Datu pertsonalen babesari buruzko Europako araudia: enpresek segurtasun-arrailen berri eman beharko dute.

Aste gutxiren buruan, datu pertsonalen babesari buruzko lege-esparru berria izango da indarrean Europar Batasunean. Zuzenean eta era uniformean aplikatuko da kide diren estatu guztietan.

2018ko maiatzaren 25etik aurrera bete beharrekoa izango da datuen babesari buruzko Europako araudia. Euren jardueretan pertsona fisikoen datuak erabiltzen dituzten enpresa eta erakunde guztiek bete beharko dituzte Datuak Babesteko Araudi Orokorraren xedapenak (2016ko apirilaren 27ko EB 2016/679 Araudi Orokorra, DBAO).

DBAOak dakarren betebeharretako bat izango dugu hizpide artikulu honetan: enpresek, euren jardunean erabiltzen dituzten datu pertsonalen segurtasunean izandako arrailak edo urraketak jakinarazi beharko dizkiote kontrol-agintaritzari.

Aurtengo maiatzetik aurrera, eraso informatiko baten ondorioz gure enpresaren informazioak kalteak izan baditu edo arriskuan egon bada, edo enpresak zibermehatxuren bat jaso badu (birusak, kalte informatikoak, web-orrien erasoa, online iruzurra edo identitate-lapurreta, informazio-ezabatzea, malwarea —troiarrak, adibidez—…), gorabeheraren berri eman beharko dio Datuak Babesteko Agentziari.

DBAOaren arabera, datuen segurtasun-urratze gisa hartuko dira “igorritako, gordetako edo beste era batean tratatutako datu pertsonalak suntsitzea, galtzea edo ustekabean edo bidegabeki aldatzea eragin duten gorabehera guztiak, edo datu horiek baimenik gabe jakitera ematea edo horietara baimenik gabe sartzea ahalbidetu dutenak”.

Segurtasun-urraketa baten ondorioz gure jardueran erabiltzen ditugun datu pertsonalak gal daitezke, edo baimendu gabeko hirugarren batek eskura ditzake. Horrelako egoeren aurrean, pairatutako segurtasun-arrailaren berri eman beharko zaio kontrol-agintaritzari.

Datuen segurtasuna urratzen denean jakinaraztea

DBAOaren 33. artikuluak arautzen du aipatutako betebehar berria.

Xedapen horren arabera, enpresa edo erakunde batek bere informazio-sistemetan segurtasun-arrailen bat izan badu, eta horrek eragina badu bezeroen edo langileen datu pertsonaletan, kontrol-agintaritzari jakinarazi beharko dio. Gure kasuan, jakinarazpena Datuak Babesteko Espainiako Agentziari bidali behar zaio.

Datuen segurtasuna urratu dela antzeman eta 72 orduko epean eman beharko da horren berri. Jakinarazpenean honako hau adierazi behar da:

  1. Datu pertsonalen segurtasunean izan den urraketaren deskribapena (adibidez, langileen eta/edo bezeroen datu pertsonalak zituen ordenagailu eramangarriaren lapurreta) eta, ahal bada, kaltetutako pertsonen kategoriak eta gutxi gorabeherako kopurua, gordeta zeuden datuen kategoriak (pertsona fisikoen identifikazio-datuak, haien osasun-datuak, banku-datuak, informazio fiskala, …) eta kaltetutako datu-erregistroen gutxi-gorabeherako kopurua.
  2. Kaltetutako enpresako arduradunaren izena eta harremanetarako datuak. Datuak babesteko ordezkaririk izanez gero, horren datuak bidali behar dira.
  3. Datu pertsonalen segurtasuna urratu izanaren balizko ondorioen deskribapena.
  4. Datu pertsonalen segurtasuna urratu ondoren hartutako neurriak edo konponbiderako proposamenak, baita, hala badagokio, ondorio negatiboak saihesteko hartutako neurriak ere.

Aipatutako informazio hori guztia ematerik ez badago, eta bideratzen ez bada, informazioa gutxika-gutxika jakinaraziko da, bidegabeko atzerapenik gabe.

Bestalde, datu pertsonalen segurtasuna urratzea arrisku handikoa izan ahal bada kaltetutako pertsonen eskubideei eta askatasunei dagokienez, pertsona horiei ere jakinarazi beharko zaie gertatutakoa, hau da, informazioa lapurtu edo hirugarren batzuek bidegabeki eskuratu izanak eragindakoei.

Ildo horretan, DBAOaren 86. kontuan hartuzkoak dio interesdunari bidegabeko atzerapenik gabe jakinarazi behar zaiola datu pertsonalen segurtasuna urratu dela, gertaerak arriskuan jartzen baditu haren eskubide eta askatasunak, eta beharrezko neurriak hartzeko aukera eman behar zaiola. Era berean, aipatutako kontuan hartuzkoaren arabera, “jakinarazpenean datu pertsonalen segurtasun-urraketaren izaera azaldu behar da, eta gomendioak eman kaltetutako pertsona fisikoak ondorio kaltegarriak saihets ditzan. Interesdunei ahalik eta azkarren helarazi behar zaie jakinarazpena, betiere kontrol-agintaritzarekin lankidetza estuan eta horrek edo eskumena duten agintariek emandako jarraibideekin bat, polizia-agintariek, esaterako. Hortaz, adibidez, berehalako kalte-galeren arriskuari aurre egin behar bazaio justifikatuta egongo da interesdunei jakinarazpena lehenbailehen helaraztea; eta jakinarazpena beranduago egitea justifikatuta egongo da neurriak hartu behar badira datu pertsonalen segurtasuna era jarraituan urratzea edo antzeko egoerak saihesteko”.

Baina arriskua txikia bada, ez da nahitaezkoa izango interesdunei segurtasun-urraketaren edo -arrailen berri ematea.

Beraz, egokiak diren babeserako neurri teknikoak eta antolaketa mailakoak hartu badira, eta neurriok datu pertsonalen segurtasun-urraketak eragindako datu pertsonalei aplikatu bazaizkie, ez da derrigorrezkoa izango jakinarazpen hori egitea, batez ere baimendu gabeko hirugarrenentzat datuok ulertezin bilakatzeko neurriak hartu badira, datuak zifratzea, esate baterako.

Segurtasun-urraketen jakinarazpena ez betetzearen ondorioak

Segurtasuna urratu dela jakinarazteko betebeharrari uko egitea gogor zigortuta dago, isuna 10 milioi eurorainokoa edo erakundearen urteko diru-sarreren % 2rainokoa izan daiteke. Hori guztia kontuan hartuta, funtsezkoa da erakundeko langile guztiek ondo jakitea datuen babesarekin lotutako gorabeherak zer diren eta horien aurrean zer egin behar den.

 

Azken berriak