Skip to main content

DBEO eta DBEDBLO

Nori dago zuzenduta?

Datu pertsonalen babesaren erregulazioa Europan aplikatzen den erregulazioa dugu, erakunde guztiak eraginpean hartzen dituena, publiko zein pribatu, handi zein txiki, izaera pertsonaleko fitxategi automatizatuak tratatzen dituztenean.

Zer da?

Bi erregulazio-dokumentuk osatutako multzo batek gauzatzen du datu pertsonalen babes-arloko erregulazioa gaur egun.

  • DBEO edo Datuak Babesteko Erregelamendu Orokorra (EUROPAKO PARLAMENTUAREN ETA KONTSEILUAREN 2016/679 ERREGELAMENDUA (EB), 2016ko apirilaren 27koa, pertsona fisikoen babesari buruzkoa datu pertsonalen tratamenduari eta datu horien zirkulazio libreari dagokionez, eta 95/46/EE Zuzentaraua indargabetzen duena).
  • DBEDBLO (3/2018 Lege Organikoa, abenduaren 5ekoa, Datu Pertsonalak Babesteko eta Eskubide Digitalak Bermatzeko Lege Organiko berria).

Izaera pertsonaleko datuak tratatzen dituenean edozein erakundek aplikatu beharreko segurtasun- eta pribatutasun-printzipioak Europan arautzen dituen legeria. Oro har, honako alderdi hauek arautzen ditu:

  • Datu pertsonalak tratatzen dituenean edozein erakundek aplikatu beharreko printzipioak, baita jarraitu beharreko irizpideak ere tratamendu hori legeari egokitzen zaiola ziurtatzeko.
  • Datu pertsonalen tratamendu horri dagokionez interesdunen eskubideak errespetatzeko aplikatu beharreko prozedura orokorrak.
  • Erakundeek datu pertsonalak tratatzen ari direlako beren gain hartu behar dituzten erantzukizunak.
  • Erakundeek bete behar dituzten betebeharrak datuen tratamendu horri dagokionez, eta bereziki, datu pertsonalen segurtasunari eta segurtasun-etenen –halakorik gertatuz gero– jakinarazpenari buruzkoak.
  • Erakundeek jaso ditzaketen zehapenak legeak xedatzen dituen eskakizunak betetzen ez badituzte, enpresen kasuan, 20.000.000 euraino iritsi daitezke, edo aurreko finantza-ekitaldiaren urteko negozio global totalaren bolumenaren % 4ko zenbateko baliokidea izan daiteke.

Helburuak

Datu pertsonalak babestearen arloko erregulazioaren helburuak honako puntu hauetan laburbil daitezke:

  • Erakundeen eskubidea eta betebeharrak harmonizatzea datu pertsonalen babes-arloan Europar Batasuneko estatu kide guztien artean, koherentea eta homogeneoa izateko moduan.
  • Pertsona fisikoen funtsezko eskubide eta askatasunen babesa orekatzea, datu pertsonalak tratatzeko jarduerekiko, pertsona fisikoen babes-maila uniformea eta handia bermatuz.
  • Europar Batasuneko estatu kideen arteko datu pertsonalen zirkulazio librea burutu dadila zaintzea, betiere lehen ezarritako marjinen barruan.

Onurak

Datu pertsonalak babestearen arloan erregulazioak ezarritako segurtasun- eta pribatutasun-esparruak hainbat ikuspuntutatik egingo die mesede eraginpeko erakundeei.

  • Segurtasun- eta konfiantza-berme bat izango da zure egungo eta balizko bezeroekiko, eta pribatutasun-politikaren bidez egiaztatu ahalko dute hori bezeroek.
  • Detektatu gabeko segurtasun- eta pribatutasun-arriskuak identifikatzea ahalbidetuko du, arriskuen azterketa bat egitea eskatzen baitu.
  • Datu pertsonalak babesteko segurtasun-neurri egokiak hartuko direla bermatuko du, identifikatutako segurtasun-arriskuekiko proportziozkoak betiere.
  • Pribatutasunaren inguruko kontsiderazioak barneratzea bultzatuko du, Datuak Babesteko delegatuaren figura espezifikoa izendatzea beharrezkoa izango baita.
  • Datu pertsonalak tratatzeari aplikagarriak zaizkion eskakizunak ez betetzeari lotutako zehapen garrantzitsuak saihestea ahalbidetuko du, aurreikusitako erantzukizun proaktiboko mekanismoen artikulazioari esker.
  • Nazioarteko eragiketak burutzeko gaitasuna abalatuko du, datuak babesteko arloan dakarren Europa barneko erregulazioa betetzeko bermeari esker.

Datuak babesteko arloan erregulaziora egokitzeko kontuan hartu beharreko faktoreak

  • Erakundearen tamaina
  • Erakundearen prozesuak
  • Erakundearen jarduera-sektorea
  • Datu pertsonalak tratatzeko egindako jarduerak
  • Tratatutako datu pertsonalen ezaugarriak
  • Egungo segurtasun-neurriak
  • Egungo pribatutasun-neurriak
  • Beste antolamendu-alderdi batzuk

Datuak Babesteko Erregelamendu Orokorrerako egokitzapen-prozesuaren faseak

1. fasea. Proiektua abiaraztea

Datuak Babesteko Erregelamendu Orokorrerako egokitzapenak erakundearen goi-zuzendaritzaren inplikazioa izan behar du, ez soilik eskakizun hori betetzeko beharrezkoak diren eragiketa-aldaketek izan ditzaketen inplikazioengatik, baita Datuak Babesteko delegatuaren izendapenak izan ditzakeen antolamendu-inplikazioengatik edo azpian dagoen erantzukizun proaktiboaren printzipioa inplikatzen duen segurtasunaren eta pribatutasunaren kudeaketaren garapenari lotutako inpaktuarengatik ere.

2. fasea. Hedadura mugatzea

Erakundeak berak garatutako jarduera bakoitzean burutzen dituen datu pertsonalen tratamendua identifikatu eta erregistratu behar ditu erakundeak, eta legeriak ezarritakoari jarraikiz karakterizatu, ezaugarri bakoitzarentzat, besteak beste, tratatutako datuen tipologia, datu horien bolumena, tratamendu hori burutzeko baliatzen den legitimazio-oinarria, tratamendu horretarako erabilitako bitartekoak, datuak gordetzeko epea, eta abar.

3. fasea. Erantzukizunak hautatzea

Lotutako barne-erantzukizunak mugatu beharko dira tratamendu bakoitzerako, identifikatutako tratamendu bakoitzerako erabilitako xede eta bitartekoak mugatzen dituzten figurak ezarriz, baita tratamendu horietako bakoitzean parte hartzen duten figurak ere, datu pertsonalen erabiltzailearen ikuspuntutik zein datu horien administratzaileen ikuspuntutik.

Era berean, litekeena da erakundeak Datuak Babesteko delegatu bat izendatu beharra eskatzea, eta kasu horretan bermatu egin beharko da behar bezala eta dagokion denboran parte hartzen duela datu pertsonalak babesteari buruzko gai guztietan, beharrezkoak diren baliabideak dituela bere funtzioak egikaritzeko zein bere ezagutza espezializatuak atxikitzeko, eta ez duela inolako jarraibiderik jasotzen funtzio horiek gauzatzeari dagokionez, kontuak zuzenean maila hierarkiko gorenari emanez.

4. fasea. Arriskuen azterketa

Ondoren, datu pertsonalen tratamendu bakoitzari lotutako segurtasun- eta pribatutasun-arriskuen azterketa burutuko da. Tratamendu bakoitzak pertsona fisikoen eskubide eta askatasunetarako dauzkan probabilitate eta larritasun desberdineko arriskuak zehaztuko dira, baita transmititutako, gordetako edo beste era batera tratatutako datu pertsonalak birrintzearen, galtzearen edo ustekabean zein legez kanpo aldatzearen, edo datu horietan baimenik gabe sartzearen edo komunikatzearen ondorioz datu-tratamenduak dituen arriskuak ere.

5. fasea. Segurtasun-neurriak ezartzea

Azterketa horren ondorioz, arriskurako segurtasun-maila egokia bermatzeko behar bezalako neurri tekniko eta antolamendu-neurriak ezarriko dira, tratatzeko bitartekoak zehazteko unean zein tratamenduaren beraren unean, eta honako hauek hartu ahalko dituzte barnean:

  • Datu pertsonalen pseudonimizazioa eta zifratua
  • Tratamendu-zerbitzu eta tratamendu-sistemen konfidentzialtasun, osotasun, erabilgarritasun eta erresilientzia iraunkorrak bermatzeko gaitasuna
  • Datu pertsonalen erabilgarritasuna eta sarbidea azkar berritzeko gaitasuna, gorabehera fisiko edo teknikoren bat izanez gero.
  • Neurri tekniko eta antolamenduzkoen eraginkortasuna modu erregularrean egiaztatu, ebaluatu eta balioesteko prozesu baten aplikazioa, tratamenduaren segurtasuna bermatzeko

6. fasea. Pribatutasun-neurriak ezartzea

Erakundearen betebeharrak behar bezala betetzen direla eta interesdunek beren eskubideen egikaritzapena gauzatzeko izan beharreko gaitasuna bermatzeko behar bezalako neurri tekniko eta antolamendu-neurriak ezarriko dira, tratatzeko bitartekoak zehazteko unean zein tratamenduaren beraren unean, eta honako hauek hartu ahalko dituzte barnean:

  • Tratamenduei buruzko informazio-klausulen garapena
  • Datu pertsonalen tratamendua baimentzeko inprimakien bilketa
  • Prozedurak egituratzea eskubideak egikaritzeko
  • Tratamendu-enkarguen kontratu-artikulazioa
  • Dagozkion pribatutasun-politiken garapena

7. fasea. Eragiketa eta mantentze-lanak

Erakundeak datu pertsonalen tratamenduak burutu beharko ditu ezarritako pribatutasun- eta segurtasun-politiken arabera, aurreikusitako segurtasun- eta pribatutasun-neurriekin eragiketak eginez eta haien mantentze-lana eginez, datu pertsonalen tratamenduak betiere aurreikusitako parametroen barruan atxikitzeko moduan eta izaera pertsonaleko datuen segurtasun-urraketarik ez gertatzeko moduan, eta gertatzen badira indarreko arautzean ezarritakoaren arabera kudeatu beharko dira.

Datuak babesteko agentziek ikuskapen-funtzioak garatuko dituzte, kontrol-autoritate independente gisa, erregulazioaren aplikazioa kontrola dezaten datuak babesteko arloan, eta ezarritakoaren arabera aplika dezaten.

Non jaso daiteke aholkularitza edo kontratatu daiteke Datuak Babesteko Erregelamendu Orokorrerako egokitzapena?

BCSCk erakundeen zein enpresa pribatuen eskueran jartzen du “Zibersegurtasunaren Liburu Zuria Euskadin”, gure toki-ekosistemaren ikuspegi osoa biltzen duen dokumentua, berrikuntzako, ikerketako, ekintzailetzako, eta abarreko, perspektibekin, eta dokumentu horretan biltzen da horrelako zerbitzuak eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa, zerbitzu horiek eskatzeko interesa duten erakundeek erabakiak hartzeko lagungarria izango den erreferentzia-puntu bat izateko helburuarekin betiere.

Euskadiko zibersegurtasunaren merkatuaren laburpen edo argazki gisa baliagarria da katalogoa, eta zerrenda bizia, berrikusia eta aldian behin eguneratua da, zerbitzuen digitalizazioaren arloko etengabeko bilakaera eta aurrerabidea, eta sortzen diren aukerak direla eta.

BCSC Liburu Zuria

Erreferentziak

Datuak Babesteko Espainiako Agentzia: https://www.aepd.es/es

Datuak Babesteko Euskal Agentzia: https://www.avpd.euskadi.eus/s04-5213/es/

DBLOD: https://www.boe.es/doue/2016/119/L00001-00088.pdf

DBEDBLO: https://www.boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf

Partekatu

Linkedin partekatu