Apa itu GDPR dan Bagaimana Pengaruhnya Terhadap Lembaga Nonprofit?

Diterbitkan: 2018-05-03

Posting blog ini hanya untuk tujuan informasi dan tidak dimaksudkan sebagai nasihat hukum. Silakan berkonsultasi dengan penasihat hukum untuk menentukan bagaimana GDPR dapat memengaruhi bisnis Anda.

Sekarang, Anda mungkin pernah mendengar tentang undang-undang privasi baru Uni Eropa yang disebut Peraturan Perlindungan Data Umum (GDPR). Saat tenggat waktu untuk kepatuhan semakin dekat, mungkin ada tindakan yang mungkin perlu diambil oleh organisasi Anda. Baca terus untuk mengetahui bagaimana GDPR dapat memengaruhi lembaga nonprofit.

Apa itu GDPR?

GDPR adalah peraturan privasi Uni Eropa (UE) yang akan mulai berlaku pada 25 Mei 2018. Undang-undang tersebut dibuat untuk memberikan perlindungan yang lebih kuat pada data pribadi warga negara Uni Eropa dan mewajibkan semua bisnis yang mengontrol atau memproses data pribadi data warga negara Uni Eropa melakukannya dengan cara yang aman dan transparan.

Boleh dibilang, fakta paling penting untuk diingat adalah bahwa peraturan tersebut berlaku untuk bisnis non-Uni Eropa dan organisasi nirlaba sama saja. Semua organisasi yang telah mengumpulkan data pribadi warga negara Uni Eropa (sebagaimana didefinisikan dalam GDPR)—baik itu karyawan, donor, sukarelawan, atau penerima manfaat—terpengaruh dan akan bertanggung jawab atas kepatuhan GDPR.

Ada hukuman yang signifikan untuk ketidakpatuhan, termasuk namun tidak terbatas pada denda hingga empat persen dari pendapatan global organisasi. Selain itu, karena perlindungan data terus menjadi perhatian utama bagi industri nonprofit, organisasi Anda dapat menghadapi reaksi publik atas ketidakpatuhan yang mengakibatkan hilangnya dukungan dari mitra, donor, dan anggota.

Kepatuhan GDPR untuk Lembaga Nonprofit

Menurut Information Commissioner's Office (ICO), lembaga nonprofit dapat menjadi “pengontrol data” dan “pemroses data” (bergantung pada situasinya) dan dengan demikian tunduk pada kepatuhan GDPR dalam beberapa cara, yang dapat mencakup:

  1. Sebagai pemberi kerja yang mengolah data relawan, wali, dan karyawan
  2. Sebagai penyedia layanan kepada penerima manfaat
  3. Sebagai organisasi penggalangan dana atau kampanye

Demikian pula, penggalangan dana individu juga perlu dididik tentang GDPR karena mereka dapat bertindak sebagai pengontrol data jika mereka mengumpulkan data pendukung saat menggalang dana atas nama lembaga nonprofit. Jika Anda memiliki kampanye peer-to-peer saat ini atau yang akan datang, Anda bertanggung jawab untuk memberi tahu penggalangan dana dan memastikan proses mereka juga sesuai.

Bagaimana Ini Mempengaruhi Nirlaba Saya?

Agar lembaga nonprofit Anda patuh, Anda harus transparan dan teliti dalam hal pengumpulan dan pemrosesan data pribadi. Ini berlaku untuk data karyawan, sukarelawan, donatur, pendukung—siapa pun yang darinya lembaga nonprofit Anda mengumpulkan data pribadi. Organisasi harus memiliki kebijakan dan prosedur tertulis tentang cara mereka menangani data pribadi dan mematuhi prinsip privasi.

Undang-undang tersebut juga mensyaratkan kepatuhan terhadap delapan prinsip perlindungan data yang tercantum di bawah ini.

GDPR memberikan hak-hak berikut untuk individu:

  1. Hak untuk diberi tahu tentang pengumpulan dan penggunaan data pribadi
  2. Hak akses ke data pribadi mereka dan informasi tambahan
  3. Hak untuk memperbaiki data pribadi yang tidak akurat atau melengkapi data yang tidak lengkap
  4. Hak untuk menghapus data pribadi
  5. Hak untuk membatasi pemrosesan yang memungkinkan organisasi untuk menyimpan data tetapi tidak menggunakannya
  6. Hak atas portabilitas data yang memungkinkan individu memperoleh dan menggunakan kembali data mereka dengan aman dan aman untuk tujuan mereka sendiri
  7. Hak untuk menolak pemrosesan berdasarkan kepentingan yang sah, pemasaran langsung, dan untuk tujuan penelitian
  8. Hak terkait dengan pengambilan keputusan dan pembuatan profil otomatis

Bagaimana Nirlaba Saya Menjadi Patuh?

Lembaga nonprofit masih diperbolehkan menggunakan taktik pemasaran untuk mempromosikan, menggalang dana, dan terlibat dengan donor, tetapi pemrosesan data harus dilakukan sesuai dengan enam dasar hukum yang digariskan oleh undang-undang GDPR.

Daftar berikut ini diambil dari panduan Pengantar GDPR dan Penggalangan Dana Amal dan seperti yang telah mereka tulis, enam dasar yang sah adalah:

  1. Persetujuan: Anda dapat menunjukkan bahwa seseorang telah melakukan tindakan afirmatif yang jelas (seperti mengatakan "ya" untuk sebuah pertanyaan atau mencentang kotak pilihan) untuk memungkinkan Anda memproses data pribadi mereka untuk tujuan tertentu. Kotak yang dicentang sebelumnya bukan merupakan persetujuan.
  2. Kontrak : Pemrosesan diperlukan untuk kontrak yang Anda miliki dengan individu tersebut, atau karena mereka telah meminta Anda untuk mengambil langkah-langkah tertentu sebelum menandatangani kontrak.
  3. Kewajiban hukum : Pemrosesan diperlukan agar Anda mematuhi hukum (tidak termasuk kewajiban kontrak).
  4. Kepentingan vital: Pemrosesan diperlukan untuk melindungi kehidupan seseorang.
  5. Tugas umum : Pemrosesan diperlukan bagi Anda untuk melakukan tugas untuk kepentingan umum atau untuk fungsi resmi Anda, dan tugas atau fungsi tersebut memiliki dasar yang jelas dalam undang-undang.
  6. Kepentingan yang sah: Pemrosesan diperlukan untuk kepentingan sah Anda atau kepentingan sah pihak ketiga kecuali jika kepentingan atau hak dan kebebasan individu mengesampingkan kepentingan tersebut (ini tidak dapat berlaku jika Anda adalah otoritas publik yang memproses data untuk melakukan tugas resmi Anda) .

ICO mencantumkan tip perlindungan data berikut untuk organisasi nirlaba kecil hingga menengah:

  1. Beri tahu orang-orang apa yang Anda lakukan dengan data mereka. Salah satu prinsip terpenting GDPR adalah organisasi terbuka dan jujur ​​tentang bagaimana data akan digunakan.
  2. Latih semua staf, anggota, dan sukarelawan tentang perlindungan data dan cara menyimpan dan menangani semua data pribadi.
  3. Gunakan kata sandi yang kuat untuk membantu menjaga keamanan informasi.
  4. Enkripsi semua perangkat portabel yang menyimpan informasi pribadi.
  5. Tetapkan periode penyimpanan dan simpan informasi pribadi hanya selama diperlukan.

Ingatlah bahwa tip ini hanyalah titik awal untuk mempersiapkan tim Anda untuk proses dan peraturan yang akan ditambahkan ke pemrosesan data organisasi Anda. Untuk informasi selengkapnya, baca sumber daya tambahan berikut tentang bagaimana perubahan ini akan memengaruhi organisasi Anda dan apa langkah Anda selanjutnya.

  • GDPR: Panduan untuk Amal
    • Dibuat oleh: Charity Finance Group
  • GDPR dan Pengantar Penggalangan Dana Amal
    • Dibuat oleh: Institute of Fundraising, Fundraising Regulator, dan ditinjau oleh ICO
  • Mempersiapkan GDPR, 12 Langkah yang Harus Dilakukan Sekarang
    • Dibuat oleh: ICO
  • Daftar Periksa Penilaian Diri
    • Dibuat oleh: ICO

Berkelas dan GDPR

Di Classy, ​​kami tanpa henti dalam dedikasi kami terhadap privasi dan keamanan data pelanggan kami, dan tim kami berkomitmen penuh pada kepatuhan GDPR.

Kapan Terakhir Kali Anda Memperbarui Keamanan Siber Nirlaba Anda?