O que é o GDPR e como ele pode afetar organizações sem fins lucrativos?

Publicados: 2018-05-03

Esta postagem de blog é apenas para fins informativos e não se destina a atuar como aconselhamento jurídico. Consulte um advogado para determinar como o GDPR pode afetar seus negócios.

Até agora, você provavelmente já ouviu falar sobre o novo conjunto de leis de privacidade da União Europeia chamado Regulamento Geral de Proteção de Dados (GDPR). À medida que o prazo para conformidade se aproxima, pode haver ações que sua organização pode precisar tomar. Continue lendo para descobrir como o GDPR pode afetar organizações sem fins lucrativos.

O que é o GDPR?

O GDPR é um regulamento de privacidade da União Europeia (UE) que entrará em vigor em 25 de maio de 2018. A legislação foi criada para reforçar as proteções dos dados pessoais dos cidadãos da UE e exigir que todas as empresas que controlam ou processam dados pessoais os dados dos cidadãos da UE estão a fazê-lo de forma segura e transparente.

Indiscutivelmente, o fato mais importante a ser lembrado é que os regulamentos se aplicam a empresas não pertencentes à UE e organizações sem fins lucrativos da mesma forma. Todas as organizações que coletaram dados pessoais de cidadãos da UE (conforme definido no GDPR) - sejam funcionários, doadores, voluntários ou beneficiários - são afetadas e serão responsáveis ​​pela conformidade com o GDPR.

Existem penalidades significativas por não conformidade, incluindo, mas não se limitando a, multa de até quatro por cento da receita global de uma organização. Além disso, como a proteção de dados continua sendo uma grande preocupação para o setor sem fins lucrativos, sua organização pode enfrentar uma reação pública por não conformidade, resultando na perda de suporte de parceiros, doadores e membros.

Conformidade com GDPR para organizações sem fins lucrativos

De acordo com o Information Commissioner's Office (ICO), as organizações sem fins lucrativos podem ser “controladoras de dados” e “processadoras de dados” (dependendo da situação) e, portanto, sujeitas à conformidade com o GDPR de várias maneiras, que podem incluir:

  1. Como empregador que processa dados de voluntários, curadores e funcionários
  2. Como prestador de serviços aos beneficiários
  3. Como uma organização de angariação de fundos ou campanha

Da mesma forma, os arrecadadores de fundos individuais também precisam ser instruídos sobre o GDPR, pois podem atuar como controladores de dados se coletarem dados de apoiadores enquanto arrecadam fundos em nome de uma organização sem fins lucrativos. Se você tiver uma campanha peer-to-peer atual ou futura, é sua responsabilidade informar os arrecadadores de fundos e garantir que seus processos também estejam em conformidade.

Como isso afeta minha organização sem fins lucrativos?

Para que sua organização sem fins lucrativos esteja em conformidade, você deve ser transparente e meticuloso quando se trata de coleta e processamento de dados pessoais. Isso se aplica aos dados de funcionários, voluntários, doadores, apoiadores — qualquer pessoa de quem sua organização sem fins lucrativos coleta dados pessoais. As organizações devem ter uma política e um procedimento por escrito sobre como lidam com dados pessoais e respeitar os princípios de privacidade.

A legislação também exige o cumprimento dos oito princípios de proteção de dados listados abaixo.

O GDPR fornece os seguintes direitos para indivíduos:

  1. O direito de ser informado sobre a coleta e uso de dados pessoais
  2. O direito de acesso aos seus dados pessoais e informações complementares
  3. O direito de retificação de dados pessoais imprecisos ou preenchimento de dados incompletos
  4. O direito ao apagamento dos dados pessoais
  5. O direito de restringir o processamento que permite que uma organização armazene dados, mas não os use
  6. O direito à portabilidade de dados que permite que os indivíduos obtenham e reutilizem com segurança seus próprios dados para seus próprios fins
  7. O direito de se opor ao processamento com base em interesses legítimos, marketing direto e para fins de pesquisa
  8. Direitos em relação à tomada de decisão automatizada e criação de perfil

Como minha organização sem fins lucrativos se torna compatível?

As organizações sem fins lucrativos ainda podem usar táticas de marketing para promover, arrecadar fundos e se envolver com doadores, mas o processamento de dados deve ser feito de acordo com as seis bases legais descritas pela legislação do GDPR.

A lista a seguir foi retirada do guia GDPR and Charitable Fundraising Introduction e, como eles escreveram, as seis bases legais são:

  1. Consentimento: Você pode mostrar que um indivíduo executou uma ação afirmativa clara (como dizer “sim” a uma pergunta ou marcar uma caixa de opção) para permitir que você processe seus dados pessoais para uma finalidade específica. As caixas pré-selecionadas não constituem consentimento.
  2. Contrato : O processamento é necessário para um contrato que você tem com o indivíduo ou porque eles solicitaram que você tome medidas específicas antes de celebrar um contrato.
  3. Obrigação legal : O processamento é necessário para que você cumpra a lei (não incluindo obrigações contratuais).
  4. Interesses vitais: O processamento é necessário para proteger a vida de alguém.
  5. Tarefa pública : O processamento é necessário para que você execute uma tarefa de interesse público ou para suas funções oficiais, e a tarefa ou função tem uma base legal clara.
  6. Interesses legítimos: O processamento é necessário para seus interesses legítimos ou os interesses legítimos de terceiros, a menos que os interesses ou direitos e liberdades do indivíduo sobreponham esses interesses (isso não se aplica se você for uma autoridade pública que processa dados para realizar suas tarefas oficiais) .

A ICO lista as seguintes dicas de proteção de dados para organizações sem fins lucrativos de pequeno e médio porte:

  1. Diga às pessoas o que você está fazendo com os dados delas. Um dos princípios mais importantes do GDPR é que as organizações são abertas e honestas sobre como os dados serão usados.
  2. Treine todos os funcionários, membros e voluntários sobre proteção de dados e como armazenar e lidar com todos os dados pessoais.
  3. Use senhas fortes para ajudar a manter as informações seguras.
  4. Criptografe todos os dispositivos portáteis que contêm informações pessoais.
  5. Estabeleça períodos de retenção e retenha informações pessoais apenas pelo tempo necessário.

Lembre-se de que essas dicas são simplesmente um ponto de partida para preparar sua equipe para os processos e regulamentos que serão adicionados ao processamento de dados da sua organização. Para obter mais informações, leia esses recursos adicionais sobre como essa mudança afetará sua organização e quais devem ser suas próximas etapas.

  • GDPR: um guia para instituições de caridade
    • Criado por: Charity Finance Group
  • Introdução ao GDPR e à arrecadação de fundos para instituições de caridade
    • Criado por: Institute of Fundraising, Fundraising Regulator e revisado pela ICO
  • Preparando-se para o GDPR, 12 etapas a serem seguidas agora
    • Criado por: ICO
  • Lista de Verificação de Autoavaliação
    • Criado por: ICO

Elegante e o GDPR

Aqui na Classy, ​​somos incansáveis ​​em nossa dedicação à privacidade e segurança dos dados de nossos clientes, e nossa equipe está totalmente comprometida com a conformidade com o GDPR.

Quando foi a última vez que você atualizou sua segurança cibernética sem fins lucrativos?