Společnost OCLC a obecné nařízení o ochraně údajů (GDPR)

Poslední revize: 22. května 2023

Odpovědnost za dodržování obecného nařízení EU o ochraně osobních údajů („GDPR“) zahrnuje různé činnosti na straně správců údajů (v tomto případě obecně zákazníků společnosti OCLC) a zpracovatelů údajů (OCLC). Níže uvedené informace mají poskytnout přehled o reakci společnosti OCLC na GDPR a roli zákazníka v procesu dodržování předpisů.  

Poznámka: níže uvedené informace nepředstavují právní radu. Máte-li jakékoli konkrétní dotazy ohledně toho, jak GDPR ovlivňuje vztah vaší instituce s OCLC, obraťte se na pověřence společnosti OCLC pro ochranu osobních údajů na adrese [email protected].

Články

Reakce společnosti OCLC na články

Článek 1: Předmět a cíle

Článek 1 zdůrazňuje cíle nařízení GDPR, které zahrnují ochranu osobních údajů a volný pohyb osobních údajů.

Společnost OCLC respektuje základní práva a svobody osob a má zavedenou ochranu při zpracování osobních údajů, a to včetně osobních údajů zaměstnanců knihovny a čtenářů. Společnost OCLC analyzuje přenosy dat v rámci EU i mimo EU.

Článek 2: Rozsah působnosti

Zpracování osobních údajů zcela nebo zčásti automatizovanými prostředky může spadat do působnosti nařízení GDPR podle článku 2.

Společnost OCLC zpracovává osobní údaje, které mohou být v rozsahu zpracování popsaném v článku 2. Knihovny používají produkty společnosti OCLC ke správě svých činností. Společnost OCLC přijímá osobní údaje zaměstnanců a čtenářů z knihoven.

Článek 3: Územní působnost

Článek 3 popisuje situace, ve kterých se nařízení GDPR použije. Vztahuje se na společnosti s provozovnou v EU i mimo EU v souvislosti s činností provozoven v EU. GDPR se dále může vztahovat na společnosti bez provozoven v EU, pokud nabízejí zboží nebo služby osobám v EU nebo sledují chování těchto osob.

Nařízení GDPR se vztahuje na společnost OCLC. Společnost OCLC má provozovny v EU, a to včetně našeho sídla v EU v Nizozemsku. Společnost OCLC vykonává aktivity mimo EU, které podporují provozovny v EU a které rovněž podléhají nařízení GDPR.

Článek 4: Definice

Článek 4 definuje 26 pojmů, včetně osobních údajů, zpracování, správce a zpracovatele.

Obecně platí, že mezi společností OCLC a knihovnou je podle nařízení GDPR knihovna správcem, pokud jde o nakládání s osobními údaji jejích zaměstnanců a čtenářů. Společnost OCLC je pak při poskytování produktů pro knihovnu zpracovatelem.

Článek 5: Zásady týkající se zpracování osobních údajů

Článek 5 stanoví zásady zpracování údajů, včetně zákonnosti, korektnosti, transparentnosti, omezení účelu, minimalizace údajů, přesnosti, omezení ukládání, integrity a důvěrnosti a odpovědnosti.

Obecně platí, že knihovna bude v pozici, kdy bude činit tato rozhodnutí ve vztahu ke svým čtenářům a zaměstnancům. Knihovna by například určila, jaké údaje má shromažďovat od svých čtenářů, aby mohla nabízet knihovnické služby, zákonný základ zpracování údajů, a jak poskytnout čtenářům oznámení o ochraně osobních údajů, aby bylo transparentní ohledně používání údajů knihovnou.

V mnoha případech však mohou produkty společnosti OCLC pomoci knihovně splnit její povinnosti s ohledem na tyto zásady. Příslušný produkt společnosti OCLC může například umožnit knihovně zobrazit oznámení o ochraně osobních údajů vytvořené knihovnou.

Článek 6: Zákonnost zpracování

Článek 6 stanoví různé zákonné základy zpracování osobních údajů, jako je souhlas subjektu údajů nebo nezbytnost pro účely oprávněných zájmů správce.

Jako správce knihovna určuje zákonné základy pro zpracování osobních údajů svých čtenářů a zaměstnanců. Zpracování společnosti OCLC, jako zpracovatele pro knihovnu, by bylo prováděno ve směru ke knihovně, jak je popsáno v příslušné smlouvě mezi knihovnou a společností OCLC.

Články 7 a 8: Podmínky souhlasu; podmínky vztahující se na souhlas dítěte ve vztahu ke službám informační společnosti

Článek 7 popisuje, co se vyžaduje pro souhlas, pokud je zákonným základem zpracování.

Článek 8 rozšiřuje požadavky na souhlas v článku 7 s ohledem na děti.

Knihovna jakožto správce odpovídá za dodržování článků 7 a 8, pokud je souhlas zákonným základem pro zpracování údajů čtenářů nebo zaměstnanců.

Článek 9: Zpracování zvláštních kategorií osobních údajů

Článek 9 popisuje osobní údaje, které nelze zpracovávat, pokud se na ně nevztahuje výjimka.

Zatímco knihovny rozhodují o tom, zda a z jakých důvodů budou zpracovávat zvláštní kategorie osobních údajů, společnost OCLC nedoporučuje svým zákazníkům shromažďovat a uchovávat tyto údaje v produktech společnosti OCLC. Shromažďování a uchovávání těchto údajů není nezbytné pro použití produktů společnosti OCLC.

Článek 10: Zpracování osobních údajů týkajících se odsouzení za trestné činy a přestupky

Článek 10 se zabývá zpracováním osobních údajů týkajících se odsouzení za trestné činy a přestupky.

Stejně jako zvláštní kategorie osobních údajů popsané v článku 9 se tyto osobní údaje nevyžadují pro použití produktů společnosti OCLC. Společnost OCLC nedoporučuje shromažďovat a ukládat tyto údaje v produktech společnosti OCLC.

Články 11 a 12: Zpracování, které nevyžaduje identifikaci; transparentní informace, komunikace a způsoby výkonu práv subjektu údajů

Článek 11 obsahuje právní předpisy týkající se identifikace subjektů údajů správcem, a to i v souvislosti se subjekty údajů uplatňujícími práva přiznávaná podle nařízení GDPR.

Článek 12 obsahuje právní předpisy o tom, jak správce poskytuje informace subjektům údajů, včetně lhůt pro odpověď na žádosti subjektů údajů.

Knihovna jakožto správce je odpovědná za dodržování článků 11 a 12 ve vztazích se svými čtenáři a zaměstnanci.

Společnost OCLC přijímá žádosti od subjektů údajů, požaduje informace v případě potřeby k ověření totožnosti a vyhodnocuje, jaká je role společnosti OCLC ve vztahu k subjektu údajů.

Pokud je společnost OCLC správcem, má zavedeny postupy pro vyřizování žádostí v souladu s požadavky článku 12.

Pokud společnost OCLC zjistí, že je zpracovatelem, odkáže subjekt údajů, aby žádost podal u správce.

Články 13 a 14: Informace, které mají být poskytnuty, pokud jsou osobní údaje shromažďovány od subjektu údajů; informace, které mají být poskytnuty, pokud osobní údaje nebyly získány od subjektu údajů

Články 13 a 14 stanoví zvláštní požadavky, které mají být poskytnuty subjektům údajů.

Pokud společnost OCLC ve vztahu k subjektům údajů jedná jako správce, poskytuje příslušné oznámení. Společnost OCLC například zveřejňuje oznámení o ochraně osobních údajů na webu OCLC.org.

Pokud jde o čtenáře knihovny a zaměstnance, knihovna je správcem a měla by poskytovat oznámení o ochraně osobních údajů, která splňují požadavky článků 13, respektive 14. Kromě zpracování prováděného společností OCLC jako zpracovatelem pro knihovnu, oznámení knihovny by pravděpodobně popisovala další zpracování prováděné knihovnou a prováděné jinými zpracovateli pro knihovnu.

Články 15 až 23: Právo na přístup subjektu údajů; právo na opravu; právo na výmaz („právo být zapomenut“); právo na omezení zpracování; oznamovací povinnost týkající se opravy nebo výmazu osobních údajů nebo omezení zpracování; právo na přenositelnost údajů; právo vznést námitku; automatizované rozhodování včetně profilování; omezení

Články 15 až 23 jsou právní předpisy související s různými právy subjektů údajů.

Knihovna jakožto správce je odpovědná za dodržování článků 15 až 23, podle příslušnosti, ve vztahu se svými čtenáři a zaměstnanci.

Společnost OCLC přijímá žádosti od subjektů údajů, požaduje informace v případě potřeby k ověření totožnosti a vyhodnocuje, jaká je role společnosti OCLC ve vztahu k subjektu údajů.

Pokud je společnost OCLC správcem, má zavedeny postupy pro vyřizování žádostí.

Pokud společnost OCLC zjistí, že je zpracovatelem, odkáže subjekt údajů, aby žádost podal u správce.

Článek 24: Odpovědnost správce

Článek 24 uvádí odpovědnosti správce údajů, včetně stanovení vhodných technických a organizačních opatření a zásad ochrany údajů.

Knihovna jako správce údajů o svých čtenářích a zaměstnancích odpovídá za dodržování článku 24.

Článek 25: Záměrná a standardní ochrana údajů

Článek 25 požaduje, aby správci prováděli ochranu údajů záměrně a standardně.

Knihovna coby správce údajů o svých čtenářích a zaměstnancích by odpovídala za dodržování článku 25. Společnost OCLC udržuje programy a obsahuje formální GDPR projekty a další aktivity zaměřené na naše produkty, které knihovnám pomáhají plnit tyto povinnosti. Společnost OCLC se zavázala pokračovat v hodnocení našich produktů a rozhodovat o tom, zda a jak je zlepšit, pokud jde o ochranu údajů již od návrhu a její standardní provádění.

Článek 26: Společní správci

Článek 26 se zabývá ujednáními mezi společnými správci.

Společnost OCLC obvykle není společným správcem s knihovnami. Knihovny jsou správci a společnost OCLC je zpracovatel.

Článek 27: Zástupci správců nebo zpracovatelů nesídlících v Unii

Článek 27 se vztahuje k územní působnosti nařízení GDPR, pokud správce nebo zpracovatel nesídlí v EU. Pokud správce nebo zpracovatel nesídlí v EU, musí jmenovat zástupce fyzicky umístěného v EU.

Společnost OCLC má v EU několik provozoven a naše evropské sídlo se nachází v Nizozemsku.

Článek 28: Zpracovatel

Článek 28 stanovuje povinnosti správců i zpracovatelů. Článek 28 se zaměřuje především na uzavírání smluv upravujících zpracování zpracovatelem a uzavírání smluv tímto zpracovatelem při zapojení jiných zpracovatelů.

Jakožto zpracovatel pro knihovny vypracovala společnost OCLC smlouvy o zpracování dat pro knihovny, které mají být prováděny tak, aby byly splněny požadavky článku 28. Tyto smlouvy jsou k dispozici ve více jazycích. Společnost OCLC dále vypracovala dohody s dílčími zpracovateli, které se podepisují v případě, že společnost OCLC najímá dílčí zpracovatele.

Článek 29: Zpracování na základě pověření správce nebo zpracovatele

Článek 29 se zabývá zpracováním zpracovateli. Zpracovatelé nezpracovávají osobní údaje s výjimkou pokynů správce.

Výše popsané smlouvy podle článku 28 poskytují společnosti OCLC pokyny ke zpracování osobních údajů od knihovny jakožto správce.

Článek 30: Záznamy o zpracovatelských činnostech

Článek 30 je požadavek vedení záznamů týkající se zpracování osobních údajů. Existují požadavky, aby správci i zpracovatelé vedli záznamy a na požádání je poskytovali dozorujícím orgánům.

Společnost OCLC vytvořila a vede záznamy o zpracovatelských činnostech.

Článek 31: Spolupráce s dozorujícím orgánem

Článek 31 požaduje, aby správci a zpracovatelé na požádání spolupracovali při plnění svých úkolů s dozorujícími orgány.

Společnost OCLC bude na požádání spolupracovat s dozorujícími orgány.

Článek 32: Bezpečnost zpracování

Článek 32 obsahuje povinnost správců a zpracovatelů provádět vhodná technická a organizační opatření k zajištění odpovídající úrovně bezpečnosti.

Společnost OCLC zavedla technická a organizační opatření. Jsou popsána ve smlouvách požadovaných článkem 28. Další informace o zabezpečení společnosti OCLC jsou také k dispozici na našich webových stránkách.

Články 33 a 34: Oznámení o porušení zabezpečení osobních údajů dozorujícímu orgánu; oznámení o porušení zabezpečení osobních údajů subjektu údajů

Články 33 a 34 obsahují povinnosti správců a zpracovatelů, pokud jde o oznámení o porušení zabezpečení osobních údajů.

Jako zpracovatel by společnost OCLC oznámila knihovně související porušení zabezpečení osobních údajů podle článku 33. Stalo by se tak bez zbytečného odkladu poté, co se o porušení zabezpečení osobních údajů dozví. Společnost OCLC rychle zkontroluje incidenty a udržuje databázi kontaktních informací knihovny, aby zajistila, že všechna požadovaná oznámení mohou být provedena bez zbytečného odkladu. Pokud jde o nedostupnost, OCLC také doporučuje knihovnám, aby zkontrolovaly náš Řídicí panel stavu systému na našich webových stránkách.

Knihovny jakožto správci by musely určit, zda mají informovat dozorující orgány a subjekty údajů.

Články 35 a 36: Posouzení dopadů na ochranu údajů; předchozí konzultace

Články 35 a 36 obsahují za určitých okolností povinnost správců provádět posouzení dopadů na ochranu údajů a provádět konzultace s dozorujícími orgány.

Jedná se o povinnosti správců, proto se tyto povinnosti vztahují na knihovny. Společnost OCLC je obvykle pro knihovny zpracovatelem.

V případech, kdy je společnost OCLC povinna provést posouzení dopadů na ochranu údajů podle nařízení GDPR, má společnost OCLC zavedeny procesy pro jejich provádění.

Článek 37: Jmenování pověřence pro ochranu údajů

Článek 37 popisuje případy, kdy správci a zpracovatelé musí jmenovat pověřence pro ochranu údajů, a to včetně možnosti, že skupina podniků jmenuje jednoho pověřence pro ochranu údajů. Pověřenec pro ochranu údajů musí být jmenován na základě odborných kvalit, a to včetně odborných znalostí právních předpisů a postupů v oblasti ochrany osobních údajů.

Společnost OCLC jmenovala pověřence pro ochranu údajů pro své různé přidružené společnosti jakožto skupinu podniků.

Články 38 a 39: Postavení pověřence pro ochranu údajů; úkoly pověřence pro ochranu údajů

Články 38 a 39 popisují, kdy má být pověřenec pro ochranu údajů zapojen do záležitostí, nezávislost pověřence pro ochranu údajů a jeho úkoly.

Pověřenec pro ochranu údajů společnosti OCLC je pověřen plněním úkolů stanovených v článku 39. Společnost OCLC dále zavedla celosvětový program ochrany osobních údajů, který má pomoci pověřenci pro ochranu údajů při plnění těchto povinností a případně dle potřeby pomoci řešit místní problémy. Společnost OCLC se zavazuje zajistit nezávislost svého pověřence pro ochranu údajů.  

Články 40 — 43: Kodexy chování; monitorování schválených kodexů chování; certifikace; certifikační orgány

Tyto články se týkají podpory sdružení a dalších orgánů při vytváření a přijímání kodexů chování s ohledem na nařízení GDPR.

Společnost OCLC se v současné době nevyvíjejí činnost v oblasti vytváření kodexů chování.

Články 44 až 49: Obecné zásady pro převod; převody na základě rozhodnutí o přiměřenosti; převody podléhající příslušným zárukám; závazná podniková pravidla; převody nebo zveřejnění nepovolená právem Unie; odchylky pro zvláštní situace

Články 44 až 49 se zabývají různými požadavky souvisejícími s převody osobních údajů.

Sídlo společnosti OCLC je v USA. Má kanceláře na mnoha místech, včetně datových center v Nizozemsku, USA, Austrálii a Kanadě. V závislosti na konkrétní nabídce služeb společnosti OCLC, kterou zákazník používá, může dojít k převodu osobních údajů z EU.

Pokud jde o převody, které vyžadují odpovídající záruky, jsou tyto převody v souladu se standardními doložkami o ochraně údajů, jak jsou povoleny v článku 46. Společnost OCLC uzavírá standardní doložky o ochraně údajů s knihovnami při podpisu smluv podle článku 28.

Články 50 až 78: Mezinárodní spolupráce při ochraně osobních údajů; dozorující orgán; nezávislost; všeobecné podmínky pro členy dozorujícího úřadu; pravidla pro zřízení dozorujícího orgánu; pravomoc vedoucího dozorujícího orgánu; úkoly; pravomoci; zprávy o činnosti; spolupráce mezi vedoucím dozorujícím orgánem a dalšími dotčenými dozorujícími orgány; vzájemná pomoc; společné operace dozorujících orgánů; mechanismus jednotnosti; stanovisko rady; řešení sporů správní radou; postup pro naléhavé případy; výměna informací; evropský výbor pro ochranu údajů; nezávislost; úkoly správní rady; zprávy; postup; předseda; úkoly předsedy; sekretariát; důvěrnost; právo podat stížnost u dozorujícího orgánu; právo na účinný soudní opravný prostředek vůči dozorujícímu orgánu

Články 50 až 78 obsahují pravidla týkající se členských států, jejich dozorujících orgánů a Evropského výboru pro ochranu údajů.

Článek 79: Právo na účinný soudní opravný prostředek proti správci nebo zpracovateli

Článek 79 popisuje práva subjektů údajů požadovat nápravu. To může zahrnovat soudní řízení proti správcům nebo zpracovatelům, pokud mají provozovnu.

Společnost OCLC je zpracovatelem pro knihovny a může podléhat článku 79, pokud jde o zaměstnance a čtenáře knihovny. Společnost OCLC má v rámci EU provozovny, kde by mohlo dojít k soudnímu řízení.

Články 80 a 81: Zastupování subjektů údajů; pozastavení řízení

Tyto články nařízení GDPR se týkají toho, jak mohou subjekty údajů podat stížnosti a jak mohou soudy pozastavit řízení.

Článek 82: Právo na odškodnění a odpovědnost

Článek 82 popisuje, jak mohou subjekty údajů od správců a zpracovatelů požadovat odškodnění.

Podle článku 82 mohou zaměstnanci knihovny a čtenáři požadovat náhradu přímo od společnosti OCLC jakožto zpracovatele pro knihovnu. Článek 82 a smlouvy mezi společností OCLC a knihovnou také rozdělují odpovědnost mezi společností OCLC a jednotlivými knihovnami.

Články 83 a 84: Všeobecné podmínky pro ukládání správních pokut; sankce

Články 83 a 84 obsahují ustanovení, která umožňují orgánům dohledu a členským státům posuzovat správní pokuty a jiné sankce.

Pokud by společnost OCLC jakožto zpracovatel pro knihovny porušovala ustanovení nařízení GDPR, která se vztahují na zpracovatele, mohla by společnost OCLC podléhat vyměření pokut nebo jiných sankcí.

Články 85 až 90: Zpracování a svoboda projevu a informací; zpracování úředních dokumentů a přístup veřejnosti k úředním dokumentům; zpracování národního identifikačního čísla; zpracování v rámci zaměstnání; záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu nebo statistické účely; povinnosti mlčenlivosti

Články 85 až 90 obsahují různé požadavky na členské státy a práva členských států, jako je sladění GDPR s právy na svobody projevu a umožnění členským státům vytvářet konkrétnější pravidla v souvislosti se zpracováním údajů o zaměstnání.

Článek 91: Stávající pravidla pro ochranu údajů církví a náboženských sdružení

Článek 91 obsahuje právní předpisy, které se vztahují na církve a náboženská sdružení.

Článek 91 se na společnost OCLC nevztahuje, protože se nejedná o církevní nebo náboženské sdružení.

Články 92 až 99: Přenesení pravomocí; postup ve výboru; zrušení směrnice 95/46/ES; vztah ke směrnici 2002/58/ES; vztah k dříve uzavřeným smlouvám; zprávy Komise; přezkum dalších právních aktů Unie v oblasti ochrany údajů; vstup v platnost a uplatňování

Tyto články se zabývají fungováním a efektivitou nařízení GDPR.