โพสต์บล็อกนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้นและไม่ได้มีวัตถุประสงค์เพื่อเป็นคำแนะนำทางกฎหมาย โปรดปรึกษาที่ปรึกษากฎหมายเพื่อพิจารณาว่า GDPR อาจส่งผลกระทบต่อธุรกิจของคุณอย่างไร
ถึงตอนนี้ คุณคงเคยได้ยินเกี่ยวกับกฎหมายความเป็นส่วนตัวชุดใหม่ของสหภาพยุโรปที่เรียกว่ากฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) เมื่อใกล้ถึงเส้นตายสำหรับการปฏิบัติตามข้อกำหนด อาจมีการดำเนินการที่องค์กรของคุณอาจต้องดำเนินการ อ่านต่อไปเพื่อดูว่า GDPR อาจส่งผลต่อองค์กรไม่แสวงหากำไรอย่างไร
GDPR คืออะไร?
GDPR เป็นข้อบังคับด้านความเป็นส่วนตัวของสหภาพยุโรป (EU) ซึ่งจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2018 กฎหมายดังกล่าวสร้างขึ้นเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปที่เข้มงวดยิ่งขึ้น และกำหนดให้ธุรกิจทั้งหมดที่ควบคุมหรือประมวลผลข้อมูลส่วนบุคคล ข้อมูลของพลเมืองสหภาพยุโรปกำลังดำเนินการดังกล่าวอย่างปลอดภัยและโปร่งใส
ข้อเท็จจริงที่สำคัญที่สุดที่ต้องจำไว้ก็คือกฎระเบียบดังกล่าวมีผลกับธุรกิจนอกสหภาพยุโรปและองค์กรไม่แสวงหากำไรเช่นเดียวกัน ทุกองค์กรที่ได้รวบรวมข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป (ตามที่กำหนดไว้ใน GDPR) ไม่ว่าจะเป็นพนักงาน ผู้บริจาค อาสาสมัคร หรือผู้รับผลประโยชน์ จะได้รับผลกระทบและจะต้องรับผิดชอบต่อการปฏิบัติตาม GDPR
มีบทลงโทษที่สำคัญสำหรับการไม่ปฏิบัติตาม ซึ่งรวมถึงแต่ไม่จำกัดเพียงการปรับสูงถึงสี่เปอร์เซ็นต์ของรายได้ทั่วโลกขององค์กร นอกจากนี้ เนื่องจากการปกป้องข้อมูลยังคงเป็นข้อกังวลหลักสำหรับอุตสาหกรรมที่ไม่แสวงหาผลกำไร องค์กรของคุณอาจเผชิญกับฟันเฟืองสาธารณะสำหรับการไม่ปฏิบัติตามข้อกำหนด ส่งผลให้สูญเสียการสนับสนุนจากพันธมิตร ผู้บริจาค และสมาชิก
การปฏิบัติตาม GDPR สำหรับองค์กรไม่แสวงหาผลกำไร
ตามข้อมูลของสำนักงานคณะกรรมาธิการข้อมูล (ICO) องค์กรไม่แสวงหากำไรสามารถเป็น "ผู้ควบคุมข้อมูล" และ "ผู้ประมวลผลข้อมูล" (ขึ้นอยู่กับสถานการณ์) และอยู่ภายใต้การปฏิบัติตาม GDPR ได้หลายวิธี ซึ่งอาจรวมถึง:
- เป็นนายจ้างที่ประมวลผลข้อมูลของอาสาสมัคร ผู้ดูแลผลประโยชน์ และลูกจ้าง
- เป็นผู้ให้บริการแก่ผู้รับประโยชน์
- เป็นองค์กรระดมทุนหรือรณรงค์
ในทำนองเดียวกัน ผู้ระดมทุนรายบุคคลจำเป็นต้องได้รับการศึกษาเกี่ยวกับ GDPR เนื่องจากพวกเขาสามารถทำหน้าที่เป็นผู้ควบคุมข้อมูลได้หากพวกเขารวบรวมข้อมูลผู้สนับสนุนในขณะที่ระดมทุนในนามขององค์กรไม่แสวงหากำไร หากคุณมีแคมเปญแบบ peer-to-peer ในปัจจุบันหรือที่กำลังจะมีขึ้น เป็นความรับผิดชอบของคุณที่จะต้องแจ้งผู้ระดมทุนและตรวจสอบให้แน่ใจว่ากระบวนการของพวกเขาเป็นไปตามข้อกำหนดเช่นกัน
สิ่งนี้ส่งผลต่อองค์กรไม่แสวงหากำไรของฉันอย่างไร
เพื่อให้องค์กรไม่แสวงหากำไรของคุณปฏิบัติตาม คุณต้องโปร่งใสและพิถีพิถันในการรวบรวมและประมวลผลข้อมูลส่วนบุคคล สิ่งนี้ใช้กับข้อมูลของพนักงาน อาสาสมัคร ผู้บริจาค ผู้สนับสนุน—ใครก็ตามที่องค์กรไม่แสวงหากำไรของคุณรวบรวมข้อมูลส่วนบุคคล องค์กรต้องมีนโยบายและขั้นตอนเป็นลายลักษณ์อักษรสำหรับวิธีจัดการข้อมูลส่วนบุคคลและปฏิบัติตามหลักการความเป็นส่วนตัว
กฎหมายยังกำหนดให้ต้องปฏิบัติตามหลักแปดประการในการปกป้องข้อมูลซึ่งแสดงไว้ด้านล่าง
GDPR ให้สิทธิ์แก่บุคคลดังต่อไปนี้:
- สิทธิที่จะได้รับแจ้งเกี่ยวกับการรวบรวมและการใช้ข้อมูลส่วนบุคคล
- สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลและข้อมูลเสริม
- สิทธิ์ในการแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือการกรอกข้อมูลที่ไม่ครบถ้วนสมบูรณ์
- สิทธิในการลบข้อมูลส่วนบุคคล
- สิทธิ์ในการจำกัดการประมวลผลที่อนุญาตให้องค์กรจัดเก็บข้อมูลแต่ไม่นำไปใช้
- สิทธิ์ในการเคลื่อนย้ายข้อมูลซึ่งช่วยให้บุคคลได้รับและนำข้อมูลของตนเองไปใช้ใหม่ได้อย่างปลอดภัยและเพื่อวัตถุประสงค์ของตนเอง
- สิทธิในการคัดค้านการประมวลผลตามผลประโยชน์ที่ชอบด้วยกฎหมาย การตลาดทางตรง และเพื่อวัตถุประสงค์ในการวิจัย
- สิทธิ์ที่เกี่ยวข้องกับการตัดสินใจอัตโนมัติและการทำโปรไฟล์
องค์กรไม่แสวงหากำไรของฉันจะปฏิบัติตามได้อย่างไร?
องค์กรไม่แสวงหากำไรยังคงได้รับอนุญาตให้ใช้กลยุทธ์ทางการตลาดเพื่อส่งเสริม ระดมทุน และมีส่วนร่วมกับผู้บริจาค แต่การประมวลผลข้อมูลจะต้องดำเนินการตามหลักกฎหมายหกประการที่ร่างกฎหมาย GDPR ระบุไว้
รายการต่อไปนี้นำมาจาก GDPR และคู่มือแนะนำการระดมทุนเพื่อการกุศล และตามที่ได้เขียนไว้ ฐานทางกฎหมายหกประการคือ:
- ความยินยอม: คุณสามารถแสดงว่าบุคคลได้ดำเนินการยืนยันอย่างชัดเจน (เช่น การตอบว่า "ใช่" กับคำถามหรือการทำเครื่องหมายในช่องการเลือกรับ) เพื่อให้คุณสามารถประมวลผลข้อมูลส่วนบุคคลของตนเพื่อวัตถุประสงค์เฉพาะได้ ช่องทำเครื่องหมายล่วงหน้าไม่ถือเป็นการยินยอม
- สัญญา : การประมวลผลจำเป็นสำหรับสัญญาที่คุณมีกับบุคคลนั้นๆ หรือเพราะพวกเขาขอให้คุณทำตามขั้นตอนเฉพาะก่อนที่จะทำสัญญา
- ภาระผูกพันทางกฎหมาย : การประมวลผลจำเป็นสำหรับคุณในการปฏิบัติตามกฎหมาย (ไม่รวมถึงภาระผูกพันตามสัญญา)
- ความสนใจที่สำคัญ: การประมวลผลมีความจำเป็นเพื่อปกป้องชีวิตของใครบางคน
- งานสาธารณะ : การประมวลผลจำเป็นสำหรับคุณในการทำงานเพื่อสาธารณประโยชน์หรือสำหรับหน้าที่ราชการของคุณ และงานหรือหน้าที่นั้นมีพื้นฐานทางกฎหมายที่ชัดเจน
- ผลประโยชน์ที่ชอบด้วยกฎหมาย: การประมวลผลจำเป็นสำหรับผลประโยชน์ที่ชอบด้วยกฎหมายของคุณหรือผลประโยชน์โดยชอบด้วยกฎหมายของบุคคลที่สาม เว้นแต่ผลประโยชน์หรือสิทธิและเสรีภาพของบุคคลนั้นจะแทนที่ผลประโยชน์เหล่านั้น (สิ่งนี้ไม่สามารถนำไปใช้ได้หากคุณเป็นหน่วยงานสาธารณะที่ประมวลผลข้อมูลเพื่อดำเนินงานอย่างเป็นทางการของคุณ) .
ICO แสดงรายการเคล็ดลับการปกป้องข้อมูลต่อไปนี้สำหรับองค์กรไม่แสวงผลกำไรขนาดเล็กถึงขนาดกลาง:
- บอกผู้คนว่าคุณกำลังทำอะไรกับข้อมูลของพวกเขา หลักการที่สำคัญที่สุดประการหนึ่งของ GDPR คือองค์กรเปิดเผยและซื่อสัตย์เกี่ยวกับวิธีการใช้ข้อมูล
- ฝึกอบรมพนักงาน สมาชิก และอาสาสมัครทุกคนเกี่ยวกับการปกป้องข้อมูลและวิธีจัดเก็บและจัดการข้อมูลส่วนบุคคลทั้งหมด
- ใช้รหัสผ่านที่รัดกุมเพื่อช่วยรักษาข้อมูลให้ปลอดภัย
- เข้ารหัสอุปกรณ์พกพาทั้งหมดที่เก็บข้อมูลส่วนตัว
- กำหนดระยะเวลาเก็บรักษาและเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นเท่านั้น
โปรดจำไว้ว่าเคล็ดลับเหล่านี้เป็นเพียงจุดเริ่มต้นในการเตรียมทีมของคุณให้พร้อมสำหรับกระบวนการและข้อบังคับที่จะเพิ่มในการประมวลผลข้อมูลขององค์กรของคุณ สำหรับข้อมูลเพิ่มเติม โปรดอ่านแหล่งข้อมูลเพิ่มเติมเหล่านี้ว่าการเปลี่ยนแปลงนี้จะส่งผลต่อองค์กรของคุณอย่างไร และขั้นตอนต่อไปของคุณควรเป็นอย่างไร
- GDPR: คู่มือเพื่อการกุศล
- สร้างโดย: Charity Finance Group
- GDPR และบทนำการระดมทุนเพื่อการกุศล
- สร้างโดย: Institute of Fundraising, Fundraising Regulator, and reviewed by ICO
- การเตรียมพร้อมสำหรับ GDPR 12 ขั้นตอนในการดำเนินการตอนนี้
- สร้างโดย: ICO
- รายการตรวจสอบการประเมินตนเอง
- สร้างโดย: ICO
มีระดับและ GDPR
ที่ Classy เราทุ่มเทอย่างไม่ลดละเพื่อความเป็นส่วนตัวและความปลอดภัยของข้อมูลลูกค้า และทีมงานของเรามุ่งมั่นที่จะปฏิบัติตาม GDPR อย่างเต็มที่
คุณอัปเดตความปลอดภัยทางไซเบอร์ที่ไม่แสวงหากำไรครั้งล่าสุดเมื่อใด