Accordi sull'elaborazione dei dati di OCLC


Cosa è necessario sapere

Il regolamento generale UE sulla protezione dei dati (GDPR) è entrato in vigore a partire dal 25 maggio 2018 e prevede per l'istituzione l'obbligo legale di formalizzare l'accordo per l'elaborazione dei dati personali con OCLC. OCLC supporta i rigorosi principi di privacy e sicurezza dei dati sottolineati dal GDPR e si impegna a garantire che le nostre offerte di servizi pertinenti consentano ai nostri clienti di adempiere ai loro obblighi GDPR in qualità di controllori dei dati.

Come richiesto dal GDPR, OCLC e i clienti devono disporre di un accordo per l'elaborazione dei dati (DPA) per entrambi: 1) servizi ospitati nei data center e che trattano i dati personali; e 2) servizi che consentono l'elaborazione remota delle informazioni personali a scopo di supporto e manutenzione.

Il DPA di OCLC contiene disposizioni sul trattamento dei dati richieste dal GDPR; fornisce garanzie in merito alla protezione dei dati personali degli utenti, dei membri del personale e di altri; e chiarisce i rispettivi ruoli e responsabilità che entrambi abbiamo per quanto riguarda i dati personali elaborati.

Perché il modello OCLC?

Per soddisfare i requisiti GDPR, OCLC ha preparato un accordo prefirmato ideato specificamente secondo il GDPR e il tipo di attività di elaborazione che si verifica attraverso l'uso di prodotti e servizi OCLC. Se i dati personali dell'istituzione sono soggetti al GDPR, è necessario un DPA.

OCLC trasferisce dati al di fuori dell'Unione Europea?

  • Sì. Quando i dati personali vengono trasferiti dall'UE a OCLC negli Stati Uniti (USA), vengono trasferiti ai sensi del documento sulle clausole contrattuali standard incorporato nel DPA. Le clausole contrattuali standard sono un modulo, redatto e approvato dalla Commissione Europea, che contiene obblighi dettagliati relativi alla protezione dei dati personali che vengono trasferiti al di fuori dell'UE.
  • Ai sensi del GDPR, è legale trasferire dati al di fuori dell'UE, a condizione che gli incaricati del trattamento adempino alle normative sulla protezione dei dati necessarie. Quando i dati personali vengono trasferiti dall'UE a OCLC negli USA, vengono trasferiti ai sensi delle clausole contrattuali standard che sono conformi a queste normative.
  • OCLC non è registrata nell'EU-US Privacy Shield; non è idonea perché è un'entità senza scopo di lucro. OCLC si basa invece sulle clausole contrattuali standard per il trasferimento di dati personali dall'UE agli Stati Uniti.

A quali prodotti si applica il DPA?

Il DPA si applica a qualsiasi prodotto e servizio ospitato e non ospitato fornito da OCLC nell'UE.

Chi è il cliente nel DPA?

L'istituzione è il cliente nonché controller dei dati personali elaborati. OCLC è l'incaricato del trattamento. Il cliente può inviare i dati personali a/tramite i prodotti OCLC (chiamati "servizi coperti" nel DPA) e può richiedere ai singoli utenti dei servizi coperti (noti come "soggetti di dati") di inviare i dati personali ai servizi coperti, la cui portata è determinata e controllata dal cliente.

Perché abbiamo bisogno di un DPA se il servizio è ospitato dall'istituzione?

È possibile che al personale di OCLC, per l'esperienza o disponibilità, venga richiesto di fornire assistenza o manutenzione remote come richiesto dal cliente. L'estensione di questi servizi remoti dipende dal sistema e dal supporto richiesto dal cliente. Questi servizi sono coperti dalle clausole contrattuali standard di OCLC.

Quale tipo di dati personali vengono elaborati?

  • I dati personali elaborati da OCLC possono riguardare le seguenti categorie di soggetti:
    • Utenti autorizzati dei servizi bibliotecari del cliente
    • Dipendenti del cliente autorizzati a utilizzare i servizi coperti
    • Fornitori del cliente di risorse di biblioteca
    • Per i clienti che utilizzano le prenotazioni dei corsi, gli istruttori i cui corsi sono inclusi nelle prenotazioni
  • Il tipo di dati personali inviati dal cliente possono possono includere:
    • Nomi
    • Titoli professionali (per i dipendenti)
    • Informazioni di contatto (inclusi indirizzi fisici, numeri di telefono, numeri di fax e indirizzi e-mail)
    • Identificatori univoci, sia assegnati dal cliente o dall'incaricato del trattamento (ad esempio, numeri ID e codici a barre dell'utente, ID del dipendente)
    • Nomi utente e password
    • Attributi dell'utente (ad es. data di nascita, sesso, dipartimento, tipo di utente)
    • Fotografie (via URL)

Quali sono i criteri di risposta agli incidenti di OCLC?

  • Secondo il GDPR, gli incaricati del trattamento sono obbligati a informare un controller "senza indebito ritardo" dopo essere venuti a conoscenza di una violazione dei dati personali. Pertanto, il DPA di OCLC afferma che verrà fatto.
    • Questo è un termine comunemente frainteso all'interno del GDPR. Qualsiasi tempistica più specifica che richiede all'incaricato del trattamento di segnalare una violazione al controller mette effettivamente a rischio il controller perché, ai sensi del GDPR, il controller ha solo 72 ore dalla conoscenza della violazione alla segnalazione della stessa alle autorità pertinenti.

Quali sono i criteri di auditing di OCLC?

  • Ai sensi del GDPR, i controller hanno il diritto di eseguire l'auditing degli incaricati del trattamento per garantire la conformità. Pertanto, il DPA di OCLC dichiara che il cliente può coinvolgere, sostenendone il costo, un auditor di terze parti per ispezionare i criteri e le registrazioni di OCLC per garantire la conformità. OCLC richiede un mese di preavviso scritto per l'auditing e il revisore prescelto deve firmare un accordo di non divulgazione. OCLC fornirà su richiesta anche le certificazioni di terze parti pertinenti, come le certificazioni ISO, al fine di dimostrare la conformità.

Accordi per l'elaborazione dei dati

 OCLC (UK) Ltd.