本博文僅供參考,不作為法律建議。 請諮詢法律顧問以確定 GDPR 如何影響您的業務。
到目前為止,您可能已經聽說過歐盟新的隱私法,稱為通用數據保護條例 (GDPR)。 隨著合規期限的臨近,您的組織可能需要採取一些措施。 繼續閱讀以了解 GDPR 如何影響非營利組織。
什麼是 GDPR?
GDPR 是歐盟 (EU) 的一項隱私法規,將於 2018 年 5 月 25 日生效。該立法旨在加強對歐盟公民個人數據的保護,並要求所有控製或處理個人數據的企業歐盟公民的數據以安全和透明的方式進行。
可以說,要記住的最重要的事實是,這些法規同樣適用於非歐盟企業和非營利組織。 所有收集了歐盟公民(如 GDPR 中定義)個人數據的組織——無論他們是員工、捐贈者、志願者還是受益人——都會受到影響,並將負責遵守 GDPR。
違規行為將受到重大處罰,包括但不限於最高可達組織全球收入 4% 的罰款。 此外,由於數據保護仍然是非營利行業的主要關注點,您的組織可能會因不合規而面臨公眾強烈反對,從而導致失去合作夥伴、捐助者和成員的支持。
非營利組織的 GDPR 合規性
根據信息專員辦公室 (ICO) 的說法,非營利組織可以是“數據控制者”和“數據處理者”(視情況而定),因此以多種方式遵守 GDPR,其中可能包括:
- 作為雇主處理志願者、受託人和僱員的數據
- 作為受益人的服務提供者
- 作為籌款或競選組織
同樣,個人籌款人也需要接受有關 GDPR 的教育,因為如果他們在代表非營利組織籌款時收集支持者數據,他們可能會充當數據控制者。 如果您有當前或即將進行的點對點活動,您有責任通知籌款人並確保他們的流程也合規。
這對我的非營利組織有何影響?
為了使您的非營利組織合規,在收集和處理個人數據時,您必須保持透明和細緻。 這適用於員工、志願者、捐贈者、支持者的數據——您的非營利組織向其收集個人數據的任何人。 組織必須有關於如何處理個人數據和遵守隱私原則的書面政策和程序。
該立法還要求遵守下面列出的八項數據保護原則。
GDPR 為個人提供以下權利:
- 被告知收集和使用個人數據的權利
- 訪問其個人數據和補充信息的權利
- 更正不准確的個人數據或完成不完整數據的權利
- 刪除個人數據的權利
- 限制處理的權利,允許組織存儲數據但不使用它
- 數據可移植性的權利,允許個人為自己的目的安全可靠地獲取和重用自己的數據
- 基於合法利益、直接營銷和研究目的反對處理的權利
- 與自動決策和分析相關的權利
我的非營利組織如何合規?
非營利組織仍被允許使用營銷策略來宣傳、籌款和與捐助者互動,但數據處理必鬚根據 GDPR 立法概述的六個合法基礎進行。
以下列表摘自 GDPR 和慈善籌款介紹指南,正如他們所寫,六個合法基礎是:
- 同意:您可以表明個人已採取明確的肯定行動(例如對問題說“是”或勾選選擇加入框),以允許您出於特定目的處理他們的個人數據。 預先選中的框不構成同意。
- 合同:處理對於您與個人簽訂的合同是必要的,或者因為他們要求您在簽訂合同之前採取特定步驟。
- 法律義務:處理是您遵守法律所必需的(不包括合同義務)。
- 重要利益:處理對於保護某人的生命是必要的。
- 公共任務:處理是您為公共利益或您的公務執行任務所必需的,並且該任務或功能具有明確的法律依據。
- 合法利益:處理對於您的合法利益或第三方的合法利益是必要的,除非個人的利益或權利和自由凌駕於這些利益之上(如果您是處理數據以執行官方任務的公共機構,則不適用) .
ICO 列出了以下針對中小型非營利組織的數據保護提示:
- 告訴人們你在用他們的數據做什麼。 GDPR 最重要的原則之一是組織對數據的使用方式持開放和誠實的態度。
- 就數據保護以及如何存儲和處理所有個人數據對所有員工、成員和志願者進行培訓。
- 使用強密碼來幫助確保信息安全。
- 加密所有保存個人信息的便攜式設備。
- 建立保留期限,並僅在必要時保留個人信息。
請記住,這些提示只是讓您的團隊為將添加到您組織的數據處理中的流程和法規做好準備的起點。 有關更多信息,請通讀這些附加資源,了解此更改將如何影響您的組織以及您的下一步應該是什麼。
- GDPR:慈善指南
- 創建者:慈善金融集團
- GDPR 和慈善籌款介紹
- 創建者:籌款研究所,籌款監管機構,並由 ICO 審查
- 為 GDPR 做準備,現在要採取的 12 個步驟
- 創建者:ICO
- 自我評估清單
- 創建者:ICO
優雅和 GDPR
在 Classy,我們不懈地致力於保護客戶數據的隱私和安全,我們的團隊完全致力於 GDPR 合規性。
您上次更新非營利網絡安全是什麼時候?