OCLC i ogólne rozporządzenie o ochronie danych

Artykuł 1: Przedmiot i cele

Artykuł 1 wskazuje cele RODO, które obejmują ochronę danych osobowych i swobodny przepływ danych osobowych.

OCLC szanuje podstawowe prawa i wolności ludzi i posiada zabezpieczenia dotyczące przetwarzania danych osobowych, w tym danych osobowych pracowników biblioteki i klientów. OCLC analizuje przekazywanie danych zarówno w UE, jak i poza nią.

Artykuł 2: Materialny zakres stosowania

W zakres RODO na mocy art. 2 może wchodzić przetwarzanie danych osobowych w sposób zautomatyzowany, w całości lub w części.

OCLC przetwarza dane osobowe, które mogą być objęte zakresem przetwarzania opisanym w art. 2. Biblioteki wykorzystują produkty OCLC do zarządzania własną działalnością. OCLC otrzymuje od bibliotek dane osobowe pracowników i stałych klientów.

Artykuł 3: Terytorialny zakres stosowania

Artykuł 3 opisuje sytuacje, w których ma zastosowanie RODO. Rozporządzenie stosuje się do firm posiadających jednostkę organizacyjną w UE i poza UE w kontekście działalności jednostek organizacyjnych w UE. Ponadto RODO może mieć zastosowanie do firm nieposiadających jednostki organizacyjnej w UE, jeśli oferują one towary lub usługi osobom w UE lub monitorują zachowania tych osób.

RODO ma zastosowanie do OCLC. OCLC posiada jednostki organizacyjne w UE, w tym europejską siedzibę główną w Holandii. OCLC poza terytorium UE prowadzi działalność wspierającą jednostki organizacyjne w UE, która również podlega RODO.

Artykuł 4: Definicje

Artykuł 4 definiuje 26 pojęć, w tym dane osobowe, przetwarzanie, administratora i podmiot przetwarzający.

Ogólnie rzecz biorąc, w stosunkach między OCLC a biblioteką, biblioteka jest administratorem w rozumieniu RODO w odniesieniu do przetwarzania danych osobowych swoich pracowników i stałych klientów. Dostarczając produkty, OCLC jest w takich przypadkach dla biblioteki podmiotem przetwarzającym.

Artykuł 5: Zasady dotyczące przetwarzania danych osobowych

Artykuł 5 określa zasady przetwarzania danych, w tym zgodność z prawem, rzetelność, przejrzystość, ograniczenie celu, minimalizację danych, prawidłowość, ograniczenie przechowywania, integralność i poufność oraz rozliczalność.

Ogólnie rzecz biorąc, biblioteka będzie w stanie dokonywać takich ustaleń w relacjach ze swoimi klientami i pracownikami. Na przykład biblioteka określi, jakie dane swoich klientów będzie gromadzić w celu oferowania usług bibliotecznych, podstawy prawne przetwarzania danych oraz sposób dostarczania klientom oświadczenia o ochronie prywatności na potrzeby zapewnienia transparentności w zakresie wykorzystywania danych przez bibliotekę.

Jednak w wielu przypadkach produkty OCLC mogą pomóc bibliotece w realizacji jej zobowiązań w odniesieniu do tych zasad. Na przykład odpowiedni produkt OCLC może zezwalać bibliotece na wyświetlanie opracowanego przez bibliotekę oświadczenia o ochronie prywatności.

Artykuł 6: Zgodność przetwarzania z prawem

Artykuł 6 określa różne podstawy prawne przetwarzania danych osobowych, takie jak zgoda osoby, której dane dotyczą, lub konieczność realizacji uzasadnionych interesów administratora.

Jako administrator danych biblioteka określa zgodne z prawem podstawy przetwarzania danych osobowych swoich klientów i pracowników. OCLC, jako podmiot przetwarzający biblioteki, będzie przetwarzać dane osobowe na polecenie biblioteki zgodnie z obowiązującą umową między biblioteką a OCLC.

Artykuły 7 i 8: Warunki wyrażenia zgody oraz Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego

Artykuł 7 opisuje, co jest wymagane w przypadku zgody, gdy jest to zgodna z prawem podstawa przetwarzania.

Artykuł 8 rozszerza wymogi dotyczące zgody określone w art. 7 w odniesieniu do dzieci.

Jako administrator danych biblioteka odpowiada za przestrzeganie odpowiednio art. 7 i 8, gdy zgoda stanowi zgodną z prawem podstawę przetwarzania danych klientów lub pracowników.

Artykuł 9: Przetwarzanie szczególnych kategorii danych osobowych

Artykuł 9 opisuje dane osobowe, których nie można przetwarzać z wyjątkiem przypadków objętych wyjątkiem.

Choć biblioteki określają, czy i na jakiej podstawie będą przetwarzać specjalne kategorie danych osobowych, OCLC odradza gromadzenie i przechowywanie tych danych przez naszych klientów w produktach OCLC. Gromadzenie i przechowywanie tych danych nie jest konieczne do korzystania z produktów OCLC.

Artykuł 10: Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Artykuł 10 dotyczy przetwarzania danych osobowych związanych z wyrokami skazującymi i naruszeniami prawa.

Podobnie jak szczególne kategorie danych osobowych opisane w art. 9, te dane osobowe nie są wymagane do korzystania z produktów OCLC. OCLC odradza gromadzenie i przechowywanie tych danych w produktach OCLC.

Artykuły 11 i 12: Przetwarzanie niewymagające identyfikacji oraz przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą

Artykuł 11 zawiera przepisy dotyczące identyfikacji osób, których dane dotyczą, przez administratora, w tym osób, których dane dotyczą, korzystających z praw przyznanych na mocy RODO.

Artykuł 12 zawiera przepisy dotyczące udzielania przez administratora informacji osobom, których dane dotyczą, w tym terminy udzielania odpowiedzi na wnioski osób, których dane dotyczą.

Obowiązkiem biblioteki jako administratora jest przestrzeganie art. 11 i 12 w relacjach z klientami i pracownikami.

OCLC otrzymuje wnioski od osób, których dane dotyczą, żąda informacji, gdy jest to konieczne do potwierdzenia tożsamości, i ocenia rolę OCLC w odniesieniu do osoby, której dane dotyczą.

Gdy OCLC jest administratorem danych, posiada wdrożone procesy obsługi wniosków zgodnie z wymogami art. 12.

Jeśli OCLC ustali, że jest podmiotem przetwarzającym, OCLC kieruje osobę, której dane dotyczą, do administratora danych.

Artykuły 13 i 14:Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, oraz informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

Artykuły 13 i 14 określają szczegółowe wymogi, które należy spełnić wobec osób, których dane dotyczą.

Działając jako administrator danych w odniesieniu do osób, których dane dotyczą, OCLC przekazuje odpowiednie oświadczenie. Na przykład OCLC publikuje oświadczenie o ochronie prywatności na stronie OCLC.org.

W odniesieniu do klientów i pracowników biblioteki, administratorem danych jest biblioteka, która powinna zapewnić oświadczenia o ochronie prywatności spełniające odpowiednio wymogi art. 13 lub 14. Oprócz przetwarzania realizowanego przez OCLC jako podmiot przetwarzający na rzecz biblioteki, oświadczenia biblioteki będą prawdopodobnie wskazywać inne formy przetwarzania realizowane przez bibliotekę oraz inne podmioty przetwarzające na rzecz biblioteki.

Artykuły 15–23: Prawo dostępu przysługujące osobie, której dane dotyczą, prawo do sprostowania danych, prawo do usunięcia danych („prawo do bycia zapomnianym”), prawo do ograniczenia przetwarzania, obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, zautomatyzowane podejmowanie decyzji, w tym profilowanie, ograniczenia

Artykuły od 15 do 23 zawierają przepisy dotyczące praw osób, których dane dotyczą.

Obowiązkiem biblioteki jako administratora jest przestrzeganie w relacjach z klientami i pracownikami odpowiednio art. 15–23, w stosownych przypadkach.

OCLC otrzymuje wnioski od osób, których dane dotyczą, żąda informacji, gdy jest to konieczne do potwierdzenia tożsamości, i ocenia rolę OCLC w odniesieniu do osoby, której dane dotyczą.

Gdy OCLC jest administratorem, ma wdrożone procesy obsługi wniosków.

Jeśli OCLC ustali, że jest podmiotem przetwarzającym, OCLC kieruje osobę, której dane dotyczą, do administratora danych.

Artykuł 24: Obowiązki administratora

Artykuł 24 wymienia obowiązki administratora danych, w tym ustanowienie odpowiednich środków technicznych i organizacyjnych oraz polityk ochrony danych.

Jako administrator danych swoich klientów i pracowników, biblioteka ma obowiązek przestrzegać art. 24.

Artykuł 25: Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

Artykuł 25 wymaga od administratorów wdrożenia ochrony danych w fazie projektowania i domyślnej ochrony danych.

Jako administrator danych swoich klientów i pracowników, biblioteka ma obowiązek przestrzegać art. 25. OCLC utrzymuje programy i oferuje formalne projekty RODO oraz inne działania skupione na naszych produktach, aby pomóc bibliotekom w spełnieniu tych obowiązków. OCLC zobowiązuje się do dalszej oceny naszych produktów i podejmowania decyzji dotyczących konieczności i sposobów ich doskonalenia w odniesieniu do ochrony danych w fazie projektowania i domyślnej.

Artykuł 26: Współadministratorzy

Artykuł 26 dotyczy uzgodnień między współadministratorami.

OCLC zazwyczaj nie jest współadministratorem działającym wspólnie z bibliotekami. Biblioteki są administratorem, a OCLC podmiotem przetwarzającym.

Artykuł 27: Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii

Artykuł 27 dotyczy zakresu terytorialnego RODO, gdy administrator lub podmiot przetwarzający nie mają jednostki organizacyjnej w UE. Jeśli administrator lub podmiot przetwarzający nie mają jednostki organizacyjnej w UE, muszą wyznaczyć przedstawiciela posiadającego fizyczną siedzibę w UE.

OCLC posiada wiele jednostek organizacyjnych w UE, a nasza europejska siedziba znajduje się w Holandii.

Artykuł 28: Podmiot przetwarzający

Artykuł 28 określa obowiązki zarówno administratorów, jak i podmiotów przetwarzających. Artykuł 28 koncentruje się w dużej mierze na zawieraniu umów regulujących przetwarzanie danych przez podmiot przetwarzający oraz na zawieraniu umów przez ten podmiot przy angażowaniu innych podmiotów przetwarzających.

Jako podmiot przetwarzający dane dla bibliotek, organizacja OCLC opracowała umowy o przetwarzanie danych, które biblioteki mogą zawrzeć w celu spełnienia wymogów art. 28. Umowy te są dostępne w wielu językach. Ponadto organizacja OCLC opracowała umowy z podwykonawcami przetwarzania, które należy podpisać, gdy OCLC zaangażuje podwykonawców przetwarzania.

Artykuł 29: Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego

Artykuł 29 dotyczy przetwarzania danych przez podmioty przetwarzające. Podmioty przetwarzające mogą przetwarzać dane osobowe wyłącznie na polecenie administratora.

Wspomniane umowy na mocy art. 28 zawierają dotyczące przetwarzania danych osobowych instrukcje biblioteki, jako administratora danych, dla OCLC.

Artykuł 30: Rejestrowanie czynności przetwarzania

Artykuł 30 ustanawia wymóg prowadzenia dokumentacji w odniesieniu do przetwarzania danych osobowych. Zarówno administratorzy, jak i podmioty przetwarzające mają obowiązek prowadzenia dokumentacji i przekazywania jej na żądanie organom nadzorczym.

Organizacja OCLC utworzyła i prowadzi rejestry czynności przetwarzania.

Artykuł 31: Współpraca z organem nadzorczym

Artykuł 31 nakłada na administratorów i podmioty przetwarzające obowiązek współpracy, na żądanie, z organami nadzorczymi przy wykonywaniu ich zadań.

Na żądanie OCLC będzie współpracować z organami nadzorczymi.

Artykuł 32: Bezpieczeństwo przetwarzania

Artykuł 32 nakłada na administratorów i podmioty przetwarzające obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.

Organizacja OCLC wdrożyła środki techniczne i organizacyjne. Opisano je w umowach wymaganych na mocy art. 28. Dodatkowe informacje na temat zabezpieczeń stosowanych przez OCLC są również dostępne na naszej stronie internetowej.

Artykuły 33 i 34: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu, zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Artykuły 33 i 34 zawierają obowiązki administratorów i podmiotów przetwarzających w zakresie powiadamiania o naruszeniu ochrony danych osobowych.

Jako podmiot przetwarzający, OCLC zgodnie z art. 33 powiadomi bibliotekę o powiązanym naruszeniu ochrony danych osobowych. Nastąpi to bez zbędnej zwłoki po uzyskaniu informacji o naruszeniu ochrony danych osobowych. OCLC szybko analizuje incydenty i utrzymuje bazę danych kontaktowych bibliotek, aby zapewnić możliwość realizacji wszelkich wymaganych powiadomień bez zbędnej zwłoki. W odniesieniu do niedostępności, OCLC zachęca również biblioteki do zapoznania się z naszym System Status dashboard (pulpitem stanu systemu) na naszej stronie internetowej.

Biblioteki, jako administratorzy danych, będą musiały zdecydować, czy powiadomić organy nadzorcze i osoby, których dane dotyczą.

Artykuły 35 i 36: Ocena skutków dla ochrony danych, uprzednie konsultacje

Artykuły 35 i 36 w pewnych okolicznościach nakładają na administratorów obowiązek przeprowadzenia oceny skutków dla ochrony danych oraz konsultacji z organami nadzorczymi.

Są to obowiązki administratorów danych, w związku z czym mają zastosowanie do bibliotek. OCLC jest zazwyczaj dla bibliotek podmiotem przetwarzającym.

W przypadkach, w których organizacja OCLC jest zobowiązana do przeprowadzenia oceny wpływu na ochronę danych zgodnie z RODO, korzysta ona z wdrożonych procesów niezbędnych do ich realizacji.

Artykuł 37: Wyznaczenie inspektora ochrony danych

Artykuł 37 opisuje przypadki, w których administratorzy i podmioty przetwarzające muszą wyznaczyć inspektorów ochrony danych, w tym możliwość wyznaczenia jednego inspektora ochrony danych przez grupę przedsiębiorstw. Inspektora ochrony danych należy powołać na podstawie kwalifikacji zawodowych, w tym specjalistycznej wiedzy na temat prawa i praktyk w zakresie ochrony danych.

Organizacja OCLC mianowała inspektora ochrony danych dla swoich podmiotów stowarzyszonych jako grupy przedsiębiorstw.

Artykuły 38 i 39: Status inspektora ochrony danych, zadania inspektora ochrony danych

Artykuły 38 i 39 opisują, kiedy w sprawy należy zaangażować inspektora ochrony danych, konieczność zapewnienia niezależności inspektora ochrony danych oraz zadania inspektora ochrony danych.

Inspektora ochrony danych OCLC wyznaczono do realizacji zadań określonych w art. 39. Ponadto organizacja OCLC ustanowiła ogólnoświatowy program ochrony prywatności, aby pomóc inspektorowi ochrony danych w realizacji tych obowiązków i w razie potrzeby w rozwiązywaniu lokalnych problemów. OCLC zobowiązuje się do zapewnienia niezależności swojego inspektora ochrony danych.

Artykuły 40–43: Kodeksy postępowania, monitorowanie zatwierdzonych kodeksów postępowania, certyfikacja, podmiot certyfikujący

Artykuły te dotyczą promowania stowarzyszeń i innych organów, których celem jest tworzenie i przyjmowanie kodeksów postępowania w odniesieniu do RODO.

Organizacja OCLC nie jest obecnie zaangażowana w tworzenie kodeksów postępowania.

Artykuły 44–49: Ogólna zasada przekazywania, przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony, przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń, wiążące reguły korporacyjne, przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii, wyjątki w szczególnych sytuacjach

Artykuły od 44 do 49 dotyczą różnych wymogów związanych z przekazywaniem danych osobowych.

Siedziba OCLC znajduje się w Stanach Zjednoczonych. Organizacja posiada biura w wielu lokalizacjach, w tym centra danych w Holandii, USA, Australii i Kanadzie. W zależności od konkretnej oferty usług OCLC, z której korzysta klient, może dojść do przekazania danych osobowych poza UE.

Przekazywanie danych, które wymaga odpowiednich zabezpieczeń, odbywa się zgodnie ze standardowymi klauzulami ochrony danych dozwolonymi w art. 46. Podczas podpisywania umów na podstawie art. 28 OCLC podpisuje z bibliotekami standardowe klauzule ochrony danych.

Artykuły 50–78: Międzynarodowa współpraca na rzecz ochrony danych osobowych, organ nadzorczy, niezależność, ogólne warunki dotyczące członków organu nadzorczego, zasady ustanawiania organu nadzorczego, właściwość, właściwość wiodącego organu nadzorczego, zadania, uprawnienia, sprawozdanie z działalności, współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy, wzajemna pomoc, wspólne operacje organów nadzorczych, mechanizm spójności, opinia Europejskiej Rady Ochrony Danych, rozstrzyganie sporów przez Europejską Radę Ochrony Danych, tryb pilny, wymiana informacji, Europejska Rada Ochrony Danych, niezależność, zadania Europejskiej Rady Ochrony Danych, sprawozdania, procedura, przewodniczący, zadania przewodniczącego, sekretariat, poufność, prawo do wniesienia skargi do organu nadzorczego, prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu

Artykuły od 50 do 78 zawierają przepisy dotyczące państw członkowskich, ich organów nadzorczych i Europejskiej Rady Ochrony Danych.

Artykuł 79: Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu

Artykuł 79 opisuje prawa osób, których dane dotyczą, do korzystania ze środków ochrony prawnej. Może to obejmować postępowanie sądowe przeciwko administratorom lub podmiotom przetwarzającym w miejscach, gdzie znajdują się ich jednostki organizacyjne.

OCLC jest podmiotem przetwarzającym dane w imieniu bibliotek i może podlegać art. 79 w odniesieniu do pracowników i klientów biblioteki. OCLC posiada jednostki organizacyjne na terenie UE, gdzie mogą toczyć się postępowania sądowe.

Artykuły 80 i 81: Reprezentowanie osób, których dane dotyczą, zawieszenie postępowania

Te artykuły RODO odnoszą się do sposobu wnoszenia skarg przez osoby, których dane dotyczą oraz zawieszania postępowania przez sądy.

Artykuł 82: Prawo do odszkodowania i odpowiedzialność

Artykuł 82 opisuje, w jaki sposób osoby, których dane dotyczą, mogą dochodzić odszkodowania od administratorów i podmiotów przetwarzających.

Zgodnie z art. 82 pracownicy biblioteki i klienci mogli dochodzić odszkodowania bezpośrednio od OCLC jako podmiotu przetwarzającego dane dla biblioteki. Artykuł 82 i umowy między OCLC a biblioteką również rozdzielają obowiązki między OCLC a daną bibliotekę.

Artykuły 83 i 84: Ogólne warunki nakładania administracyjnych kar pieniężnych, sankcje

Artykuły 83 i 84 zawierają przepisy umożliwiające organom nadzoru i państwom członkowskim nakładanie administracyjnych kar pieniężnych i innych sankcji.

Jeśli OCLC jako podmiot przetwarzający dane dla bibliotek naruszy przepisy RODO mające zastosowanie do podmiotów przetwarzających dane, OCLC może podlegać karze pieniężnej lub innym sankcjom.

Artykuły 85–90: Przetwarzanie a wolność wypowiedzi i informacji, przetwarzanie a publiczny dostęp do dokumentów urzędowych, przetwarzanie krajowego numeru identyfikacyjnego, przetwarzanie w kontekście zatrudnienia, zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, obowiązek zachowania tajemnicy

Artykuły od 85 do 90 zawierają różne wymogi i prawa państw członkowskich, takie jak pogodzenie RODO z prawem do wolności wypowiedzi i umożliwienie państwom członkowskim tworzenia bardziej szczegółowych zasad w kontekście przetwarzania danych dotyczących zatrudnienia.

Artykuł 91: Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe

Artykuł 91 zawiera przepisy mające zastosowanie do kościołów i związków wyznaniowych.

Artykuł 91 nie ma zastosowania do organizacji OCLC, ponieważ nie jest ona kościołem ani związkiem wyznaniowym.

Artykuły 92–99: Wykonywanie przekazanych uprawnień, procedura komitetowa, uchylenie dyrektywy 95/46/WE, stosunek do dyrektywy 2002/58/WE, stosunek do uprzednio zawartych umów, sprawozdania Komisji, przegląd innych aktów prawnych Unii dotyczących ochrony danych, wejście w życie i stosowanie