CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK EMANDAKO ZERBITZUEI BURUZKO BALDINTZA OROKORRAK BERTAN TRATAMENDU-ERAGILEA DELA KONTUAN HARTUTA

Klausula hauen bidez, CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOA gaitzeko baldintzak zehazten dira, zerbitzugintzaren ondorioz sortzen diren datu pertsonalak bere enpresa kideen edo atxikien izenean tratatu ditzan.

Eranskin hau idazten da, Pertsona Fisikoen Datuen Babesari buruzko 2016ko apirilaren 27ko 2016/679 (EB) Araudiaren 28. artikuluan datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez xedatutakoa betetzeko asmoz. Horretarako, enpresa kideak edo atxikiak TRATAMENDUAREN ARDURADUN moduan dituen eta CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK TRATAMENDU-ERAGILE moduan dituen betebeharrak zein diren zedarritzen da.

Egiten den tratamendua enpresa kideak edo atxikiak onartutako aurrekontuan azalduko da, edo CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK ematen dizkion zerbitzuen parte izango da.

Enpresa kideak/atxikiak, tratamenduaren arduradun moduan, CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOARI ematen dio baimena, datu pertsonalak haren kontura tratatu ditzan, adierazitako zerbitzua emateko orduan beharrezkoa den neurrian. CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK enpresa kidearen edo atxikiaren ardurapean dauden datu pertsonalak tratatuko ditu, zerbitzua betearazteko orduan ezinbestekoa den neurrian.

Adierazitako datuei dagokienez, CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK datu pertsonalak tratatzen dituenean, zerbitzugintza behar bezala emateko behar diren erabakiak hartu ahal izango ditu.

ERASANDAKO INFORMAZIOAREN IDENTIFIKAZIOA

Enkargu honen helburua betetzean sortzen diren prestazioak betearazteko orduan, enpresa atxikiak edo kideak, tratamenduaren arduradun moduan, tratamendu-eragilea den CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAREN esku jarri du kontratu nagusian edo onartutako aurrekontuan azaltzen den informazioa. Dena dela, azalpen hori ez da zehatza izango, eta ez ditu horrekin lotutako beste agiri batzuk salbuetsiko.

TRATAMENDUAREN ARDURADUNAREN BETEBEHARRAK

Honako hauxe egin beharko du tratamenduaren arduradunak:
A) Tratamendu-eragileari enkarguaren helburu diren datuak eskuratzeko aukera ematea edo behar den moduko zerbitzugintzarako egokia den moduan ematea.
B) Tratatu beharreko datuak dituzten interesdunei arautegiaren arabera ematea informazioa eta haien berariazko baimena legearen arabera lortu izana edo horretarako arrazoi legitimoak eta egiaztagarriak edukitzea.
C) Tratamendua legitimatzen duen lege-oinarria ezarrita edukitzea.
D) Mekanismo errazak edukitzea, interesdunek euren eskubideak erabili ditzaten.
E) Arriskuaren ebaluazioak egitea, tratamenduak eta eraginaren ebaluazioak erregistratzea, tratatutako datuen ezaugarrien arabera beharrezkoa izango balitz, eta kasuan kasuko aurretiko kontsultak egitea.
F) Datuak eragileari igortzean datuak babesteko egokiak diren segurtasun-neurriak gaituta edukitzea.
G) Derrigorrezkoa denean, datuen babeserako ordezkaria izendatzea eta eragileari nor den jakinaraztea.
H) Tratamenduaren aurretik eta bitartean, CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK DBAO betetzen duela bermatzea.
I) Tratamendua ikuskatzea.

ZERBITZU-EMAILEAK TRATAMENDU-ERAGILE MODUAN DITUEN BETEBEHARRAK

CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK datuen babesari buruzko arautegi europarrean eta espainiarrean xedatutakoa betetzeko konpromisoa hartzen du, eta honako betebehar hauek ditu:

JARRAIBIDEAK ETA DATUEN JAKINARAZPENA.

a. CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK enkargu honen helbururako baino ez ditu erabiliko tratatu beharreko datu pertsonalak edo bertan kontuan hartzeko asmoz biltzen dituenak. Ezin izango ditu datuok inolaz ere erabili bere helburuetarako.
b. Tratamenduaren arduradunaren jarraibideen arabera tratatuko dira datuak. Tratamendu-eragilearen ustez, jarraibideren batek DBAO, DBLO edo Europar Batasuneko edo estatu kideetako datuen babesaren arloko beste edozein xedapen urratzen badu, tratamendu-eragileak berehala jakinaraziko dio tratamenduaren arduradunari.
c. CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK tratamenduaren arduradunak emandako informazioa ez kopiatzeko eta ez berregiteko konpromisoa hartzen du, betiere, kontratuan aurreikusitako helburuetarako tratatu behar ez bada.
d. CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK ez die hirugarrenei datuen berri emango, betiere, tratamenduaren arduradunaren berariazko baimenik ez badauka edo legean aurreikusitako kasuak ez badira. Azpikontratatutako hirugarrenentzako lagapena agiri honetako bertako beste idatz-zati batean arautzen da.
e. CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK epe mugagabean gordeko du tratamenduaren helburu diren datu pertsonalen inguruko sekretua. Betebehar horrek bere horretan iraungo du kontratua amaitutakoan.

SEGURTASUN-NEURRIAK.

CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK segurtasun-neurri egokiak hartu ditu, zerbitzugintzarako eskuragarri dituen datuen osotasuna babesteko, ez aldatzeko, ez galtzeko eta baimenik gabe ez eskuratzeko. Modu berean, hartutako neurriek informazioaren isilekotasuna, osotasuna eta eskuragarritasuna bermatzen dituzte, baita tratamendurako sistemen erresilientzia iraunkorra ere, gertakari fisikorik edo teknikorik egonez gero. Honako hauexek izango dira etengabeko neurriak:
4.2.1. Euskarriak. Euskarriak eskuratzeko aukera duten eragilearen langileen zerrenda eguneratua dago. Eragilearen eta arduradunaren instalazioen artean edo alderantziz euskarriak igorri behar badira, honako sistema hauek erabiliko dira: modu berezian babestutako etiketak jartzea, zifratzea, enkriptatzea edo pasahitz bidez babestea. Horretarako, era guztietako euskarriak garraiatzen direnean, behar besteko mekanismoak erabili beharko dira, baimenduta ez dauden pertsonek ireki, eskuratu edo manipulatu ez ditzaten.
4.2.2. Gertakariak. Datu pertsonaletan eragina duen edozein gertakari berehala jakinaraziko zaio tratamenduaren arduradunari, baita segurtasunean arrakalaren bat gertatzen bada ere.
4.2.3. Babeskopiak. Kontratatutako zerbitzugintzaren ondorioz datuak CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAREN sistemetan gorde behar badira, babeskopiak egiten direla bermatzen duen prozedura normalizatua egongo da, baita horren kalitatea aldian-aldian egiaztatzen duten mekanismoak ere.
4.2.4. CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK segurtasun-neurriak etengabe egiaztatu, ebaluatu eta berrikusi egiten dituen sistema dauka.

LANGILEAK.

CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAREN menpe dauden eta arduradunaren datu pertsonalak tratatzen dituzten pertsonen kopurua mugatua eta ezaguna da. Datuok eskuratzeko aukera duten langileen zerrenda eguneratua dago, eta kontratuaren helburua betetzeko orduan ezinbestekoak direnak dira beti.
CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOKO langile guztiek datuen isilekotasunaren zein babesaren arloko aldian aldiko prestakuntza jasotzen dute, ezarri beharreko arautegia ezagutzen dute eta badakite zer betebehar dituzten arlo horretan eta nolako ondorioak sortzen diren legea betetzen ez denean.

TRATAMENDU-JARDUEREN ERREGISTROA.

CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK arduradunaren kontura egindako tratamendu-jardueren kategoria guztien erregistroa darama idatziz, eta honako hauxe agertzen da bertan:
1.- Eragilearen eta eragilearen gaineko arduradun bakoitzaren izena eta harremanetarako datuak, eta, hala badagokio, arduradunaren edo eragilearen ordezkariarenak eta datuen babeserako ordezkariarenak ere bai.
2.- Arduradun bakoitzaren kontura egindako tratamenduen kategoriak.
3.- Hala badagokio, hirugarren herrialde batera edo nazioarteko erakunde batera datu pertsonalak igortzeko prozesuak, haien identifikazioa barne; eta, DBAOren 49. artikuluaren 1. idatz-zatiaren bigarren paragrafoan adierazitako transferentzien kasuan, berme egokiei buruzko agiriak.

BESTE TRATAMENDU-ERAGILE BATZUEI JAKINARAZTEA

CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK tratamenduaren arduradun beraren beste tratamendu-eragile batzuei jakinarazi ahal izango dizkie datuak, haren jarraibideen arabera. Kasu honetan, arduradunak aurretiaz eta idatziz adieraziko du zer erakunderi jakinarazi behar zaizkion datuak, zer datu jakinarazi behar diren eta jakinarazteko orduan zer segurtasun-neurri ezarri behar diren.
Ezarri behar zaion Batasuneko edo estatu kideetako zuzenbidearen arabera, CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK datu pertsonalak hirugarren herrialde bati edo nazioarteko erakunde bati igorri behar badizkio, arduradunari aldez aurretik emango dio legezko eskakizun horren berri, betiere, zuzenbide horrek interes publikoko arrazoi garrantzitsuengatik debekatzen ez badu.

AZPIKONTRATAZIOA

Ezin izango dira kontratu honen helburu diren prestazioak azpikontratatu, bertan datu pertsonalak tratatu behar direnean, eragilearen zerbitzuen jardunbide arrunterako behar diren zerbitzu osagarriak izan ezik.
Tratamenduren bat azpikontratatu behar izango balitz, tratamenduaren arduradunari aurretiaz, idatziz eta BI HILABETE lehenago eman beharko zaio horren berri. Bertan, azpikontratatu nahi diren tratamenduak zein diren adierazi beharko da, eta argi-argi nahiz agerikotasunez azaldu beharko da zein den enpresa azpikontratista eta zer datu dituen harremanetarako. Azpikontratatu egin ahal izango da, zehaztutako epean arduradunak horren aurka dagoela adierazten ez badu.
Era berean, tratamendu-eragilea ere izango den azpikontratistak tratamendu-eragilea den CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOARENTZAT agiri honetan zehaztutako betebeharrak bete beharko ditu, baita arduradunak emandako jarraibideak ere. CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK harreman berria arautu beharko du, eragile berriak ere baldintza berberak bete ditzan (jarraibideak, betebeharrak, segurtasun-neurriak…) eta, datu pertsonalen tratamenduari zein interesdunen eskubideen bermeari begira, eskakizun formal berberak bete ditzan. Eragileordeak hori betetzen ez badu, CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK, hasierako eragile moduan, erabateko erantzukizuna edukitzen jarraituko du arduradunaren aurrean.

INTERESDUNEN ESKUBIDEAK

CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK tratamenduaren arduradunari laguntzeko konpromisoa hartzen du, honako honexetarako eskubideen erabilerari erantzuteko orduan:
1.- Datuak eskuratzea, zuzentzea, ezabatzea eta aurka egitea
2.- Tratamendua mugatzea
3.- Datuen eramangarritasuna
4.- Banakako erabaki automatizatuen helburua ez izatea (profilak egitea barne)
Interesdunek datuak eskuratzeko, zuzentzeko, ezabatzeko, aurka egiteko, eramateko eta tratamendua mugatzeko eta banakako erabaki automatizatuen helburua ez izateko eskubideak CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAREN aurrean erabiltzen dituztenean, CEBEKek posta elektronikoz jakinarazi beharko du arduradunaren ohiko helbidean. Berehala jakinaraziko da, eta, inolaz ere ez, eskabidea jaso osteko hurrengo 2 lagunetatik harago, eskabidea ebazteko orduan garrantzitsuak izan daitezkeen beste informazio batzuekin batera, hala badagokio.

DATUEN SEGURTASUNAREN URRAKETEI BURUZKO JAKINARAZPENA

CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK, tratamendu-eragile moduan, tratamenduaren arduradunari luzamendurik gabe eta, edozein kasutan, 48 orduko gehieneko epea baino lehen eta POSTA ELEKTRONIKOAREN bidez jakinaraziko dizkio ardurapean dituen datu pertsonalen segurtasunaren urraketak, haien berri duenean. Horrez gain, gertakaria dokumentatzeko eta jakinarazteko informazio nabarmen guztia ere bidaliko dio.
Ez da jakinarazpenik egin beharko, segurtasunaren urraketa horren ondorioz pertsona fisikoen eskubide eta askatasunak nekez arriskatzen direnean.
Jakinarazten bada, honako informazio hau emango da gutxienez:
a) Datu pertsonalen segurtasunaren urraketaren ezaugarrien azalpena, eta, ahal dela, kategoriak nahiz interesdunen gutxi gorabeherako kopurua eta kategoriak nahiz erasandako datu pertsonalen erregistroen gutxi gorabeherako kopurua ere bai.
b) Datuen babeserako ordezkariaren edo informazio gehiago eskaini dezakeen beste harreman-gune baten izena eta harremanetarako datuak.
c) Datu pertsonalen segurtasunaren urraketaren ustezko ondorioen azalpena.
d) Datu pertsonalen segurtasunaren urraketa konpontzeko hartutako neurrien edo proposamenen azalpena, ustezko ondorio kaltegarriak gutxitzeko hartutako neurriak barne, hala badagokio.
Informazioa aldi berean ematerik ez badago, ezinezkoa den neurrian, informazioa apurka-apurka emango da luzamendurik gabe.
Tratamenduaren arduraduna izango da Datuen Babeserako Agentziari edo interesdunei jakinarazpenak egin beharko dizkiena.

ARDURADUNAREKIKO LANKIDETZA

Hona hemen CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK hartutako konpromisoak:
a) Tratamenduaren arduradunari datuen babesaren gaineko eraginaren ebaluazioak egiten laguntzea, hala badagokio.
b) Tratamenduaren arduradunari kontrolerako agintaritzari aurretiko kontsultak egiten laguntzea, hala badagokio.
c) Beharrezkoak diren informazio eta nabaritasun guztiak tratamenduaren arduradunaren esku jartzea, betebeharrak bete egiten direla egiaztatzeko eta arduradunak edo berak baimendutako beste auditore batek egiten dituen auditoriak eta ikuskapenak egiteko.
d) Datuen babeserako ordezkaria izendatzea eta arduradunari haren nortasunaren nahiz harremanetarako datuen berri ematea. Arautegian zehaztutako kasuetan baino ez da egongo betebehar hori.

HARREMANAREN AMAIERA

Prestazioa kontratuan xedatutakoaren arabera betetakoan, CEBEK – BIZKAIKO ENPRESARIEN KONFEDERAZIOAK honako hauxe egingo du tratamenduaren arduradunak hartzen duen erabakiaren arabera:
• Tratamenduaren arduradunari datu pertsonalak eta, hala badagokio, datu horien euskarriak itzultzea. Itzultzean, eragileak erabilitako ekipamendu informatikoetan dauden datu guztiak ezabatu beharko dira.
• Datu pertsonalak eta, hala badagokio, datu horien euskarriak tratamenduaren arduradunak idatziz izendatzen duen beste eragile bati ematea. Itzultzean, eragileak erabilitako ekipamendu informatikoetan dauden datu guztiak ezabatu beharko dira.
• Prestazioa betetakoan, datuak suntsitzea. Suntsitutakoan, eragileak idatziz ziurtatu beharko du suntsitu egin direla, eta ziurtagiria eman beharko dio tratamenduaren arduradunari.
Nolanahi ere, datuak behar bezala blokeatuta dituen kopia bat gorde ahal izango du eragileak, prestazioaren betearazpenaren ondorioz erantzukizunak sortu daitezkeen bitartean.