OCLC e o Regulamento Geral de Proteção de Dados

Artigo 1: Assunto e objetivos

O Artigo 1 destaca os objetivos do RGPD, que incluem a proteção e a livre circulação de dados pessoais.

A OCLC respeita as liberdades e os direitos fundamentais das pessoas e tem proteções em vigor para o processamento de dados pessoais, incluindo os dados pessoais dos funcionários e usuários da biblioteca. A OCLC analisa transferências de dados dentro e fora da UE.

Artigo 2: Escopo material

O processamento de dados pessoais, no todo ou em parte, por meios automatizados pode se encaixar no escopo do RGPD, segundo o Artigo 2.

A OCLC processa dados pessoais que podem estar dentro do escopo do processamento descrito no Artigo 2. Os produtos da OCLC são usados por bibliotecas para gerenciar as respectivas operações. A OCLC recebe os dados pessoais de funcionários e de usuários das bibliotecas.

Artigo 2: Escopo territorial

O Artigo 3 descreve as situações em que o RGPD se aplica. Ele se aplica a empresas com estabelecimento na UE e fora da UE, no contexto das atividades estabelecidas na UE. Além disso, o RGPD pode se aplicar a empresas sem estabelecimento na UE quando elas oferecem bens ou serviços a pessoas na UE ou monitoram o comportamento dessas pessoas.

O RGPD se aplica à OCLC. A OCLC tem estabelecimentos na UE, incluindo nossa sede na UE, que fica na Holanda. A OCLC tem atividades fora da UE que dão suporte a estabelecimentos na UE que também estão sujeitos ao RGPD.

Artigo 4: Definições

O Artigo 4 define 26 termos, incluindo dados pessoais, processamento, controlador e processador.

De modo geral, entre a OCLC e uma biblioteca, a biblioteca é o controlador, de acordo com o RGPD, com relação ao tratamento de dados pessoais de seus funcionários e usuários. A OCLC, por sua vez, é o processador para a biblioteca no decorrer do fornecimento de produtos.

Artigo 5: Princípios relativos ao processamento de dados pessoais

O Artigo 5 estabelece os princípios do processamento de dados, incluindo legalidade, justiça, transparência, limitação de finalidade, minimização de dados, precisão, limitação de armazenamento, integridade e confidencialidade e responsabilidade.

De modo geral, a biblioteca estará em posição de fazer essas determinações em seu relacionamento com os respectivos usuários e funcionários. Por exemplo, a biblioteca determinaria quais dados coletar dos usuários para oferecer seus serviços, a base legal do processamento dos dados e como fornecer um aviso de privacidade aos usuários a fim de ser transparente sobre o uso que a biblioteca faz dos dados.

Em muitos casos, no entanto, os produtos da OCLC podem ajudar uma biblioteca a cumprir suas obrigações em relação a esses princípios. Por exemplo, o produto da OCLC aplicável pode permitir que a biblioteca exiba um aviso de privacidade elaborado por ela.

Artigo 6: Legalidade do processamento

O Artigo 6 dispõe as várias bases legais do tratamento de dados pessoais, como consentimento do titular dos dados ou a necessidade para efeitos dos interesses legítimos do controlador.

Como controlador, a biblioteca determina as bases legais para o processamento dos dados pessoais dos respectivos usuários e funcionários. O processamento da OCLC, como processador da biblioteca, seria executado sob direcionamento da biblioteca, conforme descrito no contrato aplicável entre a biblioteca e a OCLC.

Artigos 7 e 8: Condições para consentimento; Condições aplicáveis ao consentimento da criança em relação aos serviços da sociedade da informação

O Artigo 7 descreve o que é necessário para o consentimento quando ele é a base legal do processamento.

O Artigo 8 expande os requisitos de consentimento do Artigo 7 com relação a crianças.

Enquanto controlador, a biblioteca é responsável pela conformidade com os artigos 7 e 8, conforme aplicável, quando o consentimento é a base legal para o tratamento de dados de usuários ou funcionários.

Artigo 9: Processamento de categorias especiais de dados pessoais

O Artigo 9 descreve dados pessoais que não podem ser processados a menos que uma exceção se aplique.

Embora as bibliotecas determinem se, e com base em que, categorias especiais de dados pessoais devem ser processadas, a OCLC desencoraja a coleta e o armazenamento desses dados em produtos da OCLC por nossos clientes. A coleta e o armazenamento desses dados não são necessários para o uso dos produtos da OCLC.

Artigo 10: Processamento de dados pessoais relacionados a condenações e infrações penais

O Artigo 10 trata do processamento de dados pessoais relacionados a condenações e infrações penais.

Assim como as categorias especiais de dados pessoais descritas no Artigo 9, esses dados pessoais não são necessários para o uso dos produtos da OCLC. A OCLC desencoraja a coleta e o armazenamento desses dados em produtos da OCLC.

Artigos 11 e 12: Processamento que não requer identificação; Informação transparente, comunicação e modalidades para o exercício dos direitos do titular de dados

O Artigo 11 contém leis relacionadas à identificação dos titulares de dados pelo controlador, incluindo em relação ao exercício, pelos titulares de dados, de seus direitos conferidos pelo RGPD.

O Artigo 12 contém leis sobre o controlador que fornece informações aos titulares de dados, incluindo os prazos para responder a solicitações dos titulares de dados.

Enquanto controlador, a biblioteca é responsável pela conformidade com os artigos 11 e 12 no que tange seus usuários e funcionários.

A OCLC recebe solicitações de titulares de dados, solicita informações quando necessário para validar a identidade e avalia qual é a função da OCLC em relação ao titular de dados.

Quando desempenha o papel de controlador, a OCLC tem processos em vigor para o tratamento de solicitações de acordo com os requisitos do Artigo 12.

Se a OCLC determinar que é um processador, a OCLC instruirá o titular de dados a fazer a solicitação ao controlador.

Artigos 13 e 14: Informações a serem fornecidas quando dados pessoais forem coletados do titular de dados; Informações a serem fornecidas quando dados pessoais não foram obtidos do titular de dados

Os artigos 13 e 14 estabelecem requisitos específicos a serem fornecidos aos titulares de dados.

Ao atuar como controlador em relação aos titulares de dados, a OCLC fornece avisos apropriados. Por exemplo, a OCLC publica um aviso de privacidade em OCLC.org.

Com relação aos usuários e funcionários da biblioteca, a biblioteca é o controlador e deve fornecer avisos de privacidade que atendam aos requisitos dos Artigos 13 ou 14, conforme aplicável. Além do processamento realizado pela OCLC como processador de uma biblioteca, os avisos de uma biblioteca provavelmente descreveriam outros processamentos executados por ela e por outros processadores para ela.

Artigos 15 a 23: Direito de acesso do titular de dados; Direito a retificação; Direito a apagamento ("Direito ao esquecimento"); Direito a restrição de processamento; Obrigação de notificação de retificação ou apagamento de dados pessoais ou limitação do processamento; Direito a portabilidade de dados; Direito de objeção; Tomada de decisão automatizada, incluindo criação de perfis; Restrições

Os artigos 15 a 23 são leis associadas a diversos direitos dos titulares de dados.

Enquanto controlador, a biblioteca é responsável pela conformidade com os artigos 15 a 23, conforme aplicável, no que tange seus usuários e funcionários.

A OCLC recebe solicitações de titulares de dados, solicita informações quando necessário para validar a identidade e avalia qual é a função da OCLC em relação ao titular de dados.

Quando desempenha o papel de controlador, a OCLC tem processos em vigor para o tratamento de solicitações.

Se a OCLC determinar que é um processador, a OCLC instruirá o titular de dados a fazer a solicitação ao controlador.

Artigo 24: Responsabilidade do controlador

O artigo 24 delineia as responsabilidades do controlador de dados, incluindo o estabelecimento de medidas técnicas e organizacionais e de políticas de proteção de dados adequadas.

Como controlador dos dados de seus usuários e funcionários, a biblioteca é responsável pelo cumprimento do Artigo 24.

Artigo 25: Proteção de dados por design e padrão

O Artigo 25 exige que os controladores implementem a proteção de dados por design e por padrão.

Como controlador dos dados de seus usuários e funcionários, a biblioteca seria responsável pelo cumprimento do Artigo 25. A OCLC mantém programas e conta com projetos formais relacionados ao RGPD, bem como outras atividades focadas em nossos produtos, para ajudar as bibliotecas a cumprir essas obrigações. A OCLC tem o compromisso de continuar avaliando nossos produtos e de determinar se e como aprimorá-los com relação às considerações de proteção de dados por design e por padrão.

Artigo 26: Controladores conjuntos

O Artigo 26 trata dos acordos entre controladores conjuntos.

Normalmente, a OCLC não seria um controlador em conjunto com as bibliotecas. As bibliotecas são os controladores e a OCLC é o processador.

Artigo 27: Representantes de controladores ou processadores não estabelecidos na UE

O Artigo 27 está relacionado ao âmbito territorial do RGPD quando o controlador ou o processador não está estabelecido na UE. Quando não está estabelecido na UE, o controlador ou processador deve nomear um representante localizado fisicamente na UE.

A OCLC tem vários estabelecimentos na UE, e nossa sede europeia está localizada na Holanda.

Artigo 28: Processador

O Artigo 28 estabelece as obrigações de controladores e de processadores. O Artigo 28 concentra-se estritamente no estabelecimento de contratos para reger o processamento pelo processador e de contratos por esse processador ao trabalhar com outros processadores.

Como processador para bibliotecas, a OCLC desenvolveu contratos de processamento de dados para as bibliotecas aderirem a fim de atender aos requisitos do Artigo 28. Esses contratos estão disponíveis em vários idiomas. Além disso, a OCLC desenvolveu contratos de subprocessadores para serem assinados quando subprocessadores forem contratados pela OCLC.

Artigo 29: Processamento sob a autoridade do controlador ou do processador

O Artigo 29 trata do processamento por processadores. Os processadores não devem processar dados pessoais, exceto segundo as instruções do controlador.

Os contratos do Artigo 28, descritos acima, fornecem instruções da biblioteca, como controlador, à OCLC para o processamento de dados pessoais.

Artigo 30: Registros de atividades de processamento

O Artigo 30 é um requisito de manutenção de registros com relação ao processamento de dados pessoais. Há requisitos para controladores e processadores manterem registros e fornecerem registros às autoridades supervisora quando solicitados.

A OCLC criou e mantém registros das atividades de processamento.

Artigo 31: Cooperação com a autoridade supervisora

O artigo 31 exige que controladores e supervisores, mediante pedido, cooperem com as autoridades supervisoras no exercício de suas funções.

A OCLC cooperará com as autoridades supervisoras quando solicitado.

Artigo 32: Segurança do processamento

O Artigo 32 contém obrigações para controladores e processadores de implementar as medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado.

A OCLC implementou medidas técnicas e organizacionais. Elas são descritas nos contratos exigidos pelo Artigo 28. Informações adicionais sobre a segurança da OCLC também estão disponíveis em nosso site.

Artigos 33 e 34: Notificação de violação de dados pessoais à autoridade supervisora; Comunicação de violação de dados pessoais ao titular de dados

Os artigos 33 e 34 contêm as obrigações de controladores e processadores com relação à notificação de violações de dados pessoais.

Como processador, a OCLC notificaria uma biblioteca sobre uma violação de dados pessoais relacionada de acordo com o Artigo 33. Isso ocorreria sem atraso indevido após tomar conhecimento da violação de dados pessoais. A OCLC analisa incidentes rapidamente e mantém um banco de dados de informações de contato das bibliotecas para ajudar a garantir que todas as notificações necessárias possam ser feitas sem atraso indevido. Com relação à indisponibilidade, a OCLC também incentiva as bibliotecas a revisar o painel de Status do Sistema em nosso site.

As bibliotecas, como controladores, precisariam determinar se devem notificar as autoridades supervisoras e os titulares dos dados.

Artigos 35 e 36: Avaliação do impacto da proteção de dados; Consulta prévia

Os artigos 35 e 36 contêm, em determinadas circunstâncias, as obrigações dos controladores de realizar avaliações de impacto na proteção de dados e de consultar as autoridades supervisoras.

Essas são obrigações dos controladores e, portanto, se aplicam às bibliotecas. Normalmente, a OCLC é um processador para as bibliotecas.

Em casos em que a OCLC tem a obrigação de concluir avaliações de impacto de proteção de dados de acordo com o RGPD, a OCLC tem processos em vigor para a realização dessas avaliações.

Artigo 37: Designação do responsável pela proteção de dados

O Artigo 37 descreve os casos em que controladores e processadores precisam nomear responsáveis pela proteção de dados, incluindo a possibilidade de um grupo de empreendimentos nomear um só responsável pela proteção de dados. O responsável pela proteção de dados precisa ser nomeado com base em qualidades profissionais, incluindo conhecimento especializado de leis e práticas de proteção de dados.

A OCLC nomeou um responsável pela proteção de dados para suas diversas afiliadas como um grupo de empreendimentos.

Artigos 38 e 39: Função do responsável pela proteção de dados; Tarefas do responsável pela proteção de dados

Os artigos 38 e 39 descrevem quando o responsável pela proteção de dados deve ser envolvido em questões, bem como a independência e as funções do responsável pela proteção de dados.

O responsável pela proteção de dados da OCLC é incumbido de cumprir as tarefas do Artigo 39. Além disso, a OCLC estabeleceu um programa global de privacidade para ajudar o responsável pela proteção de dados no cumprimento dessas obrigações e ajudar a lidar com questões locais, conforme necessário. A OCLC tem o compromisso de garantir a independência de seu responsável pela proteção de dados.  

Artigos 40 – 43: Códigos de conduta; Monitoramento dos códigos de conduta aprovados; Certificação; Órgãos de certificação

Esses artigos visam incentivar associações e outros órgãos a criar e adotar códigos de conduta em relação ao RGPD.

Atualmente, a OCLC não está envolvida em esforços para criar códigos de conduta.

Artigos 44 – 49: Princípios gerais para transferência; Transferências com base em decisão de adequação; Transferências sujeitas a proteções adequadas; Normas corporativas vinculantes; Transferências ou divulgações não autorizadas pela legislação da União; Isenções para situações específicas

Os artigos 44 a 49 abordam vários requisitos associados a transferências de dados pessoais.

Sede da OCLC nos EUA. Tem escritórios em vários locais, incluindo data centers na Holanda, nos EUA, na Austrália e no Canadá. Dependendo da oferta de serviço específica da OCLC usada por um cliente, podem ocorrer transferências de dados pessoais da UE.

No que diz respeito a transferências que exigem proteções adequadas, essas transferências estão de acordo com as cláusulas padrão de proteção de dados permitidas no Artigo 46. A OCLC executa cláusulas padrão de proteção de dados com as bibliotecas ao assinar contratos relacionados ao Artigo 28.

Artigos 50 – 78: Cooperação internacional para proteção de dados pessoais; Autoridade supervisora; Independência; Condições gerais para os membros da autoridade supervisora; Normas para estabelecimento da autoridade supervisora; Competência; Competência da autoridade supervisora principal; Tarefas; Poderes; Relatórios de atividades; Cooperação entre a autoridade supervisora principal e outras autoridades supervisoras interessadas; Assistência mútua; Operações conjuntas das autoridades supervisoras; Mecanismo de consistência; Parecer do Comitê; Resolução de disputas pelo Comitê; Procedimento de urgência; Troca de informações; Comitê Europeu de Proteção de Dados; Independência; Tarefas do Comitê; Relatórios; Procedimento; Diretor; Tarefas do Diretor; Secretariado; Confidencialidade; Direito de apresentar reclamação a uma autoridade supervisora; Direito a um recurso judicial efetivo contra uma autoridade supervisora

Os artigos 50 a 78 contêm regras relativas aos estados-membros, suas autoridades supervisoras e ao Comitê Europeu de Proteção de Dados.

Artigo 79: Direito a um recurso judicial efetivo contra um controlador ou processador

O Artigo 79 descreve os direitos dos titulares de dados de buscar recursos. Isso poderá incluir processos judiciais contra controladores ou processadores onde eles tiverem um estabelecimento.

A OCLC é um processador para bibliotecas e pode estar sujeita ao Artigo 79 com relação aos funcionários e usuários de uma biblioteca. A OCLC tem estabelecimentos na UE, onde podem ocorrer processos judiciais.

Artigos 80 e 81: Representação dos titulares dos dados; Suspensão de procedimentos

Esses artigos do RGPD dizem respeito à forma como reclamações podem ser apresentadas pelos titulares de dados e como os tribunais podem suspender processos.

Artigo 82: Direito a indenização e responsabilidade

O Artigo 82 descreve como titulares de dados podem pedir indenização aos controladores e processadores.

De acordo com o Artigo 82, os membros da equipe e os usuários da biblioteca podem buscar indenização diretamente contra a OCLC como processador da biblioteca. O Artigo 82 e os contratos entre a OCLC e uma biblioteca também atribuem responsabilidades entre a OCLC e cada biblioteca.

Artigos 83 e 84: Condições gerais para impor multas administrativas; Sanções

Os artigos 83 e 84 contêm disposições que permitem às autoridades supervisoras e aos Estados-Membros avaliar multas administrativas e outras sanções.

Se a OCLC, como processador para bibliotecas, infringisse as disposições do RGPD aplicáveis a processadores, poderia estar sujeita a avaliações de multas ou outras sanções.

Artigos 85 – 90: Processamento e liberdade de expressão e informação; Processamento e acesso público a documentos oficiais; Processamento do número de identificação nacional; Processamento no contexto do trabalho; Proteções e isenções relativas ao processamento para fins de arquivamento de interesse público, fins de pesquisa científica ou histórica ou fins estatísticos; Obrigações de sigilo

Os artigos 85 a 90 contêm vários requisitos e direitos dos Estados-Membros, como conciliar o RGPD com os direitos de liberdade de expressão e permitir que os Estados-Membros criem regras mais específicas no contexto do tratamento de dados de emprego.

Artigo 91: Regras de proteção de dados existentes de igrejas e associações religiosas

O Artigo 91 contém leis que se aplicam a igrejas e associações religiosas.

O Artigo 91 não se aplica à OCLC, que não é uma igreja nem associação religiosa.

Artigos 92 – 99: Exercício da Delegação; Procedimento do Comitê; Revogação da Diretiva 95/46/CE; Relação com a Diretiva 2002/58/EC; Relação com contratos encerrados anteriormente; Relatórios da Comissão; Revisão de outros atos jurídicos da União sobre proteção de dados; Entrada em vigor e aplicação