Vi er endelig inne i året GDPR. Ettersom organisasjoner av alle størrelser kan føle seg bombardert med råd og skremselspropaganda, bør du tenke over veldedige organisasjoner som må sette seg inn i oppdateringen av databeskyttelsesloven.
Så la oss anta at du allerede har en grunnleggende forståelse av hva Generell databeskyttelsesforordning (GDPR) er. Hvis ikke, eller hvis du ønsker å friske opp kunnskapen din, kan du ta en titt på noen av de ulike GDPR-ressursene ISMS.online har satt sammen.
Selv om det for øyeblikket ikke er noen veldedighetsspesifikke veiledninger som publiseres av Information Commissioner's Office, kan du bruke de generelle pedagogiske veiledningene som ICO har laget. ICO er organisasjonen som er ansvarlig for å regulere databeskyttelsesloven og de påfølgende oppdateringene fra GDPR.
Nå skal vi ta en titt på noen av de ofte stilte spørsmålene som veldedige organisasjoner har stilt ICO.
En skreddersydd praktisk økt basert på dine behov og mål
Som mange aspekter av GDPR og enhver forskrift for den saks skyld, er det en rekke faktorer som vil avgjøre om veldedige organisasjoner bør utnevne en databeskyttelsesansvarlig eller ikke.
Akkurat som enhver organisasjon, vil du bli pålagt ved lov å ha en DPO hvis:
Vi snakket litt om spesialkategoridata i en tidligere bloggartikkel om informasjonskommissærens kontoroppdateringer. Dette er kategorier som anses som spesielt sensitive, og hvis sikkerheten til disse dataene kompromitteres, kan det være en "mer betydelig risiko for en persons grunnleggende rettigheter og friheter."
Det er sannsynlig at du som en veldedig organisasjon vil behandle data i spesielle kategorier, og dette kan håndteres (i skrivende stund) på lignende måte som seksjon 3 i Data Protection Act 1998, Sensitive Personal Data.
Til referanse er disse kategoriene Rase, Etnisk opprinnelse, Politikk, Religion, Fagforeningsmedlemskap, Genetikk, Biometri – der data brukes til ID-formål, Helse, Sexliv og Seksuell legning.
Men bare fordi du kanskje ikke er pålagt i henhold til GDPR å utnevne en DPO, kan du fortsatt velge å gjøre det. I tillegg er det akseptabelt å ansette en enkelt personvernombud for å føre tilsyn med en gruppe selskaper, så lenge det er realistisk at de vil være i stand til å administrere dem alle.
ICO har gjort dette enkelt ved å dele opp i fire seksjoner, informasjonen du må vurdere når du skriver en personvernerklæring; Hva, hvor, når og hvordan.
For å gjøre dette bør du finne ut hva slags personopplysninger veldedige organisasjonen din har. Du må vite hva som gjøres med dataene eller hva du planlegger å gjøre med dem. Da bør du sørge for at du bare samler inn og lagrer informasjon du trenger. ICO foreslår også at veldedigheten din bør bestemme "om du oppretter ny personlig informasjon og om det er flere datakontrollere".
Samtykket til å dele personlig informasjon bør inkludere en positiv opt-in – dette betyr at avkrysningsboksen ikke må være forhåndsutfylt. Forklar hvordan du vil bruke informasjonen, hvor lenge du vil beholde den og la alternativer "godkjenne forskjellige typer behandling".
Du kan også inkludere informasjon om hvordan dataene kobles til andre typer data, hva du ikke vil bruke informasjonen deres til og forklare eventuelle reelle konsekvenser av å ikke gi deg informasjonen deres.
ICO har gitt eksempler på dette:
Gi personverninformasjon:
Vurder en lagdelt tilnærming:
Språket du bruker bør være klart og greit, og være i samme stil som publikummet ditt.
Hvis du har forskjellige målgrupper, bør du gi separate meldinger for hver. Det er også viktig å kunne oppdatere varselet ved behov.
Når den er skrevet, er det nyttig å teste personvernerklæringen med ansatte eller reelle brukere av tjenestene dine. Dette sikrer at de forstår samtykket de gir.
ICO har skrevet en sjekkliste for innhenting av samtykke til databehandling med GDPR. Listen angir måter å hjelpe deg med å identifisere eventuelle hull du kan ha i den nåværende behandlingen. Det kan være at samtykket du har innhentet i henhold til gjeldende databeskyttelseslov er tilstrekkelig, men det kan også avdekke omstendigheter der samtykke vil måtte bes om på nytt, for å overholde GDPR.
I tillegg til GDPR, hvis veldedighetsorganisasjonen din markedsfører til enkeltpersoner via telefon, e-post eller tekstmelding, må du overholde personvern- og elektronisk kommunikasjonsforordningen (PECR).
Det er mye å ta inn over seg, men en av de mange positive sidene med GDPR er at når arbeidet er utført og vedlikeholdt, vil du markedsføre til potensielle pengeinnsamlinger og givere som er genuint interessert i arbeidet din veldedige organisasjon gjør.
Hvis du ser etter et verktøy for å hjelpe deg med å beskrive, demonstrere og kontinuerlig administrere GDPR-ansvaret ditt, ta kontakt med teamet og bestill demoen din.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang