Olemme vihdoin vuoden puolella GDPR. Koska kaikenkokoiset organisaatiot voivat tuntea olevansa pommitettu neuvoista ja pelottelua, varaa ajatus hyväntekeväisyysjärjestöille, jotka joutuvat pohtimaan tietosuojalain päivitystä.
Oletetaan siis, että sinulla on jo perusymmärrys siitä, mitä Yleinen tietosuojadirektiivi (GDPR) On. Jos ei, tai jos haluat päivittää tietämystäsi, voit katsoa joitain erilaisista GDPR-resursseista, joita ISMS.online on koonnut.
Vaikka tiedotusvaltuutetun toimisto ei tällä hetkellä julkaise erityisiä hyväntekeväisyysohjeita, voit käyttää ICO:n laatimia yleisiä koulutusoppaita. ICO on tietosuojalain ja sitä seuraavien GDPR-päivitysten sääntelystä vastaava organisaatio.
Nyt aiomme tarkastella joitain usein kysyttyjä kysymyksiä, joita hyväntekeväisyysjärjestöt ovat kysyneet ICO:lta.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Kuten monet GDPR:n näkökohdat ja kaikki asiaan liittyvät säädökset, on useita tekijöitä, jotka määräävät, pitäisikö hyväntekeväisyysjärjestösi nimittää tietosuojavastaava vai ei.
Kuten minkä tahansa organisaation, sinulla on lain mukaan oltava tietosuojavastaava, jos:
Puhuimme hieman erikoisluokkatiedoista aikaisemmassa blogiartikkelissa Information Commissioner's Officen päivityksistä. Nämä ovat luokat, joita pidetään erityisen arkaluonteisina, ja jos näiden tietojen turvallisuus vaarantuu, kyseessä voi olla "merkittävämpi riski henkilön perusoikeuksille ja -vapauksille".
On todennäköistä, että hyväntekeväisyysjärjestönä käsittelet erityisluokkaan kuuluvia tietoja, ja niitä voidaan käsitellä (kirjoitettaessa) samalla tavalla kuin vuoden 3 tietosuojalain 1998 §:ssä, arkaluonteiset henkilötiedot.
Viitekategoriat ovat rotu, etninen alkuperä, politiikka, uskonto, ammattiliittojen jäsenyys, genetiikka, biometriset tiedot – joissa tietoja käytetään henkilöllisyyteen, terveys, seksielämä ja seksuaalinen suuntautuminen.
Mutta vain siksi, että GDPR:n mukaan sinua ei välttämättä vaadita nimittämään tietosuojavastaavaa, voit silti valita niin. Lisäksi on hyväksyttävää palkata yksi tietosuojavastaava valvomaan yritysryhmää, kunhan on realistista, että he pystyvät hallitsemaan niitä kaikkia.
ICO on tehnyt tämän helpoksi jakamalla neljään osaan, tiedot, jotka sinun on otettava huomioon kirjoittaessasi tietosuojailmoitusta. Mitä, missä, milloin ja miten.
Tätä varten sinun tulee selvittää, millaisia henkilötietoja hyväntekeväisyysjärjestösi säilyttää. Sinun on tiedettävä, mitä tiedoilla tehdään tai mitä aiot tehdä niillä. Sitten sinun tulee varmistaa, että keräät ja tallennat vain tarvitsemasi tiedot. ICO ehdottaa myös, että hyväntekeväisyysjärjestösi pitäisi päättää, "luotko uusia henkilötietoja ja onko olemassa useita rekisterinpitäjiä".
Henkilötietojen jakamista koskevaan suostumukseen tulee sisältyä myönteinen osallistuminen – tämä tarkoittaa, että valintaruutua ei saa olla esitäytetty. Selitä, kuinka aiot käyttää tietoja, kuinka kauan säilytät niitä ja salli vaihtoehdot "sopia erityyppisistä käsittelyistä".
Voit myös sisällyttää tietoja siitä, miten tiedot linkittyvät muun tyyppisiin tietoihin, mihin et käytä heidän tietojaan ja selittää mahdolliset todelliset seuraukset, jos tietoja ei luovuteta sinulle.
ICO on antanut tästä esimerkkejä:
Anna tietosuojatiedot:
Harkitse kerrostettua lähestymistapaa:
Käyttämäsi kielen tulee olla selkeää ja suoraviivaista, ja sen tulee olla samaa tyyliä kuin yleisösi.
Jos sinulla on eri yleisöjä, sinun tulee antaa kullekin erilliset ilmoitukset. On myös tärkeää pystyä päivittämään ilmoitus tarvittaessa.
Kun tietosuojailmoitus on kirjoitettu, on hyödyllistä testata sitä henkilöstön jäsenten tai palvelujesi todellisten käyttäjien kanssa. Tämä varmistaa, että he ymmärtävät antamansa suostumuksen.
ICO on kirjoittanut tarkistuslistan suostumuksen saamiseksi GDPR:n mukaiseen tietojenkäsittelyyn. Luettelossa esitetään tapoja, jotka auttavat sinua tunnistamaan nykyisessä käsittelyssäsi mahdollisesti olevat puutteet. Voi olla, että nykyisen tietosuojalain nojalla saamasi suostumus on riittävä, mutta se voi myös paljastaa tilanteita, joissa suostumus on pyydettävä uudelleen GDPR:n noudattamiseksi.
GDPR:n lisäksi, jos hyväntekeväisyysjärjestösi markkinoi yksityishenkilöitä puhelimitse, sähköpostitse tai tekstiviestillä, sinun on noudatettava tietosuoja- ja sähköisen viestinnän asetusta (PECR).
Otettavaa on paljon, mutta yksi GDPR:n monista positiivisista puolista on, että kun työ on tehty ja sitä ylläpidetään, markkinoit mahdollisia varainkeruujärjestöjä ja lahjoittajia, jotka ovat aidosti kiinnostuneita hyväntekeväisyysjärjestösi tekemästä työstä.
Jos etsit työkalua, joka auttaa sinua kuvaamaan, esittelemään ja jatkuvasti hallitsemaan GDPR-vastuusi, ota yhteyttä tiimiin ja varaa esittelysi.
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa