GDPRとは何ですか?GDPRは非営利団体にどのように影響しますか?

公開: 2018-05-03

このブログ投稿は情報提供のみを目的としており、法的なアドバイスとして機能することを意図したものではありません。 GDPRがビジネスに与える影響については、弁護士にご相談ください。

これまでに、一般データ保護規則(GDPR)と呼ばれる欧州連合の新しいプライバシー法について聞いたことがあると思います。 コンプライアンスの期限が近づくと、組織が実行する必要のあるアクションが発生する可能性があります。 GDPRが非営利団体にどのように影響するかを知るために読んでください。

GDPRとは何ですか?

GDPRは、2018年5月25日に発効する欧州連合(EU)のプライバシー規制です。この法律は、EU市民の個人データをより強力に保護し、個人を管理または処理するすべての企業に義務付けるために作成されました。 EU市民のデータは、安全で透過的な方法でそうしています。

間違いなく、覚えておくべき最も重要な事実は、規制が非EU企業と非営利団体にまったく同じように適用されるということです。 EU市民の個人データ(GDPRで定義されている)を収集したすべての組織は、従業員、ドナー、ボランティア、受益者のいずれであっても影響を受け、GDPRへの準拠に責任を負います。

違反には重大な罰則があります。これには、組織のグローバル収益の最大4%の罰金が含まれますが、これに限定されません。 さらに、データ保護は非営利業界にとって引き続き大きな懸念事項であるため、組織はコンプライアンス違反に対する世論の反発に直面し、パートナー、ドナー、およびメンバーからのサポートを失う可能性があります。

非営利団体のGDPRコンプライアンス

情報コミッショナーオフィス(ICO)によると、非営利団体は「データ管理者」と「データ処理者」(状況に応じて)である可能性があり、したがって、次のようないくつかの方法でGDPRコンプライアンスの対象となります。

  1. ボランティア、受託者、従業員のデータを処理する雇用者として
  2. 受益者へのサービスの提供者として
  3. 資金調達またはキャンペーン組織として

同様に、個々の募金活動者も、非営利団体に代わって資金調達を行っているときにサポーターデータを収集すると、データ管理者として機能する可能性があるため、GDPRについて教育を受ける必要があります。 現在または今後のピアツーピアキャンペーンがある場合は、資金調達者に通知し、そのプロセスも準拠していることを確認するのはあなたの責任です。

これは私の非営利団体にどのように影響しますか?

非営利団体が準拠するためには、個人データの収集と処理に関して、透明性と細心の注意を払う必要があります。 これは、従業員、ボランティア、寄付者、支援者、つまり非営利団体が個人データを収集するすべての人のデータに適用されます。 組織は、個人データを処理し、プライバシーの原則を順守する方法について、書面によるポリシーと手順を用意する必要があります。

法律はまた、以下にリストされているデータ保護のための8つの原則への準拠を要求しています。

GDPRは、個人に次の権利を提供します。

  1. 個人データの収集および使用について通知を受ける権利
  2. 個人データおよび補足情報へのアクセス権
  3. 不正確な個人データの修正または不完全なデータの完成に対する権利
  4. 個人データを消去する権利
  5. 組織がデータを保存できるがデータを使用できないようにする処理を制限する権利
  6. 個人が自分の目的のために自分のデータを安全かつ確実に取得して再利用できるようにするデータの移植性に対する権利
  7. 正当な利益に基づく処理、ダイレクトマーケティング、および調査目的での処理に反対する権利
  8. 自動化された意思決定とプロファイリングに関連する権利

私の非営利団体はどのように準拠しますか?

非営利団体は、マーケティング戦略を使用してドナーを促進、資金調達、関与することが引き続き許可されていますが、データ処理はGDPR法で概説されている6つの合法的な基盤に従って行う必要があります。

次のリストは、GDPRと慈善募金の紹介ガイドから抜粋したものであり、彼らが書いているように、6つの合法的な基盤は次のとおりです。

  1. 同意:特定の目的のために個人データを処理できるようにするために、個人が明確な肯定的な行動(質問に「はい」と言う、オプトインボックスにチェックを入れるなど)を実行したことを示すことができます。 事前にチェックされたボックスは同意を構成しません。
  2. 契約:あなたが個人と持っている契約のために、または彼らが契約を結ぶ前にあなたに特定のステップを踏むように頼んだので、処理は必要です。
  3. 法的義務:処理は、法律を遵守するために必要です(契約上の義務は含まれません)。
  4. 重要な利益:誰かの命を守るために処理が必要です。
  5. 公的任務:公益のために、または公的職務のために職務を遂行するために処理が必要であり、その職務または職務には法律上の明確な根拠があります。
  6. 正当な利益:個人の利益または権利と自由がそれらの利益を無効にしない限り、あなたの正当な利益または第三者の正当な利益のために処理が必要です(これは、あなたが公式のタスクを実行するためにデータを処理する公的機関である場合は適用できません) 。

ICOには、中小規模の非営利団体向けの次のデータ保護のヒントが記載されています。

  1. あなたが彼らのデータで何をしているのかを人々に伝えてください。 GDPRの最も重要な原則の1つは、組織がデータの使用方法についてオープンで正直であることです。
  2. すべてのスタッフ、メンバー、およびボランティアに、データ保護とすべての個人データの保存および処理方法についてトレーニングします。
  3. 強力なパスワードを使用して、情報を安全に保ちます。
  4. 個人情報を保持するすべてのポータブルデバイスを暗号化します。
  5. 保持期間を設定し、必要な期間のみ個人情報を保持します。

これらのヒントは、組織のデータ処理に追加されるプロセスと規制に向けてチームを準備するための単なる出発点であることを忘れないでください。 詳細については、この変更が組織に与える影響と次のステップについて、これらの追加リソースをお読みください。

  • GDPR:慈善団体のためのガイド
    • 作成者:チャリティーファイナンスグループ
  • GDPRと慈善募金の概要
    • 作成者:Institute of Fundraising、Fundraising Regulator、ICOによるレビュー
  • GDPRの準備、今すぐ実行する12のステップ
    • 作成者:ICO
  • 自己評価チェックリスト
    • 作成者:ICO

上品でGDPR

ここClassyでは、お客様のデータのプライバシーとセキュリティに絶え間なく取り組んでおり、チームはGDPRへの準拠に全力で取り組んでいます。

非営利のサイバーセキュリティを最後に更新したのはいつですか。