Ce este GDPR și cum poate afecta organizațiile nonprofit?

Publicat: 2018-05-03

Această postare de blog are doar scop informativ și nu are scopul de a acționa ca un sfat juridic. Vă rugăm să consultați un consilier juridic pentru a determina modul în care GDPR vă poate afecta afacerea.

Până acum, probabil ați auzit despre noul set de legi privind confidențialitatea din Uniunea Europeană, numit Regulamentul general privind protecția datelor (GDPR). Pe măsură ce se apropie termenul limită pentru conformitate, este posibil să existe acțiuni pe care organizația dvs. ar putea fi nevoită să le întreprindă. Citiți mai departe pentru a afla cum poate afecta GDPR organizațiile nonprofit.

Ce este GDPR?

GDPR este un regulament de confidențialitate al Uniunii Europene (UE) care va intra în vigoare la 25 mai 2018. Legislația a fost creată pentru a asigura protecții mai puternice asupra datelor cu caracter personal ale cetățenilor UE și pentru a cere ca toate companiile care controlează sau procesează datele cetățenilor UE fac acest lucru într-un mod sigur și transparent.

Probabil, cel mai important fapt de reținut este că reglementările se aplică în același mod întreprinderilor din afara UE și organizațiilor nonprofit. Toate organizațiile care au colectat date cu caracter personal ale cetățenilor UE (așa cum sunt definite în GDPR) – indiferent dacă sunt angajați, donatori, voluntari sau beneficiari – sunt afectate și vor fi responsabile pentru conformitatea cu GDPR.

Există sancțiuni semnificative pentru nerespectare, inclusiv, dar fără a se limita la, o amendă de până la patru procente din veniturile globale ale unei organizații. În plus, deoarece protecția datelor continuă să fie o preocupare majoră pentru industria nonprofit, organizația dvs. s-ar putea confrunta cu reacții publice pentru neconformitate, ceea ce duce la pierderea sprijinului din partea partenerilor, donatorilor și membrilor.

Conformitatea GDPR pentru organizații nonprofit

Potrivit Biroului Comisarului pentru Informații (ICO), organizațiile nonprofit pot fi „operatori de date” și „procesori de date” (în funcție de situație) și, astfel, supuse conformării GDPR în mai multe moduri, care pot include:

  1. În calitate de angajator, prelucrează datele voluntarilor, administratorilor și angajaților
  2. Ca furnizor de servicii pentru beneficiari
  3. Ca organizație de strângere de fonduri sau de campanie

În mod similar, strângerii de fonduri individuali trebuie, de asemenea, să fie educați cu privire la GDPR, deoarece ar putea acționa ca controlori de date dacă colectează date despre susținători în timp ce strâng fonduri în numele unei organizații nonprofit. Dacă aveți o campanie peer-to-peer actuală sau viitoare, este responsabilitatea dvs. să informați strângerii de fonduri și să vă asigurați că procesele lor sunt, de asemenea, conforme.

Cum afectează acest lucru organizația mea nonprofit?

Pentru ca organizația dvs. nonprofit să fie conformă, trebuie să fiți transparent și meticulos atunci când vine vorba de colectarea și prelucrarea datelor cu caracter personal. Acest lucru se aplică datelor angajaților, voluntarilor, donatorilor, susținătorilor — oricine de la care organizația dvs. nonprofit colectează date personale. Organizațiile trebuie să aibă o politică și o procedură scrisă privind modul în care gestionează datele cu caracter personal și să respecte principiile de confidențialitate.

Legislația cere, de asemenea, respectarea celor opt principii pentru protecția datelor care sunt enumerate mai jos.

GDPR prevede următoarele drepturi persoanelor fizice:

  1. Dreptul de a fi informat cu privire la colectarea și utilizarea datelor cu caracter personal
  2. Dreptul de acces la datele lor personale și informații suplimentare
  3. Dreptul la rectificarea datelor cu caracter personal inexacte sau completarea datelor incomplete
  4. Dreptul la ștergerea datelor cu caracter personal
  5. Dreptul de a restricționa prelucrarea care permite unei organizații să stocheze date, dar să nu le folosească
  6. Dreptul la portabilitatea datelor, care permite persoanelor fizice să obțină și să refolosească în siguranță și securizat propriile date în propriile lor scopuri
  7. Dreptul de a vă opune prelucrării bazate pe interese legitime, marketing direct și în scopuri de cercetare
  8. Drepturi în legătură cu luarea automată a deciziilor și crearea de profiluri

Cum devine organizația mea nonprofit conformă?

Organizațiile nonprofit au în continuare permisiunea de a folosi tactici de marketing pentru a promova, strânge fonduri și a se angaja cu donatorii, dar prelucrarea datelor trebuie să se facă în conformitate cu cele șase baze legale subliniate de legislația GDPR.

Următoarea listă este preluată din ghidul de introducere a GDPR și a strângerii de fonduri caritabile și, așa cum au scris-o, cele șase baze legale sunt:

  1. Consimțământ: puteți demonstra că o persoană a efectuat o acțiune afirmativă clară (cum ar fi rostirea „da” la o întrebare sau bifarea unei casete de înscriere) pentru a vă permite să procesați datele sale personale într-un anumit scop. Căsuțele pre-bifate nu constituie consimțământ.
  2. Contract : Prelucrarea este necesară pentru un contract pe care îl aveți cu persoana fizică, sau pentru că aceasta v-a cerut să luați măsuri specifice înainte de a încheia un contract.
  3. Obligație legală : Prelucrarea este necesară pentru a respecta legea (fără a include obligațiile contractuale).
  4. Interese vitale: Prelucrarea este necesară pentru a proteja viața cuiva.
  5. Sarcina publică : Prelucrarea este necesară pentru a îndeplini o sarcină de interes public sau pentru funcțiile dumneavoastră oficiale, iar sarcina sau funcția are o bază clară în drept.
  6. Interese legitime: Prelucrarea este necesară pentru interesele dumneavoastră legitime sau interesele legitime ale unei terțe părți, cu excepția cazului în care interesele sau drepturile și libertățile persoanei prevalează asupra acestor interese (acest lucru nu se poate aplica dacă sunteți o autoritate publică care prelucrează date pentru a vă îndeplini sarcinile oficiale) .

ICO enumeră următoarele sfaturi privind protecția datelor pentru organizațiile nonprofit mici și mijlocii:

  1. Spuneți-le oamenilor ce faceți cu datele lor. Unul dintre cele mai importante principii ale GDPR este că organizațiile sunt deschise și oneste cu privire la modul în care vor fi utilizate datele.
  2. Instruiți toți personalul, membrii și voluntarii cu privire la protecția datelor și cum să stocați și să gestionați toate datele personale.
  3. Folosiți parole puternice pentru a menține informațiile în siguranță.
  4. Criptați toate dispozitivele portabile care dețin informații personale.
  5. Stabiliți perioade de păstrare și păstrați informațiile personale doar atât timp cât este necesar.

Amintiți-vă că aceste sfaturi sunt pur și simplu un punct de plecare pentru a vă pregăti echipa pentru procesele și reglementările care vor fi adăugate procesării datelor organizației dvs. Pentru mai multe informații, citiți aceste resurse suplimentare despre modul în care această schimbare va afecta organizația dvs. și care ar trebui să fie următorii pași.

  • GDPR: Un ghid pentru organizații caritabile
    • Creat de: Charity Finance Group
  • Introducere GDPR și strângerea de fonduri caritabile
    • Creat de: Institute of Fundraising, Fundraising Regulator și revizuit de ICO
  • Pregătirea pentru GDPR, 12 pași de urmat acum
    • Creat de: ICO
  • Lista de verificare pentru autoevaluare
    • Creat de: ICO

Elegant și GDPR

Aici, la Classy, ​​suntem necruțători în dedicarea noastră față de confidențialitatea și securitatea datelor clienților noștri, iar echipa noastră este pe deplin angajată în respectarea GDPR.

Când ați actualizat ultima dată securitatea cibernetică nonprofit?