OCLC 对《通用数据保护条例》的响应

上次修订日期:2019 年 6 月 21 日

2018 年 5 月,针对欧盟 (EU) 的《通用数据保护条例》(GDPR) 开始生效。OCLC 承诺要通过用 GDPR 的视角来积极审视自己的形式方法和产品,并采取适当的长期举措,从而支持我们的合作伙伴和客户。此外,我们已经发起多个正式的 GDPR 项目和其他活动,尤其聚焦于我们的产品,以帮助各图书馆履行 GDPR 规定的责任。

GDPR 合规的责任需要数据控制方(此处一般指 OCLC 的客户)和数据处理方(即 OCLC)采取不同的活动。以下信息旨在为 OCLC 对 GDPR 的响应和客户在合规过程中的职责提供参考。

注意:以下信息不构成法律建议。关于 GDPR 会如何影响您的机构与 OCLC 的关系,请通过 dpo@oclc.org 联系 OCLC 数据保护官。

条款

OCLC 对各条款的响应

第 1 条:主题和目的

第 1 条重点突出了 GDPR 的目的,包括保护个人数据和自由移动个人数据。

OCLC 尊重人们的基本权利和自由,在处理个人数据的过程中采取各种保护措施,包括图书馆员工和读者的个人数据。OCLC 会分析数据在欧盟境内和欧盟境外的传输。

第 2 条:资料范围

通过自动化方式的个人数据处理,无论是全部或部分,均可归类到第 2 条下面的 GDPR 范围内。

OCLC 处理可归到第 2 条中所述处理范围内的个人数据。OCLC 的产品供图书馆用户管理其运营。OCLC 从各图书馆接收员工和读者的个人数据。

第 3 条:地域范围

第 3 条描述的是 GDPR 适用的情形。适用于在欧盟及欧盟境外设有办公地点的公司,以欧盟办公地点的活动。此外,GDPR 还适用于在欧盟境内不设办公地点,但向欧盟境内的人提供货品或服务,或监控这些人的行为的公司。

GDPR 适用于 OCLC。OCLC 在欧盟境内设有办公地点,包括我们设在荷兰的欧盟总部。OCLC 为了支持欧盟办公地点而开展的非欧盟境内的活动也受 GDPR 约束。

第 4 条:定义

第 4 条定义了 26 个术语,包括个人数据、处理、控制方和处理方。

一般而言,在 OCLC 和某图书馆之间,图书馆是 GDPR 规定下的控制方,负责处理其员工和读者的个人数据。在提供产品时,OCLC 则是为图书馆处理数据的处理方。

第 5 条:与个人数据处理相关的原则

第 5 条规定了数据处理的原则,包括合法性、公平性、透明性、目的限制、数据最小化、准确性、存储限制、完整性和保密性,以及问责制。

一般而言,在与读者和员工的关系中,图书馆会做出这些决定。例如,图书馆会确定要从读者处收集哪些数据以便提供图书馆服务,处理数据的法律依据,以及如何为读者提供隐私公告以保持图书馆使用数据的透明性。

但是,在很多情况下,OCLC 产品或许能够帮助图书馆履行与这些原则相关的义务。例如,适用的 OCLC 产品可能允许图书馆显示由其起草的隐私公告。

第 6 条:处理的合法性

第 6 条为处理个人数据提供各种合法依据,例如征得数据主体的同意或出于保护控制方合法权益这类目的的必要性。

作为控制方,由图书馆来决定处理其读者和员工个人数据的合法依据。OCLC 作为图书馆的处理方,将按照图书馆的要求执行处理,详情如图书馆和 OCLC 之间适用的合同所述。

第 7 和 8 条:同意的条件;与信息社会服务有关的适用于儿童同意的条件

第 7 条描述的是数据处理的合法依据需要哪些条件。

第 8 条详述第 7 条中所述与儿童相关的同意要求。

当征得同意是处理读者和员工数据的合法依据时,作为控制方,图书馆负责遵守第 7 条和第 8 条(如适用)。

第 9 条:特殊类别的个人数据处理

第 9 条描述可合法处理的个人数据,除非有例外情况。

虽然由图书馆来决定是否处理特殊类别的个人数据,但 OCLC 不鼓励我们的客户在 OCLC 产品中收集和存储这些数据。收集和存储这些数据并非使用 OCLC 产品的必要条件。

第 10 条:与刑事定罪和犯罪相关的个人数据处理

第 10 条针对与刑事定罪和犯罪相关的个人数据处理。

跟第 9 条中所述的特别类别的个人数据一样,使用 OCLC 产品无需收集和存储这些个人数据。OCLC 不鼓励在 OCLC 产品中收集和存储这些数据。

第 11 和 12 条:无需身份认证的处理;针对行使数据主体权利的透明信息、通信和形式

第 11 条包含与控制方对数据主体进行身份认证相关的法律,包括与数据主体行使 GDPR 规定下的权利相关的认证。

第 12 条包含与控制方向数据主体提供信息相关的法律,包括响应数据主体请求的最后期限。

作为控制方,图书馆的责任是遵守与其读者和员工相关的第 11 条和第 12 条。

OCLC 接收到数据主体的请求,在需要验证身份时请求提供信息,并评估与数据主体相关的 OCLC 的职责。

作为控制方时,OCLC 具备按照第 12 条的要求来处理请求的程序。

如果 OCLC 决定其要作为处理方,则会指示数据主体将请求提交给控制方。

第 13 和 14 条:从数据主体处收集个人信息时需要提供的信息;并非从数据主体处收集个人信息时需提供的信息

第 13 和 14 条描述需为数据主体提出的具体要求。

当作为与数据主体相对应的控制方时,OCLC 会提供适当的通知。例如,OCLC 会在 OCLC.org 网站上发布一个隐私公告。

图书馆作为与图书馆读者和员工相对应的控制方时,应当提供能够满足第 13 条或第 14 条要求的隐私公告(如适用)。除了 OCLC 作为处理方为图书馆处理数据外,图书馆的公告可能还会描述由图书馆执行或其他处理方为图书馆执行的其他处理。

第 15 至 23 条:数据主体的访问权利;改正的权利;消除的权利(“被遗忘的权利”);限制处理的权利;与改正或消除个人数据或限制处理相关的通知义务;数据可移植的权利;拒绝的权利;包括资料收集在内的自动化决策;限制

第 15 至 23 条是与数据主体的多种权利相关的法律。

作为控制方,图书馆的责任是遵守与其读者和员工相关的第 15 至 23 条。

OCLC 接收到数据主体的请求,在需要验证身份时请求提供信息,并评估与数据主体相关的 OCLC 的职责。

当作为控制方时,OCLC 具备处理请求所需的程序。

如果 OCLC 决定其要作为处理方,则会指示数据主体将请求提交给控制方。

第 24 条:控制方的责任

第 24 条列出了数据控制方的责任,包括确立合适的技术和组织措施和数据保护政策。

作为读者和员工数据的控制方,图书馆有责任遵守第 24 条。

第 25 条:按设计和默认的数据保护

第 25 条要求控制方按照设计和默认来执行数据保护。

作为读者和员工数据的控制方,图书馆有责任遵守第 25 条。OCLC 已创建正式的 GDPR 项目和聚焦于我们产品的其他活动,以帮助图书馆履行这些义务。例如,OCLC 已完成一个着重于让图书馆为特定产品显示隐私公告的项目。OCLC 承诺会继续评估我们的产品,并决定是否及如何针对出于设计和默认考虑而进行的数据保护来改进产品。

第 26 条:联合控制方

第 26 条描述联合控制方之间的安排。

OCLC 一般不会跟图书馆一起组成联合控制方。图书馆是控制方,则 OCLC 为处理方。

第 27 条:并非在欧盟境内设立的控制方或处理方的代表

第 27 条与 GDPR 的地域范围相关,此条款下的控制方或处理方并非在欧盟境内设立。并非在欧盟境内设立时,控制方或处理方必须指派一名身处欧盟境内的代表。

OCLC 在欧盟有多个办公地点,并且我们的欧洲总部设立在荷兰。

第 28 条:处理方

第 28 条规定了控制方和处理方的义务。第 28 条主要侧重于订立合同来管理处理方的处理,以及当涉及其他处理方时该处理方订立的合同。

作为为图书馆处理数据的处理方,OCLC 已制定了针对图书馆的数据处理协议让图书馆遵守,以满足第 28 条的要求。这些合同都以多种语言提供。更有甚者,OCLC 还制定了 OCLC 需要子处理方参与时要签订的子处理方协议。

OCLC 已经做出努力并将继续努力确定其认为需受 GDPR 约束的图书馆,并让这些图书馆履行数据处理协议。但是需注意,履行此类合同的要求并不直接适用于受 GDPR 约束的图书馆。如果某个图书馆受 GDPR 约束,而不执行与 OCLC 之间的合同,则图书馆代表应立即通知我们,以接收需签署的数据处理协议副本。

第 29 条:在控制方或处理方授权下的处理

第 29 条阐述处理方的处理。处理方仅按照控制方的指示来处理个人数据。

如上所述,第 28 条的合同为 OCLC 提供来自图书馆作为控制方的指示,以处理个人数据。

第 30 条:处理活动记录

第 30 条阐述与处理个人数据相关的记录要求。要求控制方和处理方均维护记录,并按要求将记录提供给监管当局。

OCLC 已创建并维护处理活动的记录。

第 31 条:与监管当局的合作

第 31 条要求控制方和处理方按要求在执行任务的过程中与监管当局合作。

OCLC 将按要求与监管当局合作。

第 32 条:处理的安全性

第 32 条包含控制方和处理方为确保适当的安全级别而采取适当的技术性和组织性举措的义务。

OCLC 已采取技术性和组织性举措。详情请见第 28 条中要求的合同。我们的网站上也提供关于 OCLC 安全性的其他信息。

第 33 条和第 34 条:通知监管当局个人数据泄露事件;与数据主体沟通个人数据泄露事件

第 33 条和第 34 条包含与个人数据泄露通知相关的控制方和处理方的义务。

作为处理方,OCLC 将按照第 33 条的规定通知图书馆相关的数据泄露事件。发现个人数据泄露后必须立刻通知,不得延误。OCLC 会快速审查此类事件并维护一个图书馆联系信息数据库,以确保及时进行任何必要的通知。在无法提供通知的情况下,OCLC 也鼓励图书馆查看我们网站上的系统状态面板

作为控制方,图书馆需要确定是否通知监管当局和数据主体。

第 35 和 36 条:数据保护影响评估;事先协商

第 35 和 36 条包含特定情形下控制方为开展数据保护影响评估以及咨询监管当局需履行的义务。

这里所述的义务属于控制方,因此,这些义务适用于图书馆。OCLC 一般作为图书馆的处理方。

在要求 OCLC 按照 GDPR 要求完成数据保护影响评估的情况下,OCLC 已准备好完成此任务的程序。

第 37 条:任命数据保护官

第 37 条阐述控制方和处理方必须任命数据保护官的情形,包括公司团体任命一名数据保护官的能力。任命数据保护官时必须根据其专业素质,包括在数据保护法律和实践方面的专家知识。

OCCL 已为作为公司团体的多个附属机构任命了一名数据保护官。当前的数据保护官持有国际隐私专业人士协会的三个认证,其中包括两个 GDPR Ready(已准备好遵守 GDPR)认证(CIPP/E 和 CIPM)。

第 38 和 39 条:数据保护官的地位;数据保护官的任务

第 38 和 39 条阐述数据保护官何时出面处理问题,数据保护官的独立性以及数据保护官的任务。

OCLC 任命数据保护官是为了履行第 39 条规定的任务。此外,OCLC 已组建一支隐私支持团队来帮助数据保护官履行责任并在必要时助其解决本地问题。OCLC 承诺确保其数据保护官的独立性。如果发现可能的冲突,OCLC 的总顾问和数据保护官将讨论可能的冲突并合作确保可维持独立性。

第 40 至 43 条:行为准则;监察已核准的行为准则;认证;认证机构

这些条款阐述的是推动协会和其他机构订立并采取与 GDPR 相关的行为准则。

OCLC 目前未订立行为准则。

第 44 至 49 条:传送的一般原则;基于充分性决定的传送;受适当保护措施约束的传送;约束性公司规则;欧盟法律不允许的传送或披露;特定情形下的毁损

第 44 至 49 条阐明与个人数据传输有关的各种要求。

OCLC 的总部位于美国。其在多地设立办公室,包括在荷兰、美国、澳洲和加拿大设立的数据中心。可能会出现将个人数据从欧盟传输出来的情况。

对于需要适当保护措施的传输,此类传输需依据第 46 条允许的标准数据保护条款。在签订第 28 条所述合同的情况下,OCLC 执行标准的数据保护条款。

第 50 至 78 条:个人数据保护国际合作;监管当局;独立性;针对监管当局成员的一般条件;确定监管当局的规则;能力;主要监管当局的能力;任务;权力;活动报告;主要监管当局和其他相关监管当局之间的合作;互相协助;监管当局之间的联合行动;一致性机制;委员会的意见;委员会进行的纠纷调解;紧急程序;信息交流;欧洲数据保护委员会;独立性;委员会的任务;报告;程序;主席;主席的任务;秘书处;保密性;向监管当局投诉的权利;针对监管当局申请有效司法救济的权利

第 50 至 78 条阐述了与成员国、监管当局和欧洲数据保护委员会相关的规则。

第 79 条:针对控制方或处理方申请有效司法救济的权利

第 79 条阐述了数据主体寻求救济的权利。这可能包括在控制方或处理方设立办公室的地方发起针对其的法律诉讼程序。

OCLC 是图书馆的处理方,当涉及图书馆的员工和读者时,可能受第 79 条约束。OCLC 在欧盟境内设有办公室,因此可能在此地发生法律诉讼程序。

第 80 和 81 条:数据主体的代表;诉讼程序暂停

GDPR 的这两个条款与数据主体的投诉方式和法庭暂停诉讼程序的方式相关。

第 82 条:补偿和追究责任的权利

第 82 条阐述数据主体可能如何向控制方和处理方寻求补偿。

在第 82 条的规定下,图书馆员工和读者可以直接向作为图书馆处理方的 OCLC 寻求补偿。第 82 条和 OCLC 与图书馆之间签订的合同也分配了 OCLC 和各图书馆之间的责任。

第 83 和 84 条:实施行政罚款的一般条件;处罚

第 83 和 84 条包含允许监管当局和成员国评估行政罚款和其他处罚的条例。

如果 OCLC 作为图书馆的处理方违反了适用于处理方的 GDPR 条例,OCLC 可能需要接受罚款或其他处罚的评估。

第 85 至 90 条:处理和言论自由及信息;处理和公共访问官方文档;处理身份证号码;与就业相关的处理;与为了公众利益、科学或历史研究或统计目的而进行归档目的的处理相关的保护和毁损措施;保密的义务

第 85 至 90 条包含对成员国的各项要求及其权利,例如协调 GDPR 和言论自由权,并允许成员国在处理就业数据方面订立具体规则。

第 91 条:教会及宗教团体现有的数据保护规则

第 91 条包含适用于教会和宗教团体的法律。

第 91 条不适用于 OCLC,因为其并非教会或宗教团体。

第 92 至 99 条:进行委托;委员会程序;废除 95/46/EC;与 2002/58/EC 指令的关系;与此前达成的协议之间的关系;委员会报告;审查欧盟其他数据保护法律行为;生效及运用

这些条款阐述的是 GDPR 的操作和有效性问题。

GDPR 自 2018 年 5 月 25 日起生效。