OCLC en de Algemene verordening gegevensbescherming

Artikel 1: Onderwerp en doelstellingen

Artikel 1 belicht de doelstellingen van de AVG, waaronder de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens.

OCLC respecteert de fundamentele rechten en vrijheden van mensen en heeft beschermingen voor de verwerking van persoonsgegevens, waaronder de persoonsgegevens van medewerkers en gebruikers van de bibliotheek. OCLC analyseert gegevensdoorgiften zowel binnen de EU als buiten de EU.

Artikel 2: Materieel toepassingsgebied

De verwerking van persoonsgegevens, geheel of gedeeltelijk, door geautomatiseerde middelen kan binnen het toepassingsgebied van de AVG vallen overeenkomstig artikel 2.

OCLC verwerkt persoonsgegevens die binnen het toepassingsgebied van verwerking kunnen vallen zoals beschreven in artikel 2. De producten van OCLC worden door bibliotheken gebruikt om hun activiteiten te beheren. OCLC ontvangt de persoonsgegevens van medewerkers en gebruikers van bibliotheken.

Artikel 3: Territoriaal toepassingsgebied

In artikel 3 worden situaties beschreven waarin de AVG van toepassing is. Deze is van toepassing op bedrijven met een vestiging in de EU en buiten de EU in het kader van de activiteiten van de EU-instellingen. Verder kan de AVG van toepassing zijn op bedrijven zonder vestiging in de EU wanneer deze goederen of diensten aan personen in de EU aanbieden of het gedrag van die personen volgen.

De AVG is van toepassing op OCLC. OCLC heeft vestigingen in de EU, waaronder ons EU-hoofdkantoor in Nederland. OCLC heeft niet-EU-activiteiten ter ondersteuning van EU-instellingen die ook onder de AVG vallen.

Artikel 4: Definities

In artikel 4 worden 26 termen gedefinieerd, waaronder persoonsgegevens, verwerking, verwerkingsverantwoordelijke en verwerker.

Over het algemeen, zoals tussen OCLC en een bibliotheek, is de bibliotheek de verwerkingsverantwoordelijke onder de AVG met betrekking tot de verwerking van persoonsgegevens van haar medewerkers en gebruikers. OCLC is dan een verwerker voor de bibliotheek wanneer het product wordt geleverd.

Artikel 5: Beginselen inzake verwerking van persoonsgegevens

In artikel 5 worden de beginselen van gegevensverwerking beschreven, waaronder rechtmatigheid, eerlijkheid, transparantie, doelbinding, gegevensminimalisatie, nauwkeurigheid, opslagbeperking, integriteit en vertrouwelijkheid en aansprakelijkheid.

Over het algemeen is de bibliotheek in staat om deze vaststellingen te doen in haar relatie met haar gebruikers en medewerkers. De bibliotheek bepaalt bijvoorbeeld welke gegevens van haar gebruikers moeten worden verzameld om bibliotheekdiensten aan te bieden, de wettelijke grondslag voor het verwerken van de gegevens en hoe een privacyverklaring aan de gebruikers moet worden verstrekt om transparant te zijn over het gebruik van de gegevens door de bibliotheek.

In veel gevallen kunnen OCLC-producten echter een bibliotheek helpen om haar verplichtingen met betrekking tot deze beginselen na te komen. Het toepasselijke OCLC-product kan bijvoorbeeld toestaan dat in de bibliotheek een privacyverklaring wordt weergegeven die is opgesteld door de bibliotheek.

Artikel 6: Rechtmatigheid van de verwerking

Artikel 6 biedt de verschillende wettelijke grondslagen voor de verwerking van persoonsgegevens, zoals toestemming van de betrokkene of noodzaak voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke.

Als verwerkingsverantwoordelijke bepaalt de bibliotheek de wettelijke grondslagen voor de verwerking van persoonsgegevens van haar gebruikers en medewerkers. De verwerking door OCLC, als verwerker voor de bibliotheek, wordt bijvoorbeeld uitgevoerd in de richting van de bibliotheek zoals beschreven in het toepasselijke contract tussen de bibliotheek en OCLC.

Artikel 7 en 8: Voorwaarden voor toestemming; Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij

In artikel 7 wordt beschreven wat is vereist voor toestemming wanneer dit de wettelijke grondslag voor verwerking is.

In artikel 8 gaan wij nader in op de toestemmingsvereisten in artikel 7 met betrekking tot kinderen.

Als verwerkingsverantwoordelijke is de bibliotheek verantwoordelijk voor het naleven van artikel 7 en 8, indien van toepassing, wanneer toestemming de wettelijke grondslag is voor de verwerking van gegevens van gebruikers of medewerkers.

Artikel 9: Verwerking van bijzondere categorieën persoonsgegevens

In artikel 9 worden persoonsgegevens beschreven die niet mogen worden verwerkt, tenzij een uitzondering van toepassing is.

Hoewel bibliotheken bepalen of, en onder welke voorwaarden, speciale categorieën persoonsgegevens worden verwerkt, ontmoedigt OCLC het verzamelen en opslaan van deze gegevens in OCLC-producten door onze klanten. Het verzamelen en opslaan van deze gegevens is niet noodzakelijk voor het gebruik van OCLC-producten.

Artikel 10: Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten

In artikel 10 komt de verwerking van persoonsgegevens aan de orde met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Net als de bijzondere categorieën persoonsgegevens zoals beschreven in artikel 9, zijn deze persoonsgegevens niet vereist voor het gebruik van OCLC-producten. OCLC ontmoedigt het verzamelen en opslaan van deze gegevens in OCLC-producten.

Artikel 11 en 12: Verwerking waarvoor identificatie niet is vereist; Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van betrokkene

Artikel 11 bevat wetten die betrekking hebben op de identificatie van betrokkenen door de verwerkingsverantwoordelijke, inclusief met betrekking tot betrokkenen die de rechten uitoefenen die uit hoofde van de AVG worden geboden.

Artikel 12 bevat wetten over de verwerkingsverantwoordelijke die informatie aan betrokkenen verstrekt, waaronder de termijnen voor het reageren op verzoeken van betrokkenen.

Als verwerkingsverantwoordelijke is de bibliotheek verantwoordelijk voor het naleven van artikel 11 en 12 in haar relaties met gebruikers en medewerkers.

OCLC ontvangt verzoeken van betrokkenen, vraagt informatie op wanneer dat nodig is om de identiteit te valideren en evalueert de rol van OCLC met betrekking tot de betrokkene.

Wanneer OCLC een verwerkingsverantwoordelijke is, heeft OCLC processen geïmplementeerd voor de afhandeling van verzoeken in overeenstemming met de vereisten in artikel 12.

Als OCLC vaststelt dat het een verwerker is, stuurt OCLC de betrokkene door naar de verwerkingsverantwoordelijke om daar het verzoek te plaatsen.

Artikel 13 en 14: Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld; Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

Artikel 13 en 14 bevatten specifieke eisen die aan de betrokkenen moeten worden gesteld.

Wanneer OCLC optreedt als de verwerkingsverantwoordelijke met betrekking tot betrokkenen, informeert OCLC de betrokkenen adequaat. OCLC publiceert bijvoorbeeld een privacyverklaring op OCLC.org.

Met betrekking tot bibliotheekgebruikers en medewerkers, is de bibliotheek de verwerkingsverantwoordelijke en moet zij privacykennisgevingen verstrekken die voldoen aan de vereisten van artikel 13 of 14, voor zover van toepassing. Naast de verwerking door OCLC als verwerkingsverantwoordelijke voor een bibliotheek, zouden de kennisgevingen van een bibliotheek waarschijnlijk ook een andere verwerking beschrijven die door de bibliotheek wordt uitgevoerd en door andere verwerkers voor de bibliotheek wordt uitgevoerd.

Artikel 15 – 23: Recht van inzage door de betrokkene; Recht op rectificatie; Recht om gegevens te laten wissen ("recht om te worden vergeten"); Recht op beperking van de verwerking; Kennisgevingsplicht inzake het rectificeren of wissen van persoonsgegevens of verwerkingsbeperking; Recht op overdraagbaarheid van gegevens; Recht van bezwaar; Geautomatiseerde individuele besluitvorming, waaronder profilering; Beperkingen

Artikel 15 tot en met 23 zijn wetten die verband houden met verschillende rechten van betrokkenen.

Als verwerkingsverantwoordelijke is de bibliotheek verantwoordelijk voor het naleven van artikel 15 tot en met 23 in haar relatie met gebruikers en medewerkers.

OCLC ontvangt verzoeken van betrokkenen, vraagt informatie op wanneer dat nodig is om de identiteit te valideren en evalueert de rol van OCLC met betrekking tot de betrokkene.

Wanneer OCLC een verwerkingsverantwoordelijke is, heeft OCLC processen geïmplementeerd voor het verwerken van verzoeken.

Als OCLC vaststelt dat het een verwerker is, stuurt OCLC de betrokkene door naar de verwerkingsverantwoordelijke om daar het verzoek te plaatsen.

Artikel 24: Verantwoordelijkheid van de verwerkingsverantwoordelijke

Artikel 24 geeft een overzicht van de verantwoordelijkheden van de verwerkingsverantwoordelijke, waaronder de vaststelling van passende technische en organisatorische maatregelen en beleid inzake gegevensbescherming.

Als verwerkingsverantwoordelijke met betrekking tot de gegevens van haar klanten en medewerkers, is de bibliotheek verantwoordelijk voor de naleving van artikel 24.

Artikel 25: Gegevensbescherming door ontwerp en door standaardinstellingen

Artikel 25 verplicht verwerkingsverantwoordelijken gegevensbescherming door ontwerp en door standaardinstellingen te implementeren.

Als de verwerkingsverantwoordelijke met betrekking tot de gegevens van haar klanten en medewerkers, is de bibliotheek verantwoordelijk voor de naleving van artikel 25. Bovendien heeft OCLC formele AVG-projecten en andere activiteiten in beheer die op onze producten zijn gericht om bibliotheken te helpen aan deze verplichtingen te voldoen. OCLC is vastbesloten om onze producten te evalueren en om vast te stellen of en hoe deze te verbeteren met betrekking tot gegevensbescherming door ontwerp en standaardinstellingen.

Artikel 26: Gezamenlijke verwerkingsverantwoordelijken

In artikel 26 worden regelingen tussen gezamenlijke verwerkingsverantwoordelijken behandeld.

OCLC is doorgaans geen gezamenlijke verwerkingsverantwoordelijke met bibliotheken. Bibliotheken zijn de verwerkingsverantwoordelijken en OCLC is een verwerker.

Article 27: Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers

Artikel 27 heeft betrekking op het territoriale toepassingsgebied van de AVG wanneer de verwerkingsverantwoordelijke of de verwerker niet in de EU is gevestigd. Wanneer deze niet in de EU is gevestigd, moet de verwerkingsverantwoordelijke of de verwerker een vertegenwoordiger aanwijzen die zich fysiek in de EU bevindt.

OCLC heeft meerdere vestigingen in de EU en ons EU-hoofdkantoor bevindt zich in Nederland.

Artikel 28: Verwerker

Artikel 28 bevat verplichtingen van zowel verwerkingsverantwoordelijken als verwerkers. Artikel 28 is sterk gericht op het opstellen van contracten voor de verwerking door de verwerker en het opstellen van contracten door die verwerker bij het inschakelen van andere verwerkers.

Als een verwerker heeft OCLC door bibliotheken uit te voeren overeenkomsten voor gegevensverwerking ontwikkeld om te voldoen aan de vereisten van artikel 28. Deze contracten zijn beschikbaar in meerdere talen. Verder heeft OCLC subverwerkerovereenkomsten ontwikkeld ter ondertekening wanneer subverwerkers worden ingeschakeld door OCLC.

Artikel 29: Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker

In artikel 29 wordt de verwerking door verwerkers behandeld. Verwerkers mogen geen persoonsgegevens verwerken behalve in opdracht van de verwerkingsverantwoordelijke.

De hierboven beschreven contracten met artikel 28 bieden de instructies van de bibliotheek, als verwerkingsverantwoordelijke, aan OCLC voor de verwerking van persoonsgegevens.

Artikel 30: Register van de verwerkingsactiviteiten

Artikel 30 is een vereiste voor het bijhouden van gegevens met betrekking tot de verwerking van persoonsgegevens. Er zijn vereisten voor zowel verwerkingsverantwoordelijken als verwerkers om een register bij te houden en om een register aan toezichthoudende autoriteiten te verstrekken wanneer daarom wordt gevraagd.

OCLC heeft registers van verwerkingsactiviteiten gemaakt en houdt deze bij.

Artikel 31: Medewerking met de toezichthoudende autoriteit

Artikel 31 verplicht verwerkingsverantwoordelijken als verwerkers op verzoek samen te werken met toezichthoudende autoriteiten bij de uitvoering van hun taken.

OCLC zal op verzoek samenwerken met toezichthoudende autoriteiten.

Artikel 32: Beveiliging van de verwerking

Artikel 32 bevat verplichtingen voor verwerkingsverantwoordelijken en verwerkers om passende technische en organisatorische maatregelen te nemen om een passend beveiligingsniveau te waarborgen.

OCLC heeft technische en organisatorische maatregelen geïmplementeerd. Deze worden beschreven in de contracten die artikel 28 vereist. Aanvullende informatie over de beveiliging van OCLC is ook beschikbaar op onze website.

Artikel 33 en 34: Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit; Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

Artikel 33 en 34 bevatten de verplichtingen van verwerkingsverantwoordelijken en verwerkers met betrekking tot een melding van inbreuk in verband met persoonsgegevens.

Als verwerker moet OCLC een bibliotheek op de hoogte stellen van een gerelateerde inbreuk in verband met persoonsgegevens op grond van artikel 33. Dit moet zonder onnodige vertraging gebeuren nadat een persoon een inbreuk in verband met persoonsgegevens heeft vastgesteld. OCLC beoordeelt incidenten snel en onderhoudt een database met contactinformatie van bibliotheken om ervoor te zorgen dat eventuele vereiste meldingen zonder onnodige vertraging kunnen worden gedaan. Met betrekking tot onbeschikbaarheid moedigt OCLC ook bibliotheken aan om hetsysteemstatusdashboard op onze website te bekijken.

Bibliotheken moeten, als verwerkingsverantwoordelijken, bepalen of zij toezichthoudende autoriteiten en betrokkenen moeten informeren.

Artikel 35 en 36: Gegevensbeschermingseffectbeoordeling; Voorafgaande raadpleging

Artikelen 35 en 36 bevatten, in bepaalde omstandigheden, verplichtingen voor verwerkingsverantwoordelijken om gegevensbeschermingseffectbeoordelingen uit te voeren en overleg te plegen met de toezichthoudende autoriteiten.

Dit zijn verplichtingen van verwerkingsverantwoordelijken; daarom zijn de verplichtingen van toepassing op bibliotheken. OCLC is over het algemeen een verwerker voor de bibliotheken.

In gevallen waarin OCLC vereist is voor het uitvoeren van gegevensbeschermingsimpactbeoordelingen onder de AVG, heeft OCLC processen geïmplementeerd voor de uitvoering ervan.

Artikel 37: Aanwijzing van de functionaris voor gegevensbescherming

In artikel 37 worden de gevallen beschreven waarin verwerkingsverantwoordelijken en verwerkers functionarissen voor gegevensbescherming moeten aanstellen, met inbegrip van de mogelijkheid voor een groep ondernemingen om een functionaris voor gegevensbescherming aan te wijzen. De functionaris voor gegevensbescherming moet worden aangesteld op basis van professionele kwaliteiten, waaronder deskundige kennis van wetgeving en praktijken inzake gegevensbescherming.

OCLC heeft een functionaris voor gegevensbescherming voor zijn verschillende aangesloten organisaties benoemd als een groep ondernemingen.

Artikel 38 en 39: Positie van de functionaris voor gegevensbescherming; Taken van de functionaris voor gegevensbescherming

In artikel 38 en 39 wordt beschreven wanneer de functionaris voor gegevensbescherming bij kwesties moet worden betrokken, de onafhankelijkheid van de functionaris voor gegevensbescherming en de taken van de functionaris voor gegevensbescherming.

De functionaris voor gegevensbescherming van OCLC is belast met de uitvoering van de taken in artikel 39. Verder heeft OCLC een wereldwijd privacyprogramma opgericht om de functionaris voor gegevensbescherming bij de uitvoering van deze taken te helpen en, waar nodig, bij te dragen aan de aanpak van lokale problemen. OCLC streeft naar waarborging van de onafhankelijkheid van zijn functionaris voor gegevensbescherming.  

Artikel 40 – 43: Gedragscodes; Toezicht op goedgekeurde gedragscodes; Certificering; Certificeringsorganen

Deze artikelen betreffen het stimuleren van verenigingen en andere organen om gedragscodes met betrekking tot de AVG te creëren en goed te keuren.

OCLC is momenteel niet betrokken bij pogingen om gedragscodes te creëren.

Artikel 44 – 49: Algemeen beginsel inzake doorgiften; Doorgiften op basis van adequaatheidsbesluiten; Doorgiften op basis van passende waarborgen; Bindende bedrijfsvoorschriften; Niet bij Unierecht toegestane doorgiften of verstrekkingen; Afwijkingen voor specifieke situaties

In artikel 44 tot en met 49 worden verschillende vereisten behandeld in verband met de doorgifte van persoonsgegevens.

Het hoofdkantoor van OCLC bevindt zich in de VS. OCLC heeft vestigingen op veel locaties, waaronder datacenters in Nederland, de VS, Australië en Canada. Afhankelijk van het specifieke aanbod van OCLC-services waarvan een klant gebruik maakt, kunnen er doorgiften van persoonsgegevens vanuit de EU plaatsvinden.

Met betrekking tot doorgiften die passende waarborgen vereisen, zijn deze doorgiften conform de standaardbepalingen inzake gegevensbescherming zoals toegestaan in artikel 46. OCLC voert standaardbepalingen inzake gegevensbescherming met bibliotheken uit bij de ondertekening van artikel 28-contracten.

Artikel 50 – 78: Internationale samenwerking voor de bescherming van persoonsgegevens; Toezichthoudende autoriteit; Onafhankelijkheid; Algemene voorwaarden voor de leden van de toezichthoudende autoriteit; Regels inzake de oprichting van de toezichthoudende autoriteit; Competentie; Competentie van de leidende toezichthoudende autoriteit; Taken; Bevoegdheden; Activiteitenverslagen; Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten; Wederzijdse bijstand; Gezamenlijke werkzaamheden van toezichthoudende autoriteiten; Coherentiemechanisme; Advies van het Comité; Geschillenbeslechting door het Comité; Spoedprocedure; Uitwisseling van informatie; Europees Comité voor gegevensbescherming; Onafhankelijkheid; Taken van het Comité; Rapportage; Procedure; Voorzitter; Taken van de voorzitter; Secretariaat; Vertrouwelijkheid; Recht om klacht in te dienen bij een toezichthoudende autoriteit; Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit

Artikel 50 tot en met 78 bevatten regels met betrekking tot de lidstaten, hun toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming.

Artikel 79: Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker

In artikel 79 worden de rechten van betrokkenen beschreven om een voorziening in rechte in te stellen. Dit kan onder meer een gerechtelijke procedure zijn tegen verwerkingsverantwoordelijken of verwerkers waar zij een vestiging hebben.

OCLC is een verwerker voor bibliotheken en kan worden onderworpen aan artikel 79 met betrekking tot medewerkers en gebruikers van een bibliotheek. OCLC heeft vestigingen in de EU waar gerechtelijke procedures kunnen plaatsvinden.

Artikel 80 en 81: Vertegenwoordiging van betrokkenen; Schorsing van de procedure

Deze artikelen van de AVG hebben betrekking op hoe klachten door betrokkenen kunnen worden ingediend en hoe rechtbanken de procedure kunnen schorsen.

Artikel 82: Recht op schadevergoeding en aansprakelijkheid

In artikel 82 wordt beschreven hoe betrokkenen schadevergoeding van verwerkingsverantwoordelijken en verwerkers kunnen verlangen.

Op grond van artikel 82 zouden bibliotheekmedewerkers en -gebruikers rechtstreeks schadevergoeding kunnen eisen van OCLC als verwerker van de bibliotheek. Artikel 82 en de contracten tussen OCLC en een bibliotheek verdelen ook verantwoordelijkheden tussen OCLC en elke bibliotheek.

Artikel 83 en 84: Algemene voorwaarden voor het opleggen van administratieve geldboetes; Sancties

De artikelen 83 en 84 bevatten bepalingen die toezichthoudende autoriteiten en lidstaten in staat stellen administratieve boetes en andere sancties te beoordelen.

Indien OCLC als verwerker voor bibliotheken inbreuk zou maken op de bepalingen van de AVG die van toepassing zijn op verwerkers, zou OCLC kunnen worden onderworpen aan een beoordeling van boetes of andere sancties.

Artikel 85 – 90: Verwerking en vrijheid van meningsuiting en van informatie; Verwerking en recht van toegang van het publiek tot officiële documenten; Verwerking van het nationaal identificatienummer; Verwerking in het kader van de arbeidsverhouding; Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden; Geheimhoudingsplicht

Artikel 85 tot en met 90 bevatten verschillende vereisten en rechten van de lidstaten, zoals het afstemmen van de AVG op de vrijheid van meningsuiting en de mogelijkheid voor de lidstaten om specifiekere regels te creëren in verband met de verwerking van werkgelegenheidsgegevens.

Artikel 91: Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen

Artikel 91 bevat wetten die van toepassing zijn op kerken en religieuze verenigingen.

Artikel 91 is niet van toepassing op OCLC, omdat het geen kerk of religieuze vereniging is.

Artikel 92 – 99: Uitoefening van de bevoegdheidsdelegatie; Comitéprocedure; Intrekking van Richtlijn 95/46/EG; Verhouding tot Richtlijn 2002/58/EG; Verhouding tot eerder gesloten overeenkomsten; Commissieverslagen; Toetsing van andere Unierechtshandelingen inzake gegevensbescherming; Inwerkingtreding en toepassing