Vi er endelig i år GDPR. Da organisationer i alle størrelser kan føle sig bombarderet med råd og skræmmepropaganda, skal du spare en tanke til velgørende organisationer, der er nødt til at få hovedet omkring opdateringen af databeskyttelsesloven.
Så lad os antage, at du allerede har en grundlæggende forståelse af, hvad Generel databeskyttelsesforordning (GDPR) er. Hvis ikke, eller hvis du gerne vil opfriske din viden, kan du tage et kig på nogle af de forskellige GDPR-ressourcer, som ISMS.online har sammensat.
Selvom der i øjeblikket ikke er nogen velgørenhedsspecifik vejledning, der offentliggøres af Information Commissioner's Office, kan du bruge de generelle uddannelsesvejledninger, som ICO har produceret. ICO er den organisation, der er ansvarlig for at regulere databeskyttelsesloven og de efterfølgende opdateringer fra GDPR.
Nu skal vi tage et kig på nogle af de ofte stillede spørgsmål, som velgørende organisationer har stillet ICO.
En skræddersyet hands-on session baseret på dine behov og mål
Ligesom mange aspekter af GDPR og enhver regulering for den sags skyld, er der en række faktorer, der afgør, om din velgørende organisation skal udpege en databeskyttelsesansvarlig.
Ligesom enhver organisation skal du ifølge loven have en DPO, hvis:
Vi talte lidt om særlige kategoridata i en tidligere blogartikel om opdateringer af informationskommissærens kontor. Det er kategorier, der anses for at være særligt følsomme, og hvis sikkerheden af disse data kompromitteres, kan der være en "mere betydelig risiko for en persons grundlæggende rettigheder og friheder."
Det er sandsynligt, at du som velgørende organisation vil behandle særlige kategoridata, og dette kan håndteres (i skrivende stund) på samme måde som afsnit 3 i Data Protection Act 1998, Sensitive Personal Data.
Til reference er disse kategorier Race, Etnisk oprindelse, Politik, Religion, Fagforeningsmedlemskab, Genetik, Biometri - hvor data bruges til ID-formål, Sundhed, Sexliv og Seksuel orientering.
Men bare fordi du måske i henhold til GDPR ikke er forpligtet til at udpege en DPO, kan du stadig vælge at gøre det. Derudover er det acceptabelt at ansætte en enkelt databeskyttelsesansvarlig til at føre tilsyn med en gruppe af virksomheder, så længe det er realistisk, at de ville være i stand til at administrere dem alle.
ICO har gjort dette nemt ved at opdele i fire sektioner, de oplysninger, du skal overveje, når du skriver en fortrolighedserklæring; Hvad, hvor, hvornår og hvordan.
For at gøre dette skal du finde ud af, hvilken slags personlige data din velgørende organisation har. Du skal vide, hvad der bliver gjort med dataene, eller hvad du planlægger at gøre med dem. Så bør du sikre dig, at du kun indsamler og opbevarer information, som du har brug for. ICO foreslår også, at din velgørende organisation skal beslutte "om du opretter nye personlige oplysninger, og om der er flere dataansvarlige".
Samtykket til at dele personlige oplysninger bør omfatte en positiv opt-in – det betyder, at afkrydsningsfeltet ikke må være forududfyldt. Forklar, hvordan du vil bruge oplysningerne, hvor længe du vil beholde dem, og tillad muligheder for at "acceptere forskellige typer behandling".
Du kan også inkludere oplysninger om, hvordan dataene linker til andre typer data, hvad du ikke vil bruge deres oplysninger til og forklare eventuelle reelle konsekvenser af ikke at give dig deres oplysninger.
ICO har givet eksempler på dette:
Giv privatlivsoplysninger:
Overvej en lagdelt tilgang:
Det sprog, du bruger, skal være klart og ligetil og være i samme stil som dit publikum.
Hvis du har forskellige målgrupper, bør du give separate meddelelser for hver. Det er også vigtigt at kunne opdatere meddelelsen, når det er nødvendigt.
Når den er skrevet, er det nyttigt at teste fortrolighedserklæringen med medlemmer af personalet eller rigtige brugere af dine tjenester. Dette sikrer, at de forstår det samtykke, de giver.
ICO har skrevet en tjekliste til indhentning af samtykke til databehandling med GDPR. Listen angiver måder, hvorpå du kan identificere eventuelle huller, du måtte have i din nuværende behandling. Det kan være, at det samtykke, du har indhentet i henhold til den gældende databeskyttelseslov, er tilstrækkeligt, men det kan også afdække forhold, hvor der igen skal anmodes om samtykke, for at overholde GDPR.
Ud over GDPR, hvis din velgørenhedsorganisation markedsfører til enkeltpersoner via telefon, e-mail eller sms, skal du overholde Privacy and Electronic Communication Regulation (PECR).
Der er meget at tage til, men en af de mange positive ting ved GDPR er, at når arbejdet er udført og vedligeholdt, vil du markedsføre til potentielle fundraisers og donorer, der er oprigtigt interesserede i det arbejde, din velgørende organisation udfører.
Hvis du leder efter et værktøj til at hjælpe dig med at beskrive, demonstrere og løbende administrere dit GDPR-ansvar, så tag kontakt til teamet og book din demo.
100 % af vores brugere opnår ISO 27001-certificering første gang