OCLC och den allmänna dataskyddsförordningen

Artikel 1: Syfte och mål

Artikel 1 lyfter fram målen för GDPR, vilka inkluderar skydd av personuppgifter och fri rörlighet för personuppgifter.

OCLC respekterar personers grundläggande rättigheter och friheter och har skydd för behandlingen av personuppgifter, inklusive personuppgifter från bibliotekspersonal och kunder. OCLC analyserar dataöverföringar både inom EU och utanför EU.

Artikel 2: Materiellt tillämpningsområde

Behandlingen av personuppgifter, helt eller delvis, på automatiserade sätt kan falla inom GDPR:s tillämpningsområde enligt Artikel 2.

OCLC behandlar personuppgifter som kan ligga inom tillämpningsområdet för behandlingen som beskrivs i Artikel 2. OCLC:s produkter används av bibliotek för att hantera sin verksamhet. OCLC tar emot personuppgifterna för personal och kunder från bibliotek.

Artikel 3: Territoriellt tillämpningsområde

Artikel 3 beskriver situationer där GDPR gäller. Det gäller företag med etablering inom EU och utanför EU inom ramen för EU-inrättningarnas verksamhet. Vidare kan GDPR gälla för företag utan etablering i EU när de erbjuder varor eller tjänster till personer i EU eller övervakar dessa personers beteende.

GDPR gäller för OCLC. OCLC har inrättningar i EU, inklusive vårt EU-huvudkontor i Nederländerna. OCLC har aktiviteter utanför EU som stödjer EU-inrättningar som också omfattas av GDPR.

Artikel 4 Definitioner

Artikel 4 definierar 26 termer, inklusive personuppgifter, behandling, personuppgiftsansvarig och personuppgiftsbiträden.

I allmänhet, mellan OCLC och ett bibliotek, är biblioteket personuppgiftsansvarig enligt GDPR med avseende på hanteringen av personuppgifter för dess personal och kunder. OCLC är då ett personuppgiftsbiträde för biblioteket vid tillhandahållande av produkter.

Artikel 5: Principer för behandling av personuppgifter

Artikel 5 anger principerna för databehandling, inklusive laglighet, rättvisa, transparens, ändamålsbegränsning, dataminimering, noggrannhet, lagringsbegränsning, integritet och sekretess samt ansvarighet.

Generellt sett kommer biblioteket att kunna göra dessa beslut i sin relation med sina kunder och personal. Till exempel skulle biblioteket bestämma vilka data som ska samlas in från sina kunder för att erbjuda bibliotekstjänster, den lagliga grunden för att behandla data och hur man ska tillhandahålla ett sekretessmeddelande till kunderna för att vara transparent om bibliotekets användning av data.

I många fall kan dock OCLC-produkter hjälpa ett bibliotek att uppfylla sina skyldigheter med avseende på dessa principer. Till exempel kan den tillämpliga OCLC-produkten tillåta att biblioteket visar ett sekretessmeddelande som har utarbetats av biblioteket.

Artikel 6: Lagligheten av behandlingen

Artikel 6 innehåller de olika lagliga grunderna för behandling av personuppgifter, som till exempel samtycke från den registrerade eller nödvändigheten för ändamålet som rör den personuppgiftsansvariges legitima intressen.

Som personuppgiftsansvarig bestämmer biblioteket de lagliga grunderna för behandlingen av personuppgifter för sina kunder och personal. OCLC:s behandling, som en personuppgiftsansvarig för biblioteket, skulle utföras i ledning av biblioteket enligt beskrivningen i det tillämpliga avtalet mellan biblioteket och OCLC.

Artikel 7 och 8: Villkor för samtycke; Villkor som gäller barns samtycke avseende informationssamhällets tjänster

Artikel 7 beskriver vad som krävs för samtycke när detta är den lagliga grunden för behandlingen.

Artikel 8 utökar samtyckeskraven i Artikel 7 med avseende till barn.

Som personuppgiftsansvarig är biblioteket ansvarigt för att följa Artiklarna 7 och 8, i tillämpliga fall, när samtycke är den lagliga grunden för behandlingen av kund- eller personaldata.

Artikel 9: Behandling av särskilda kategorier av personuppgifter

Artikel 9 beskriver personuppgifter som inte kan behandlas om inte ett undantag gäller.

Medan bibliotek avgör om och på vilka grunder de ska behandla särskilda kategorier av personuppgifter, avråder OCLC insamling och lagring av dessa uppgifter i OCLC-produkter av våra kunder. Insamling och lagring av dessa data är inte nödvändiga för användning av OCLC-produkter.

Artikel 10: Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Artikel 10 reglerar behandling av personuppgifter som rör brottsdomar och brott.

Liksom de särskilda kategorierna av personuppgifter som beskrivs i artikel 9, krävs inte dessa personuppgifter för användning av OCLC:s produkter. OCLC avråder från insamling och lagring av dessa uppgifter i OCLC-produkter.

Artikel 11 och 12: Behandling som inte kräver identifiering; Transparent information, kommunikation och villkor för utövande av rättigheter för den registrerade

Artikel 11 innehåller lagar relaterade till den personuppgiftsansvariges identifiering av registrerade, inklusive i relation till registrerade som utövar rättigheter enligt GDPR.

Artikel 12 innehåller lagar om att den personuppgiftsansvarige tillhandahåller information till registrerade, inklusive tidsfrister för att svara på förfrågningar från registrerade.

Som personuppgiftsansvarige är det bibliotekets ansvar att följa Artiklarna 11 och 12 i sina relationer med sina kunder och personal.

OCLC tar emot förfrågningar från registrerade, begär information när det behövs för att validera identitet och utvärderar vad OCLC:s roll är med avseende till den registrerade.

När OCLC är en personuppgiftsansvarige, har OCLC inrättat processer för hantering av förfrågningar i enlighet med kraven i Artikel 12.

Om OCLC fastställer att den är ett personuppgiftsbiträde, uppmanar OCLC den registrerade att skicka förfrågan till den personuppgiftsansvarige.

Artiklar 13 och 14: Information som ska tillhandahållas om personuppgifter samlas in från den registrerade; Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

Artiklarna 13 och 14 innehåller särskilda krav som ska tillhandahållas registrerade.

När OCLC agerar som personuppgiftsansvarige med avseende till registrerade, ger OCLC lämpligt meddelande. Till exempel publicerar OCLC ett sekretessmeddelande på OCLC.org.

När det gäller bibliotekskunder och -personal, är biblioteket personuppgiftsansvarige och bör tillhandahålla sekretessmeddelanden som uppfyller kraven i Artiklarna 13 eller 14, beroende på vad som är tillämpligt. Förutom den behandling som utförs av OCLC som ett personuppgiftsbiträde för ett bibliotek, skulle ett biblioteks meddelanden sannolikt beskriva annan behandling som utförs av biblioteket och som utförs av andra personuppgiftsbiträden för biblioteket.

Artiklar 15 – 23: Rätt till åtkomst för den registrerade; Rätt till rättelse; Rätt till radering (”Rätten att bli glömd”); Rätt till begränsning av behandling; Meddelandeskyldighet angående rättelse eller radering av personuppgifter eller begränsning av behandling; Rätt till dataportabilitet; Rätt att invända; Automatiserat beslutsfattande inklusive profilering; Restriktioner

Artiklarna 15 till 23 är lagar förknippade med olika rättigheter för registrerade.

Som personuppgiftsansvarig är det bibliotekets ansvar att följa Artiklarna 15 till 23, i tillämpliga fall, i dess förhållande till sina kunder och personal.

OCLC tar emot förfrågningar från registrerade, begär information när det behövs för att validera identitet och utvärderar vad OCLC:s roll är med avseende till den registrerade.

När OCLC är en personuppgiftsansvarig har OCLC inrättat processer för hantering av förfrågningar.

Om OCLC fastställer att den är ett personuppgiftsbiträde, uppmanar OCLC den registrerade att skicka förfrågan till den personuppgiftsansvarige.

Artikel 24: Den personuppgiftsansvariges ansvar

Artikel 24 listar den personuppgiftsansvariges ansvarsområden, inklusive fastställande av lämpliga tekniska och organisatoriska åtgärder och dataskyddspolicyer.

Som personuppgiftsansvarig med avseende till uppgifter om kunder och personal är biblioteket ansvarigt för att följa Artikel 24.

Artikel 25: Inbyggt dataskydd och dataskydd som standard

Artikel 25 kräver att personuppgiftsansvariga implementerar inbyggt dataskydd och dataskydd som standard.

Som personuppgiftsansvarig med avseende till uppgifter om kunder och personal är biblioteket ansvarigt för att följa Artikel 25. OCLC upprätthåller program och har formella GDPR-projekt och andra aktiviteter fokuserade på våra produkter för att hjälpa bibliotek att uppfylla dessa skyldigheter. OCLC har förbundit sig att fortsätta att utvärdera våra produkter och att fatta beslut om huruvida och hur de ska förbättras med avseende till dataskydd genom design- och standardöverväganden.

Artikel 26: Gemensamt personuppgiftsansvariga

Artikel 26 behandlar arrangemang mellan gemensamma personuppgiftsansvariga.

OCLC skulle vanligtvis inte vara en gemensam personuppgiftsansvariga med bibliotek. Bibliotek är personuppgiftsansvariga och OCLC är ett personuppgiftsbiträde.

Artikel 27: Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionen

Artikel 27 är relaterad till GDPR:s territoriella tillämpningsområde när den registeransvarige eller registerföraren inte är etablerad i EU. När den inte är etablerad i EU måste den personuppgiftsansvarige eller personuppgiftsbiträde utse en representant som är fysiskt belägen i EU.

OCLC har flera inrättningar i EU och vårt europeiska huvudkontor ligger i Nederländerna.

Article 28: Personuppgiftsbiträde

Artikel 28 anger skyldigheter för både personuppgiftsansvarig och personuppgiftsbiträde. Artikel 28 fokuserar starkt på upprättandet av kontrakt för att styra behandlingen av personuppgiftsbiträdet och upprättandet av kontrakt av det personuppgiftsbiträdet när andra personuppgiftsbiträden anlitas.

Som personuppgiftsbiträde för bibliotek har OCLC utvecklat databehandlingsavtal för bibliotek att utföra för att uppfylla kraven i Artikel 28. Dessa avtal är tillgängliga på flera språk. Vidare har OCLC utvecklat avtal att underteckna när andra personuppgiftsbiträden anlitas av OCLC.

Artikel 29: Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Artikel 29 reglerar behandling av personuppgiftsbiträden. Personuppgiftsbiträden får inte behandla personuppgifter annat än på uppdrag av den personuppgiftsansvarige.

Avtalen i enlighet med Artikel 28 som beskrivs ovan, tillhandahåller instruktioner från biblioteket som personuppgiftsansvarig till OCLC för behandling av personuppgifter.

Artikel 30: Register över behandlingsaktiviteter

Artikel 30 är ett krav på registrering med avseende till behandling av personuppgifter. Det finns krav på både personuppgiftsansvariga och personuppgiftsbiträden att föra register och att tillhandahålla register till tillsynsmyndigheter när så begärs.

OCLC har skapat och upprätthåller register över behandlingsaktiviteter.

Artikel 31: Samarbete med tillsynsmyndigheten

Enligt Artikel 31 ska personuppgiftsansvarig och personuppgiftsbiträde, på begäran, samarbeta med tillsynsmyndigheter vid utförandet av deras uppgifter.

OCLC kommer att samarbeta med tillsynsmyndigheter på begäran.

Artikel 32: Säkerhet i samband med behandlingen

Artikel 32 innehåller skyldigheter för personuppgiftsansvariga och personuppgiftsbiträde att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå.

OCLC har implementerat tekniska och organisatoriska åtgärder. Dessa beskrivs i de kontrakt som krävs enligt Artikel 28. Ytterligare information om OCLC:s säkerhet finns också tillgänglig på vår webbplats.

Artiklar 33 och 34: Anmälan av en personuppgiftsincident till tillsynsmyndigheten; Information till den registrerade om en personuppgiftsincident

Artiklarna 33 och 34 innehåller skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden när det gäller anmälan av en personuppgiftsincident.

Som personuppgiftsbiträde skulle OCLC underrätta ett bibliotek om en relaterad personuppgiftsincident enligt Artikel 33. Detta skulle ske utan onödigt dröjsmål efter att ha blivit medveten om en personuppgiftsincident. OCLC granskar incidenter snabbt och upprätthåller en databas med bibliotekskontaktinformation för att säkerställa att alla nödvändiga meddelanden kan göras utan onödigt dröjsmål. När det gäller otillgänglighet, uppmuntrar OCLC också bibliotek att granska vår instrumentpanel för Systemstatus på vår webbplats.

Biblioteken skulle som personuppgiftsansvariga behöva avgöra om de ska meddela tillsynsmyndigheter och registrerade.

Artiklar 35 och 36: Konsekvensbedömning avseende dataskydd; Förhandssamråd

Artiklarna 35 och 36 innehåller, under vissa omständigheter, skyldigheter för personuppgiftsansvariga att genomföra konsekvensbedömningar avseende dataskydd och att samråda med tillsynsmyndigheter.

Dessa är skyldigheter för personuppgiftsansvariga; därför gäller skyldigheterna för bibliotek. OCLC är vanligtvis ett personuppgiftsbiträde för biblioteken.

I de fall där OCLC måste slutföra konsekvensbedömningar för dataskydd enligt GDPR, har OCLC inrättat processer för att slutföra dem.

Artikel 37: Utnämning av dataskyddsombudet

Artikel 37 beskriver de fall då personuppgiftsansvariga och personuppgiftsbiträden måste utse dataskyddsombud, inklusive möjligheten för en grupp av företag att utse ett enda dataskyddsombud. Dataskyddsombudet ska utses utifrån yrkesmässiga egenskaper, inklusive expertkunskaper om dataskyddslagstiftning och praxis.

OCLC har utsett ett dataskyddsombud för sina olika dotterbolag som en grupp av företag.

Artiklar 38 och 39: Dataskyddsombudets ställning; Dataskyddsombudets uppgifter

I artiklarna 38 och 39 beskriver när dataskyddsombudet ska involveras i frågor, dataskyddsombudets oberoende och dataskyddsombudets uppgifter.

OCLC:s dataskyddsombud har i uppdrag att fullgöra uppgifterna i Artikel 39. Vidare har OCLC etablerat ett världsomspännande sekretessprogram för att hjälpa dataskyddsombudet att fullgöra dessa uppgifter och för att hjälpa till att lösa lokala frågor vid behov. OCLC har åtagit sig att säkerställa oberoendet för sitt dataskyddsombud.  

Artiklar 40 – 43: Uppförandekoder; Övervakning av godkända uppförandekoder; Certifiering; Certifieringsorgan

Dessa artiklar handlar om att främja föreningar och andra organ att skapa och anta uppförandekoder med avseende till GDPR.

OCLC är för närvarande inte involverat i arbetet med att skapa uppförandekoder.

Artiklarna 44–49: Allmän princip för överföring av uppgifter; Överföring på grundval av ett beslut om adekvat skyddsnivå; Överföring som omfattas av lämpliga skyddsåtgärder; Bindande företagsbestämmelser; Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten; Undantag i särskilda situationer

Artiklarna 44 till 49 tar upp olika krav i samband med överföringar av personuppgifter.

OCLC:s huvudkontor ligger i USA. Det har kontor på många platser, inklusive datacenter i Nederländerna, USA, Australien och Kanada. Beroende på det specifika OCLC-tjänsterbjudandet som används av en kund, kan överföringar av personuppgifter från EU förekomma.

När det gäller överföringar som kräver lämpliga skyddsåtgärder är dessa överföringar i enlighet med standardklausuler för dataskydd som tillåts i Artikel 46. OCLC utför standardklausuler för dataskydd med bibliotek vid undertecknande av avtal i enlighet med Artikel 28.

Artiklar 50 – 78: Internationellt samarbete för skydd av personuppgifter; Tillsynsmyndighet; Oberoende; Allmänna villkor för tillsynsmyndighetens ledamöter; Regler för inrättandet av en tillsynsmyndighet; Behörighet; Den ansvariga tillsynsmyndighetens behörighet; Uppgifter; Befogenheter; Verksamhetsrapporter; Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna; Ömsesidigt bistånd; Tillsynsmyndigheters gemensamma insatser; Mekanism för enhetlighet; Yttrande från Styrelsen; Tvistlösning genom styrelsen; Skyndsamt förfarande; Utbyte av information; Europeiska dataskyddsstyrelsen; Oberoende; Styrelsens uppgifter; Rapporter; Förfarande; Ordförande; Ordförandens uppgifter; Sekretariatet; Konfidentialitet; Rätt att lämna in ett klagomål till en tillsynsmyndighet; Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut

Artiklarna 50 till 78 innehåller regler om medlemsländer, deras tillsynsmyndigheter och Europeiska dataskyddsstyrelsen.

Artikel 79: Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde

Artikel 79 beskriver de registrerades rätt att söka gottgörelse. Detta kan innefatta domstolsförfaranden mot personuppgiftsansvariga eller personuppgiftsbiträden där de har en inrättning.

OCLC är ett personuppgiftsbiträde för bibliotek och kan omfattas av Artikel 79 med avseende till ett biblioteks personal och kunder. OCLC har inrättningar inom EU där rättsliga förfaranden kan inträffa.

Artiklar 80 och 81: Företrädande av registrerade; Vilandeförklaring av förfaranden

Dessa artiklar i GDPR avser hur klagomål kan lämnas av registrerade och hur domstolar kan avbryta förfaranden.

Article 82: Ansvar och rätt till ersättning

Artikel 82 beskriver hur registrerade kan begära ersättning från personuppgiftsansvariga och personuppgiftsbiträden.

Enligt Artikel 82 kan biblioteksanställda och bibliotekskunder begära ersättning direkt mot OCLC som personuppgiftsbiträde för biblioteket. Artikel 82 och avtalen mellan OCLC och ett bibliotek fördelar också ansvar mellan OCLC och varje bibliotek.

Artiklar 83 och 84: Allmänna villkor för påförande av administrativa sanktionsavgifter; Sanktioner

Artiklarna 83 och 84 innehåller bestämmelser som tillåter tillsynsmyndigheter och medlemsstater att bedöma administrativa sanktionsavgifter och andra påföljder.

Om OCLC som personuppgiftsbiträde för bibliotek skulle bryta mot GDPR:s bestämmelser som gäller personuppgiftsbiträden kan OCLC bli föremål för bedömningar av sanktionsavgifter eller andra påföljder.

Artiklar 85 – 90: Behandling och yttrande- och informationsfriheten; Behandling och allmänhetens tillgång till allmänna handlingar; Behandling av nationella identifikationsnummer; Behandling i anställningsförhållanden; Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål; Tystnadsplikt

Artiklarna 85 till 90 innehåller olika krav och rättigheter för medlemsstaterna, till exempel att förena GDPR med yttrandefriheten och tillåta medlemsstaterna att skapa mer specifika regler i samband med behandlingen av personuppgifter om anställda.

Artikel 91: Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund

Artikel 91 innehåller lagar som gäller för kyrkor och religiösa samfund.

Artikel 91 är inte tillämplig på OCLC, eftersom det inte är en kyrka eller ett religiöst samfund.

Artiklar 92 – 99: Utövande av delegeringen; Kommittéförfarande; Upphävande av direktiv 95/46/EG; Förhållande till direktiv 2002/58/EG; Förhållande till tidigare ingångna avtal; Kommissionsrapporter; Översyn av andra unionsrättsakter om dataskydd; Ikraftträdande och tillämpning