OCLC i el Reglament General de Protecció de Dades

Article 1: Objecte i objectius

L'Article 1 destaca els objectius de l'RGPD, que inclouen la protecció i la lliure circulació de les dades personals.

OCLC respecta els drets i les llibertats fonamentals de les persones i disposa de mesures de protecció pel que fa al tractament de les dades personals, incloent-hi les dades personals dels usuaris i els membres del personal de les biblioteques. OCLC analitza les transferències de dades tant dins de la UE com fora.

Article 2: Àmbit d'aplicació material

El tractament totalment o parcialment automatitzat de dades personals pot estar dins l'àmbit d'aplicació de l'RGPD d'acord amb l'article 2.

OCLC tracta dades personals que poden estar dins de l'àmbit del tractament descrit a l'article 2. Les biblioteques utilitzen els productes d'OCLC per gestionar les seves operacions. OCLC rep dades personals dels membres del personal i els usuaris de les biblioteques.

Article 3: Àmbit territorial

L'article 3 descriu situacions en què s'aplica l'RGPD. S'aplica a les empreses establertes a la UE i fora de la UE en el context de les activitats dels establiments de la UE. A més, l'RGPD es pot aplicar a les empreses no establertes a la UE si ofereixen béns o serveis a persones a la UE o supervisen el comportament d'aquestes persones.

L'RGPD s'aplica a OCLC. OCLC compta amb establiments a la UE, incloent-hi la nostra seu central a la UE, que es troba als Països Baixos. OCLC duu a terme activitats fora de la UE per donar suport als establiments de la UE que també estan subjectes al RGPD.

Article 4: Definicions

L'article 4 defineix 26 termes, com ara dades personals, tractament, controlador i encarregat del tractament.

Per norma general, en la relació entre OCLC i una biblioteca, la biblioteca és el controlador de dades en virtut de l'RGPD pel que fa al tractament de les dades personals dels membres del personal i els usuaris. OCLC, per la seva banda, és l'encarregat del tractament de dades en relació amb la biblioteca en proporcionar-li productes.

Article 5: Principis relatius al tractament de dades personals

L'article 5 estableix els principis del tractament de dades, com ara la licitud, lleialtat, transparència, limitació de la finalitat, minimització de les dades, exactitud, limitació de la conservació, integritat, confidencialitat i responsabilitat.

Amb caràcter general, la biblioteca estarà en condicions de prendre aquestes determinacions en l'àmbit de la seva relació amb els usuaris i els membres del personal. Per exemple, la biblioteca determinarà quines dades ha de recollir dels usuaris per tal d'oferir serveis bibliotecaris, la base legal del processament de les dades i com fer arribar un avís de privacitat als usuaris per informar amb transparència sobre l'ús de les dades per part de la biblioteca.

En molts casos, però, els productes d'OCLC poden ajudar les biblioteques a complir les seves obligacions respecte a aquests principis. Per exemple, el producte d'OCLC corresponent pot permetre que la biblioteca mostri un avís de privacitat que hagi redactat.

Article 6: Licitud del tractament

L'article 6 explica les diferents bases legals del tractament de dades personals, com ara el consentiment de l'interessat o la necessitat per als interessos legítims del controlador de dades.

Com a controlador de dades, la biblioteca determina les bases legals del tractament de les dades personals dels usuaris i membres del personal. El tractament de dades per part d'OCLC, en qualitat d'encarregat del tractament per a la biblioteca, es durà a terme sota la direcció de la biblioteca, tal com es descriu al contracte aplicable entre la biblioteca i OCLC.

Articles 7 i 8: Condicions per al consentiment; Condicions aplicables al consentiment del menor en relació amb els serveis de la societat de la informació

L'article 7 descriu els requisits per al consentiment quan el consentiment constitueixi la base legal del tractament.

L'article 8 amplia els requisits per al consentiment de l'article 7 pel que fa als menors.

Com a controlador de dades, la biblioteca té la responsabilitat de complir els articles 7 i 8, si escau, quan el consentiment sigui la base legal per al tractament de les dades dels usuaris o dels membres del personal.

Article 9: Tractament de categories especials de dades personals

L'article 9 descriu les dades personals que no es poden tractar tret que s'apliqui una excepció.

Tot i que les biblioteques determinen si s'han de processar les categories especials de dades personals i per quins motius, OCLC no aconsella els nostres clients que recullin i emmagatzemin dades d'aquest tipus als productes d'OCLC. No és necessari recollir ni emmagatzemar dades d'aquest tipus per fer ús dels productes d'OCLC.

Article 10: Tractament de dades personals relatives a condemnes i infraccions penals

L'article 10 exposa el tractament de dades personals relacionades amb condemnes i infraccions penals.

Com passa amb les categories especials de dades personals que s'especifiquen a l'article 9, les dades personals d'aquest tipus no són necessàries per fer ús dels productes d'OCLC. OCLC desaconsella la recollida i l'emmagatzematge de les dades d'aquest tipus als productes d'OCLC.

Articles 11 i 12: Tractament que no requereix identificació; Transparència de la informació, la comunicació i les modalitats d'exercici dels drets de l'interessat

L'article 11 conté les lleis relacionades amb la identificació dels interessats per part del controlador de dades, incloent-hi els interessats que exerceixin els drets que els atorga l'RGPD.

L'article 12 especifica les lleis sobre com ha d'informar el controlador de dades als interessats, incloent-hi els terminis per respondre a les sol·licituds dels interessats.

D'acord amb la condició de controlador de dades, la biblioteca té la responsabilitat de complir els articles 11 i 12 en les seves relacions amb els usuaris i els membres del personal.

OCLC rep sol·licituds dels interessats, sol·licita informació quan és necessari per verificar la identitat i avalua quina és la funció d'OCLC respecte a l'interessat.

En els casos en què OCLC actua com a controlador de dades, disposa de processos per a la gestió de les sol·licituds d'acord amb els requisits de l'article 12.

Si OCLC determina que és l'encarregat del tractament, indica a l'interessat que enviï la sol·licitud al controlador de dades.

Articles 13 i 14: Informació que cal facilitar quan les dades personals s'obtenen de l'interessat; Informació que cal facilitar quan les dades personals no s'han obtingut de l'interessat

Els articles 13 i 14 indiquen els requisits específics que s'han de facilitar als interessats.

Quan OCLC actua com a controlador de les dades dels interessats, els informa degudament, per exemple, mitjançant la publicació d'un avís de privacitat a OCLC.org.

Pel que fa als usuaris i els membres del personal de la biblioteca, la biblioteca és el controlador de dades i ha de proporcionar avisos de privacitat que compleixin els requisits dels articles 13 o 14, segons correspongui. A més del tractament de dades per part d'OCLC com a encarregat del tractament de dades de la biblioteca, és probable que els avisos de la biblioteca descriguin altres procediments de tractament de dades que duguin a terme tant la biblioteca com altres encarregats del tractament de la biblioteca.

Articles 15 a 23: Dret d'accés de l'interessat; Dret de rectificació; Dret de supressió ("Dret a l'oblit"); Dret a la limitació del tractament; Obligació de notificació relativa a la rectificació o la supressió de dades personals o la limitació del tractament; Dret a la portabilitat de les dades; Dret d'oposició; Decisions individuals automatitzades, inclosa l'elaboració de perfils; Limitacions

Els articles 15 al 23 són lleis relacionades amb diversos drets dels interessats.

D'acord amb la condició de controlador de dades, la biblioteca té la responsabilitat de complir els articles 15 a 23, segons correspongui, en la seva relació amb els usuaris i els membres del personal.

OCLC rep sol·licituds dels interessats, sol·licita informació quan és necessari per verificar la identitat i avalua quina és la funció d'OCLC respecte a l'interessat.

En els casos en què OCLC actua com a controlador de dades, disposa de processos per a la gestió de les sol·licituds.

Si OCLC determina que és l'encarregat del tractament, indica a l'interessat que enviï la sol·licitud al controlador de dades.

Article 24: Responsabilitat del controlador de dades

L'article 24 enumera les responsabilitats del controlador de dades, com ara establir mesures tècniques i organitzatives adequades i polítiques de protecció de dades.

Com a controlador de les dades dels usuaris i els membres del personal, la biblioteca té la responsabilitat de complir l'article 24.

Article 25: Protecció de dades des del disseny i per defecte

L'article 25 estableix que cal que els controladors de dades duguin a terme la protecció de les dades des del disseny i per defecte.

Com a controlador de les dades dels usuaris i els membres del personal, la biblioteca té la responsabilitat de complir l'article 25. OCLC compta amb programes i duu a terme projectes formals relacionats amb l'RGPD i altres activitats centrats en els nostres productes per ajudar les biblioteques a complir aquestes obligacions. A més, OCLC es compromet a continuar avaluant els nostres productes i a determinar si cal millorar-los i com fer-ho d'acord amb la protecció de dades des del disseny i per defecte.

Article 26: Corresponsables del tractament

L'article 26 defineix els acords entre corresponsables del tractament.

Normalment, OCLC no és corresponsable del tractament juntament amb les biblioteques. Les biblioteques són controladors de dades i OCLC és encarregat del tractament de dades.

Article 27: Representants de controladors de dades o d’encarregats del tractament no establerts a la Unió

L'article 27 està relacionat amb l'àmbit territorial de l'RGPD quan el controlador de dades o l'encarregat del tractament no està establert a la UE. Si el controlador de dades o l'encarregat del tractament no està establert a la UE, cal que designi un representant que es trobi físicament a la UE.

OCLC compta amb diferents establiments a la UE, i la nostra seu central a la UE es troba als Països Baixos.

Article 28: Encarregat del tractament

L'article 28 estableix les obligacions dels controladors de dades i els encarregats del tractament. A més, se centra especialment en l'estipulació de contractes que regeixin el tractament de les dades per part de l'encarregat del tractament i en l'estipulació de contractes entre l'esmentat encarregat i altres encarregats.

Com a encarregat del tractament de dades de biblioteques, OCLC ha desenvolupat acords de tractament de dades perquè les biblioteques els executin i compleixin els requisits de l'article 28. Aquests contractes estan disponibles en diferents idiomes. A més, OCLC ha elaborat acords de subtractament de dades perquè els signin els subencarregats que OCLC contracti.

Article 29: Tractament sota l'autoritat del controlador de dades o de l'encarregat del tractament

L'article 29 estableix el tractament per part dels encarregats. Els encarregats del tractament no han de processar dades personals excepte si ho indica el controlador de dades.

Els contractes de l'article 28 descrits anteriorment inclouen les instruccions que la biblioteca, com a controlador de dades, ha de proporcionar a OCLC per al tractament de les dades personals.

Article 30: Registre de les activitats de tractament

L'article 30 estableix que cal tenir un registre del tractament de dades personals. Tant els controladors com els encarregats del tractament han de mantenir els registres i proporcionar-los a les autoritats de control quan ho sol·licitin.

OCLC ha creat i manté registres de les activitats de tractament.

Article 31: Cooperació amb l'autoritat de control

L'article 31 estableix que els controladors i els encarregats del tractament cooperin amb les autoritats de control en l'exercici de les seves tasques quan se'ls demani.

OCLC cooperarà amb les autoritats de control quan se'ns demani.

Article 32: Seguretat del tractament

L'article 32 conté obligacions per als controladors i els encarregats del tractament d'implementar les mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat.

OCLC ha implantat mesures tècniques i organitzatives que es descriuen als contractes que s'especifiquen a l'article 28. També hi ha informació addicional sobre la seguretat d'OCLC al nostre lloc web.

Articles 33 i 34: Notificació d'una violació de la seguretat de les dades personals a l'autoritat de control; Comunicació d'una violació de la seguretat de les dades personals a l'interessat

Els articles 33 i 34 defineixen les obligacions dels controladors i encarregats del tractament respecte a les notificacions de violacions de la seguretat de les dades personals.

Si s'ha produït cap violació de la seguretat de les dades personals, OCLC, com a encarregat del tractament, informarà a la biblioteca corresponent d'acord amb l'article 33. Cal que això es produeixi sense cap demora indeguda un cop es tingui coneixement d'una violació de seguretat de les dades personals. OCLC revisa les incidències ràpidament i manté una base de dades amb la informació de contacte de les biblioteques per garantir que es pugui informar sense cap demora indeguda. Pel que fa a la indisponibilitat, OCLC convida les biblioteques a consultar el tauler d'estat del sistema al nostre lloc web.

Les biblioteques, en qualitat de controlador, hauran de determinar si cal informar les autoritats de control i els interessats.

Articles 35 i 36: Avaluació d'impacte relativa a la protecció de dades; Consulta prèvia

Els articles 35 i 36 obliguen els controladors de dades a dur a terme avaluacions d'impacte en matèria de protecció de dades i a consultar les autoritats de control en determinades circumstàncies.

Aquestes obligacions són per als controladors i, per tant, s'apliquen a les biblioteques. Normalment, OCLC és l'encarregat del tractament de dades de les biblioteques.

En els casos en què OCLC ha de completar les avaluacions d'impacte relatives a la protecció de dades en virtut de l'RGPD, disposa de processos establerts per dur-les a terme.

Article 37: Designació del delegat de protecció de dades

L'article 37 descriu els casos en què els controladors i els encarregats del tractament han de nomenar delegats de protecció de dades, com ara la possibilitat que un grup d'empreses designi un únic delegat de protecció de dades. El delegat de protecció de dades s'ha de nomenar en funció de les seves qualitats professionals, per exemple, el seu coneixement expert de la legislació i les pràctiques de protecció de dades.

OCLC ha nomenat un delegat de protecció de dades per a les seves entitats afiliades com a grup d'empreses.

Articles 38 i 39: Posició del delegat de protecció de dades; Funcions del delegat de protecció de dades

Els articles 38 i 39 descriuen en quins casos ha d'intervenir el delegat de protecció de dades, la seva autonomia i les funcions que ha de dur a terme.

El delegat de protecció de dades d'OCLC és l'encarregat de completar les tasques especificades a l'article 39. A més, OCLC ha creat un programa de privacitat mundial per ajudar el delegat de protecció de dades a complir amb aquestes obligacions i per abordar els problemes locals, segons sigui necessari. OCLC es compromet a garantir l'autonomia del seu delegat de protecció de dades.  

Articles 40 a 43: Codis de conducta; Supervisió de codis de conducta aprovats; Certificació; Organisme de Certificació

Aquests articles es refereixen a la promoció de les associacions i altres organismes per crear i adoptar codis de conducta referents a l'RGPD.

Actualment, OCLC no participa en la creació de codis de conducta.

Articles 44 a 49: Principi general de les transferències; Transferències basades en una decisió d'adequació; Transferències mitjançant garanties adequades; Normes corporatives vinculants; Transferències o comunicacions no autoritzades pel dret de la Unió; Excepcions per a situacions específiques

Els articles 44 a 49 especifiquen diferents requisits relacionats amb la transferència de dades personals.

La seu d'OCLC es troba als Estats Units. Té oficines a moltes ubicacions, com ara centres de dades als Països Baixos, els Estats Units, Austràlia i Canadà. En funció de l'oferta de serveis d'OCLC específica que utilitzi un client, es poden produir transferències de dades personals des de la UE.

Pel que fa a les transferències que requereixen garanties adequades, es realitzen de conformitat amb les clàusules tipus de protecció de dades segons permet l'article 46. OCLC formalitza clàusules tipus de protecció de dades amb les biblioteques en signar contractes en relació amb l'article 28.

Articles 50 a 78: Cooperació internacional en l'àmbit de la protecció de dades personals; Autoritat de control; Independència; Condicions generals d'aplicació als membres de l'autoritat de control; Normes relatives a l'establiment de l'autoritat de control; Competència; Competència de l'autoritat de control principal; Funcions; Poders; Informe d'activitat; Cooperació entre l'autoritat de control principal i les altres autoritats de control interessades; Assistència mútua; Operacions conjuntes de les autoritats de control; Mecanisme de coherència; Dictamen del Comitè; Resolució de conflictes per part del Comitè; Procediment d'urgència; Intercanvi d'informació; Comitè Europeu de Protecció de Dades; Independència; Funcions del Comitè; Informes; Procediment; Presidència; Funcions del president; Secretaria; Confidencialitat; Dret a presentar una reclamació davant d'una autoritat de control; Dret a la tutela judicial efectiva contra una autoritat de control

Els articles 50 a 78 contenen normes sobre els estats membres, les seves autoritats de control i el Comitè Europeu de Protecció de Dades.

Article 79: Dret a la tutela judicial efectiva contra un controlador o encarregat del tractament

L'article 79 descriu els drets dels interessats a presentar recursos. Això pot incloure procediments judicials contra controladors o encarregats del tractament al lloc on tinguin un establiment.

OCLC és l'encarregat del tractament de les biblioteques i podria estar subjecte a l'article 79 pel que fa als membres del personal i els usuaris de les biblioteques. OCLC compta amb establiments dins de la UE on es poden presentar procediments judicials.

Articles 80 i 81: Representació dels interessats; Suspensió dels procediments

Aquests articles de l'RGPD especifiquen com poden presentar reclamacions els interessats i com poden suspendre els procediments els tribunals.

Article 82: Dret a indemnització i responsabilitat

L'article 82 descriu com els interessats poden sol·licitar una compensació als controladors i als encarregats del tractament.

D'acord amb l'article 82, els usuaris i els membres del personal de les biblioteques poden demanar una compensació directament a OCLC com a encarregat del tractament de dades de la biblioteca. L'article 82 i els contractes entre OCLC i les biblioteques també assignen responsabilitats a ambdues parts.

Articles 83 i 84: Condicions generals per imposar multes administratives; Sancions

Els articles 83 i 84 inclouen les disposicions que permeten a les autoritats de control i als estats membres imposar multes administratives i altres sancions.

Si OCLC, en qualitat d'encarregat del tractament de les biblioteques, infringís les disposicions de l'RGPD aplicables als encarregats del tractament, se li podrien imposar multes o altres sancions.

Articles 85 a 90: Tractament i llibertat d'expressió i d'informació; Tractament i accés del públic a documents oficials; Tractament del número d'identificació nacional; Tractament en l'àmbit laboral; Garanties i excepcions aplicables al tractament amb finalitats d'arxiu en interès públic, finalitats de recerca científica o històrica o finalitats estadístiques; Obligacions de secret

Els articles 85 a 90 contenen diverses obligacions i drets dels estats membres, com ara conciliar l'RGPD amb els drets de llibertat d'expressió i permetre que els estats membres creïn normes més específiques en el context del tractament de dades laborals.

Article 91: Normes vigents de protecció de dades de les esglésies i les associacions religioses

L'article 91 conté lleis que s'apliquen a les esglésies i associacions religioses.

Per tant, no és aplicable a OCLC, ja que no es tracta d'una església o una associació religiosa.

Articles 92 a 99: Exercici de la delegació; Procediment del Comitè; Derogació de la Directiva 95/46/CE; Relació amb la Directiva 2002/58/CE; Relació amb acords subscrits anteriorment; Informes de la Comissió; Revisió d'altres actes jurídics de la Unió en matèria de protecció de dades; Entrada en vigor i aplicació