您是否知道任何处理欧盟公民个人数据的欧盟组织实体和任何非欧盟组织都将受到欧盟通用数据保护条例(GDPR)的影响 ? 新规定将使欧盟公民对他们与欧盟内部或外部公司共享的个人数据有更多的控制权。
由于图书馆主要与用户合作并处理其信息,因此它们还必须符合GDPR。
从哪儿开始?
由于尚无如何符合GDPR的标准框架,组织仍在弄清楚它的含义,但是现在您需要涵盖以下5个一般方面:
- Dartのログ出力に呼び出し元の情报を含めてクリックで飞べるようにする
- 黑根图书馆将于周三重新开放
- 特殊收藏的课堂访问–詹姆斯·瓦特–中
- 安·阿伯(Ann Arbor)的“皇冠上的珠宝”
- 创新中心:现代图书馆#Module6#EID100
在线上有许多概述该法规的资源,例如eugdpr.org网站(一种用于教育公众关于GDPR的主要内容的资源),或者可以帮助您更好地理解如何符合GDPR的在线课程。
IFLA关于GDPR影响的简报着重指出,您必须了解可能适用于图书馆的法律的特定豁免。 就此新法规对图书馆及其用户的影响,寻求法律建议并与政策制定者进行讨论,不仅有帮助,而且必不可少。 但是,这完全取决于每个图书馆的预算和资源。
在与许多使用Princh的图书馆进行对话时,我们已经意识到,有些人用非常有限的方式来了解更新的GDPR对他们的图书馆有何影响。 因此,我们与一些专家合作,并撰写了一系列博客文章,这些文章专门针对图书馆如何确保GDPR的合规性。 所以,请继续关注!
由于图书馆的主要活动是向公民提供服务,因此您很可能会控制他们的个人信息。 根据艺术。 该法规第4条将个人数据定义为“ 与已识别或可识别自然人有关的任何信息” 。 它可以是基本的身份信息,例如姓名,电话号码,地址等。也可以是基本的在线标识符,例如电子邮件地址,Cookie,IP地址,或者如本文所建议的,与物理,生理,遗传相关的更具体的信息,该人的心理,经济,文化或社会身份。
您可以从列出当前活动(物理或数字)中有权访问的所有用户数据开始。 完成后,您可以决定哪些数据包含个人信息。 别忘了包括内部处理的数据,还包括由第三方(例如云解决方案和供应商)处理的外部数据。 您将对影响图书馆用户的任何个人数据泄露负责。
对图书馆通过其活动收集和处理的所有数据进行审核是创建符合GDPR要求的行动计划的一个很好的起点。
现在您已经知道了通过所有活动收集的所有数据以及数据的来源,您可以轻松地确定需要此数据的原因以及它对图书馆活动有用的原因。 确定您实际需要存储的内容以及存储时间。 为了证明其符合法规要求,图书馆必须更新数据保护政策,并牢记有关个人数据处理的原则,最重要的是要注意数据主体的权利。
–访问权。 用户有权知道如何处理其数据,也有权访问它们。
–纠正权。 用户有权更新图书馆可能拥有的任何不准确的个人数据。
–删除权。 用户也有权被遗忘,他们可以随时要求删除个人数据。
–限制权。 在某些情况下,用户有权限制数据处理。
–数据携带权。 现在,用户也有权接收数据并将其传输到另一个组织。
–反对权。 最后,除非控制者证明令人信服的合法理由,否则用户可以反对其个人数据的处理。
因此,无论何时收集个人数据,都必须确保您已同意使用它,并同时确保所有图书馆的政策(隐私政策,条款和条件政策,Cookie政策等)均已得到遵守。用户易于访问。
识别完所有数据并制定正确的策略之后,是时候在库的内部流程中实现已确定的更改。 法规规定,“ 控制者应采取适当的技术和组织措施,以确保默认情况下仅处理针对每个特定处理目的所需的个人数据”。
此阶段的主要目标是针对要收集的数据实施数据保护规则。
鉴于网络攻击和数据泄漏的数量不断增加,GDPR使您有必要制定一些程序来预防,监视,检测和报告任何攻击或安全漏洞。 必须采取一些技术措施并培训人员注意此问题,因为根据新法规,图书馆有72小时报告违规并通知用户。
现在您已经制定了策略,是时候记录流程并解释有关活动的隐私和安全性的方法了。 准备进行审核以及为想要访问,更正,擦除或移动数据的用户。
由于图书馆是处理数据的公共机构,因此需要指定数据保护官(DPO)。 DPO的主要任务是成为监管机构与控制器和处理器之间的联系点。
最终,将GDPR遵从性视为图书馆的一项持续活动,因为它不是某个可以在某个时候完成的项目。 了解库中发生的事情并保留日志非常重要,因此您随时可以报告任何安全漏洞。
《欧盟通用数据保护条例》将于2018年5月25日生效,在接下来的4个月中,我们将提供一系列博客文章,在其中我们将分享我们所学的一切内容,以帮助您在符合GDPR要求的过程中提供帮助。 在princh.com上订阅!
