GDPR: Partnerskap med kunder

OCLC har åtagit sig att säkerställa att våra partners och kunder kan fortsätta att använda våra produkter och tjänster samtidigt som de följer EU:s allmänna dataskyddsförordning (GDPR). Vi inser att efterlevnad av GDPR kräver ett partnerskap mellan OCLC och våra partners och kunder i deras användning av tillämpliga OCLC-tjänster. Tillsammans har vi arbetat med och kommer att fortsätta utforska möjligheter inom våra relevanta tjänsteerbjudanden för att hjälpa våra kunder att uppfylla sina GDPR-skyldigheter som personuppgiftsansvariga.  

Nedan har vi besvarat några av de mest akuta frågorna som våra partners och kunder har om OCLC:s tjänsteerbjudanden och GDPR.

Hur säkerställer OCLC efterlevnad av GDPR?

OCLC anser att GDPR är en viktig milstolpe i datasekretesslandskapet. Vi är entusiastiska över de starka datasekretess- och säkerhetsprinciperna som GDPR betonar.

  • Granskning och förvaltning: OCLC övervakar noggrant var och hur våra relevanta tjänster samlar in, använder, lagrar och gör sig av med personuppgifter. Som en del av vårt världsomspännande program för sekretess- och dataförvaltning har vi etablerat och kontinuerligt förbättrat våra procedurer, policyer, standarder, förvaltning och dokumentation efter behov.
  • Produkter: Vi har utvecklat funktioner i våra olika produkter för att hjälpa våra kunder att uppfylla en del av deras GDPR-efterlevnadsförpliktelser, som till exempel visning av sekretessmeddelanden. Viktig information om produkter, när de är tillgängliga, beskriver produktändringar som kan vara till hjälp med avseende till GDPR.
  • Gränsöverskridande överföringar av personuppgifter inom EU: När det gäller OCLC:s produkter och -tjänster kan gränsöverskridande överföringar av personuppgifter variera beroende på OCLC-produkten. För vissa produkter är personuppgifter lokaliserade inom Europeiska ekonomiska samarbetsområdet. För andra sker överföringar av personuppgifter utanför Europeiska ekonomiska samarbetsområdet. OCLC har standardavtalsklausuler för att redogöra för dataöverföringar från EES, och OCLC upprättar standardavtalsklausuler direkt med våra kunder när de är dataexportörer till OCLC utanför EES.
  • Personalutbildning och medvetenhet: Alla OCLC-anställda måste genomgå datasäkerhetsutbildning. Utöver dessa utbildningskrav genomför OCLC löpande initiativ för att öka medvetenheten om en mängd olika ämnen, inklusive dataskydd, säkerhet och sekretess.
  • Avtalsenliga åtaganden: I samarbete med våra kunder och leverantörer utför OCLC databehandlingsavtal efter behov för att direkt hantera GDPR-krav.

Vilka säkerhetsåtgärder har OCLC inrättat för att skydda de personuppgifter som den behandlar?

OCLC har inrättat robusta tekniska och organisatoriska åtgärder som uppfyller internationella revisionsstandarder för att säkerställa en säkerhetsnivå som är lämplig för de personuppgifter som samlas in. Vi testar, granskar och utvärderar regelbundet effektiviteten av våra tekniska och organisatoriska åtgärder. OCLC har administrativa och tekniska kontroller inrättade för att begränsa sin användning av personuppgifter till de syften för vilka de samlas in, och processer inrättade för att upptäcka och reagera på säkerhetsöverträdelser.

Vad är skillnaden mellan en personuppgiftsansvarig och ett personuppgiftsbiträde?

När det gäller de olika produkterna och tjänsterna som OCLC är värd för för våra kunder, agerar våra kunder i allmänhet som personuppgiftsansvariga och OCLC agerar som personuppgiftsbiträde. I samband med behandling av personuppgifter är en personuppgiftsansvarig den organisation som bestämmer ändamålen och medlen för behandlingen av personuppgifterna. Ett personuppgiftsbiträde är den organisation som behandlar uppgifterna för den personuppgiftsansvariges räkning.

Vilka personuppgifter behandlar OCLC?

Många av OCLC:s produkter är bibliotekshanteringssystem som hjälper våra kunder att behandla deras kunders cirkulations- och identifieringsbegäran. Dessa produkter samlar också in minimala personuppgifter om biblioteksanställda för bibliotekshanteringsändamål. Även om vissa personliga uppgifter, till exempel namn på kunder, samlas in och används av alla bibliotek, skiljer våra kunder sig åt i vilken data de använder. Kunder som personuppgiftsansvariga, bestämmer de specifika personuppgifter som de kommer att samla in från de registrerade och tillhandahålla till OCLC för behandling. OCLC uppmuntrar sina kunder att undersöka vilka personuppgifter de behandlar för att avgöra vilka skyldigheter de kan ha enligt GDPR.

Kommer OCLC att hjälpa kunder att svara på förfrågningar från registrerade relaterade till deras utökade individuella rättigheter enligt GDPR?

GDPR ger individer mer kontroll över behandlingen av deras personuppgifter. OCLC har etablerat processer för att granska förfrågningar från registrerade. OCLC:s sekretessmeddelande beskriver de registrerades rättigheter och hur man gör förfrågningar. I många fall bör förfrågningar från registrerade granskas och uppfyllas direkt av våra kunder som personuppgiftsansvariga istället för av OCLC, som agerar på kundens vägnar. Kunder som tror att de inte kan uppfylla förfrågningar själva genom att använda våra produkter kan kontakta OCLC för att be om hjälp.

Vilka åtgärder vidtar OCLC för att säkerställa att kunderna lagligen kan överföra personuppgifter utanför EU?

När personuppgifter överförs från EU till OCLC, Inc. i USA, överförs de i enlighet med standardavtalsklausulerna utfärdade av Europeiska kommissionen. OCLC upprätthåller konsekvent starka datasäkerhetskontroller över hela världen för att skydda överförda personuppgifter.