Что такое GDPR и как он может повлиять на некоммерческие организации?

Опубликовано: 2018-05-03

Этот пост в блоге предназначен только для информационных целей и не предназначен для использования в качестве юридической консультации. Пожалуйста, проконсультируйтесь с юрисконсультом, чтобы определить, как GDPR может повлиять на ваш бизнес.

К настоящему времени вы, вероятно, слышали о новом наборе законов о конфиденциальности Европейского Союза, который называется Общим регламентом защиты данных (GDPR). По мере приближения крайнего срока соблюдения требований вашей организации могут потребоваться действия. Читайте дальше, чтобы узнать, как GDPR может повлиять на некоммерческие организации.

Что такое GDPR?

GDPR — это регламент Европейского Союза (ЕС) о конфиденциальности, который вступит в силу 25 мая 2018 года. Законодательство было создано, чтобы усилить защиту персональных данных граждан ЕС и потребовать, чтобы все предприятия, которые контролируют или обрабатывают персональные данные граждан ЕС делают это безопасным и прозрачным способом.

Возможно, наиболее важным фактом, который следует помнить, является то, что правила применяются как к предприятиям, не входящим в ЕС, так и к некоммерческим организациям. Все организации, которые собирали личные данные граждан ЕС (согласно определению в GDPR), независимо от того, являются ли они сотрудниками, донорами, волонтерами или бенефициарами, затронуты и будут нести ответственность за соблюдение GDPR.

За несоблюдение предусмотрены значительные штрафы, включая, помимо прочего, штраф в размере до четырех процентов от глобального дохода организации. Кроме того, поскольку защита данных по-прежнему является серьезной проблемой для некоммерческой отрасли, ваша организация может столкнуться с негативной реакцией общественности из-за несоблюдения требований, что приведет к потере поддержки со стороны партнеров, доноров и участников.

Соответствие GDPR для некоммерческих организаций

По данным Управления Комиссара по информации (ICO), некоммерческие организации могут быть «контроллерами данных» и «обработчиками данных» (в зависимости от ситуации) и, таким образом, подчиняться GDPR несколькими способами, которые могут включать:

  1. Как работодатель обрабатывает данные волонтеров, попечителей и сотрудников
  2. Как поставщик услуг бенефициарам
  3. Как организация по сбору средств или кампании

Точно так же отдельные сборщики средств также должны быть осведомлены о GDPR, поскольку они могут выступать в качестве контролеров данных, если они собирают данные сторонников при сборе средств от имени некоммерческой организации. Если у вас есть текущая или предстоящая одноранговая кампания, вы также обязаны информировать сборщиков средств и обеспечивать соответствие их процессов.

Как это повлияет на мою некоммерческую организацию?

Чтобы ваша некоммерческая организация соответствовала требованиям, вы должны быть прозрачными и дотошными, когда речь идет о сборе и обработке персональных данных. Это относится к данным сотрудников, волонтеров, доноров, сторонников — всех, от кого ваша некоммерческая организация собирает личные данные. Организации должны иметь письменную политику и процедуру обработки персональных данных и соблюдать принципы конфиденциальности.

Законодательство также требует соблюдения восьми принципов защиты данных, перечисленных ниже.

GDPR предоставляет следующие права для физических лиц:

  1. Право на получение информации о сборе и использовании персональных данных
  2. Право на доступ к своим персональным данным и дополнительной информации
  3. Право на исправление неточных личных данных или дополнение неполных данных
  4. Право на удаление персональных данных
  5. Право на ограничение обработки, которое позволяет организации хранить данные, но не использовать их.
  6. Право на переносимость данных, которое позволяет людям безопасно и надежно получать и повторно использовать свои собственные данные в своих целях.
  7. Право возражать против обработки на основании законных интересов, прямого маркетинга и в исследовательских целях.
  8. Права в отношении автоматизированного принятия решений и профилирования

Как моя некоммерческая организация становится совместимой?

Некоммерческим организациям по-прежнему разрешено использовать маркетинговые тактики для продвижения, сбора средств и взаимодействия с донорами, но обработка данных должна осуществляться в соответствии с шестью законными основаниями, изложенными в законодательстве GDPR.

Следующий список взят из Вводного руководства по GDPR и благотворительному сбору средств, и в том виде, в котором они его написали, шесть законных оснований:

  1. Согласие: вы можете показать, что лицо выполнило четкое положительное действие (например, ответило «да» на вопрос или поставило галочку в поле согласия), чтобы разрешить вам обрабатывать его личные данные для определенной цели. Предварительно установленные флажки не означают согласия.
  2. Контракт : обработка необходима для контракта, который у вас есть с физическим лицом, или потому что они попросили вас предпринять определенные шаги перед заключением контракта.
  3. Юридическое обязательство : обработка необходима для соблюдения вами закона (не включая договорные обязательства).
  4. Жизненно важные интересы: обработка необходима для защиты чьей-то жизни.
  5. Общественная задача : обработка необходима для выполнения вами задачи в общественных интересах или для выполнения ваших официальных функций, и задача или функция имеет четкую юридическую основу.
  6. Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, за исключением случаев, когда интересы или права и свободы человека имеют преимущественную силу над этими интересами (это не применимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих официальных задач). .

В ICO перечислены следующие советы по защите данных для малых и средних некоммерческих организаций:

  1. Расскажите людям, что вы делаете с их данными. Один из наиболее важных принципов GDPR заключается в том, что организации должны быть открытыми и честными в отношении того, как будут использоваться данные.
  2. Обучите всех сотрудников, участников и волонтеров защите данных, а также тому, как хранить и обрабатывать все личные данные.
  3. Используйте надежные пароли, чтобы защитить информацию.
  4. Шифруйте все портативные устройства, на которых хранится личная информация.
  5. Установите периоды хранения и храните личную информацию только столько времени, сколько необходимо.

Помните, что эти советы являются лишь отправной точкой для подготовки вашей команды к процессам и правилам, которые будут добавлены к обработке данных в вашей организации. Для получения дополнительной информации ознакомьтесь с этими дополнительными ресурсами о том, как это изменение повлияет на вашу организацию и какими должны быть ваши дальнейшие действия.

  • GDPR: руководство для благотворительных организаций
    • Создано: Charity Finance Group
  • GDPR и сбор средств на благотворительность. Введение
    • Создано: Институтом сбора средств, Регулятором сбора средств и проверено ICO.
  • Подготовка к GDPR, 12 шагов, которые нужно сделать прямо сейчас
    • Создано: ИКО
  • Контрольный список самооценки
    • Создано: ИКО

Классика и GDPR

Здесь, в Classy, ​​мы неустанно стремимся к конфиденциальности и безопасности данных наших клиентов, и наша команда полностью привержена соблюдению GDPR.

Когда вы в последний раз обновляли свою некоммерческую кибербезопасность?