko Gobernu Kontseiluaren 2020ko otsailaren 18ko Erabakia BAOn (Bizkaiko Aldizkari Ofiziala) argitaratzea. Horren bidez, Datu Pertsonalen Tratamenduaren Erregistroa sortu, arautu, mantendu eta argitaratzen da.

Deskargatu Gobernu Kontseiluaren Erabakia Bizkaiko Aldizkari Ofizialan argitaratzea. PDF (123 KB)

Ohiko galderak?

Itxi

Zein da egiten dugun datuen erabileraren oinarri legala?

TJEa sailetan banatzen da, eta sail bakoitzaren barruan, tratamendu jardueretan banatzen da. Tratamendu jarduera bakoitzaren oinarri juridikoa adierazten da, zehazki, BFAk egiten duen datuen erabilerari legezkotasuna ematen diona. Bizkaiko Foru Aldundiko datuen erabilera legitimatzen duen arau nagusia Datuak Babesteko Erregelamendu Orokorra da (6.1 artikulua e) eta c) letrak), hau da, datuak interes publikorako edo botere publikoak gauzatzeko erabiltzen dira, edota betebehar legal bat betetzeko. BFAri gai honetan eskumena ematen dioten lege mailako arauak honako hauek dira, besteak beste:

  • 3/1979 Lege Organikoa, abenduaren 18koa, Euskal Autonomia Erkidegorako Autonomia Estatutuarena.
  • Autonomia erkidegoko erakunde komunen eta lurralde historikoetako foru organoen arteko harremanei buruzko azaroaren 25eko 27/1983 Legea.
  • 12/2002 Legea, maiatzaren 23koa, Ekonomia Ituna.
  • 7/1985 Legea, apirilaren 2koa, Toki araubidearen oinarriak arautzen dituena.
  • 1985ko urriaren 15eko Tokiko Autonomiaren Europako Gutuna.
  • 39/2015 Legea, urriaren 1ekoa, Herri Administrazioen Administrazio Prozedura Erkideari buruzkoa.
  • 40/2015 Legea, urriaren 1ekoa, Sektore Publikoko Araubide Juridikoari buruzkoa.
Itxi

Zer segurtasun neurri hartzen ditugu datuak erabiltzerakoan?

Maiatzaren 3ko 311/2022 Errege Dekretuaren (Administrazio Elektronikoaren eremuan Segurtasunaren Eskema Nazionala arautzen duen) II. eranskinean (Segurtasun Neurriak) agertzen direnak.

Itxi

Zenbat denboran gordetzen dira datuak herri administrazioetan?

  • Arau orokorra: jarduerari edo zerbitzuari dagokion prozedura izapidetzeko beharrezko denboran gordeko dira.
  • Gainera, erabilera berak ekar litzakeen erantzukizunen amaierara arteko preskripzio edo iraungitze epea betetzeko beharrezko denboran gordetzen dira.
  • Epe zehatzak: Datuak Babesteko Lege Organikoaren IV. kapituluan jasotakoak, datu pertsonal zehatzak erabiltzeko.
Itxi

Datuak Bizkaiko Foru Aldundian profilak egiteko erabiltzen dira?

Ez. Pertsonengan eragin juridikoa izan dezaketen erabakiak edota pertsona horiek kaltetu ditzaketen erabakiak hartzeko, Bizkaiko Foru Aldundiak ez ditu profilak sortzen alderdi pertsonalen ebaluazio sistematikoaren eta zehatzaren bidez.

Itxi

Zein harreman du BFAk datuen tratamenduaz arduratzen den pertsonarekin?

Tratamenduaz arduratzen den pertsona da: “tratamenduaren arduradunaren izenean datu pertsonalak tratatzen dituena (pertsona fisikoa edo juridikoa, herri administrazioa, zerbitzua edo beste erakundea)”, Datuak Babesteko Erregelamendu Orokorraren arabera (4. artikulua).

Bizkaiko Foru Aldundiak, tratamenduaz arduratzen denean, segurtasun neurri teknikoak eta antolakuntzazkoak aplikatzeko berme nahikoak ematen dituzten tratamenduaz arduratzen diren pertsonekin soilik du harremana, Datuak Babesteko Erregelamendu Orokorraren 28. artikuluarekin bat eginda.

Horrela, datu pertsonalen erabilerak Bizkaiko Foru Aldundiak bere arduradunekiko zehazten, ezartzen eta eguneratzen dituen jarraibideak betetzen ditu. Era berean, erabilera bat dator datuen babeseko indarreko araudiarekin.

Tratamendu-eragileak Bizkaiko Foru Aldundian:

  • Nola ezartzen eta arautzen dugu tratamendu-eragileekiko harremana?
  • Nortzuek parte hartzen dute Bizkaiko Foru Aldundiaren tratamendu-enkarguetan?
  • Nola egiten dira tratamendu-arduradunaren eta tratamendu-eragilearen arteko tratamendu-enkarguak Bizkaiko Foru Aldundian?

Informazio hori Tratamendu-Eragileak web-orrialdean kontsulta daiteke.

Itxi

Bizkaiko Foru Aldundiak datuen nazioarteko transferentziak egiten ditu?

Zer dira datuen nazioarteko transferentziak?

Europar Batasuneko estatu kide bateko lurraldetik (1) Europako Esparru Ekonomikoaz kanpoko herrialdean dauden pertsona hartzaileentzako datu pertsonalen fluxua. Europako Esparru Ekonomikoan daude Europar Batasuneko herrialdeak gehi Liechtenstein, Islandia eta Norvegia.

Normalean, Bizkaiko Foru Aldundiak ez ditu datuen nazioarteko transferentziak egiten. Hala eta guztiz ere, Bizkaiko Foru Aldundiak nazioarteko transferentziak egiten baditu, legezko eskakizuna betetzeko edo interes publikoko zereginean aritzeko ala bere botere publikoak erabiltzeko, egin baino lehen behar bezala jakinaraziko du.

Nola egin daitezke datuen nazioarteko transferentziak?

Tratamenduaren arduradunek eta eragileek datuen nazioarteko transferentziak bakarrik kasu hauetan egin ahalko dituzte:

  1. Egokitze-erabakia dagoenean.
  2. Egokitze-erabakia izan ezean, berme egokiak ematen badira.
  3. Egokitze-erabakia eta berme egokiak izan ezean, zenbait salbuespen betetzen direnean bakarrik egin ahal izango dira.

Ondoren, kasu bakoitza zertan datzan zehaztuko da.


  1. Egokitze-erabakia egotean oinarritutako transferentziak.

    DBEOren 45.1 artikuluak honako hau dio:

    «1. Hirugarren herrialde batera edo beste nazioarteko erakunde batera datu pertsonalen transferentzia bat egin ahal izateko, Batzordeak erabaki behar du hirugarren herrialde horrek, herrialde horretako lurralde ala berariazko sektore batek edo batzuek edo, kasuan kasuko, nazioarteko erakundeak behar bezalako babes-maila bermatzen dutela. Transferentzia horrek ez du inongo baimen espezifikorik beharko».

    Beraz, Bizkaiko Foru Aldundiak datuen nazioarteko transferentziak egin ahalko ditu datuen erakunde hartzaileak Europako Batzordeak babes-maila egokia dutela aitortzen duen herrialdean, herrialde horretako lurralde edo berariazko sektore batean ala batzuetan edo nazioarteko erakundean badaude. Europako Batzordeak egokitzat jotako herrialdeak eta lurraldeak gaur egun honako esteka honetan kontsulta daitezke.

  2. Berme egokiak eskuratzen dituzten transferentziak.

    DBEOren 46. artikuluak zehazten du egokitze-erabakia ez dagoenean, hirugarren herrialdeei edo nazioarteko erakundeei datu pertsonalak transmititzeko ezinbestez berme egokiak eman behar direla. Bizkaiko Foru Aldundiak berme horiek eskaini ahal izango ditu honako mekanismo baten bidez:

    • Legearen ikuspegitik tresna lotesleak eta agintaritza edo erakunde publikoen artean eska daitezkeenak.
    • Datuak babesteko ereduzko klausulak, Europako Batzordeak onartutakoak. Klausula horien azkeneko bertsioa Europako Batzordeak pasa den 2021eko ekainaren 4an onetsi zuen (2). Klausula berri horiek, aurrekoak ordezteaz gain, DBEOri egokitzen zaizkio, eta erantzukizun proaktiboaren printzipioak gehitu zaizkie, Schrems II kasuaren epaian (3) EBJAk aipatutako printzipioak onartzeaz gain.

    Nahiz eta klausula horiek aplikatu, datuak esportatuko dituen pertsonak inportatzailearen herrialdean babesaren esparruan indarreko legediak eta/edo jardunak duten eragina aztertzeaz ez du salbuetsiko, betiere Europakoaren baliokidea izan dadin. Gainera, babes-maila baliokidea bermatze aldera, egokitzat jotzen diren neurri osagarriei buruz, Datuak Babesteko Europako Batzordearen gidalerroak aintzat hartu beharko dira (4).

    • Datuak babesteko ereduzko klausulak, kontrol-agintaritzak hartutakoak eta Batzordeak onetsitakoak. Datuak Babesteko Euskal Agentziaren abenduaren 21eko 16/2023 LEGEAREN 17.1 artikuluaren arabera: Datuak Babesteko Euskal Agintaritzak kontratuetarako klausula-ereduak sinatu ahalko ditu, bere eskumeneko tratamendu-arduradunek eta -eragileek nazioarteko datu-transferentziak egin ditzaten, 2016/679 (EB) Erregelamenduaren 46.2.c) artikuluarekin bat”.
    • Jokabidearen kodeak. (5) Borondatez betetzeko mekanismoak dira. Tratamenduaren arduradunen edo eragileen kategorietarako berezko arauak ezartzen dira datuak babesteko araudia behar bezala aplikatzen laguntzeko.

    Kontrol agintaritzek onetsi behar dituzte (6), eta berme egokiak aplikatze aldera, hirugarren herrialdeetako tratamenduaren arduradunentzat eta eragileentzat konpromiso lotesleak eta eskagarriak izan beharko dituzte, bai eta interesdunen eskubideei dagokienez ere.

    Ildo horri jarraikiz, Datuak Babesteko Euskal Agentziaren abenduaren 21eko 16/2023 LEGEAREN 18. artikuluak honako hau zehazten du: “Datuak Babesteko Euskal Agintaritzak lege honen aplikazio-esparruaren mende dauden subjektuen tratamendu-jarduerak arautzeko jokabide-kodeak sustatu eta onartuko ditu”.

    • Ziurtapen-mekanismoak. Tratamenduaren arduradunek edo eragileek datuak babesteari buruzko araudia betetzen dela ziurtatzen duten zigiluak eta markak. Berme egokiak aplikatze aldera, hirugarren herrialdeetako tratamenduaren arduradunentzat eta eragileentzat konpromiso lotesleak eta eskagarriak izan beharko dituzte, bai eta interesdunen eskubideei dagokienez ere.

    Datuak Babesteko Euskal Agentziaren abenduko 16/2023 Legearen 19. artikuluaren arabera:  “Datuak Babesteko Euskal Agintaritzak ziurtagiriak eman ahal izango ditu, ziurtatzeko irizpideak onartu, eta datuen babesaren arloko organismo edo entitateak egiaztatu ahalko ditu, lege honen 2. artikuluan azaltzen diren arduradun eta eragileek egindako tratamendu-jarduerei dagokienez, Datuak Babesteko Erregelamendu Orokorraren 42. eta 43. artikuluetan xedatutakoaren arabera”.

    Azkenik, aipatu behar da Datuak Babesteko Euskal Agintaritzaren baimena lortu beharko dela berme egokiak honako mekanismo baten bidez ematen direnean:

    • Ereduzko kontratu-klausulak, baldin eta Europako Batzordeak edo DBEAk Europako Batzordearen onespenarekin onetsi ez badituzte (Datuak Babesteko Euskal Agintaritzaren abenduaren 21eko 16/2023 LEGEAREN 17.3a Art).
    • Hirugarren estatuetako beste agintaritza edo erakunde publiko batzuekin egindako nazioarteko akordio ez arautzaileetan sartzen diren xedapenak, baldin eta interesdunentzat eskubide eraginkorrak eta eskagarriak onartzen badituzte. (7) (Datuak Babesteko Euskal Agentziaren abenduaren 21eko 16/2023 LEGEAREN 17.b artikulua).
  3. Salbuespenak egotea.

    Egokitze-erabakia eta berme egokiak izan ezean, DBEOren 49. artikuluak zenbait baldintza jartzen ditu, eta bete behar dira datuen nazioarteko transferentzia egin nahi bada. Bizkaiko Foru Aldundiak honako baldintzaren bat betetzen badu bakarrik egingo du transferentzia:

    • Interesdunak berariaz baimentzea. Interesdunak baimena eman zuen, balizko arriskuen berri izan ondoren.
    • Kontratua gauzatzea. Tratamendua interesdunaren eta Bizkaiko Foru Aldundiaren artean kontratua gauzatzeko edo aurrekontratuko neurriak betetzeko beharrezkoa da.
    • Interes publikoa. Interes publikoko arrazoi garrantzitsuak direla bide transferentzia ezinbestekoa da.
    • Erreklamazioak formulatzea, aplikatzea edo defendatzea.
    • Bizi-interesak. Tratamendua beharrezkoa da interesdunen edo beste pertsona batzuen bizi-interesak babesteko.
    • Transferentzia Europako edo estatu kideetako araudiarekin bat etorriz, jendeari informazioa eman behar dion erregistro publikotik egin behar da, eta irekita egongo da jendeak edo legezko interesa ziurta dezakeen edozein pertsonak kontsultatzeko. Dena den, kontsulta hori egite aldera, kasu bakoitzean Batasuneko Zuzenbideak edo eskatu kideetako Zuzenbideak ezartzen dituzten baldintzak bete beharko dira.

    Azkenik, DBEOren 49. artikuluak xedatzen du egokitze-erabakia ez dagoenean, berme egokiak ematen ez direnean eta lehen aipatu den salbuespenen bat ez dagoenean, Bizkaiko Foru Aldundiak transferentzia egin ahal izango duela honako eskakizun hauek betetzen baditu bakarrik:

    • Ez da errepikakorra.
    • Interesdunen kopuru mugatuari eragiten dio.
    • Ezinbestekoa da Bizkaiko Foru Aldundiak dituen premiazko legezko intereseko helburuetarako, baldin eta interesdunen interesen edo eskubideen eta askatasunen gainean gailentzen ez badira.
    • Tratamenduaren arduradunak datuak transferitzean ematen diren inguruabar guztiak ebaluatu ostean, berme egokiak ematen ditu.
    • Tratamenduaren arduradunak kontrol-agintaritzari eta interesdunei transferentziaren berri ematen die.

    Transferentzia honako salbuespen baten esparruan ematen bada, interesdunei transferentziaren eta premiazko legezko interesen berri eman beharko zaie, DBEOren 13. eta 14. artikuluek aipatzen duten informazioa gehitzeaz gain. Era berean, tratamenduaren arduradunak Datuak Babesteko Euskal Agentziari transferentzia jakinaraziko dio, Datuak Babesteko Euskal Agentziaren abenduaren 21eko 16/2023 LEGEAREN 17.8 artikuluaren arabera.


  1. Alemania, Austria, Belgika, Bulgaria, Txipre, Kroazia, Danimarka, Eslovenia, Espainia, Estonia, Finlandia, Frantzia, Grezia, Hungaria, Irlanda, Italia, Letonia, Lituania, Luxenburgo, Malta, Herbehereak, Polonia, Portugal, Txekiar Errepublika, Eslovakiako Errepublika, Errumania, Suedia. Itzuli 1. puntura

  2. Klausulak honako esteka honetan eskuragarri:
    https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32021D0914&qid=1623249029503&from=ES Itzuli 2. puntura

  3. C-311/18 gaian (Datuak Babesteko Komisarioa vs Facebook Irlanda eta Maximillian Schrems) Europar Batasuneko Justizia Auzitegiaren 2020ko uztailaren 23ko Epaia. Itzuli 3. puntura

  4. DBEB, 2021eko ekainaren 18a. EBn datu pertsonalen babes-maila betetzen dela bermatzeko transferentzia tresnak osatzen dituzten neurriei buruzko 01/2020 Gomendioak. 2.0 bertsioa. Hemen eskuragarri:  https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf Itzuli 4. puntura

  5. Nazioan, gaur egun, DBEAk onetsitako Jokabidearen Kode bat baino ez dago: Autokontrolak egina publizitate-jardueran datuak tratatzeko. Hemen eskuragarri:
    https://www.aepd.es/es/documento/codigo-conducta-autocontrol.pdf Itzuli 5. puntura

  6. Jokabidearen kodeak onesteko kontrol-agintaritzek kontuan hartuko dituzte «Jokabidearen kodeei eta ikuskapen-erakundeei buruzko 1/2019 Gidalerroak, 2016/679 (EB) Erregelamenduaren arabera». DBEBk 2019ko ekainaren 4an egin zituen. Hemen eskuragarri: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_es.pdf Itzuli 6. puntura

  7. Agintaritza eta erakunde publikoen arteko nazioarteko transferentziei dagokienez, honako hauek ikustea gomendatzen da: EEEko eta hortik kanpoko agintaritza eta erakunde publikoen arteko datu pertsonalak transferitzearen gainean. 2016/679 Erregelamenduaren 46. artikuluko 2. apartatuaren a) letra eta 46. artikuluko 3. apartatuaren b) letra aplikatzeko 2/2020 Gidalerroak.DBEBk egin ditu eta hemen eskura daitezke: https://edpb.europa.eu/system/files/2021-06/edpb_guidelines_202002_art46guidelines_internationaltransferspublicbodies_v2_es.pdf Itzuli 7. puntura

<

Datuen Tratamendu Jardueren Erregistroa