GDPR Nedir ve Sivil Toplum Kuruluşlarını Nasıl Etkileyebilir?

Yayınlanan: 2018-05-03

Bu blog yazısı yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. GDPR'nin işletmenizi nasıl etkileyebileceğini belirlemek için lütfen hukuk danışmanına danışın.

Şimdiye kadar muhtemelen Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) adı verilen yeni gizlilik yasalarını duymuşsunuzdur. Uyumluluk için son tarih yaklaştıkça, kuruluşunuzun atması gerekebilecek eylemler olabilir. GDPR'nin kâr amacı gütmeyen kuruluşları nasıl etkileyebileceğini öğrenmek için okumaya devam edin.

GDPR Nedir?

GDPR, 25 Mayıs 2018'de yürürlüğe girecek olan Avrupa Birliği'nin (AB) bir gizlilik düzenlemesidir. Mevzuat, AB vatandaşlarının kişisel verilerine daha güçlü korumalar getirmek ve kişisel verileri kontrol eden veya işleyen tüm işletmelerin AB vatandaşlarının verileri bunu güvenli ve şeffaf bir şekilde yapıyor.

Muhtemelen, hatırlanması gereken en önemli gerçek, düzenlemelerin AB dışı işletmeler ve kar amacı gütmeyen kuruluşlar için aynı şekilde geçerli olmasıdır. AB vatandaşlarının (GDPR'de tanımlandığı şekliyle) kişisel verilerini toplamış olan tüm kuruluşlar (ister çalışan, ister bağışçı, gönüllü veya yararlanıcı olsun) bu durumdan etkilenir ve GDPR uyumluluğundan sorumlu olacaktır.

Bir kuruluşun küresel gelirinin yüzde dördüne kadar bir para cezası dahil ancak bunlarla sınırlı olmamak üzere, uyumsuzluk için önemli cezalar vardır. Ek olarak, veri koruma kar amacı gütmeyen sektör için büyük bir endişe olmaya devam ederken, kuruluşunuz uyumsuzluk nedeniyle ortaklardan, bağışçılardan ve üyelerden destek kaybına neden olan kamuoyu tepkisiyle karşı karşıya kalabilir.

Sivil Toplum Kuruluşları için GDPR Uyumluluğu

Bilgi Komisyonu Ofisi'ne (ICO) göre, kâr amacı gütmeyen kuruluşlar “veri kontrolörleri” ve “veri işlemcileri” (duruma bağlı olarak) olabilir ve bu nedenle aşağıdakileri içerebilecek çeşitli şekillerde GDPR uyumluluğuna tabi olabilir:

  1. Gönüllülerin, mütevelli heyetlerinin ve çalışanların verilerini işleyen bir işveren olarak
  2. Faydalanıcılara hizmet sağlayıcı olarak
  3. Bir bağış toplama veya kampanya organizasyonu olarak

Benzer şekilde, kâr amacı gütmeyen bir kuruluş adına bağış toplarken destekçi verileri toplarlarsa veri denetleyicisi olarak hareket edebileceklerinden bireysel bağış toplayıcıların da GDPR konusunda eğitilmesi gerekir. Mevcut veya yaklaşan bir eşler arası kampanyanız varsa, bağış toplayıcıları bilgilendirmek ve süreçlerinin uyumlu olmasını sağlamak sizin sorumluluğunuzdadır.

Bu, Kâr Amacı Gütmeyen Kuruluşumu Nasıl Etkiler?

Kâr amacı gütmeyen kuruluşunuzun uyumlu olması için, kişisel verilerin toplanması ve işlenmesi söz konusu olduğunda şeffaf ve titiz olmalısınız. Bu, kâr amacı gütmeyen kuruluşunuzun kişisel verilerini topladığı çalışanların, gönüllülerin, bağışçıların, destekçilerin verileri için geçerlidir. Kuruluşların, kişisel verileri nasıl ele aldıklarına ve gizlilik ilkelerine nasıl uyduklarına dair yazılı bir politikası ve prosedürü olmalıdır.

Mevzuat ayrıca aşağıda sıralanan sekiz veri koruma ilkesine uyulmasını zorunlu kılmaktadır.

GDPR, bireyler için aşağıdaki hakları sağlar:

  1. Kişisel verilerin toplanması ve kullanılması hakkında bilgilendirilme hakkı
  2. Kişisel verilere ve ek bilgilere erişim hakkı
  3. Yanlış kişisel verilerin düzeltilmesi veya eksik verilerin tamamlanması hakkı
  4. Kişisel verileri silme hakkı
  5. Bir kuruluşun verileri depolamasına izin veren ancak kullanmamasına izin veren işlemeyi kısıtlama hakkı
  6. Bireylerin kendi verilerini güvenli ve güvenli bir şekilde elde etmelerine ve kendi amaçları için yeniden kullanmalarına olanak tanıyan veri taşınabilirliği hakkı
  7. Meşru menfaatlere, doğrudan pazarlamaya ve araştırma amaçlarına dayalı olarak işlemeye itiraz etme hakkı
  8. Otomatik karar verme ve profil oluşturma ile ilgili haklar

Kâr Amacı Gütmeyen Kuruluşum Nasıl Uyumlu Olur?

Kâr amacı gütmeyen kuruluşların tanıtım yapmak, bağış toplamak ve bağışçılarla ilişki kurmak için pazarlama taktiklerini kullanmasına hala izin verilmektedir, ancak veri işleme, GDPR mevzuatında belirtilen altı yasal temele göre yapılmalıdır.

Aşağıdaki liste GDPR ve Hayır Amaçlı Bağış Toplama Giriş kılavuzundan alınmıştır ve yazdıkları gibi altı yasal dayanak şunlardır:

  1. Rıza: Bir kişinin kişisel verilerini belirli bir amaç için işlemenize izin vermek için (bir soruya “evet” demek veya bir onay kutusunu işaretlemek gibi) net bir olumlu eylem gerçekleştirdiğini gösterebilirsiniz. Önceden işaretlenmiş kutular onay oluşturmaz.
  2. Sözleşme : İşlem, kişiyle yaptığınız bir sözleşme için veya bir sözleşmeye girmeden önce sizden belirli adımlar atmanızı istedikleri için gereklidir.
  3. Yasal yükümlülük : İşleme, yasalara uymanız için gereklidir (sözleşmeden doğan yükümlülükler hariç).
  4. Hayati çıkarlar: İşleme, birinin hayatını korumak için gereklidir.
  5. Kamu görevi : İşleme, kamu yararına bir görevi yerine getirmeniz veya resmi görevleriniz için gerekli olup, görev veya işlevin kanunda açık bir temeli vardır.
  6. Meşru menfaatler: Bireyin menfaatleri veya hakları ve özgürlükleri bu menfaatleri geçersiz kılmadıkça, sizin meşru menfaatleriniz veya bir üçüncü şahsın meşru menfaatleri için işleme gereklidir (bu, resmi görevlerinizi yerine getirmek için veri işleyen bir kamu makamı iseniz geçerli değildir) .

ICO, küçük ve orta ölçekli sivil toplum kuruluşları için aşağıdaki veri koruma ipuçlarını listeler:

  1. İnsanlara verileriyle ne yaptığınızı söyleyin. GDPR'nin en önemli ilkelerinden biri, kuruluşların verilerin nasıl kullanılacağı konusunda açık ve dürüst olmasıdır.
  2. Tüm personeli, üyeleri ve gönüllüleri veri koruma ve tüm kişisel verilerin nasıl saklanacağı ve işleneceği konusunda eğitin.
  3. Bilgileri güvende tutmaya yardımcı olması için güçlü parolalar kullanın.
  4. Kişisel bilgileri tutan tüm taşınabilir cihazları şifreleyin.
  5. Saklama süreleri belirleyin ve kişisel bilgileri yalnızca gerektiği kadar saklayın.

Bu ipuçlarının, ekibinizi kuruluşunuzun veri işleme sürecine eklenecek süreçler ve düzenlemelere hazırlamak için sadece bir başlangıç ​​noktası olduğunu unutmayın. Daha fazla bilgi için, bu değişikliğin kuruluşunuzu nasıl etkileyeceği ve sonraki adımlarınızın ne olması gerektiğine ilişkin bu ek kaynakları okuyun.

  • GDPR: Hayır Kurumları İçin Bir Kılavuz
    • Oluşturan: Charity Finance Group
  • GDPR ve Hayır Amaçlı Bağış Toplama Girişi
    • Oluşturan: Institute of Fundraising, Fundraising Regulator ve ICO tarafından gözden geçirildi
  • GDPR'ye Hazırlanmak, Şimdi Atmanız Gereken 12 Adım
    • Oluşturan: ICO
  • Öz Değerlendirme Kontrol Listesi
    • Oluşturan: ICO

Şık ve GDPR

Classy'de, müşterilerimizin verilerinin gizliliğine ve güvenliğine olan bağlılığımız konusunda acımasızız ve ekibimiz tamamen GDPR uyumluluğuna bağlıdır.

Kâr Amacı Gütmeyen Siber Güvenliğinizi En Son Ne Zaman Güncellediniz?