OCLC eta Datuak Babesteko Araudi Orokorra
Azken berrikuspena: 2023ko maiatzaren 22a
EBko Datuak Babesteko Araudi Orokorra ("DBAO") betetzeko erantzukizunak hainbat jarduera dakartza datu-kontrolatzaileen (kasu honetan, OCLCren bezeroak, oro har) eta datu-prozesadoreen (OCLC) aldetik. Argibide hauen helburua da OCLCk DBAOri emandako erantzunari eta bezeroak betetze-prozesuan duen zereginari buruzko informazioa ematea.
Oharra: Informazio hau ez da lege-aholkularitza. Zure erakundeak OCLCrekin duen harremanaean DBAOk nola eragiten duen jakiteko berariazko galderarik baduzu, jarri harremanetan OCLCren datuak babesteko ofizialarekin helbide elektroniko honen bitartez: [email protected].
Artikuluak |
OCLCren erantzuna artikuluei |
---|---|
1. artikulua: Gai-arloak eta helburuak |
1. artikuluak DBAOren helburuak nabarmentzen ditu, datu pertsonalen babesa eta datu pertsonalen zirkulazio askea barne. OCLCk pertsonen oinarrizko eskubideak eta askatasunak errespetatzen ditu, eta datu pertsonalak prozesatzeko babesak ditu, liburutegiko langileen eta erabiltzaileen datu pertsonalak barne. OCLCk datuen transferentziak aztertzen ditu EB barruan eta kanpoan. |
2. artikulua: Eremu materiala |
Datu pertsonalak, osorik edo zati batean, baliabide automatizatuen bidez tratatzea DBAOren aplikazio-eremuan sar daiteke, 2. artikuluaren arabera. OCLCk 2. artikuluan deskribatutako prozesamendu-eremuaren barruan egon daitezkeen datu pertsonalak prozesatzen ditu. Liburutegiek OCLCren produktuak erabiltzen dituzte beren eragiketak kudeatzeko. OCLCk liburutegietako langileen eta erabiltzaileen datu pertsonalak jasotzen ditu. |
3. artikulua: Lurralde-eremua |
3. artikuluak DBAO aplikatzen den egoerak deskribatzen ditu. EBn eta EBtik kanpo ezarritako enpresei aplikatzen zaie, EBko establezimenduen jardueren testuinguruan. Gainera, DBAO EBn establezimendurik ez duten enpresei aplika dakieke EBko pertsonei ondasunak edo zerbitzuak eskaintzen dizkietenean edo pertsona horien portaera gainbegiratzen dutenean. DBAO OCLCri aplikatzen zaio. OCLCk establezimenduak ditu EBn, EBk Herbehereetan duen egoitza barne. OCLCk EBtik kanpoko jarduerak egiten ditu DBAOren mende dauden EBko establezimenduei laguntzeko. |
4. artikulua: Definizioak |
4. artikuluak 26 termino definitzen ditu, datu pertsonalak, prozesamendua, kontrolatzailea eta prozesadorea barne. Oro har, OCLCren eta liburutegi baten artean bezala, liburutegia da kontrolatzailea DBAOren pean, bere langileen eta erabiltzaileen datu pertsonalak maneiatzeari dagokionez. OCLC, orduan, liburutegirako prozesadorea da produktuak ematen dituenean. |
5. artikulua: Datu pertsonalen tratamenduari buruzko printzipioak |
5. artikuluak datuak prozesatzeko printzipioak ezartzen ditu, honako hauek barne: legezkotasuna, ekitatea, gardentasuna, helburua mugatzea, datuak minimizatzea, zehaztasuna, biltegiratzea mugatzea, osotasuna eta konfidentzialtasuna eta kontuak ematea. Oro har, liburutegiak bezeroekiko eta langileekiko harremanetan egingo ditu zehaztapen horiek. Adibidez, liburutegiak zehaztuko luke liburutegi-zerbitzuak eskaintzeko erabiltzaileen zein datu bildu behar diren, datuak prozesatzeko lege-oinarria zein den eta erabiltzaileei pribatutasun-abisua nola eman behar zaien, liburutegiak datuak gardenago erabiltzeko. Hala ere, kasu askotan, OCLCren produktuek lagundu diezaiokete liburutegi bati printzipio horiekiko betebeharrak betetzen. Adibidez, aplikagarri den OCLC produktuak liburutegiak idatzitako pribatutasun-ohar bat erakustea ahalbidetu dezake. |
6. artikulua: Tratamenduaren legezkotasuna |
6. artikuluak datu pertsonalen tratamenduaren lege-oinarriak ezartzen ditu, hala nola interesdunaren adostasuna edo tratamenduaren arduradunaren interes legitimoen xedeetarako beharra. Kontrolatzailea den aldetik, liburutegiak bere erabiltzaileen eta langileen datu pertsonalak tratatzeko legezko oinarriak zehazten ditu. OCLCren prozesamendua, liburutegiko prozesadore gisa, liburutegiaren helbideari jarraituz egingo litzateke, liburutegiaren eta OCLCren arteko kontratu aplikagarrian deskribatzen den bezala. |
7. eta 8. artikuluak: Baimen-baldintzak; Haurraren baimenari aplika dakizkiokeen baldintzak, informazioaren gizartearen zerbitzuei dagokienez |
7. artikuluak adostasuna lortzeko zer behar den deskribatzen du, prozesamenduaren legezko oinarria hori denean. 8. artikuluak zabaldu egiten ditu 7. artikuluko baimen-baldintzak haurrei dagokienez. Kontrolatzailea den aldetik, liburutegiak 7. eta 8. artikuluak betetzeko ardura du, dagokionaren arabera, baimena erabiltzailearen edo pertsonalaren datuen tratamendurako legezko oinarria denean. |
9. artikulua: Datu pertsonalen kategoria berezien tratamendua |
9. artikuluak tratatu ezin diren datu pertsonalak deskribatzen ditu, salbuespen bat aplikatu ezean. Liburutegiek datu pertsonalen kategoria bereziak prozesatu behar dituzten eta zergatik erabaki arren, OCLCk gure bezeroek datu horiek OCLCko produktuetan biltzea eta biltegiratzea desanimatzen du. Datu horiek biltzea eta biltegiratzea ez da beharrezkoa OCLC produktuak erabiltzeko. |
10. artikulua: Kondena eta delitu penalekin lotutako datu pertsonalak prozesatzea |
10. artikulua kondena eta delitu penalei buruzko datu pertsonalen tratamenduari buruzkoa da. 9. artikuluan deskribatutako datu pertsonalen kategoria bereziak bezala, datu pertsonal horiek ez dira beharrezkoak OCLC produktuak erabiltzeko. OCLCk ez du gomendatzen datu horiek OCLCko produktuetan biltzea eta biltegiratzea. |
11. eta 12. artikuluak: Identifikaziorik behar ez duen tratamendua; interesdunaren eskubideak baliatzeko informazioa, komunikazioa eta modalitate gardenak |
11. artikuluak kontrolatzaileak datu-subjektuak identifikatzeari buruzko legeak jasotzen ditu, baita DBAOk emandako eskubideak baliatzen dituzten datu-subjektuei buruzkoak ere. 12. artikuluak kontrolatzaileari buruzko legeak jasotzen ditu, interesdunei informazioa ematen dienak, interesdunen eskaerei erantzuteko epeak barne. Kontrolatzailea den aldetik, liburutegiaren ardura da 11. eta 12. artikuluak betetzea bezeroekin eta langileetako kideekin dituen harremanetan. OCLCk interesdunen eskaerak jasotzen ditu, informazioa eskatzen du nortasuna baliozkotzeko beharrezkoa denean, eta OCLCk interesdunarekiko duen funtzioa ebaluatzen du. OCLC kontrolatzailea denean, OCLCk eskaerak 12. artikuluko betekizunen arabera izapidetzeko ezarritako prozesuak ditu. OCLCk prozesadorea dela erabakitzen badu, OCLCk interesdunari kontrolatzailearekin eskaera egiteko agintzen dio. |
13. eta 14. artikuluak: Interesdunaren datu pertsonalak biltzen direnean eman beharreko informazioa; interesdunaren datu pertsonalak lortu ez direnean eman beharreko informazioa |
13. eta 14. artikuluek berariazko baldintzak ezartzen dituzte interesdunentzat. Kontrolatzaile gisa jarduten duenean interesadunekiko, OCLCk abisu egokia ematen du. Adibidez, OCLCk pribatutasun-ohar bat argitaratzen du OCLC.org webgunean. Liburutegiko erabiltzaileei eta langileei dagokienez, liburutegia kontrolatzailea da eta 13. edo 14. artikuluetako baldintzak betetzen dituzten pribatutasun-abisuak eman behar ditu, dagokionaren arabera. OCLCk liburutegi baterako prozesadore gisa egindako prozesamenduaz gain, liburutegi bateko abisuek liburutegiak egindako eta liburutegirako beste prozesadore batzuek egindako beste prozesamendu bat deskribatuko dute ziurrenik. |
15 – 23. artikuluak: Interesdunaren atzipen-eskubidea; zuzentzeko eskubidea; ezabatzeko eskubidea ("ahaztua izateko eskubidea"); prozesamendua murrizteko eskubidea; datu pertsonalak zuzentzeari edo ezabatzeari edo prozesamendua murrizteari buruzko jakinarazpena egiteko betebeharra; datuen eramangarritasunerako eskubidea; aurka egiteko eskubidea; erabaki automatizatuak hartzea, profilak egitea barne; murrizketak. |
15. artikulutik 23.era bitartekoak interesdunen hainbat eskubiderekin zerikusia duten legeak dira. Kontrolatzailea den aldetik, liburutegiaren erantzukizuna da 15. artikulutik 23.era bitartekoak betetzea, dagokionaren arabera, bezeroekiko eta langileekiko harremanetan. OCLCk interesdunen eskaerak jasotzen ditu, informazioa eskatzen du nortasuna baliozkotzeko beharrezkoa denean, eta OCLCk interesdunarekiko duen funtzioa ebaluatzen du. OCLC kontrolatzailea denean, OCLCk eskaerak kudeatzeko prozesuak ditu. OCLCk prozesadorea dela erabakitzen badu, OCLCk interesdunari kontrolatzailearekin eskaera egiteko agintzen dio. |
24. artikulua: Kontrolatzailearen erantzukizuna |
24. artikuluak tratamenduaren arduradunaren erantzukizunak zerrendatzen ditu, neurri tekniko eta antolakuntza-neurri egokiak ezartzea eta datuak babesteko politikak barne. Bere erabiltzaileen eta langileen datuen kontrolatzailea den aldetik, liburutegia da 24. artikulua betetzearen arduraduna. |
25. artikulua: Datuen babesa diseinuaren eta lehenespenaren bidez |
25. artikuluaren arabera, tratamenduaren arduradunek diseinu bidezko eta lehenetsitako datuen babesa aplikatu behar dute. Bere erabiltzaileen eta langileen datuen kontrolatzailea den aldetik, liburutegia izango litzateke 25. artikulua betetzearen arduraduna. OCLCk programak mantentzen ditu eta DBAOren proiektu formalak aurkezten ditu, baita liburutegiei betebehar horiek betetzen laguntzeko gure produktuetan oinarritutako beste jarduera batzuk ere. OCLCk konpromisoa hartzen du gure produktuak ebaluatzen jarraitzeko eta diseinu- eta lehenespen-kontsiderazioengatik datuen babesari dagokionez horiek hobetu behar diren eta hobetu behar diren zehazteko. |
26. artikulua: Baterako kontrolatzaileak |
26. artikulua kontrolatzaile bateratuen arteko akordioei buruzkoa da. OCLC normalean ez litzateke izango liburutegiak dituen kontrolatzaile bateratu bat. Liburutegiak kontrolatzaileak dira eta OCLC prozesadorea da. |
27. artikulua: Europar Batasunean finkatuta ez dauden arduradun edo transformatzaileen ordezkariak |
27. artikulua DBAOren lurralde-eremuari buruzkoa da, tratamenduaren arduraduna edo eragilea EBn ezarrita ez dagoenean. EBn ezarrita ez dagoenean, tratamenduaren arduradunak edo eragileak fisikoki EBn dagoen ordezkari bat izendatu beharko du. OCLCk hainbat establezimendu ditu EBn, eta gure Europako egoitza Herbehereetan dago. |
28. artikulua: Prozesadorea |
28. artikuluak kontrolatzaileen eta prozesadoreen betebeharrak ezartzen ditu. 28. artikuluak, neurri handi batean, prozesadoreak prozesatzea arautzeko kontratuak ezartzen ditu, eta prozesadore horrek kontratuak ezartzen ditu beste prozesadore batzuk kontratatzen direnean. Liburutegietako prozesadore gisa, OCLCk datuak prozesatzeko akordioak garatu ditu, liburutegiak 28. artikuluko baldintzak betetzeko gauza daitezen. Kontratu horiek hainbat hizkuntzatan daude eskuragarri. Gainera, OCLCk azpiprozesuei buruzko akordioak garatu ditu, OCLCk azpiprozesadoreak kontratatzen dituenean sinatzeko. |
29. artikulua: Prozesatzea kontrolatzailearen edo prozesadorearen agintaritzapean |
29. artikulua prozesadoreen tratamenduari buruzkoa da. Prozesadoreek ez dituzte datu pertsonalak prozesatu behar, kontrolatzailearen jarraibideak izan ezik. Lehen deskribatutako 28. artikuluko kontratuek liburutegiaren jarraibideak ematen dizkiote OCLCri, kontrolatzaile gisa, datu pertsonalak prozesatzeko. |
30. artikulua: Prozesatze-jardueren erregistroak |
30. artikulua erregistroak mantentzeko beharra da, datu pertsonalak prozesatzeari dagokionez. Tratamenduaren arduradunek eta arduradunek erregistroak mantendu behar dituzte, eta gainbegiratze-agintariei eman behar dizkiete, hala eskatzen zaienean. OCLCk prozesamendu-jardueren erregistroak sortu eta mantentzen ditu. |
31. artikulua: Lankidetza Zaintza Organoarekin |
31. artikuluaren arabera, tratamenduaren erantzuleek gainbegiratze-agintaritzekin lankidetzan jardun behar dute beren eginkizunak betetzean. OCLCk agintaritza ikuskatzaileekin lankidetzan jardungo du eskatzen zaionean. |
32. artikulua: Prozesamenduaren segurtasuna |
32. artikuluak segurtasun-maila egokia bermatzeko neurri tekniko eta antolaketa-neurri egokiak aplikatzeko betebeharra ezartzen die kontrolatzaileei eta prozesadoreei. OCLCk neurri teknikoak eta antolakuntzakoak ezarri ditu. 28. artikuluan aurreikusitako kontratuetan deskribatzen dira. OCLCren segurtasunari buruzko informazio gehigarria ere aurkituko duzu gure webgunean. |
33. eta 34. artikuluak: Kontrol-agintaritzari datu pertsonalak urratu direla jakinaraztea; Interesdunari datu pertsonalak urratu direla jakinaraztea |
33. eta 34. artikuluek arduradunek eta prozesatzaileek datu pertsonalen urraketaren jakinarazpenari dagokionez dituzten betebeharrak jasotzen dituzte. Prozesadore gisa, OCLCk liburutegi bati jakinaraziko lioke datu pertsonalen urraketa bat, 33. artikuluari jarraiki. Hori behar ez bezalako atzerapenik gabe gertatuko litzateke, datu pertsonalen urraketa baten berri izan ondoren. OCLCk azkar berrikusten ditu gertakariak, eta liburutegiko harremanetarako informazio-base bat mantentzen du, eskatutako edozein jakinarazpen bidegabeko atzerapenik gabe egin daitekeela bermatzeko. Erabilgarritasun faltari dagokionez, OCLCk gure webgunean Sistemaren egoeraren panela kontsultatzera bultzatzen ditu liburutegiak. Liburutegiek, kontrolatzaile diren aldetik, ikuskapen-agintariei eta interesdunei jakinarazi behar dieten ala ez erabaki beharko dute. |
35. eta 36. artikuluak: Datuen babesaren eraginaren ebaluazioa; Aurretiazko kontsulta |
35. eta 36. artikuluek, inguruabar jakin batzuetan, kontrolatzaileek datuen babesaren eraginaren ebaluazioak egiteko eta gainbegiratze-agintaritzei kontsulta egiteko duten betebeharra jasotzen dute. Kontrolatzaileen betebeharrak dira, eta, beraz, liburutegiei aplikatzen zaizkie. OCLC liburutegietarako prozesadorea izan ohi da. OCLCk datuen babesaren eraginaren ebaluazioak DBAOren pean osatzea eskatzen den kasuetan, OCLCk horiek osatzeko prozesuak ditu. |
37. artikulua: Datuak babesteko arduraduna izendatzea |
Tratamenduaren eta tratamenduaren arduradunek datuak babesteko arduradunak izendatu behar dituzten kasuak deskribatzen ditu 37. artikuluak, baita enpresa-talde batek datuak babesteko arduradun bakarra izendatzeko duen gaitasuna ere. Datuak babesteko arduraduna bere ezaugarri profesionalen arabera izendatu behar da, legeriari eta datuak babesteko praktikei buruzko ezagutza espezializatuak barne. OCLCk datuak babesteko arduradun bat izendatu du bere filialetarako, enpresa-talde gisa. |
38. eta 39. artikuluak: Datuak babesteko arduradunaren lanpostua; Datuak babesteko arduradunaren zereginak |
38. eta 39. artikuluetan, datuen babesaren arduradunak gaietan parte hartu behar duen kasuak, datuen babesaren arduradunaren independentzia eta datuen babesaren arduradunaren zereginak deskribatzen dira. OCLCko datuen babesaren arduradunari esleitzen zaio 39. artikuluko zereginak betetzea. Gainera, OCLCk pribatutasun-programa bat ezarri du mundu osoan, datuen babeserako ofizialari laguntzeko betebehar horiek betetzen eta tokiko arazoei aurre egiten laguntzeko, beharrezkoa den heinean. OCLCk datuen babsesaren arduradunaren independentzia bermatzeko konpromisoa hartzen du. |
40 – 43. artikuluak: Jokabide-kodeak; Onartutako jokabide-kodeak gainbegiratzea; Ziurtagiria; Ziurtapen-erakundeak |
Artikulu horiek elkarteak eta beste erakunde batzuk sustatzeari buruzkoak dira, DBAOrekiko jokabide-kodeak sortu eta hartzeko. OCLCk gaur egun ez du parte hartzen jokabide-kodeak sortzeko ahaleginetan. |
44 – 49. artikuluak: Transferentziarako printzipio orokorrak; Egokitzapen-erabaki batean oinarritutako transferentziak; Babes egokiak behar dituzten transferentziak; Arau korporatibo lotesleak; Batasuneko legeriak baimendu gabeko transferentziak edo errebelazioak; Egoera espezifikoetarako salbuespenak |
44. artikulutik 49.era artekoek datu pertsonalen transferentziarekin lotutako hainbat betekizun jorratzen dituzte. OCLCren egoitza Estatu Batuetan dago. Leku askotan ditu bulegoak, Herbehereetako, Estatu Batuetako, Australiako eta Kanadako datu zentroak barne. Bezero batek erabiltzen duen OCLC zerbitzuen eskaintza espezifikoaren arabera, EBtik datu pertsonalen transferentziak gerta daitezke. Babes egokia behar duten transferentziei dagokienez, transferentzia horiek bat datoz datuak babesteko 46. artikuluan baimendutako klausula estandarrekin. OCLCk datuak babesteko klausula estandarrak exekutatzen ditu liburutegiekin 28. artikuluko kontratuak sinatzean. |
50 – 78. artikuluak: Datu Pertsonalak Babesteko Nazioarteko Lankidetza; Gainbegiratze Agintaritza; Independentzia; Gainbegiratze Agintaritzako kideentzako baldintza orokorrak; Gainbegiratze Agintaritza ezartzeari buruzko arauak; Lehia; Gainbegiratze Agintaritza Nagusiaren Eskumena; Zereginak; Eskumenak; Jarduera Txostenak; Agintaritza ikuskatzaile nagusiaren eta beste gainbegiratze-agintaritza interesdun batzuen arteko lankidetza; elkarrekiko laguntza; gainbegiratze-agintaritzen baterako eragiketak; koherentzia-mekanismoa; Kontseiluaren irizpena; Kontseiluak gatazkak ebaztea; presazko prozedura; Informazio-trukea; Datuak Babesteko Kontseilu Europarra; Independentzia; Kontseiluaren eginkizunak; Txostenak; Prozedura; Lehendakaritza; Presidentearen eginkizunak; Idazkaritza; Konfidentzialtasuna; gainbegiratze-agintaritza baten aurrean erreklamazio bat aurkezteko eskubidea; gainbegiratze-agintaritza baten aurkako errekurtso judizial eraginkorra izateko eskubidea |
50. artikulutik 78.era bitartekoek estatu kideei, ikuskapen-agintaritzei eta Datuak Babesteko Europako Kontseiluari buruzko arauak jasotzen dituzte. |
79. artikulua: Kontrolatzaile edo prozesadore baten aurkako errekurtso judizial eraginkorra izateko eskubidea |
79. artikuluak interesdunek errekurtsoak aurkezteko dituzten eskubideak deskribatzen ditu. Horrek kontrolatzaileen edo prozesadoreen aurkako prozedura judizialak barne har ditzake establezimenduren bat dutenean. OCLC liburutegietarako prozesadorea da, eta 79. artikuluari lotuta egon daiteke liburutegi bateko langile eta erabiltzaileei dagokienez. OCLCk prozedura judizialak izan ditzaketen establezimenduak ditu EBren barruan. |
80. eta 81. artikuluak: Interesdunen ordezkaritza; Jarduketak etetea |
DBEOren artikulu horiek interesdunek salaketak aurkezteko duten moduari eta auzitegiek prozedurak eteteko moduari buruzkoak dira. |
82. artikulua: Kalte-ordaina jasotzeko eskubidea eta erantzukizuna |
82. artikuluak deskribatzen du interesdunek nola eska diezaieketen kalte-ordaina arduradun eta prozesadoreei. 82. artikuluaren arabera, liburutegiko langileek eta erabiltzaileek zuzenean eska dezakete OCLCren aurkako konpentsazioa, liburutegiko prozesadore gisa. 82. artikuluak eta OCLCren eta liburutegi baten arteko kontratuek ere erantzukizunak esleitzen dituzte OCLCren eta liburutegi bakoitzaren artean. |
83. eta 84. artikuluak: Administrazio-isunak ezartzeko baldintza orokorrak; Zehapenak |
83. eta 84. artikuluetan, gainbegiratze-agintaritzei eta estatu kideei administrazio-isunak eta bestelako zehapenak ebaluatzeko aukera ematen dieten xedapenak jasotzen dira. OCLCk, liburutegietako prozesadore gisa, prozesadoreei aplika dakizkiekeen DBEOko xedapenak urratzen baditu, OCLCk isunak edo bestelako zehapenak jaso ditzake. |
85 – 90. artikuluak: Prozesamendua eta Adierazpen eta Informazio Askatasuna; Dokumentu Ofizialak Prozesatzea eta Jendeak Eskuratzea; Identifikazio Zenbaki Nazionala Prozesatzea; Enpleguaren Testuinguruan Prozesatzea; Interes publikoko artxiborako, ikerketa zientifiko edo historikorako edo helburu estatistikoetarako tratamenduari buruzko babesak eta salbuespenak; Sekretu-betebeharrak |
85. artikulutik 90.era bitartekoek estatu kideen hainbat baldintza eta eskubide jasotzen dituzte, hala nola DBEO eta adierazpen-askatasunaren eskubideak uztartzea eta estatu kideei enplegu-datuen tratamenduaren testuinguruan arau espezifikoagoak sortzeko aukera ematea. |
91. artikulua: Elizen eta erlijio-elkarteen datuak babesteko indarrean dauden arauak |
91. artikuluak elizei eta erlijio-elkarteei aplikatu beharreko legeak jasotzen ditu. 91. artikulua ez zaio OCLCri aplikatzen, ez baita eliza bat, ezta erlijio-elkarte bat ere. |
92 – 99. artikuluak: Ordezkaritza gauzatzea; komitearen prozedura; 95/46/EE Zuzentaraua indargabetzea; 2002/58/EE Zuzentarauarekiko harremana; aurretik egindako akordioekiko harremana; Batzordearen txostenak; Batasunak datuak babesteari buruz egindako beste egintza juridiko batzuen berrikuspena; indarrean jartzea eta aplikazioa. |
Artikulu horiek DBEOren funtzionamendua eta eraginkortasuna jorratzen dituzte. |