INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información...

42
INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE OSAKIDETZA/SERVICIO VASCO DE SALUD A: DIRECTORES/AS GERENTES/AS ORGANIZACIONES DE SERVICIOS ASUNTO: Funciones y obligaciones del personal de Osakidetza/Servicio vasco de salud, con relación a la protección de datos de carácter personal. Procedimientos de actuación. Osakidetza/Servicio vasco de salud como parte fundamental del Sistema Sanitario de Euskadi, tiene como misión “proveer los servicios sanitarios públicos de calidad a los ciudadanos de la Comunidad Autónoma, para satisfacer las necesidades de salud de la población, bajo los principios de equidad, eficiencia y calidad, mediante el desarrollo de actividades de promoción, prevención, cuidado y mejora de la salud”. El personal que trabaja en las Organizaciones de Servicios de Osakidetza/ Servicio vasco de salud, como fruto de sus relaciones laborales, tiene acceso de forma total o parcial a diferentes tipos de datos: datos identificativos, datos profesionales y datos clínicos. El contenido de esta Instrucción está dirigido a todo el personal que desarrolla su trabajo en cualquiera de las organizaciones de servicios de Osakidetza/ Servicio vasco de salud, y que en el ejercicio de sus funciones maneja sistemas de información de cualquier índole con datos de carácter personal, como: 3S-Osabide, e-Osabide, Aldabide, Gizabide, o cualquier otra aplicación informática o base de datos. La finalidad es instar a todo el personal a conocer la

Transcript of INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información...

Page 1: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

INSTRUCCIÓN 6 / 2003

DE: DIRECTOR GENERAL DE OSAKIDETZA/SERVICIO VASCO DE SALUD

A: DIRECTORES/AS GERENTES/AS ORGANIZACIONES DE SERVICIOS

ASUNTO: Funciones y obligaciones del personal de Osakidetza/Servicio vasco desalud, con relación a la protección de datos de carácter personal.Procedimientos de actuación.

Osakidetza/Servicio vasco de salud como parte fundamental del Sistema Sanitario deEuskadi, tiene como misión “proveer los servicios sanitarios públicos de calidad a los

ciudadanos de la Comunidad Autónoma, para satisfacer las necesidades de salud de la

población, bajo los principios de equidad, eficiencia y calidad, mediante el desarrollo de

actividades de promoción, prevención, cuidado y mejora de la salud”. El personal que trabaja enlas Organizaciones de Servicios de Osakidetza/ Servicio vasco de salud, como fruto de susrelaciones laborales, tiene acceso de forma total o parcial a diferentes tipos de datos: datosidentificativos, datos profesionales y datos clínicos.

El contenido de esta Instrucción está dirigido a todo el personal que desarrolla su trabajoen cualquiera de las organizaciones de servicios de Osakidetza/ Servicio vasco de salud, y queen el ejercicio de sus funciones maneja sistemas de información de cualquier índole con datosde carácter personal, como: 3S-Osabide, e-Osabide, Aldabide, Gizabide, o cualquier otraaplicación informática o base de datos. La finalidad es instar a todo el personal a conocer la

Page 2: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

2

normativa actual en materia de protección de los datos de carácter personal disponibles enOsakidetza/ Servicio vasco de salud, y a manejar éstos de forma confidencial y adecuada,garantizando el ejercicio de los derechos del ciudadano en esta materia.

La Ley Orgánica 15/1999, de 13 de diciembre, relativa a la Protección de Datos deCarácter Personal, es de aplicación a los datos de carácter personal registrados en cualquiersoporte físico (papel, magnético o telemático) que los haga susceptibles de tratamiento, y a todamodalidad de uso posterior de los mismos. Define los “datos de carácter personal” comocualquier información concerniente a personas físicas identificadas o identificables y el“tratamiento de datos” como las operaciones y procedimientos técnicos, de carácterautomatizado o no, que permitan la recogida, grabación, conservación, elaboración,modificación, bloqueo y cancelación, así como las cesiones de datos que resulten decomunicaciones, consultas, interconexiones y transferencias.

Los “datos personales relativos a la salud” están especialmente protegidos, yrespecto a ellos, la Ley orgánica 15/1999, en su artículo 8, dice “las instituciones y los centros

sanitarios públicos y privados y los profesionales correspondientes podrán proceder al

tratamiento de datos de carácter personal relativos a la salud de las personas que a ellos acudan

o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal y

autonómica sobre Sanidad”.

Dada la importancia de la definición adecuada de los términos relacionados con estanormativa, se utilizara la siguiente:

- Contraseña, información confidencial, frecuentemente constituida por una cadenade caracteres, que puede ser usada en la autenticación de un usuario.

- Documentación clínica, soporte de cualquier tipo o clase que contiene un conjuntode datos e informaciones de carácter asistencial.

- Fichero, todo conjunto organizado de datos de carácter personal, cualquiera quefuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Page 3: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

3

- Incidencia, todo suceso que pueda provocar vulneración de la confidencialidad,privacidad o seguridad de los datos de carácter personal, con independencia de cualsea su soporte de registro.

- Información clínica, todo dato cualquiera que sea su forma, clase o tipo, quepermite adquirir o ampliar conocimientos sobre el estado físico y la salud de unapersona, o la forma de preservarla, cuidarla, mejorarla o recuperarla.

- Responsable de autorización de accesos, persona o personas responsables deestablecer los mecanismos que permiten acceder a datos o recursos.

- Responsable de fichero, persona física o jurídica que decide sobre la finalidad,contenido y uso de los datos de carácter personal de un fichero.

- Responsable de seguridad, persona o personas a las que el responsable deficheros ha asignado formalmente la función de coordinar y controlar las medidas deseguridad aplicables.

- Sistema de información, conjunto de ficheros automatizados, programas soportesy equipos empleados para el almacenamiento y tratamiento de carácter personal.

- Soporte, objeto físico susceptible de ser tratado en un sistema de información ysobre el que se pueden grabar o recuperar datos.

- Usuario, sujeto o proceso autorizado para acceder a datos o recursos.

Así, con el fin de hacer efectivos los derechos del ciudadano, en cuanto a protección dedatos y confidencialidad de la información, establecidos en la normativa actual, tal como la Ley15/1999 de protección de datos de carácter personal, el Real Decreto 994/1999 sobre medidasde seguridad de ficheros automatizados, la Ley 41/2002 básica reguladora de la autonomía delpaciente y de derechos y obligaciones en materia de información y documentación clínica, la Ley8/1997 de Ordenación Sanitaria de Euskadi, la Ley 6/1989 de Función Pública Vasca, el Decreto272/1986 que regula el uso de la historia clínica en la Comunidad Autónoma del País Vasco(artículos 7 a 10), el Decreto 45/1998 sobre la Valoración, Conservación y Expurgo de laDocumentación del Registro de Actividades Clínicas y el Decreto 175/1989 por el que seaprueba la carta de derechos y obligaciones de los pacientes y usuarios de Osakidetza/ Serviciovasco de salud, se dictan las siguientes

Page 4: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

4

I N S T R U C C I O N E S

1º.- DEBERES Y OBLIGACIONES

1.1- DEBER DE CONFIDENCIALIDAD

Todo el personal de Osakidetza/ Servicio vasco de salud que ejerce su labor encualquiera de sus organizaciones de servicios, y que de manera directa o indirecta tenga accesoa datos de carácter personal, y/o a datos relativos a la salud (información clínica) tiene el deberde preservar la confidencialidad de los mismos, utilizarlos de forma adecuada, adoptar lasmedidas pertinentes para salvaguardar su confidencialidad y evitar su acceso a personal noautorizado.

El deber de secreto es independiente del tipo documental en que este recogida lainformación (soporte papel, magnético o telemático) y subsiste por tiempo indefinido, aúndespués de la finalización del contrato laboral.

Cuando por procesos de expurgo de archivo y documentación un soporte vaya a serdesechado o reutilizado, se aplicarán medidas adecuadas para salvaguardar la confidencialidadde los datos contenidos.

En el caso de empresas subcontratadas por Osakidetza/ Servicio vasco de salud y cuyopersonal en el ejercicio de sus funciones, tenga acceso a datos de carácter personal, el contratodeberá incluir una cláusula específica respecto “al deber de secreto y al uso o manejo de lainformación estableciendo las medidas de seguridad adecuadas”. En el anexo I figura modelode “cláusula sobre el deber de secreto y la confidencialidad para contratos con terceros”.

El incumplimiento de estas obligaciones, en materia de confidencialidad y salvaguardade la privacidad de la información, por parte del personal de Osakidetza/ Servicio vasco de saluddará lugar a la sanción que corresponda en función de la gravedad del caso (intencionalidad,perturbación del servicio, reiteración, reincidencia…), pudiendo llegar a ser causa deinhabilitación.

Page 5: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

5

Si fuere detectada una violación del deber de secreto respecto a datos de carácterpersonal, la Dirección Gerencia de la organización de servicios correspondiente procederá a suinvestigación y correspondiente sanción si hubiere lugar.

1.2- DEBER DE INFORMACIÓN EN LA RECOGIDA DE DATOS

Los datos de carácter personal, incluidos los datos clínicos, sólo se podrán recoger y/outilizar cuando sean legítimos, adecuados y pertinentes, en relación con el ámbito, finalidad ymotivo para el que hayan sido obtenidos. No podrán utilizarse para finalidades incompatiblescon aquellas para las que los datos fueron recogidos, o cuyo uso no está contemplado por lanormativa vigente.

Los interesados a los que se les soliciten datos personales deberán ser previamenteinformados de modo expreso, preciso e inequívoco:

� De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad dela recogida de éstos y de los destinatarios de la información.

� De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

� De la identidad y dirección del responsable del tratamiento o, en su caso, de surepresentante.

En el anexo II, se adjunta nota informativa de la Dirección de Asistencia Sanitaria informando alos ciudadanos del tratamiento de datos de carácter personal con la finalidad de elaborar la historiaclínica informatizada, que debe estar en un lugar bien visible en las áreas de atención al cliente de lasorganizaciones de servicios de Osakidetza/ Servicio vasco de salud, y puede servir de modelo para lainformación relativa a otros ficheros.

Page 6: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

6

1.3- OBLIGACIÓN DE RECABAR EL CONSENTIMIENTO DEL AFECTADO PARA ELTRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

Para el tratamiento de datos de carácter personal que no estén especialmenteprotegidos se exige el consentimiento inequívoco del afectado, salvo las excepciones dispuestasen la legislación.

Los datos personales relativos a la salud están especialmente protegidos y cuentan conun régimen específico para su tratamiento, en atención a su destino. Así conforme al apartado 6del art. 7 de la LOPD, y por lo que aquí interesa, los datos de carácter personal relativos a lasalud podrán ser objeto de tratamiento sin consentimiento del afectado “cuando dicho

tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de

asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que

dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o

por otra persona sujeta asimismo a una obligación equivalente de secreto”. También podrá serobjeto de tratamiento los datos carácter personal relativos a la salud “cuando el tratamiento sea

necesario para salvaguardar el interés vital del afectado o de otra persona”, en el supuesto deque el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

1.4- DEBER DE ADOPTAR MEDIDAS DE SEGURIDAD

El responsable del fichero deberá adoptar las medidas de índole técnica y organizativa quegaranticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento oacceso no autorizado.

En relación a los ficheros de carácter corporativo las medidas se adoptarán por sucorrespondiente responsable desde la Organización Central de Osakidetza/ Servicio vasco de salud, sinembargo para los ficheros de carácter no corporativos existentes en cada organización de servicios,deberá de ser el director gerente, por medio de él o los responsables de seguridad y de autorizacionesde accesos, el encargado de articular dichas medidas, así como velar por el cumplimiento de lasmedidas de seguridad establecidas para cada tipo de fichero (corporativos y propios).

Page 7: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

7

1.5- DEBER DE SECRETO

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de losdatos de carácter personal, están obligados al secreto profesional y al deber de guarda respectode los mismos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titulardel fichero, en su caso con el responsable del mismo.

1.6- OBLIGACIÓN DE RECABAR EL CONSENTIMIENTO DEL INTERESADO PARA LACESIÓN DE DATOS DE CARÁCTER PERSONAL

La comunicación de datos de carácter personal a terceros sólo podrá realizarse para elcumplimiento de fines directamente relacionados con las funciones legítimas del cedente y delcesionario, y con el previo consentimiento del interesado.

Si los datos pertenecen a un fichero de carácter no corporativo, cuando elresponsable del fichero tenga necesidad de comunicar los datos de carácter personal objeto detratamiento a un tercero, remitirá, por un medio que deje constancia del envío y de la fecha derecepción, notificación al interesado exponiendo los siguientes extremos:

� Identificación del responsable del fichero cedente.� Datos de carácter personal del interesado en poder del responsable del

fichero cuya comunicación a un tercero se pretende autorizar.� Circunstancias en que se obtuvieron los datos que se pretende comunicar.� Finalidad a la que se destinarán los datos cuya comunicación se pretende

autorizar.� Sujeción del cesionario, a las disposiciones de la Ley Orgánica de

Protección de Datos de Carácter Personal.� Advertencia, gráficamente destacada, de que si no se manifiesta lo contrario

en el término de 15 días naturales contados a partir del día siguiente al de larecepción de la notificación, se entenderá que presta su consentimiento a lacomunicación de los datos personales expuesta.

� Igualmente destacado, el carácter revocable del consentimiento prestado.

Page 8: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

8

Si los datos pertenecen a un fichero de carácter corporativo, los responsables dedichos ficheros en la Organización Central de Osakidetza/ Servicio vasco de salud serán loscompetentes para decidir sobre la posible cesión.

No se requerirá el consentimiento del interesado cuando la comunicación tenga porobjeto datos de carácter personal relativos a la salud y sea necesaria para solucionar unaurgencia o para realizar estudios epidemiológicos en los términos establecidos en la legislaciónsanitaria estatal o autonómica, debiendo utilizarse para esta finalidad datos disociados.

2º.- DERECHOS Y GARANTÍAS DE LOS AFECTADOS

La solicitud de acceso, rectificación, oposición y cancelación de datos de carácterpersonal son derechos del ciudadano recogidos en la ley 15/1999, de protección de datos decarácter personal.

Los interesados podrán solicitar información acerca de sus datos y la rectificación delos datos erróneos o innecesarios para el fin por el que hubieren sido recogidos. Estosderechos serán ejercidos por el afectado frente al responsable del fichero, para lo que seránecesario que el afectado acredite su identidad ante el responsable del fichero. Podrá noobstante actuar el representante legal del afectado, cuando éste se encuentre en situación deincapacidad o minoría de edad que le imposibilite el ejercicio personal de sus derechos.

La solicitud se acompañará de:

� Documento que acredite la identidad del interesado, como DNI u otrodocumento legal. Si la solicitud es del tutor o representante legal, seacompañará también la documentación que acredite esta representación.

� Exposición del motivo de la petición solicitada.� Domicilio a efectos de notificación.� Fecha y firma del solicitante.

Page 9: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

9

Las solicitudes podrán tramitarse a través de los Servicios de Atención al Paciente yUsuario o de las Áreas de Atención al Cliente de los centros, quienes informarán debidamente alos interesados de sus derechos al respecto.

Las solicitudes se recogerán, registraran y enviarán de manera urgente al Responsablede Seguridad nombrado en cada organización de servicios, siguiendo los circuitos yprocedimientos definidos, y darán lugar a una respuesta por parte del Responsable del Fichero,con la aprobación o denegación motivadas, enviándole al interesado una “notificación de

resolución”. En caso de tratarse de ficheros de carácter corporativo (Gizabide, Osabide, etc..),la solicitud se enviara a los Responsables de los ficheros en la Organización Central deOsakidetza/ Servicio vasco de salud. En cualquier caso, dada la brevedad de plazos pararesponder (10 días en algunos casos), será fundamental coordinar dichas acciones a fin de quelos plazos se cumplan.

En el anexo III se adjuntan los “Modelos de solicitudes de acceso, de rectificación yde cancelación de datos de carácter personal de los ficheros de Osakidetza/ Serviciovasco de salud”.

El responsable del fichero deberá contestar la solicitud que se le dirija, conindependencia de que figuren o no datos personales del afectado en sus ficheros. Si la solicitudno reúne los requisitos expuestos en el apartado anterior, el responsable del fichero deberárequerir la subsanación de los mismos. En cualquier caso, para la respuesta se emplearánmedios que permitan acreditar el envío y la recepción de la respuesta.

El responsable del fichero cuidará que el personal autorizado para acceder a los datospersonales conozca y pueda prestar información a los interesados sobre sus derechos deacceso, rectificación y cancelación.

Page 10: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

10

2.1- DERECHO DE ACCESO

El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datosde carácter personal sometidos a tratamiento, el origen de dicho datos, así como lascomunicaciones realizadas o que se prevén realizar de los mismos.

El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo deun mes a contar desde la recepción de la solicitud. En el caso de que no disponga de datospersonales de los afectados deberá igualmente comunicárselo en el mismo plazo. Si laresolución fuese estimatoria, el acceso se hará efectivo en el plazo de los 10 días siguientes a lanotificación de aquélla.

El ejercicio del derecho de acceso ofrecido por el responsable del fichero podráhacerse mediante el procedimiento que sea adecuado a la configuración e implantación materialdel mismo (visualización en pantalla, escrito, copia o fotocopia remitida por correo…).

El responsable del fichero podrá denegar el acceso a los datos de carácter personalcuando el derecho se haya ejercitado en un intervalo inferior a doce meses y no se acrediteinterés legítimo al efecto, así como cuando la solicitud sea formulada por persona distinta delafectado.

2.2- DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN

Si los datos de carácter personal del afectado son inexactos, incompletos, inadecuadoso excesivos, podrá éste solicitar del responsable del fichero la rectificación o, en su caso, lacancelación de los mismos.

Los derechos de rectificación y cancelación se harán efectivos por el responsable delfichero dentro de los diez días siguientes al de la recepción de la solicitud. Si los datosrectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá

Page 11: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

11

notificar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, asu vez, la lleve a cabo en su fichero.

La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección quedebe realizarse, debiendo ir acompañada de la documentación justificativa de la rectificaciónsolicitada.

La cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimosdel afectado, de terceros o cuando existiese una obligación de conservación de los datos. Eneste sentido y con carácter general, no procederá la cancelación de datos de la Historia Clínicaen virtud del deber de conservación de la misma establecido en la legislación sanitaria.

Respecto a la solicitud de cancelación, el interesado deberá indicar si revoca elconsentimiento otorgado en los casos en que la revocación proceda, o si por el contrario se tratade un dato erróneo o inexacto, en cuyo caso deberá acompañar la documentación justificativa. Siel responsable del fichero considera que no procede atender la solicitud del afectado, se locomunicará motivadamente dentro del plazo de los diez días siguientes al de la recepción de lamisma.

La cancelación dará lugar al bloqueo de los datos conservándose únicamente adisposición de las Administraciones Públicas, Jueces y Tribunales. Cuando acabe el plazo deprescripción de las posibles responsabilidades nacidas del tratamiento, deberá procederse alborrado físico de los datos.

3º.- MEDIDAS DE SEGURIDAD EN LAS ORGANIZACIÓNES DE SERVICIOS

En cada Organización de Servicios, el director gerente nombrara un Responsable deSeguridad de cuantos Sistemas de Información estén ubicados o se generen en su ámbito deactuación. Dicho responsable de seguridad deberá garantizar la custodia eficaz de la informacióny documentación generada, tal como establece la normativa vigente en cuanto a medidas deseguridad de los datos de carácter personal.

Page 12: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

12

A su vez, el responsable de seguridad de cada Organización de Servicios, actuará encoordinación con el responsable de seguridad de la Organización Central y con la ComisiónCentral de Seguridad de Osakidetza/ Servicio vasco de salud, con el fin de establecer y adoptarlas medidas de seguridad más adecuadas a cada centro.

Las medidas de seguridad se establecerán de forma específica para cada sistema deinformación aplicando el nivel de seguridad exigible según el tipo de datos de carácter personal atratar.

Cada sistema de información tendrá un Responsable de Autorización de Accesos,nombrado por el Director Gerente de la organización de servicios, que será el encargado dediseñar el sistema de accesos y tener actualizado el listado de usuarios, siendo responsabletambién de poner medidas para evitar el acceso a personas no autorizadas.

Las Organizaciones de Servicios deberán adecuar y adaptar el Documento de Seguridaddel Ente Público Osakidetza/ Servicio vasco de salud, que define las medidas de seguridad queafectan a los ficheros de carácter corporativo existentes en el conjunto del Ente Público. LosDirectores Gerente de cada organización de servicios a través del Responsable de Seguridadcorrespondiente, elaborarán e implantarán la normativa de seguridad a través de un Documentode seguridad de cada Organización de Servicios, que será producto de añadir al documentode seguridad corporativo la normativa de seguridad relativa a los ficheros propios. Para ello esnecesario inventariar los ficheros no corporativos de cada organización de servicios, registrarlosen el Documento de Seguridad propio, y proceder a su declaración a la Agencia de Protecciónde Datos. Este Documento de Seguridad de la Organización de Servicios será de obligadocumplimiento para todo el personal que acceda a los sistemas de información.

Por lo que se refiere a los ficheros corporativos, la Comisión de Seguridad de laOrganización Central revisará y actualizará de forma periódica el documento de seguridad delEnte Público Osakidetza/ Servicio vasco de salud, constando la fecha de revisión en elmismo.

Page 13: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

13

Los Directores Gerente crearán en cada organización de servicios, una estructura deseguridad, que actuando en coordinación con la Comisión de Seguridad de la OrganizaciónCentral, se encargue de:

� incorporar al Documento de Seguridad de la organización de servicios lasactualizaciones que se efectúen en el Documento de Seguridad deseguridad del Ente Público Osakidetza/ Servicio vasco de salud.

� revisar periódicamente el Documento de Seguridad de la organización deservicios en lo concerniente a los ficheros propios.

� chequear las medidas establecidas para todo tipo de ficheros y de elaborarel “informe de auditoria interna” con el fin de identificar áreas de deficienciasy las medidas correctoras necesarias.

4º.- MEDIDAS DE SEGURIDAD DE LOS ORDENADORES

Para garantizar el uso adecuado de los sistemas informatizados se han de cumplir lassiguientes medidas, en todos los ordenadores de las organizaciones de servicios:

� Cada usuario con acceso a sistemas de Información soportados en sistemasinformatizados, tendrá asignado de forma personal, confidencial eintransferible, un código de acceso y una contraseña, de cuyo uso seresponsabilizara personalmente.

� Cualquier sospecha de difusión o uso indebido de las contraseñas, serácomunicado al Responsable de Seguridad de su organización de servicios,para su modificación, generándose la correspondiente incidencia al verseafectada la seguridad de los datos. Las contraseñas se renovaránperiódicamente y el archivo/soporte donde se almacenen estará protegido.

Page 14: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

14

� La protección y el uso de los ordenadores personales, y portátiles esresponsabilidad de cada persona a la que se autoriza su uso. Si seintroducen o manejan ficheros con datos de carácter personal deberánsometerse a las mismas medidas de seguridad que el resto de ficheros de laorganización de servicios.

� Al final de cada jornada laboral, se apagarán los ordenadores, y sólo sepodrán mantener encendidos de forma prolongada, mediante la autorizacióndel Responsable de Seguridad de la organización de servicioscorrespondiente.

5º.- NOTIFICACIÓN Y GESTIÓN DE INCIDENCIAS

Incidencia es todo suceso que pueda provocar vulneración de la confidencialidad,privacidad o seguridad de los datos de carácter personal, con independencia de cual sea susoporte de registro.

Las incidencias que puedan acontecer durante la explotación de los sistemas deinformación de Osakidetza/ Servicio vasco de salud, y que traten datos de carácter personal,deberán quedar registrados en un libro de incidencias por medio del llamado informe deincidencias, comunicándose al Responsable de Seguridad de la organización de servicios,debiendo recoger:

- Descripción de la incidencia- Fecha y hora en la que se produce- Centro o dependencia donde se ha producido- Nombre y apellidos de la persona que notifica

El anexo IV, contiene el modelo de “Informe de notificación de incidencias” que seutilizara en estos casos.

Page 15: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

15

A efectos operativos y de inspección, se guardarán o mantendrá el registro de lasincidencias acaecidas en los últimos 12 meses. Cuando el tipo de incidencia, de lugar a una“recuperación de datos”, se describirá el procedimiento usado para la recuperación y grabación.

Los responsables de seguridad de cada organización de servicios, una vez detectadauna incidencia y en función de la gravedad de la misma, la comunicaran al Director Gerente de lamisma y al Responsable de Seguridad de la Organización Central, para depurar las posiblesresponsabilidades.

Las Direcciones Gerencia de las organizaciones de servicios, a través de las direccionesque de ellas dependen y de las jefaturas de unidades, servicios o áreas de atención al clienteimplicados, establecerán los mecanismos necesarios para el cumplimiento de esta Instrucción ypara su difusión al personal de Osakidetza/ Servicio vasco de salud implicado.

En Vitoria-Gasteiz, a 2 de septiembre de 2003

Josu I. Garay Ibáñez de ElejaldeDirector General de Osakidetza/ Servicio vasco de salud

Page 16: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

ANEXO I. CLAUSULA SOBRE EL DEBER DE SECRETO YCONFIDENCIALIDAD PARA CONTRATOS CON TERCEROS

En consideración al tipo de información procesada en el desempeño de su labor, elpersonal del adjudicatario está obligado a mantener la más absoluta confidencialidad sobre todosaquellos datos y documentos a que tengan acceso con motivo de esta adjudicación. A ellosaccederán, exclusivamente, las personas estrictamente imprescindibles para el desarrollo de lastareas inherentes a la misma. Todas ellas serán advertidas del carácter confidencial y reservadode la información a la que tendrán acceso.

Todos los ficheros que se pongan a disposición del adjudicatario para la ejecución delcontrato son propiedad de Osakidetza y están registrados y sometidos a la salvaguarda queestablece la legislación vigente, en especial la relativa a la protección de datos personales. Todacesión a terceros será perseguida en los tribunales.

Los citados datos o ficheros no podrán ser empleados ni tratados por la empresa xxxpara fin distinto al previsto en el contrato de xxxx, estando especialmente prohibida su cesión ocomunicación a terceros. Una vez cumplida la prestación contractual principal, los datos decarácter personal deberán ser destruidos por la adjudicataria.

Osakidetza se reserva el derecho de establecer cualquier tipo de marcaje de losficheros que se dejarán al adjudicatario, de manera que sus características puedan constituirsecomo prueba que posibilite localizar el origen y los responsables de las eventuales cesiones.

Bajo ningún caso ni circunstancia, el adjudicatario podrá suministrar a terceros, ni utilizarpara sí ni para otros, datos facilitados por Osakidetza, para fines distintos a los contemplados enel objeto del presente contrato.

El adjudicatario estará obligado a poner en conocimiento de Osakidetza,inmediatamente después de ser detectada, cualquier sospecha de eventuales errores que sepuedan producir en el sistema de seguridad de la información.

El adjudicatario faculta a Osakidetza para que, al terminar el proyecto, puedaresponsabilizarlo y/o repercutirle los costes derivados de posibles reclamaciones ocasionadaspor negligencia y/o falta de confidencialidad del mismo.

Page 17: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

17

ANEXO II- MODELO DE INFORMACION AL USUARIO SOBRE RECOGIDA DEDATOS DE CARÁCTER PERSONAL PARA SU INCORPORACION A FICHEROINFORMATIZADO

Mediante la presente “Nota Informativa”, la Dirección de Asistencia Sanitaria de Osakidetza-Servicio vasco de salud pone en conocimiento de los ciudadanos que los datos personales quese les soliciten, serán objeto de tratamiento e incorporados a los ficheros de datos de carácterpersonal que existen en Osakidetza-Servicio vasco de salud.

La recogida y tratamiento de los datos personales solicitados por los profesionales sanitarios yno sanitarios de Osakidetza-Servicio vasco de salud tiene como finalidad la elaboración de lahistoria clínica de los pacientes para el seguimiento de su estado de salud, la gestión adecuadade los servicios sanitarios, la investigación científica y la actividad docente.

El responsable del fichero de historia clínica es la Dirección de Asistencia Sanitaria (c/ Alava, 45- 01006 Vitoria-Gasteiz), órgano al que Vds. deberán dirigirse para ejercer los derechos deacceso, rectificación y cancelación.

Los datos que como titular Vd. facilite únicamente serán cedidos a otros organismos del sistemasanitario y organismos oficiales de estadística. Cualquier cesión fuera de las previstas requerirásu expreso consentimiento, salvo que se trate de solucionar una urgencia o para realizarestudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal yautonómica.

Es todo cuanto se comunica en cumplimiento del deber de información que impone el artículo 5de la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.Atentamente,

DIRECTOR ASISTENCIA SANITARIA

OSAKIDETZA-SERVICIO VASCO DE SALUD

Page 18: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

18

ANEXO III. FORMULARIO DE SOLICITUD DE ACCESO A DATOS DECARÁCTER PERSONAL DE FICHEROS DE OSAKIDETZA/SERVICIO VASCODE SALUD.

DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO

Nombre:Dirección de la oficina de acceso:

DATOS DEL SOLICITANTE

D/Dª ………………………………………, mayor de edad, con domicilio en laC/…………………………………………, nº…….., Localidad…………………………..,Provincia…………………..,CP…………., con DNI …………………., del que acompaña fotocopia,por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso, deconformidad con los artículos 15 de la Ley Orgánica de Protección de Datos de CarácterPersonal, LO 15/1999, y los artículos 12 y 13 del Real Decreto 1332/94.

SOLICITA:

1.- Que se le facilite gratuitamente acceso a sus ficheros en el plazo máximo de un mes acontar desde la recepción de esta solicitud, entendiendo que si transcurre este plazo sin que deforma expresa se conteste a la mencionada petición de acceso se entenderá denegada. En estecaso se interpondrá la oportuna reclamación ante la Agencia de Protección de Datos para iniciarel procedimiento de tutela de derechos, en virtud del artículo 18 de la Ley Orgánica y 17 del RealDecreto.

2.- Que si la solicitud del derecho de acceso fuese estimada, se remita por correo la informacióna la dirección arriba indicada en el plazo de diez días desde la resolución estimatoria de lasolicitud de acceso.

3.- Que esta información comprenda de modo legible e inteligible los datos de base que sobremi persona están incluidos en sus ficheros, y los resultantes de cualquier elaboración, proceso otratamiento, así como el origen de los datos, los cesionarios y la especificación de los concretosusos y finalidades para los que se almacenaron.

En ……………………………, a……de …………………de 200

Page 19: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

19

ANEXO III. FORMULARIO DE SOLICITUD DE RECTIFICACION DE DATOS DECARÁCTER PERSONAL DE FICHEROS DE OSAKIDETZA/SERVICIO VASCODE SALUD.

DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO

Nombre:Dirección de la oficina de acceso:

DATOS DEL SOLICITANTE

D/Dª ………………………………………, mayor de edad, con domicilio en laC/…………………………………………, nº…….., Localidad…………………………..,Provincia…………………..,CP…………., con DNI …………………., del que acompaña fotocopia,por medio del presente escrito manifiesta su deseo de ejercer su derecho de rectificación, deconformidad con los artículos 16 de la Ley Orgánica de Protección de Datos de CarácterPersonal, LO 15/1999, y los artículos 15 y 16 del Real Decreto 1332/94.

SOLICITA:

1.- Que se proceda gratuitamente a la efectiva corrección en el plazo de diez días desde larecepción de la solicitud, de los datos inexactos relativos a mi persona que se encuentran en susficheros.

2.- Los datos que hay que rectificar se enumeran en la hoja anexa, haciendo referencia a losdocumentos que se acompañan a esta solicitud y que acreditan, en caso de ser necesario, laveracidad de los nuevos datos.

3.- Que me comuniquen de forma escrita a la dirección arriba indicada, la rectificación de losdatos una vez realizada.

4.- Que, en el caso de que el responsable del fichero considere que la rectificación o lacancelación no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diezdías señalado, a fin de poder interponer la reclamación prevista en el artículo 18 de la Ley.

En ……………………………, a……de …………………de 200

Page 20: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

20

ANEXO III. FORMULARIO DE SOLICITUD DE CANCELACION DE DATOS DECARÁCTER PERSONAL DE FICHEROS DE OSAKIDETZA/SERVICIO VASCODE SALUD.

DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO

Nombre:Dirección de la oficina de acceso:

DATOS DEL SOLICITANTE

D/Dª ………………………………………, mayor de edad, con domicilio en laC/…………………………………………, nº…….., Localidad…………………………..,Provincia…………………..,CP…………., con DNI …………………., del que acompaña fotocopia,por medio del presente escrito manifiesta su deseo de ejercer su derecho de cancelación, deconformidad con los artículos 16 de la Ley Orgánica de Protección de Datos de CarácterPersonal, LO 15/1999, y los artículos 15 y 16 del Real Decreto 1332/94.

SOLICITA:

1.- Que se proceda a la efectiva supresión en el plazo de diez días desde la recepción de estasolicitud, de cualesquiera datos relativos a mi persona que se encuentren en sus ficheros al noexistir vinculación o disposición legal que justifique su mantenimiento.

2.- Que me comuniquen de forma escrita a la dirección arriba indicada la cancelación de datosuna vez realizada.

3.- Que, en el caso de que el responsable del fichero considere que dicha cancelación noprocede, lo comunique igualmente, de forma motivada y dentro del plazo de diez días señalado,a fin de poder interponer la reclamación prevista en el artículo 18 de la Ley.

En ……………………………, a……de …………………de 200

Page 21: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

21

ANEXO IV. INFORME DE NOTIFICACIÓN DE INCIDENCIAS

INCIDENCIA Nº _________ Fecha notificación: __________

Nombre y Apellidos de quien notifica:______________________________________________

Cargo o puesto: __________________________________

Tipo de incidencia:Descripción (detallada): ________________________________________________________

Fecha y hora en la que se produjo: ________________________________Efectos que puede producir: (en caso de no subsanación o incluso independiente de ello)

Recuperación de datos: SI NO No Procede

Procedimiento realizado: ____Datos restaurados: ________________________________________Datos grabados manualmente: _______________________________Persona que ejecutó el proceso: ______________________________

- Nombre:- Apellidos:- D.N.I.- Firma:

Firma de quien notifica

Page 22: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

22

6 / 2003 INSTRUKZIOA

NORK: OSAKIDETZAKO ZUZENDARI NAGUSIAK

NORI: ZERBITZU ERAKUNDEETAKO ZUZENDARI KUDEATZAILEEI

GAIA: Osakidetza/Euskal Osasun Zerbitzuko langileen funtzioak eta obligazioak, datupertsonalak babesteari dagokionez. Jarduteko prozedurak.

Osakidetza/Euskal Osasun Zerbitzuaren eginbeharra, Euskadiko Osasun Sistemako zatifuntsezkoa den heinean, hau da: “Erkidego Autonomoko biztanleriaren osasun beharrizanak

asebetetzea, horretarako behar diren kalitateko zerbitzu sanitario publikoak eskainiz. Eskaintza

berdintasun, efizientzia eta kalitateko printzipioei erantzunez egin behar du, osasuna sustatu,

prebenitu eta hobetzeko jardueren bidez”. Osakidetza/Euskal Osasun Zerbitzuko Erakundeetanlan egiten duten langileek, beren lan harremanen ondorioz, hainbat datu mota atzitzeko aukeradauketa, guztiz edo partzialki: identifikazio datuak, datu profesionalak eta datu klinikoak.

Instrukzio honen edukia Osakidetza/Euskal Osasun Zerbitzuko edozein zerbitzuerakundetan lan egiten duten eta, beren zeregina gauzatzean, datu pertsonalak gordetzendituzten edozein motatako informazio sistemak erabiltzen dituzten langile guztiei zuzenduta dago.Informazio sistemak hauek dira: 3S-Osabide, e-Osabide, Aldabide, Gizabide edo beste edozeinaplikazio informatiko edo datu base. Helburua langile guztiei Osakidetza/Euskal OsasunZerbitzuan eskuragarri dauden datu pertsonalak babesteari buruzko gaur egungo arautegiaezagutu dezaten eskatzea da, eta datu horiek modu konfidentzialean eta egoki erabil ditzaten,hiritarrak gai honetan dauzkan eskubideak gauzatuko direla bermatuz.

Page 23: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

23

Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoaedozein euskarritan erregistratuta dauden eta tratatzeko aukera ematen duten datu pertsonaleiezarri behar zaie (paperezkoa, magnetikoa edo telematikoa), baita ondoren datu horiez egindaitekeen edozein erabilerari ere. Legearen arabera, “datu pertsonalak” pertsona fisikoidentifikatuei edo identifikagarriei dagokien edozein informazio dira, eta “datuen tratamendua”eragiketa eta prozedura teknikoak dira, automatizatuak izan edo ez izan, komunikazio, kontsulta,interkonexio eta transferentzietatik lortzen diren datuak biltzea, grabatzea, gordetzea, lantzea,aldatzea, blokeatzea, bertan behera uztea eta besteei lagatzea ahalbidetzen dutenak.

“Osasunari buruzko datu pertsonalak” bereziki babestuta daude eta, horieidagokienez, zera dio 15/1999 Lege Organikoak, bere 8. artikuluan: “las instituciones y los centros

sanitarios públicos y privados y los profesionales correspondientes podrán proceder al

tratamiento de datos de carácter personal relativos a la salud de las personas que a ellos acudan

o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal y

autonómica sobre Sanidad”.

Arautegi honi lotutako terminoen definizio egokia izatea oso garrantzitsua denez, honakohauek erabiliko dira:

- Pasahitza, informazio konfidentziala, sarri askotan karaktere kate batek osatua,erabiltzaile bat egiaztatzeko erabil daitekeena.

- Dokumentazio klinikoa, osasun laguntzari buruzko hainbat datu eta informaziodauzkan edozein motatako euskarria.

- Fitxategia, datu pertsonalak antolatuta dauzkan edozein multzo, sortu, gorde,antolatu eta atzitzeko edozein modu erabili dela ere.

- Gertakaria, datu pertsonalen konfidentzialtasuna, pribatutasuna edo segurtasunaurra dezakeen jazoera oro, datuak erregistratzeko euskarria edozein dela ere.

- Informazio klinikoa, pertsona baten egoera fisiko eta osasunari buruz zein bereosasuna begiratu, zaindu, hobetu edo suspertzeko moduari buruz informazioa jakiteaedo zabaltzea ahalbidetzen duen datu oro, edozein forma, modu edo motatakoa delaere.

- Atzipenak baimentzeko arduraduna, datuak edo baliabideak atzitzeko behar direnmekanismoak ezartzeaz arduratzen den pertsona edo pertsonak.

Page 24: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

24

- Fitxategiaren arduraduna, fitxategi bateko datu pertsonalen helburua, edukia etaerabilera erabakitzen dituen pertsona fisikoa edo juridikoa.

- Segurtasun arduraduna, fitxategien arduradunak aplika daitezkeen segurtasunneurriak koordinatzeko eta kontrolatzeko eginkizuna ezartzeko izendatu duenpertsona edo pertsonak.

- Informazio sistema, datu pertsonalak biltzeko eta tratatzeko erabiltzen direnfitxategi automatizatuen, programa euskarrien eta ekipoen multzoa.

- Euskarria, informazio sistema batean trata daitekeen objektu fisikoa, zeinean datuakgrabatu edo berreskuratu daitezkeen.

- Erabiltzailea, datuak edo baliabideak atzitzeko baimena daukan pertsona edoprozesua.

Datuen babesari eta informazioaren konfidentzialtasunari buruz hiritarren eskubideakgauzatzearren gaur egungo arautegian hainbat lege eta dekretu aurki daitezke, hala nola: Ley15/1999 de protección de datos de carácter personal; Real Decreto 994/1999 sobre medidas deseguridad de ficheros automatizados; Ley 41/2002 básica reguladora de la autonomía delpaciente y de derechos y obligaciones en materia de información y documentación clínica;8/1997 Legea, Euskadiko Antolamendu Sanitarioari buruzkoa; 6/1989 Legea, Euskal FuntzioPublikoari buruzkoa; 272/1986 Dekretua, Euskal Herriko Elkarteko Ospitaleetako Historiaklinikoaren erabilketaren arauketa egiten duena (7.artikulutik 10.era); 45/1998 Dekretua, Jardueraklinikoen Erregistroko agirien balorazioa, kontserbazioa eta garbiketa arautzen duena, eta175/1989 Dekretua, Osakidetzako Gaixo eta Erabiltzaileen Eskubide eta Obligazioen KartaOnartzen duena. Horiek guztiak kontuan harturik, instrukzio hauek ematen dira:

I N S T R U K Z I O A K

1. BETEBEHARRAK ETA OBLIGAZIOAK

1.1- KONFIDENTZIALTASUNARI BURUZKO BETEBEHARRA

Osakidetza/Euskal Osasun Erakundeko edozein zerbitzu erakundetan lan egiten duteneta, zuzenean edo zeharka, datu pertsonalak edota osasunari buruzkoak (informazio klinikoa)

Page 25: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

25

eskuratzeko aukera duten langile guztiek horien konfidentzialtasuna gordetzeko betebeharradute, modu egokian erabiltzekoa, konfidentzialtasun hori zaintzekoa eta baimenik ez daukatenlangileek horiek eskuratzea galaraztekoa.

Sekreturako betebeharrak ez du zerikusirik informazioa gordeta dagoen dokumentumotarekin (paperezko euskarria, magnetikoa edo telematikoa), eta denbora mugarik gabe irautendu, baita lan kontratua amaitu eta gero ere.

Artxibategi eta dokumentazioak garbitzeko prozesuen ondorioz euskarri bat deuseztatuedo berrerabili behar baldin bada, bertan gordeta dauden datuen konfidentzialtasuna babestekoezarri beharreko neurriak ezarriko dira.

Osakidetza/Euskal Osasun Erakundeak azpikontratatutako enpresei dagokienez, horienlangileek beren eginkizuna betetzean datu pertsonalak eskuratzeko aukera dutenean, kontratuakklausula berezi bat izan beharko du “sekreturako betebeharrari eta informazioaren erabilerariburuz, dagozkion segurtasun neurriak zehaztuta”. I. eranskinean “besterekiko kontratuetakosekretu eta konfidentzialtasunerako betebeharrari buruzko klausula” eredu bat ageri da.

Osakidetza/Euskal Osasun Erakundeko langileek konfidentzialtasunari eta pribatutasunazaintzeari buruzko obligazio horiek ez betetzeak zigorra ekarriko du, kasuaren larritasunarenaraberakoa (nahitakotasuna, zerbitzuaren nahasmendua, errepikatzea, berriz egitea...), etagaitasungabetzeko kausa ere izan daiteke.

Datu pertsonalei buruzko sekreturako betebeharra urratu dela atzematen bada, dagokionzerbitzu erakundeko Zuzendaritza Kudeatzailetzak egin beharreko ikerketari ekingo dio eta,dagokionean, ezarri beharreko zigorra ezarriko du.

1.2- DATUAK BILTZEAN INFORMATZEKO BETEBEHARRA

Datu pertsonalak, datu klinikoak barne, horiek lortzeko arloari, helburuari eta motiboaridagokienez bidezkoak, egokiak eta beharrezkoak baldin badira baino ezingo dira bildu edotaerabili. Ezingo dira bildu zirenean zeuzkaten helburuak ez diren edo gaur egungo arautegiakjasotzen duen erabilera ez den beste batzuetarako erabili.

Page 26: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

26

Datu pertsonalak eskatu zaizkien interesatuei aurretiaz informazio hauek eman beharzaizkie, berariaz, zehatz eta modu nahastezinean:

� Datu pertsonalen fitxategi edo tratamendu baten existentzia dagoela, datuakbiltzearen helburua zein den eta informazioaren hartzaileak zein diren.

� Atzitzeko, zuzentzeko, baliogabetzeko eta kontra egiteko eskubideak gauzatzekoaukera dagoela.

� Tratamenduaren arduradunaren nortasuna eta helbidea edo, bestela, horrenordezkariarena.

II. eranskinean Laguntza Sanitarioko Zuzendaritzaren informazio oharra erantsi da,historia kliniko informatizatua lantzeko xedearekin hiritarrei datu pertsonalen tratamenduariburuzko informazioa ematen duena; orriak Osakidetza/Euskal Osasun Zerbitzuko zerbitzuerakundeetako bezeroen zerbitzurako esparruetan ongi ikusteko moduko lekuan egon behardu, eta eredua izan daiteke beste fitxategi batzuei buruzko informazioa ematerakoan.

1.3- DATU PERTSONALEN TRATAMENDURAKO DAGOKIONAREN BAIMENA LORTZEKOOBLIGAZIOA

Bereziki babestuta ez dauden datu pertsonalen tratamendurako datu horiekdagozkionaren baimen nahastezina exijitzen da, legediak ezarritako salbuespenetan izan ezik.

Osasunari buruzko datu pertsonalak bereziki babestuta daude eta tratamendurakoerregimen berezia dute, beren helburuaren arabera. Horrenbestez, LOPDko 7. artikuluko 6.atalaren arabera, guri hemen dagokigunez, osasunaren gaineko datu pertsonalak dagokionarenbaimenik gabe tratatu ahal izango dira, “cuando dicho tratamiento resulte necesario para la

prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos

médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice

por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a

una obligación equivalente de secreto”. Gainera, osasunaren gaineko datuen tratamendua eginahal izango da “cuando el tratamiento sea necesario para salvaguardar el interés vital del

Page 27: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

27

afectado o de otra persona”, dagokion pertsona hori fisikoki edo juridikoki baimena ematekoezinduta baldin badago.

1.4- SEGURTASUN NEURRIAK HARTZEKO BETEBEHARRA

Fitxategiaren arduradunak datu pertsonalen segurtasuna bermatuko duten eta horiekaldatzea, galtzea edo baimenik gabe tratatzea edo atzitzea galaraziko duten neurri teknikoak etaantolakuntzazkoak hartu beharko ditu.

Izaera korporatiboko fitxategiei dagokienez, hartu beharreko neurriakOsakidetza/Euskal Osasun Zerbitzuko Erakunde Zentralean dagokion arduradunak hartuko ditu,baina korporatiboak ez diren fitxategiei dagokienez, berriz, zuzendari kudeatzailea izango daneurri horiek artikulatzeaz arduratuko dena, bera zuzenean edo segurtasuneko eta atzipenakbaimentzeko arduradunen bitartez, eta fitxategi mota bakoitzerako (korporatiboak eta propioak)ezarritako segurtasun neurriak betetzen direla ere zainduko du.

1.5- SEKRETURAKO BETEBEHARRA

Fitxategiaren arduradunak eta datu pertsonalen tratamenduaren edozein fasetan partehartzen dutenek sekretu profesionalerako eta datu horiek zaintzeko obligazioak dituzte, etaobligazio horiek iraun egingo dute baita fitxategiaren titularrarekin edo, dagokionean, fitxategiarenarduradunarekin harremanak amaitu eta gero ere.

1.6- DATU PERTSONALAK LAGATZEKO INTERESATUAREN BAIMENA LORTZEKOOBLIGAZIOA

Datu pertsonalak lagatzaileari eta lagapenaren hartzaileari zilegi zaizkien funtzioeizuzenean lotutako helburuak betetzeko baino ezingo zaizkie beste batzuei komunikatu, betiereinteresatuak aurretiaz baimena emanda.

Datuak korporatiboa ez den fitxategi batekoak baldin badira, fitxategiaren arduradunaktratatzeko dauden datu pertsonalak beste bati komunikatu beharra daukanean, interesatuari

Page 28: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

28

horren jakinarazpena igorriko dio, igorri dela eta noiz hartu den egiaztatuko duen bideren batez,eta jakinarazpenean datu hauek zehaztuko dira:

� Fitxategi lagatzailearen arduradunaren identifikazioa.� Interesatuaren datu pertsonalak, hau da, fitxategiaren arduradunak dituenak

eta beste bati komunikatzea baimendu nahi direnak.� Komunikatu nahi diren datuak zein egoeratan lortu ziren.� Komunikatzeko baimendu nahi diren datuei emango zaien helburua.� Lagapenaren hartzailea “Ley Orgánica de Protección de Datos de Carácter

Personal” delakoari atxikitzea.� Ohartarazpena, grafikoki adierazita, jakinarazpena hartu den hurrengo

egunetik 15 egun naturalen epean kontrakorik adierazten ez bada, datupertsonalak komunikatzeko azaldu den asmorako baimena ematen duelaulertuko dela.

� Era berean nabarmenduta, emandako baimena bertan behera utzdaitekeela.

Datuak fitxategi korporatibo batekoak baldin badira, fitxategi horien Osakidetza/EuskalOsasun Erakundeko arduradunak izango dira lagapena egiteaz erabakitzeko ahalmena izangodutenak.

Komunikazioa osasunari buruzko datu pertsonalen ingurukoa baldin bada eta larrialdi batkonpontzeko edo, legedi sanitario estatalean edo autonomikoan ezarritako terminoetan, ikerketaepidemiologikoak egiteko behar baldin badira ez da interesatuaren baimena behar izango, bainaxede horretarako datuak bereizita erabiliko behako dira.

2.- INTERESATUEN ESKUBIDEAK ETA BERMEAK

Datu pertsonalak atzitzeko, zuzentzeko, kontra egiteko eta baliogabetzeko eskaeradatu pertsonalak babesteari buruzko 15/1999 Legean ageri den hiritarren eskubidea da.

Page 29: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

29

Interesatuek beren datuei buruzko informazioa eta oker daudenak edo bilduzirenean zuten helbururako beharrezkoak ez direnak zuzentzeko eskatu ahal izango dute.Interesatuak fitxategiaren arduradunaren aurrean gauzatuko ditu eskubide horiek eta,horretarako, fitxategiaren arduradunaren aurrean bere nortasuna egiaztatu beharko du. Denadela ere, interesatuaren ordezkari legalak ere jardun ahal izango du, hura bere eskubidepertsonalak gauzatzea galarazten dion ezintasunean badago edo adin txikikoa bada.

Eskaerarekin batera aurkeztu beharko dira:

� Interesatuaren nortasuna egiaztatzeko agiria, hala nola NAN edo legezkobeste agiri bat. Eskaera tutorearena edo legezko ordezkariarena bada,ordezkaritza hori egiaztatuko duten agiriak ere aurkeztuko dira.

� Egindako eskaera egiteko motiboaren azalpena.� Jakinarazpenak igortzeko helbidea.� Data eta eskatzailearen sinadura.

Eskaerak zentroetako Gaixo eta Erabiltzailearen Zerbitzuen edota BezeroarenZerbitzuen bidez bideratu ahal izango dira, zeinetan interesatuei gaiari buruz dituzten eskubideenberri emango zaien.

Eskaerak zerbitzu erakunde bakoitzean hartu, erregistratu eta izendatutako SegurtasunArduradunari igorriko zaizkio urgentziaz, zehaztutako zirkuitu eta prozeduren arabera, etaFitxategiaren Arduradunaren erantzuna beharko dute, onartu ala ukatu den adierazita etazergatik, eta interesatuari “ebazpenaren jakinarazpen” bat bidaliko zaio. Fitxategiakkorporatiboak direnean (Gizabide, Osabide, etab...), eskaera Osakidetza/Euskal OsasunZerbitzuko Erakunde Zentraleko Fitxategien arduradunei bidaliko zaie. Dena dela ere,erantzuteko epea oso laburra izan ohi denez (zenbait kasutan 10 egun), epe horiek betetzekofuntsezkoa izango da ekimen guztiak koordinatzea.

III. eranskinean “Osakidetza/Euskal Osasun Zerbitzuko fitxategietako datupertsonalak atzitzeko, zuzentzeko eta baliogabetzeko eskaera egiteko ereduak” ematendira.

Page 30: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

30

Fitxategiaren arduradunak egin zaion eskaerari erantzun beharko dio, bere fitxategianinteresatuaren datu pertsonalak dauden ala ez dauden kontuan hartu gabe. Eskaerak aurrekoatalean zehaztutako baldintzak betetzen ez baditu, fitxategiaren arduradunak horiek zuzentzekoeskatu beharko du. Edozein modutan, erantzuteko bitarteko desberdinak erabiliko dira, erantzunaigorri eta hartu dela egiaztatzeko.

Fitxategiaren arduradunak datu pertsonalak atzitzeko baimena daukaten langileekinteresatuen atzitzeko, zuzentzeko eta baliogabetzeko eskubidea ezagutzen dutela etainformazio hori eman diezaieketela zainduko du.

2.1- ATZITZEKO ESKUBIDEA

Interesatuak tratamendupean dauden bere datu pertsonalei, datu horien jatorriari etaegindako komunikazioei edo egitea aurreikusita daudenei buruzko informazioa doan eskatzekoeta lortzeko eskubidea dauka.

Fitxategiaren arduradunak atzitzeko eskaeraz ebazpena emango du, gehienez ereeskaera hartu denetik hilabete batera. Interesatuen datu pertsonalik ez badu, berdin-berdinjakinarazi beharko die, epe berdinean. Eskaera onartzen bada, atzipena ebazpena eman denetikhurrengo 10 eguneko epean egingo da.

Fitxategiaren arduradunak atzipenerako onartutako eskubidea gauzatzeko fitxategiarenkonfigurazio eta ezarpen materialaren araberako prozedura baten bidez egin beharko da(pantailan ikusita, idatziz, postaz igorritako kopiaz edo fotokopiaz…).

Fitxategiaren arduradunak datu pertsonalak atzitzea ukatu ahal izango du, eskubideahamabi hilabete baino gutxiagoko tartean gauzatzen bada eta horretarako bidezko interesikegiaztatzen ez bada, baita eskaera interesatua ez den pertsona batek egin duenean ere.

Page 31: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

31

2.2- ZUZENTZEKO ETA BALIOGABETZEKO ESKUBIDEAK

Interesatuaren datu pertsonalak okerrak, osatugabeak edo gehiegizkoak badira, harkfitxategiaren arduradunari zuzentzeko edo, dagokionean, baliogabetzeko eskatu ahal izango dio.

Fitxategiaren arduradunak datuak zuzentzeko eta baliogabetzeko eskubideak eskaeraonartu denetik hurrengo hamar egunetan gauzatu beharko ditu. Zuzendutako edobaliogabetutako datuak aurretiaz laga izan badira, fitxategiaren arduradunak lagapenarenhartzaileari zuzenketaren edo baliogabetzearen berri emango dio, har ere, era berean, berefitxategian gauza bera egin dezan.

Zuzentzeko eskaeran oker dagoen datua eta egin beharreko zuzenketa adierazibeharko du, eta eskatutako zuzenketa justifikatzeko dokumentazioarekin batera aurkeztubeharko da.

Baliogabetzea ez da bidezkoa izango interesatuaren edo beste batzuen interes legitimoeikalte egin badiezaieke edo datuak gordetzeko obligazioa baldin badago. Horri helduta, oro har,Historia Klinikoko datuak baliogabetzea ez da bidezkoa izango, legedi sanitarioan datuakgordetzeari buruz adierazten den betebeharraren arabera.

Datuak baliogabetzeko eskaerari dagokionez, interesatuak, baliogabetzea bidezkodenean, emandako baimena baliogabetzen duen adierazi beharko du edo, bestela, datu okerraedo osatugabea den esan beharko du eta, orduan, hori justifikatzeko dokumentazioa aurkeztubeharko du. Fitxategiaren arduradunak interesatuaren eskaerari ez zaiola erantzun behar ustebadu, motiboak adierazita jakinarazi behar dio, hura hartu zenetik hurrengo hamar egunekoepean.

Baliogabetzearen ondorioz datuak blokeatu egingo dira, eta Administrazio Publiko, Epaileeta Auzitegien eskura egoteko baino ez dira gordeko. Tratamenduaren ondorioz sor daitezkeenerantzukizunak preskribitzeko epea amaitzen denean, datuak fisikoki ezabatu beharko dira.

3.- SEGURTASUN NEURRIAK ZERBITZU ERAKUNDEETAN

Page 32: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

32

Zerbitzu Erakunde bakoitzean, zuzendari kudeatzaileak bere jarduera esparruan daudenedo sor daitezkeen Informazio Sistema guztietarako Segurtasun Arduradun bat izendatuko du.Segurtasuneko arduradun horrek sortu den informazio eta dokumentazioaren zaintza efikazabermatuko du, datu pertsonaletarako segurtasun neurriei buruz indarrean dagoen legediakezartzen duenaren arabera.

Aldi berean, Zerbitzu Erakunde bakoitzeko segurtasun arduradunak Osakidetza/EuskalOsasun Zerbitzuko Erakunde Zentraleko segurtasun arduradunarekin eta SegurtasunekoBatzorde Zentralarekin koordinatuta jardungo du, zentro bakoitzari dagozkion segurtasunneurririk egokienak zehazteko helburuarekin.

Informazio sistema bakoitzerako segurtasun neurri bereziak ezarriko dira, tratatubeharreko datu pertsonalen motaren arabera, exiji daitekeen segurtasun maila aplikatuz.

Informazio sistema bakoitzak Atzipenak Baimentzeko Arduradun bat izango du,zerbitzu erakundeko zuzendari kudeatzaileak izendatua, eta bera izango da atzipen sistemadiseinatzeaz eta erabiltzaileen zerrenda eguneratuta edukitzeaz arduratuko dena, eta baimenikez duten pertsonen atzipena galarazteko neurriak ere jarriko ditu.

Zerbitzu Erakundeek Osakidetza/Euskal Osasun Zerbitzua Erakunde PublikoarenSegurtasunerako agiria egokitu beharko dute, agiri horrek Erakunde Publiko osoan existitzendiren fitxategi korporatiboen segurtasun neurriak definitzen dituelarik. Zerbitzu Erakundebakoitzeko zuzendari kudeatzaileek, dagokion Segurtasun Arduradunaren bidez,segurtasunerako arautegia landuko eta ezarriko dute eta, horretarako, Zerbitzu Erakundebakoitzaren Segurtasun Agiri batean oinarrituko dira, zeina segurtasunerako agirikorporatiboari fitxategi propioei buruzko segurtasun arautegia eranstearen fruitua izango den.Horretarako, zerbitzu erakunde bakoitzaren fitxategi ez korporatiboen inbentarioa egin behar da,norbere Segurtasun Agirian erregistratu, eta Datuen Babeserako Agentzian horiek deklaratu.Zerbitzu Erakundearen Segurtasun Agiri hori informazio sistemak atzitzen dituzten langile guzti-guztiek derrigor bete beharrekoa izango da.

Page 33: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

33

Fitxategi korporatiboei dagokienez, Erakunde Zentraleko Segurtasun Batzordeak aldinbehin Osakidetza/Euskal Osasun Zerbitzua Erakunde Publikoaren Segurtasun Agiriaberrikusi eta eguneratuko du, eta bertan berrikuspena egindako data adieraziko da.

Zuzendari kudeatzaileek zerbitzu erakunde bakoitzean segurtasunerako egitura banaeratuko dute, Erakunde Zentraleko Segurtasun Batzordearekin koordinatuta lan eginez, zereginhauek izango dituena:

� zerbitzu erakundearen Segurtasun Agirian Osakidetza/Euskal OsasunZerbitzua Erakunde Publikoaren Segurtasun Agirian egiten direneguneratzeak sartu.

� fitxategi propioei dagokienez, zerbitzu erakundearen Segurtasun Agiriaaldian behin berrikusi.

� fitxategi mota guztietarako ezarri diren neurriak aztertu eta “barneauditoriako txostena” egin, gabeziak dituzten arloak eta beharrezko neurrizuzentzaileak identifikatzeko helburuarekin.

4.- ORDENAGAILUEN SEGURTASUN NEURRIAK

Sistema informatizatuak zuzen erabiltzen direla bermatzearren, zerbitzu erakundeetakoordenagailu guztietan honako neurri hauek bete behar dira:

� Sistema informatizatuetan oinarritutako Informazio sistemak atzitzeko aukeradaukan erabiltzaile bakoitzari, modu pertsonal, konfidentzial etatransferiezinean, atzitzeko kode bat eta pasahitz bat esleituko zaizkio, etahorien erabileraren erantzulea izango da.

� Pasahitzak behar ez bezala hedatzen edo erabiltzen ari direlako susmoriktxikiena dagoenean bere zerbitzu erakundeko Segurtasuneko Arduradunarijakinaraziko zaio, hura aldatzeko, datuen segurtasunari eragin zaionezdagokion intzidentzia sortzen delarik. Pasahitzak aldian behin berrituko diraeta horiek bilduko diren artxibo/euskarria babestuta egongo da.

Page 34: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

34

� Ordenagailu pertsonalak eta eramangarriak babestea eta erabiltzeaerabiltzeko baimena daukan pertsona bakoitzaren erantzukizuna da. Datupertsonalak dituzten fitxategiak sartzen edo erabiltzen badira, zerbitzuerakundeko gainerako fitxategien segurtasun neurri berak ezarri beharkodira.

� Lanegun bakoitzaren amaieran ordenagailuak itzali egingo dira, eta luzazpiztuta edukitzeko dagokion zerbitzu erakundeko Segurtasun Arduradunarenbaimena beharko da.

5.- GERTAKARIAK JAKINARAZI ETA KUDEATU

Gertakaria datu pertsonalen konfidentzialtasuna, pribatutasuna edo segurtasuna urradezakeen jazoera oro da, datuak erregistratzeko euskarria edozein dela ere.

Osakidetza/Euskal Osasun Zerbitzuko informazio sistemak ustiatzean jazo daitezkeeneta datu pertsonalei eragin diezaieketen gertakariak gertakarien liburu batean erregistratutageratuko dira, gertakarien txostena esaten zaionaren bidez, eta zerbitzu erakundekoSegurtasun Arduradunari emango zaio horren berri, azalpen hauekin:

- Gertakariaren deskribapena- Jazo den eguna eta ordua- Jazo den zentroa edo saila- Jakinarazten duen pertsonaren izen-abizenak

IV. eranskinak “Gertakariak jakinarazteko txostena” egiteko eredua dakar, egoerahauetan erabiliko dena:

Ondorio operatiboetarako eta ikuskaritzetarako, azken 12 hilabeteetan jazotakogertakarien erregistroa gordeko da. Gertakaria motagatik “datuak berreskuratu” beharradagoenean, berreskuratzeko eta grabatzeko erabilitako prozedura deskribatuko da.

Page 35: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

35

Zerbitzu erakunde bakoitzeko segurtasun arduradunek, gertakari bat atzematendutenean eta horren larritasunaren arabera, bertako zuzendari kudeatzaileari eta ErakundeZentraleko Segurtasun Arduradunari jakinaraziko diote, egon daitezkeen erantzukizunakgarbitzearren.

Zerbitzu erakundeetako Zuzendaritza Kudeatzailetzek, beren mendeko zuzendaritzen etainplikatutako unitate burutzen, zerbitzuen eta bezeroen zerbitzurako sailen bitartez, Instrukziohau betetzeko eta Osakidetza/Euskal Osasun Zerbitzuan inplikatuta dauden langileen arterahedatzeko beharrezko diren baliabideak ezarriko dituzte.

Vitoria-Gasteizen, 2003ko irailaren 2an

Josu I. Garay Ibáñez de ElejaldeOsakidetza/Euskal Osasun Zerbitzuko zuzendari nagusia

Page 36: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

36

I. ERANSKINA. BESTEREKIKO KONTRATUETAKO SEKRETU ETAKONFIDENTZIALTASUNERAKO BETEBEHARRARI BURUZKO KLAUSULA

Beren lanean aritzeagatik prozesatzen duten informazio mota kontuan hartuta,kontratudunek kontratu hori dela-eta atzi ditzaketen datu eta dokumentu guztien gaineanerabateko konfidentzialtasuna gordetzeko obligazioa daukate. Datu eta agiri horiek lanarenberezko zereginak garatzeko ezinbestekoak diren pertsonek eta soilik horiek baino ezingo dituzteatzitu. Horiei guztiak atzitu ahal izango duten informazioaren izaera konfidentzialaz etaerreserbatuaz ohartaraziko dira.

Kontratua betetzeko kontratudunaren esku jartzen diren fitxategi guztiak Osakidetzarenjabetzakoak dira, eta indarrean dagoen legediaren arabera erregistratuta eta zaindu beharrarenmenpe egongo dira, bereziki datu pertsonalen babesari dagokion legearen arabera. Bestebatzuei edozein lagapen egitea auzitegietan jazarriko da.

xxx enpresak ezingo ditu aipatu datu edo fitxategiak erabili ezta tratatu ere xxxx(r)ekinegindako kontratuan aurreikusita ez dagoen beste helbururako, eta bereziki debekatuta dagohoriei beste batzuei lagatzea edo komunikatzea. Kontratuaren jarduera nagusia bete eta gero,kontratudunak datu pertsonal horiek deuseztatu egin beharko ditu.

Osakidetzak beretzat gordetzen du kontratudunari utzitako fitxategiak edozein modutanmarkatzeko eskubidea, horren ezaugarriak egin daitezkeen lagapenen jatorria eta erantzuleakaurkitzeko froga izan daitezen.

Ezein kasutan eta egoeratan kontratudunak ezingo die beste batzuei Osakidetzakutzitako datuak eman, ezta bere onerako edo beste batzuenerako erabili ere, kontratu honenxedean ageri den helburua ez den beste helburu batzuetarako.

Informazioaren segurtasun sisteman gerta daitezkeen erroreen gaineko edozein susmobaldin badago, kontratudunak hori atzeman eta berehala jakinaraziko dio Osakidetzari.

Kontratudunak eskumena ematen dio Osakidetzari, proiektua amaitu eta gero,arduragabekeriagatik edota konfidentzialtasun faltagatik sor daitezkeen erreklamazioen ondoriozsortuko diren kostuen erantzukizuna berari leporatzeko edo bere gain uzteko.

Page 37: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

37

II ERANSKINA. DATU PERTSONALAK BILTZEARI ETA FITXATEGIINFORMATIZATUAN SARTZEARI BURUZ ERABILTZAILEARI INFORMAZIOAEMATEKO EREDUA

“Informazio Ohar” honen bitartez, Osakidetza-Euskal Osasun Zerbitzuko Laguntza SanitariokoZuzendaritzak hiritarrei jakinarazten die eskatzen zaizkien datu pertsonalak tratatu egingo direlaeta Osakidetza-Euskal Osasun Zerbitzuan datu pertsonaletarako dauden fitxategietan sartukodirela.

Osakidetza-Euskal Osasun Zerbitzuko profesional sanitarioek eta sanitarioak ez direnekeskatzen dituzten datu pertsonalen bilketa eta tratamenduaren helburua gaixoen historia klinikoalantzea da, horien osasun egoeraren jarraipena egin ahal izateko, zerbitzu sanitarioak egokikudeatzea, ikerketa zientifikoa eta irakaskuntzako jarduerak.

Historia klinikoaren fitxategiaren arduraduna Laguntza Sanitarioko Zuzendaritza da (Araba kalea,45 - 01006 Vitoria-Gasteiz), eta organo horretara jo beharko duzue atzipen, zuzenketa etabaliogabetze eskubideak gauzatzeko.

Titular moduan zuk ematen dituzun datuak osasun sistemako beste erakunde batzuei etaestatistikako erakunde ofizialei baino ez zaizkie lagako. Aurreikusita ez dagoen beste edozeinlagapen egin ahal izateko zure baimen berariazkoa beharko da, larrialdi bat onbideratzeko edoazterketa epidemiologikoak egiteko izan ezik, osasunari buruzko legeria estatalean etaautonomikoan ezarrita dauden terminoen arabera.

Hau guztiau “Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal”delakoaren 5. artikuluan informaziorako betebeharra beteaz jakinarazten da.Adeitasunez,

LAGUNTZA SANITARIOKO ZUZENDARIA

OSAKIDETZA-EUSKAL OSASUN ZERBITZUA

Page 38: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

38

III. ERANSKINA. OSAKIDETZA/EUSKAL OSASUN ZERBITZUKOFITXATEGIETAKO DATU PERTSONALAK ATZITZEKO ESKAERA EGITEKOINPRIMAKIA.

FITXATEGIAREN EDO TRATAMENDUAREN ARDURADUNAREN DATUAK

Izena:Atzitzeko bulegoaren helbidea:

ESKATZAILEAREN DATUAK

…………………………………… jaun/andereak, adinez nagusiak,…………………………………………, kalean, …….. zenbakian, …………………………. herrian,………………….. herrialdean, …………. PKn helbideraturik, …………………. NAN zenbakidunak,zeinaren fotokopia eransten duen, Ley Orgánica de Protección de Datos de Carácter Personal,LO 15/1999-ko 15. artikuluari eta Real Decreto 1332/94-ko 12. eta 13. artikuluei helduta,atzitzeko eskubidea gauzatu nahi duela adierazten du.

ESKATZEN DU:

4.- Eskaera hau hartzen denetik gehienez ere hilabete baten epean zuen fitxategiak doanatzitzeko aukera eman diezadazuen, eta epe hori amaitu eta gero atzitzeko eskaera honekberariazko erantzunik hartu ez badu ukatu egin dela ulertuko da. Hori gertatuz gero, DatuenBabeserako Agentziaren aurrean dagokion erreklamazioa aurkeztuko da, eskubideak zaintzekoprozedura abian jartzeko, Lege Organikoko 18. artikuluaren eta Errege Dekretuko 17.artikuluaren arabera.

5.- Atzitzeko eskubidearen eskaera ontzat hartzen bada, atzitzeko eskaera onartzeko ebazpenaeman denetik hamar eguneko epean, informazioa goian adierazitako helbidera postaz igor dadila.

6.- Informazio horretan, modu irakurgarrian eta ulergarrian, nire pertsonari buruz zuenfitxategietan ageri diren baseko datuak ageri daitezela, baita edozein lanketa, prozesu edotratamenduren ondorioz sortutakoak ere, datuen jatorria, lagapenen hartzaileak, eta bilduzireneko erabilera eta helburu zehatzen espezifikazioa barne.

Tokia eta eguna: ......................................................................

Page 39: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

39

III. ERANSKINA. OSAKIDETZA/EUSKAL OSASUN ZERBITZUKOFITXATEGIETAKO DATU PERTSONALAK ZUZENTZEKO ESKAERA EGITEKOINPRIMAKIA.

FITXATEGIAREN EDO TRATAMENDUAREN ARDURADUNAREN DATUAK

Izena:Atzitzeko bulegoaren helbidea:

ESKATZAILEAREN DATUAK

…………………………………… jaun/andereak, adinez nagusiak,…………………………………………, kalean, …….. zenbakian, …………………………. herrian,………………….. herrialdean, …………. PKn helbideraturik, …………………. NAN zenbakidunak,zeinaren fotokopia eransten duen, Ley Orgánica de Protección de Datos de Carácter Personal,LO 16/1999-ko 16. artikuluari eta Real Decreto 1332/94-ko 15. eta 16. artikuluei helduta,zuzentzeko eskubidea gauzatu nahi duela adierazten du.

ESKATZEN DU:

5.- Eskaera hartu denetik hamar eguneko epean, doan eta egiatan nire pertsonari buruz zuenfitxategietan oker ageri diren datuak zuzen daitezela.

6.- Zuzendu beharreko datuak honekin batera doan orrian ageri dira, eta eskaera honierantsitako agirien aipamena egiten da, behar izanez gero, datu berrien egiazkotasunaegiaztatzeko.

7.- Datuak zuzendu direnean, egindako zuzenketaren berri eman diezadazuela goianadierazitako helbidean.

8.- Fitxategiaren arduradunak datuen zuzenketa edo baliogabetzea ez dela bidezkoa usteizanez gero, era berean jakinaraz diezadala, motiboak azalduz eta aipatutako hamar egunekoepean, Legearen 18. artikuluan aurreikusitako erreklamazioa aurkeztu ahal izan dezadan.

Tokia eta eguna: ……………………………………

Page 40: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

40

III. ERANSKINA. OSAKIDETZA/EUSKAL OSASUN ZERBITZUKOFITXATEGIETAKO DATU PERTSONALAK BALIOGABETZEKO ESKAERAEGITEKO INPRIMAKIA.

FITXATEGIAREN EDO TRATAMENDUAREN ARDURADUNAREN DATUAK

Izena:Atzitzeko bulegoaren helbidea:

ESKATZAILEAREN DATUAK

…………………………………… jaun/andereak, adinez nagusiak,…………………………………………, kalean, …….. zenbakian, …………………………. herrian,………………….. herrialdean, …………. PKn helbideraturik, …………………. NAN zenbakidunak,zeinaren fotokopia eransten duen, Ley Orgánica de Protección de Datos de Carácter Personal,LO 16/1999-ko 16. artikuluari eta Real Decreto 1332/94-ko 15. eta 16. artikuluei helduta,baliogabetzeko eskubidea gauzatu nahi duela adierazten du.

ESKATZEN DU:

4.- Eskaera hau hartzen denetik hamar eguneko epean, nire pertsonari buruz zuen fitxategietandagoen edozein datu egiatan baliogabe dadila, horiek gordetzen jarraitzea justifikatzen duenlegezko inolako lotura edo xedapenik ez baitago.

5.- Datuak baliogabetu direnean, egindako baliogabetzearen berri eman diezadazuela goianadierazitako helbidean.

6.- Fitxategiaren arduradunak datuak baliogabetzea ez dela bidezkoa uste izanez gero, eraberean jakinaraz diezadala, motiboak azalduz eta aipatutako hamar eguneko epean, Legearen18. artikuluan aurreikusitako erreklamazioa aurkeztu ahal izan dezadan.

Tokia eta eguna: ……………………………………

Page 41: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

41

IV. ERANSKINA. GERTAKARIAK JAKINARAZTEKO TXOSTENA

GERTAKARI ZK. _________ Jakinarazpenaren data:__________

Jakinarazten duenaren izen-abizenak:______________________________________________

Kargua edo postua: __________________________________

Gertakari mota:Deskribapena (zehaztua): ________________________________________________________

Jazo zen eguna eta ordua: ________________________________Ekar ditzakeen ondorioak: (onbideratu ez bada edo are onbideratu den kontuan hartu gabe)

Datuak berreskuratzea: BAI EZ Ez dagokio

Egindako prozedura: ____Berrezarritako datuak: ________________________________________Eskuz grabatutako datuak: _______________________________Prozesua gauzatu zuen pertsona: ______________________________

- Izena:- Abizenak:- N.A.N.:- Sinadura:

Jakinarazten duenaren sinadura

Page 42: INSTRUCCIÓN 6 / 2003 DE: DIRECTOR GENERAL DE … · sea su soporte de registro.-Información clínica, todo dato cualquiera que sea su forma, ... datos y confidencialidad de la información,

42


Almacenamiento y Seguridad de su Información en Internet Conferencista: Oscar Valbuena Director del Club de Mercadeo Virtual.

Almacenamiento y Seguridad de su Información en Internet Conferencista: Oscar Valbuena Director del Club de Mercadeo Virtual.

UNIVERSIDAD Y DESARROLLO SOSTENIBLE ANÁLISIS DE LA ...información relevante sobre la responsabilidad social de su desempeño (Melle, 2007). Para este fin, la información proporcionada

UNIVERSIDAD Y DESARROLLO SOSTENIBLE ANÁLISIS DE LA ...información relevante sobre la responsabilidad social de su desempeño (Melle, 2007). Para este fin, la información proporcionada

inversionistas.megacable.com.mx...dada a conocer a trave de la página . ONO AUTORIZACIÓN PARA USO DE INFORMACIÓN EEL CLIENTE' SI ( ) NO ( ) acepta que su información sea cedidâ

inversionistas.megacable.com.mx...dada a conocer a trave de la página . ONO AUTORIZACIÓN PARA USO DE INFORMACIÓN EEL CLIENTE' SI ( ) NO ( ) acepta que su información sea cedidâ

TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Formación ... · La UNESCO, en su libro Las tecnologías de la información y la comunicación en la for-mación docente, nos dice

TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Formación ... · La UNESCO, en su libro Las tecnologías de la información y la comunicación en la for-mación docente, nos dice

Faronics Power Save User Guide · Guía del usuario de Faronics Power Save 6 | Power Save Información importante Esta sección contiene información importante acerca de su producto

Faronics Power Save User Guide · Guía del usuario de Faronics Power Save 6 | Power Save Información importante Esta sección contiene información importante acerca de su producto

Media- NAV Evolution · – programación de arranque del motor a distancia. – Información sobre la inclinación del vehículo (información 4 x 4); – información sobre su estilo

Media- NAV Evolution · – programación de arranque del motor a distancia. – Información sobre la inclinación del vehículo (información 4 x 4); – información sobre su estilo

Sistemas y Tecnologías de Información y su relación con el ...€¦ · Sistemas y Tecnologías de Información y su relación con el Desempeño de Instituciones Universitarias

Sistemas y Tecnologías de Información y su relación con el ...€¦ · Sistemas y Tecnologías de Información y su relación con el Desempeño de Instituciones Universitarias

FOLLETO DE INFORMACIÓN DE PROGRAMA DE DESMONTE DE ARBUSTOS · comunicar claramente su rol como propietario o residente responsable en la reducción de peligros para que su hogar

FOLLETO DE INFORMACIÓN DE PROGRAMA DE DESMONTE DE ARBUSTOS · comunicar claramente su rol como propietario o residente responsable en la reducción de peligros para que su hogar

Las tecnologías de la información y comunicación: su ...

Las tecnologías de la información y comunicación: su ...

Empiece a conocer su plan de salud...Aprenda más en la página 5. Respuestas e información, en cualquier lugar, en cualquier momento Su plan de salud al alcance de su mano con asuris.com

Empiece a conocer su plan de salud...Aprenda más en la página 5. Respuestas e información, en cualquier lugar, en cualquier momento Su plan de salud al alcance de su mano con asuris.com

USE AND CARE GUIDE · 2017. 4. 12. · Tabla de contenido Información de seguridad Tabla de contenido ..... 2 Información de seguridad ... NOTA: La tornillería se ilustra en su

USE AND CARE GUIDE · 2017. 4. 12. · Tabla de contenido Información de seguridad Tabla de contenido ..... 2 Información de seguridad ... NOTA: La tornillería se ilustra en su

Propuestas de innovación para la gestión de información y ...scielo.sld.cu/pdf/rcsp/v43n4/spu07417.pdf · de su formación (anexo 1) y a los usuarios finales de la información

Propuestas de innovación para la gestión de información y ...scielo.sld.cu/pdf/rcsp/v43n4/spu07417.pdf · de su formación (anexo 1) y a los usuarios finales de la información

Proteja su información sensible en ambientes no-productivos.

Proteja su información sensible en ambientes no-productivos.

Primary Care Directory Directorio de Médico Principal · Información del doctor Para obtener información acerca de la educación y/o capacitación de la escuela médica de su doctor,

Primary Care Directory Directorio de Médico Principal · Información del doctor Para obtener información acerca de la educación y/o capacitación de la escuela médica de su doctor,

transparencia.mtc.gob.petransparencia.mtc.gob.pe/idm_docs/normas_legales/1_0_3109.pdf · Mini$erio de Justiqa Sistema Peruano de Información Juridica su territorio y mar adyacente,

transparencia.mtc.gob.petransparencia.mtc.gob.pe/idm_docs/normas_legales/1_0_3109.pdf · Mini$erio de Justiqa Sistema Peruano de Información Juridica su territorio y mar adyacente,

Para registrar su producto y obtener información de ...€¦ · Para registrar su producto y obtener información de ... ... welcome. a +/-

Para registrar su producto y obtener información de ...€¦ · Para registrar su producto y obtener información de ... ... welcome. a +/-

EMC Data Domain Operating System Initial Configuration Guide · Dell considera que la información de este documento es precisa en el momento de su publicación. La información está

EMC Data Domain Operating System Initial Configuration Guide · Dell considera que la información de este documento es precisa en el momento de su publicación. La información está

TECNOLOGÍAS DE LA INFORMACIÓN Y SU ROL - CETIUC FIDAE... · Rodrigo Vargas Varas Comandante de Grupo (TI) Ingeniero Civil Informático Magister en Tecnologías de Ia Información,

TECNOLOGÍAS DE LA INFORMACIÓN Y SU ROL - CETIUC FIDAE... · Rodrigo Vargas Varas Comandante de Grupo (TI) Ingeniero Civil Informático Magister en Tecnologías de Ia Información,

INSTALLATION MANUAL/USER’S MANUAL - riego … Orbit... · De acuerdo con la información anterior, su programa de riego puede presentar el siguiente cuadro: A partir de la información

INSTALLATION MANUAL/USER’S MANUAL - riego … Orbit... · De acuerdo con la información anterior, su programa de riego puede presentar el siguiente cuadro: A partir de la información

Analytics: Transforme el futuro con su información

Analytics: Transforme el futuro con su información