GDPR: Partnership con i clienti
OCLC si impegna a garantire che i nostri partner e clienti possano continuare a utilizzare i nostri prodotti e servizi nel rispetto del Regolamento generale sulla protezione dei dati (GDPR) dell'UE. Siamo consapevoli che la conformità al GDPR richiede una collaborazione tra OCLC e i nostri partner e clienti nel loro utilizzo dei servizi OCLC applicabili. Lavorando insieme, abbiamo affrontato e continueremo a esplorare le opportunità nell'ambito delle nostre offerte di servizi pertinenti per assistere i nostri clienti nell'adempimento dei loro obblighi legati al GDPR in qualità di titolari del trattamento dei dati.
Di seguito abbiamo risposto ad alcune delle domande più urgenti espresse dai nostri partner e clienti sulle offerte di servizi di OCLC e sul GDPR.
Come fa OCLC a garantire la conformità al GDPR?
OCLC ritiene che il GDPR sia un'importante pietra miliare nel panorama della privacy dei dati. Siamo entusiasti dei forti principi di privacy e sicurezza dei dati sottolineati dal GDPR.
- Valutazione e governance: OCLC controlla attentamente dove e come i nostri servizi pertinenti raccolgono, utilizzano, conservano e smaltiscono i dati personali. Nell'ambito del nostro programma di governance della privacy e dei dati a livello mondiale, abbiamo stabilito e miglioriamo continuamente le nostre procedure e politiche, gli standard, la governance e la documentazione secondo le necessità.
- Prodotti: nei nostri vari prodotti, abbiamo sviluppato funzioni per aiutare i clienti ad adempiere ad alcuni dei loro obblighi di conformità al GDPR, come ad esempio la visualizzazione di informative sulla privacy. Le note di rilascio dei prodotti, quando disponibili, descrivono le modifiche apportate ai prodotti che possono essere utili in relazione al GDPR.
- Trasferimenti transfrontalieri di dati personali dell'UE: per quanto riguarda i prodotti e i servizi di OCLC, i trasferimenti transfrontalieri di dati personali possono variare a seconda del prodotto. Per alcuni prodotti, i dati personali sono localizzati all'interno dello Spazio economico europeo. Per altri, si verificano trasferimenti di dati personali al di fuori dello Spazio economico europeo. OCLC dispone di clausole contrattuali standard per i trasferimenti di dati dal SEE e stabilisce clausole contrattuali standard direttamente con i propri clienti quando questi sono gli esportatori dei dati verso OCLC al di fuori del SEE.
- Formazione e sensibilizzazione dei dipendenti: tutti i dipendenti OCLC devono completare la formazione sulla sicurezza dei dati. Oltre a questi requisiti di formazione, OCLC svolge continue iniziative di sensibilizzazione su una serie di argomenti, tra cui la protezione dei dati, la sicurezza e la privacy.
- Impegni contrattuali: lavorando in collaborazione con clienti e fornitori, OCLC stipula accordi di trattamento dei dati, se necessario, per rispondere direttamente ai requisiti del GDPR.
Quali misure di sicurezza adotta OCLC per proteggere i dati personali che tratta?
OCLC dispone di solide misure tecniche e organizzative, conformi agli standard di audit internazionali, per garantire un livello di sicurezza adeguato ai dati personali raccolti. Verifichiamo, accertiamo e valutiamo regolarmente l'efficacia delle nostre misure tecniche e organizzative. OCLC ha implementato controlli amministrativi e tecnologici per limitare l'uso dei dati personali alle finalità per cui sono stati raccolti, nonché processi per individuare e rispondere alle violazioni della sicurezza.
Qual è la differenza tra titolare del trattamento e responsabile del trattamento?
Per quanto riguarda i vari prodotti e servizi che OCLC ospita per i clienti, questi ultimi agiscono generalmente come titolari del trattamento, mentre OCLC agisce come responsabile. Nel contesto del trattamento dei dati personali, un titolare del trattamento è l'organizzazione che determina le finalità e i mezzi del trattamento dei dati personali. Un responsabile del trattamento è l'organizzazione che tratta i dati per conto di un titolare.
Quali dati personali vengono elaborati da OCLC?
Molti dei prodotti di OCLC sono sistemi di gestione delle biblioteche che aiutano i nostri clienti a gestire le richieste di circolazione e di ricerca dei loro utenti. Questi prodotti raccolgono inoltre dati personali minimi dei dipendenti della biblioteca per scopi di gestione della stessa. Mentre alcuni dati personali, come i nomi degli utenti, sono raccolti e utilizzati da tutte le biblioteche, i nostri clienti si differenziano per i tipi di dati che utilizzano. I clienti, in qualità di titolari del trattamento, determinano gli specifici dati personali che raccoglieranno dagli interessati e forniranno a OCLC per il trattamento. OCLC incoraggia i propri clienti a esaminare i dati personali che trattano per determinare quali obblighi sono tenuti ad adempiere ai sensi del GDPR.
OCLC assisterà i clienti nel rispondere alle richieste fatte dagli interessati in relazione ai loro diritti individuali ampliati ai sensi del GDPR?
Il GDPR offre alle persone un maggiore controllo sul trattamento dei loro dati personali. OCLC ha stabilito processi di revisione delle richieste degli interessati. L'informativa sulla privacy di OCLC descrive i diritti degli interessati e le modalità per presentare richieste. In molti casi, le richieste degli interessati dovranno essere esaminate e soddisfatte direttamente dai nostri clienti, in quanto titolari del trattamento dei dati, anziché da OCLC, che agisce su indicazione del cliente. I clienti che ritengono di non essere in grado di soddisfare autonomamente le richieste attraverso l'uso dei nostri prodotti possono contattare OCLC per richiedere assistenza.
Quali misure adotta OCLC per garantire che i suoi clienti possano trasferire legalmente i dati personali al di fuori dell'Unione europea?
Quando i dati personali vengono trasferiti dall'UE a OCLC, Inc. negli Stati Uniti, il trasferimento avviene ai sensi delle clausole contrattuali tipo adottate dalla Commissione europea. OCLC mantiene controlli solidi e costanti sulla sicurezza dei dati in tutto il mondo, per salvaguardare i dati personali trasferiti.