EHAAko xedapenak
Aldizkariaren data: 2017-07-18 Aldizkari honetan argitaratua: 2017136

ERABAKIA, 2017ko ekainaren 26koa, Osakidetza-Euskal osasun zerbitzua ente publikoaren Administrazio Kontseiluarena, Osakidetza-Euskal osasun zerbitzuak eginiko administrazio-kontratazioari dagokionez jaso beharreko datu pertsonalak babesteko klausulak arautzen dituena.

Xedapenaren data: 2017-06-26
Hurrenkenaren zenbakia: 201703609
Maila: Akordioa
Datu Pertsonalak Babesteko 15/1999 Lege Organikoaren 12. artikuluak (aurrerantzean, DBLO), honakoa xedatzen du:
1.– Ez da datuen komunikaziotzat joko hirugarren bat datuetara sartzea, hori beharrezkoa denean tratamenduaren arduradunari zerbitzu bat emateko.
2.– Kontratuan arautu beharko da hirugarrenen bidez tratamenduak egiteko aukera; kontratu hori idatziz jaso beharko da, edo kontratua egin dela eta kontratu horren edukia egiaztatzen duen beste edozein forma erabilita. Esanbidez ezarri beharko da tratamendu-eragileak tratamenduaren arduradunak emandako jarraibideen arabera bakarrik tratatuko dituela datuak, datu horiek ez dituela aplikatu edo erabiliko kontratu horretan jaso gabeko xedeekin eta datu horiek ez dizkiela komunikatuko beste pertsona batzuei, ezta datuok gordetzeko ere. Kontratuan hizpatuko dira, berebat, lege honen 9. artikuluak aipatzen dituen segurtasun-neurriak. Tratamendu-eragileak nahitaez ezarri beharko ditu halakoak.
3.– Behin kontratu-prestazioa beteta, izaera pertsonaleko datuak suntsitu edo tratamenduaren arduradunari itzuli beharko zaizkio. Beste horrenbeste egingo da edozelako euskarri edo agirirekin ere, halakoek tratamenduaren objektu izan den izaera pertsonaleko daturen bat jaso badute.
4.– Tratamendu-eragileak datuak beste xede batekin erabiltzen baditu edo kontratuaren hizpaketak bete gabe komunikatu edo erabiltzen baditu, tratamendu-eragilea tratamenduaren arduradun gisa hartuko da, eta modu pertsonalean erantzungo du egin dituen arau-hausteen gainean.
Halaber, Osakidetza-Euskal osasun zerbitzuak administrazio-kontratazioko prozedura guztietan errespetatu beharko ditu eskudun organoek aurretik onartutako kontratazio-pleguen ereduak.
Horregatik, hain zuzen ere, aurretik adierazitako baldintzak betetzeko, Osakidetza-Euskal osasun zerbitzuak kontratua sinatzen den unerako, edo haren ondorengo eranskin batean, xedatu behar du datu pertsonalen tratamendua dakarren zerbitzu-prestazio oro, haren zenbatekoa edozein izanik ere, datuetara sartzeko kontratua sinatuz egitea, horretan DBLOren 12. artikulu horretan ezarritako gutxieneko edukia jasota. Hau da:
● Tratamendu-eragileak tratamenduaren arduradunak emandako jarraibideen arabera tratatuko dituela datuak.
● Kontratuan jaso gabeko xede batekin ez dituztela erabiliko.
● Ez dizkiela beste pertsona batzuei jakinaraziko, ezta gordetzeko ere.
● Zerbitzu-prestazioa amaitutakoan, datu horiek suntsitu edo itzuli beharko dituztela, baldintza hori betetzeko ezarritako epea, era eta abarrak zehaztuta, besteak beste.
● Tratamendu-eragileak ezarri behar dituen segurtasun-neurri zehatzak.
Horri jarraikiz, legezko xedapenek emandako ahalmenekin bat etorriz, hau
ERABAKITZEN DUT:
Lehenengoa.– I eta XIII bitarteko klausulak osorik erantsiko dira enpresa adjudikaziodunarekin kontratua sinatzen den unerako, eta ixen ordez (XXX) zerbitzua ematen duenaren nortasuna adieraziko da (kontratatutako enpresa, oro har):
I.– Kontratazioaren xede den zerbitzuagatik tratatzen diren fitxategien erantzulea da Osakidetza-Euskal osasun zerbitzua, 1999ko abenduaren 13ko Datu Pertsonalak Babesteko 15/1999 Lege Organikoari jarraikiz (aurrerantzean, DBLO).
Fitxategi horiek, Datuak Babesteko Euskal Bulegoaren Erregistro Nagusiaren aurrean deklaratuko dira, hala badagokio, eta horietan ente publiko honen langileen, pazienteen edo kontratista direnen informazioa jasotzen da, dagokionaren arabera.
Jarraian xedatutako guztia aurretik adierazitako fitxategietan jasotako datu pertsonaletara mugatzen da, betiere XXX(a)k horrelakoak tratatzen baditu kontratatutako zerbitzu-prestazioaren alorrean.
II.– XXX, kontratu honen zati izanik, gauzatzen denetik aurrera, tratamendu-eragilea izango da DBLOren 12. artikuluari jarraikiz.
Datuak Babesteko Euskal Bulegoari jakinarazteko, XXX(a)k baimena ematen du tratamendu-eragile gisa agertzeko kontratu honen xede diren fitxategi guztietan.
III.– XXX(a)k ezingo ditu datu horiek erabili kontratu honen xede ez den beste helburu batekin.
IV.– XXX(a)k datu horiek Osakidetza-Euskal osasun zerbitzuak ezarritako jarraibideen arabera tratatzeko konpromisoa hartzen du. Jarraibide horiek honako honek emango ditu: adieraz ezazu Osakidetza-Euskal osasun zerbitzuko arduradunaren kargua.
V.– XXX(a)k ez dizkie datuak inola ere jakinarazi, erakutsi, laga edo ezagutaraziko, ezta gordetzeko ere, kontratu honetan ezarritako kontratu-harremanetik kanpoko hirugarrenei, edo ezartzen diren azpikontratazio-prozeduretatik kanpokoei, halakorik badago, berariazko errekerimendu judizialik ezean.
VI.– XXX(a)k aplikagarri zaion datuak babesteko indarreko legerian xedatutako guztia betetzeko konpromisoa hartzen du. Hala bada, bere mendekoek kontratu honen ondorioz dakiten datu oro erabat konfidentziala izango da, eta ezin izango zaie hirugarrenei jakinarazi, ezta norberak erabili ere, eta erantzule izango da, hortaz, horrek Osakidetza-Euskal osasun zerbitzuari eta eragindakoei ekarritako balizko kalteen gainean.
VII.– XXX(a)k behar beste kudeaketa egin beharko ditu bere mendeko langileek konfidentzialtasun-klausula sina dezaten; kontratua eman bitartean eta horren ostean dagokien karguaren edo eginkizunaren arabera ezagutzen duten informazioa ez ezagutarazteko konpromisoa hartuko dute horren bitartez.
VIII.– Baldin eta XXX(a)k kontratu honen ondoriozko daturen bat atxikitzeko baimena jaso badu, Osakidetza-Euskal osasun zerbitzuari kontratu-prestazioa betetakoan, hiru hilabeteren buruan, itzuli beharra izango du edo, hala badagokio, suntsitu beharko du, eta gauza bera egingo du hura jasota dagoen euskarri edo dokumentuarekin.
IX.– DBLOk ezartzen duen erantzukizun-araubideari lotuta egongo da XXX, eta erantzun beharko du datuak kontratuan jaso gabeko helburu baterako bideratzen baditu, hirugarrenei jakinarazten badizkie edo kontratu honetako klausularen bat urratuta erabiltzen baditu, legozkiokeen akzio penal edo zibilen arabera.
X.– XXX(a)k zerbitzuak ematen dituen bitartean eskura dituen datu pertsonalei dagozkien kasuan kasuko babes-mailaren arabera, datuak babesteko indarrean dagoen araudiak agintzen dituen segurtasun-neurri tekniko eta antolamenduzkoak ezarri beharko ditu. Kontratu honetarako nahitaezko gutxieneko segurtasun-neurriak atxikitako eranskinean daude.
XII.– XXX(a)k edota haren langileek sekretu-betebeharra urratzean, suntsitu egingo da kontratu hau, bai eta datu pertsonalak babesteko araudian xedatutakoa ez betetzean ere.
XIII.– Azpikontratazioa eginez gero, enpresa kontratistak eta azpikontratatuak administrazio-kontratazioko aurreikuspenak aplikatuz dagozkien lege-betebehar guztiak izango dituzte.
Datu Pertsonalak Babesteko araubideari dagokionez, kontratistak administrazio-kontratuaren aurreikuspenak betez eta gauzatuz berari dagozkion segurtasun-neurri berak bete ditzan eskatuko dio azpikontratuari.
Osakidetzari jakinarazi beharko dio azpikontratista nor den, baina ez da horregatik nahitaezkoa izango tratamendu-eragile berria Datuak Babesteko Euskal Bulegoari jakinaraztea.
Bigarrena.– Jarraian gehitutako segurtasun-neurriei buruzko eranskinari dagokionez azterketa xehatua egin beharra dago kasuan-kasuan, eta kontratatutako zerbitzuaren zein eskuratutako datu pertsonalen izaera eta segurtasun-mailaren araberako neurriak baino ez dira ezarri beharko. Hala ere, egoki iritzitako segurtasun- eta babes-neurri guztiak gehitu ahal izango dira, legez xedatutakoaren edo Osakidetzako Segurtasun Dokumentuan ezarritakoaren kontrakoak ez badira betiere.
ERANSKINA
SEGURTASUN-NEURRIAK
Oinarrizko neurriak.
Oinarrizko datuak dituzten tratamenduei dagokienez, honako neurri hauek hartuko ditu erakunde adjudikaziodunak:
● Oro har, erabiltzaileek eta/edo erakunde adjudikazioduneko langileek eginkizun eta betebehar zehaztu, zabaldu eta dokumentuak eduki eta ezagutu beharko dituzte datu pertsonalei dagokienez. Nolanahi ere, Osakidetza-Euskal osasun zerbitzua fitxategien arduradunak arlo horretan emandako jarraibideak segitu beharko dituzte.
● Erakunde adjudikaziodunak komunikazio-sareen bitartez datuetara jo behar izanez gero, tokiko sarean horiek eskuratzean dagoenaren antzeko segurtasun-maila bermatu beharko du.
● Erakunde adjudikaziodunak konpromisoa hartzen du ez duela datu-tratamendurik egingo fitxategia kokatuta dagoen lokaletatik kanpo aurretiaz Osakidetza-Euskal osasun zerbitzuaren baimena eskuratu gabe.
● Erakunde adjudikaziodunak konpromisoa hartzen du aldi baterako fitxategiek eta/edo fitxategi nagusi batean oinarrituta sortutako dokumentuen kopiek azken horri dagokion segurtasun-maila beteko dutela eta horiek ezabatu egingo dituela jada beharrezkoak ez direnean.
● Erakunde adjudikaziodunak egindako datu pertsonalen tratamenduaren osotasunari, konfidentzialtasunari, benetakotasunari eta erabilgarritasunari dagokienez sortutako intzidentzia ororen berri berehala emango zaio Osakidetza-Euskal osasun zerbitzuari.
● Erakunde adjudikazioduna arduratuko da Osakidetza-Euskal osasun zerbitzuaren datu pertsonaletara sartzen diren langileen zerrenda eguneratua dagoela, eta sarbide horretarako identifikazio- eta autentifikazio-prozedurak ere ezarriko ditu bere kontrolpean daudenean eta/edo kontratuaren xedearekin bat etorriz ezarri behar duenean.
● Erakunde adjudikaziodunaren erabiltzaileak identifikatu eta autentifikatzeko tresna haren kontrolpean dagoenean eta/edo hura ezarri behar badu kontratuaren xedeari jarraikiz, zalantzarik gabe eta era pertsonalizatu batez identifikatzea bermatuko du. Autentifikazio hori pasahitzetan oinarritzen denean, pasahitz horiek banatzeko eta biltzeko prozedura bat ere ezarri behar da, haien konfidentzialtasuna, osotasuna eta ulertezintasuna bermatuta egon dadin. Pasahitzak aldian behin aldatu beharko dira, gutxienez urtean behin.
● Erakunde adjudikaziodunaren erabiltzaileek eginkizunak betetzeko behar diren datuetara baino ezin izango dute jo, eta, edozelan ere, zerbitzuek irauten duten denboran. Erakunde adjudikaziodunak erabiltzaileen profilen zerrenda eguneratua edukitzeko mekanismoak ezarriko ditu, eta, beharrezkoa bada, pertsona horiek baimenduak ez beste eskubide batzuk dituzten aplikazioetan sar daitezen saihesteko behar direnak. Erabiltzaileen eginkizunak amaitutakoan, ezabatu egingo dira datu pertsonaletarako sarbideak. Nolanahi ere, Osakidetza-Euskal osasun zerbitzuak baimendutako pertsonek baino ezin izango dituzte baliabideetara sartzeko baimenak kudeatu.
● Osakidetza-Euskal osasun zerbitzuaren datu pertsonalen tratamenduak euskarriren bat erabiltzea badakar, adjudikaziodunak etiketatuta eta inbentariatuta eduki beharko ditu horiek, eta horietara aurretik baimendutako langileek baino ez dutela jotzen bermatuko du.
● Oro har, datu pertsonalak dituzten euskarriak Osakidetza-Euskal osasun zerbitzuaren instalazioetatik kanpora ateratzeko haren baimena beharko dute aurretik. Baimena edukiz gero, erakunde adjudikaziodunak behar adina neurri hartuko ditu euskarrian biltegiratutako informazioa bidegabe berreskuratzea eragozteko, eta irteten diren euskarri informatikoen erregistro bat ezarriko du honako alderdi hauen berri jasotzeko: euskarri mota, zer egun eta ordutan sartu edo irten den, nola bidali duten eta hura bidali edo hartzeaz nor arduratu den.
● Erakunde adjudikaziodunak behar diren neurriak hartuko ditu euskarri bat baztertu edo berrerabiltzen denean haren datuak berreskuratzea ezinezkoa dela bermatzeko.
● Erakunde adjudikaziodunak kontratuaren xedearekin bat etorriz datu pertsonalen babeskopiak egin behar baditu, astean behin gutxienez egin beharko ditu segurtasun-kopiak, datuak galdu edo ezabatuz gero berreraikitzea bermatzearren. Horrez gain, kopia horiek behar bezala funtzionatzen dutela ere egiaztatu beharko du, sei hilean behin gutxienez. Beharrezkoa izango da fitxategiaren arduradunak idatziz baimena ematea, datuak berreskuratzeko prozedurak gauzatu ahal izateko.
● Erakunde adjudikaziodunak, informazio-sistemak ezarri eta/edo aldatu aurretik, ezin izango ditu probak ezin izango ditu egin datu errealak erabilita, aldez aurretik Osakidetza-Euskal osasun zerbitzuaren baimena eskuratu ezean. Horrez gain, tratatutako fitxategi motari dagokion segurtasun-maila ziurtatu beharko du, hura egitea Osakidetza-Euskal osasun zerbitzuaren segurtasun-dokumentuan jaso beharko dute, eta Informazio Sistemen aurretiko segurtasun-kopia egin beharko da.
● Erakunde adjudikaziodunak datu pertsonal ez-automatizatuak tratatzen baditu kontratuaren xedeari jarraikiz, euskarriak eta dokumentuak artxibatzeko irizpide eta prozedurak ezarriko ditu haiek behar bezala zaindu, aurkitu eta kontsultatzeko, baita datu horien aurka egiteko, horietara jotzeko zein datuak zuzendu eta ezeztatzeko eskubideak baliatzeko ere. Bereziki, osasunaren arloko araudian xedatutakoa beteko dute legeria horrek eragindako datuak eta fitxategiak tratatzeko garaian.
● Erakunde adjudikaziodunaren kontrolpean dauden eta datu pertsonalak dituzten dokumentuak biltegiratzeko gailuek irekitzea eragozteko mekanismoak eduki beharko dituzte eta, edozelan ere, baimendu gabeko pertsonek horietara jo dezaten eragozteko neurriak hartuko dira, eta gauza bera dokumentazioa berrikusteko edo izapidetzeko prozesuetan ere.
Erdi-mailako neurriak.
● Erakunde adjudikaziodunak erabiltzaileak identifikatzeko eta autentifikatzeko mekanismoa kontrolatzen badu eta/edo hura ezarri behar badu kontratuaren xedearen arabera, sartzeko saio okerrak gehienez bost (5) direla bermatu beharko du.
● Osakidetza-Euskal osasun zerbitzuaren datu pertsonalak dituzten Informazio Sistemak dauden lokaletarako sarbide fisikoa erakunde adjudikaziodunaren kontrolpean badago eta/edo haren mende badago kontratuaren xedeari jarraikiz, sarbide fisikoaren kontrola ezarri beharko du fitxategiaren arduradunaren argibideak beteta.
● Erakunde adjudikaziodunak erdi-mailako datu pertsonalak igorri edo bidali behar baditu biltegiratzeko gaitasuna duten euskarri fisikoen bidez, euskarrien sarbideen erregistroa egin beharko du, honako hauen berri jasotzeko: agiri edo euskarri mota, eguna eta ordua, igorlea, zenbat agiri edo euskarri bidali diren, zer-nolako informazioa duten, nola igorri diren, eta nork duen haiek jasotzeko ardura (behar bezala baimendurik egon behar du).
● Erdi-mailako datuen segurtasunari eragiten dion intzidentziarik gertatzen bada, erakunde adjudikaziodunak, oinarrizko mailan adierazitakoaz gain, datuak berreskuratzeko egindako prozedurak ere jakinarazi beharko ditu; halaber, prozesua nork egin duen, zer datu berreskuratu den, eta, hala badagokio, berreskuratzeko prozesuan zer datu eskuz grabatu behar izan duten. Nolanahi ere, datuak berreskuratzeko prozedurak egin ahal izateko, beharrezkoa izango da Osakidetza-Euskal osasun zerbitzuak baimena ematea.
Goi-mailako neurriak.
Goi-mailako datu pertsonalen tratamenduak egitea dakarten zerbitzuak emateko, erakunde adjudikaziodunak, oinarrizko maila eta erdi-mailako neurriez gain, honako hauek ere hartu beharko ditu:
● Erakunde adjudikaziodunak behar beste neurri hartu beharko ditu goi-mailako datuak dituzten euskarriak banatzeko orduan haien edukia kodetu dadin edota informazio hori ulergarria izan ez dadin edo garraiatu bitartean manipulatu ez dezaten bermatzeko.
● Telekomunikazioetako sareen bidezko goi-mailako datuen transmisio orok kodetzeko bitartekoak edo antzekoak eduki beharko ditu hirugarrenek informazio hori ezin dezaten irakurri edo manipulatu.
● Erakunde adjudikaziodunak goi-mailako datu pertsonalen babeskopiak egin behar baditu, segurtasun-kopia bat eta datuak berreskuratzeko prozeduren kopia bat edukiko ditu datu horiek tratatzen dituzten ekipoak dauden tokian ez beste batean.
● Erakunde adjudikaziodunak erabiltzaileak eta/edo bere langileak identifikatzeko/autentifikatzeko mekanismoak ezarri eta/edo kontrolatu behar baditu, datu pertsonaletarako sarbideen erregistro-sistema ezarri beharko du, eta bi urtez gordeko du hori gutxienez, Osakidetza-Euskal osasun zerbitzuaren eskura. Zehazki, sarbideen erregistro horretan honakoak gordeko dira: erabiltzailea nor den, eguna eta ordua, zer fitxategitan sartu den, sarbide mota, eta sartzea baimendu edo ukatu zaion. Baimena jaso badu, zer erregistrotan sartu den ere jasoko da. Erakunde adjudikaziodunak sarbideen erregistroaren informazioa hilean behin berrikusi beharko du gutxienez, eta txostena egingo du egindako ekintzak zein antzemandako arazoak jasotzeko, zeina Osakidetza-Euskal osasun zerbitzuaren eskura geldituko den.
● Erakunde adjudikaziodunak Osakidetza-Euskal osasun zerbitzuaren kontura automatizatu gabeko goi-mailako datuak tratatu behar baditu, bere toki fisikoetan zein fitxategien arduradunaren instalazioetan, automatizatu gabeko datu pertsonalak biltegiraturik dauden armairuak, artxibategiak edo bestelako elementuak babesteko, giltza edo antzeko gailua duen irekitzeko sistemadun ateak jarriko ditu. Horrelakorik ezean, neurri hori jartzerik ez balego, ordezko neurriak hartuko dira, eta Segurtasun Dokumentuan arrazoituko dira horiek.
● Erakunde adjudikaziodunak eta bere langileek goi-mailako datuak dituzten paperezko dokumentuen kopiak egin eta horiek erreproduzitu ahal izango dituzte aurretik Osakidetza-Euskal osasun zerbitzuaren baimena erdietsita. Baimena eskuratuz gero, honako hau egin beharko dute: automatizatu gabeko goi-mailako datuak tratatzeko baimena duten langileen eta erabiltzaileen zerrenda eduki; informazioa suntsitu edo baztertzen dutenean haren konfidentzialtasuna bermatu, ondoren, dokumentuak garraiatzekotan, hura berreskura dezaten eragozteko; baimenik ez duten kanpoko hirugarren pertsonek horiek eskuratu edo manipulatzea eragozteko neurriak hartu; askotariko erabiltzaileen automatizatu gabeko datuetarako sarbideen erregistroa egiteko mekanismoa ezarri.
Hirugarrena.– Klausula eta neurri horiek eransteaz arduratuko dira hirugarrenen zerbitzuak behar dituzten zerbitzuak eta unitateak. Izan ere, horrelakoak, ondorioz, administrazio-kontratuetan edo eskatutako zerbitzuaren betekizunak zehazten parte hartuko dute.
Erabaki hau Euskal Herriko Agintaritzaren Aldizkarian argitaratu eta hurrengo egunean jarriko da indarrean.
Vitoria-Gasteiz, 2017ko ekainaren 26a.
Osakidetza-Euskal osasun zerbitzuaren Administrazio Kontseiluko lehendakaria,
JON DARPÓN SIERRA.