本博文仅供参考,不作为法律建议。 请咨询法律顾问以确定 GDPR 如何影响您的业务。
到目前为止,您可能已经听说过欧盟新的隐私法,称为通用数据保护条例 (GDPR)。 随着合规期限的临近,您的组织可能需要采取一些措施。 继续阅读以了解 GDPR 如何影响非营利组织。
什么是 GDPR?
GDPR 是欧盟 (EU) 的一项隐私法规,将于 2018 年 5 月 25 日生效。该立法旨在加强对欧盟公民个人数据的保护,并要求所有控制或处理个人数据的企业欧盟公民的数据以安全和透明的方式进行。
可以说,要记住的最重要的事实是,这些法规同样适用于非欧盟企业和非营利组织。 所有收集了欧盟公民(如 GDPR 中定义)个人数据的组织——无论他们是员工、捐赠者、志愿者还是受益人——都会受到影响,并将负责遵守 GDPR。
违规行为将受到重大处罚,包括但不限于最高可达组织全球收入 4% 的罚款。 此外,由于数据保护仍然是非营利行业的主要关注点,您的组织可能会因不合规而面临公众的强烈反对,从而导致失去合作伙伴、捐助者和成员的支持。
非营利组织的 GDPR 合规性
根据信息专员办公室 (ICO) 的说法,非营利组织可以是“数据控制者”和“数据处理者”(视情况而定),因此以多种方式遵守 GDPR,其中可能包括:
- 作为雇主处理志愿者、受托人和雇员的数据
- 作为受益人的服务提供者
- 作为筹款或竞选组织
同样,个人筹款人也需要接受有关 GDPR 的教育,因为如果他们在代表非营利组织筹款时收集支持者数据,他们可能会充当数据控制者。 如果您有当前或即将进行的点对点活动,您有责任通知筹款人并确保他们的流程也合规。
这对我的非营利组织有何影响?
为了使您的非营利组织合规,在收集和处理个人数据时,您必须保持透明和细致。 这适用于员工、志愿者、捐赠者、支持者的数据——您的非营利组织向其收集个人数据的任何人。 组织必须有关于如何处理个人数据和遵守隐私原则的书面政策和程序。
该立法还要求遵守下面列出的八项数据保护原则。
GDPR 为个人提供以下权利:
- 被告知收集和使用个人数据的权利
- 访问其个人数据和补充信息的权利
- 更正不准确的个人数据或完成不完整数据的权利
- 删除个人数据的权利
- 限制处理的权利,允许组织存储数据但不使用它
- 数据可移植性的权利,允许个人为自己的目的安全可靠地获取和重用自己的数据
- 基于合法利益、直接营销和研究目的反对处理的权利
- 与自动决策和分析相关的权利
我的非营利组织如何合规?
非营利组织仍被允许使用营销策略来宣传、筹款和与捐助者互动,但数据处理必须根据 GDPR 立法概述的六个合法基础进行。
以下列表摘自 GDPR 和慈善筹款介绍指南,正如他们所写,六个合法基础是:
- 同意:您可以表明个人已采取明确的肯定行动(例如对问题说“是”或勾选选择加入框),以允许您出于特定目的处理他们的个人数据。 预先选中的框不构成同意。
- 合同:处理对于您与个人签订的合同是必要的,或者因为他们要求您在签订合同之前采取特定步骤。
- 法律义务:处理是您遵守法律所必需的(不包括合同义务)。
- 重要利益:处理对于保护某人的生命是必要的。
- 公共任务:处理是您为公共利益或您的公务执行任务所必需的,并且该任务或功能具有明确的法律依据。
- 合法利益:处理对于您的合法利益或第三方的合法利益是必要的,除非个人的利益或权利和自由凌驾于这些利益之上(如果您是处理数据以执行官方任务的公共机构,则不适用) .
ICO 列出了以下针对中小型非营利组织的数据保护提示:
- 告诉人们你在用他们的数据做什么。 GDPR 最重要的原则之一是组织对数据的使用方式持开放和诚实的态度。
- 就数据保护以及如何存储和处理所有个人数据对所有员工、成员和志愿者进行培训。
- 使用强密码来帮助确保信息安全。
- 加密所有保存个人信息的便携式设备。
- 建立保留期限,并仅在必要时保留个人信息。
请记住,这些提示只是让您的团队为将添加到您组织的数据处理中的流程和法规做好准备的起点。 有关更多信息,请通读这些附加资源,了解此更改将如何影响您的组织以及您的下一步应该是什么。
- GDPR:慈善指南
- 创建者:慈善金融集团
- GDPR 和慈善筹款介绍
- 创建者:筹款研究所,筹款监管机构,并由 ICO 审查
- 为 GDPR 做准备,现在要采取的 12 个步骤
- 创建者:ICO
- 自我评估清单
- 创建者:ICO
优雅和 GDPR
在 Classy,我们不懈地致力于保护客户数据的隐私和安全,我们的团队完全致力于 GDPR 合规性。
您上次更新非营利网络安全是什么时候?