Vi är äntligen inne på året GDPR. Eftersom organisationer av alla storlekar kan känna sig bombarderade med råd och skrämselpropaganda, spara en tanke åt välgörenhetsorganisationer som måste ta sig an uppdateringen av dataskyddslagen.
Så låt oss anta att du redan har en grundläggande förståelse för vad Allmänna dataskyddsförordningen (GDPR) är. Om inte, eller om du skulle vilja fräscha upp dina kunskaper, kan du ta en titt på några av de olika GDPR-resurserna som ISMS.online har satt ihop.
Även om det för närvarande inte finns någon specifik vägledning för välgörenhet som publiceras av Information Commissioner's Office, kan du använda de allmänna utbildningsguiderna som ICO har tagit fram. ICO är den organisation som ansvarar för att reglera dataskyddslagen och de efterföljande uppdateringarna från GDPR.
Nu ska vi ta en titt på några av de vanligaste frågorna som välgörenhetsorganisationer har ställt till ICO.
En skräddarsydd praktisk session utifrån dina behov och mål
Liksom många aspekter av GDPR och alla andra regler för den delen, finns det ett antal faktorer som avgör om din välgörenhetsorganisation ska utse en dataskyddsombud eller inte.
Precis som alla organisationer måste du enligt lag ha en DPO om:
Vi pratade lite om specialkategoridata i en tidigare bloggartikel om uppdateringar från informationskommissionärens kontor. Detta är kategorier som anses vara särskilt känsliga, och om säkerheten för dessa uppgifter äventyras kan det finnas en "mer betydande risk för en persons grundläggande rättigheter och friheter."
Det är troligt att du som välgörenhetsorganisation kommer att behandla data av särskild kategori och detta kan hanteras (i skrivande stund) på liknande sätt som avsnitt 3 i Data Protection Act 1998, Sensitive Personal Data.
Som referens är dessa kategorier Ras, Etniskt ursprung, Politik, Religion, Fackföreningsmedlemskap, Genetik, Biometri – där data används för ID-ändamål, Hälsa, Sexliv och Sexuell läggning.
Men bara för att du kanske inte är skyldig enligt GDPR att utse en DPO kan du fortfarande välja att göra det. Dessutom är det acceptabelt att anställa en enda dataskyddsombud för att övervaka en grupp företag, så länge det är realistiskt att de skulle kunna hantera dem alla.
ICO har gjort detta enkelt genom att dela upp i fyra avsnitt, informationen du behöver tänka på när du skriver ett sekretessmeddelande; Vad, var, när och hur.
För att göra detta bör du ta reda på vilken typ av personuppgifter din välgörenhetsorganisation har. Du måste veta vad som görs med datan eller vad du planerar att göra med det. Då bör du se till att du bara samlar in och lagrar information som du behöver. ICO föreslår också att din välgörenhetsorganisation ska bestämma "om du skapar ny personlig information och om det finns flera personuppgiftsansvariga".
Samtycket att dela personlig information bör innehålla en positiv opt-in – detta innebär att kryssrutan inte får vara förifylld. Förklara hur du kommer att använda informationen, hur länge du kommer att behålla den och tillåt alternativ att "godkänna olika typer av behandling".
Du kan också inkludera information om hur data länkar till andra typer av data, vad du inte kommer att använda deras information till och förklara eventuella verkliga konsekvenser av att inte ge dig deras information.
ICO har gett exempel på detta:
Ge sekretessinformation:
Överväg ett skiktat tillvägagångssätt:
Språket du använder ska vara tydligt och enkelt och ha samma stil som din publik.
Om du har olika målgrupper bör du ange separata meddelanden för varje. Det är också viktigt att kunna uppdatera meddelandet vid behov.
När det väl är skrivet är det användbart att testa integritetsmeddelandet med anställda eller verkliga användare av dina tjänster. Detta säkerställer att de förstår samtycke de ger.
ICO har skrivit en checklista för att inhämta samtycke för databehandling med GDPR. Listan anger sätt att hjälpa dig att identifiera eventuella luckor du kan ha i din nuvarande bearbetning. Det kan vara så att det samtycke du har fått enligt den nuvarande dataskyddslagen är tillräckligt, men det kan också avslöja omständigheter där samtycke kommer att behöva begäras på nytt, för att följa GDPR.
Utöver GDPR, om din välgörenhetsorganisation marknadsför till privatpersoner via telefon, e-post eller sms, måste du följa förordningen om integritet och elektronisk kommunikation (PECR).
Det finns mycket att ta in, men ett av de många positiva med GDPR är att när arbetet väl är gjort och underhållet kommer du att marknadsföra till potentiella insamlingar och givare som är genuint intresserade av det arbete som din välgörenhetsorganisation gör.
Om du letar efter ett verktyg som hjälper dig att beskriva, demonstrera och kontinuerligt hantera ditt GDPR-ansvar, kontakta teamet och boka din demo.
100 % av våra användare uppnår ISO 27001-certifiering första gången