Ons is uiteindelik in die jaar van BBP. Aangesien organisasies van alle groottes dalk gebombardeer voel met advies en bangmaakpraatjies, spaar ’n gedagte vir liefdadigheidsorganisasies wat hul kop oor die opdatering van die Wet op Databeskerming moet kry.
Kom ons neem dus aan dat u reeds 'n basiese begrip het van wat die Algemene databeskermingsregulasie (GDPR) is. Indien nie, of as jy jou kennis wil opknap, kan jy 'n bietjie kyk na sommige van die verskillende GDPR-bronne wat ISMS.online saamgestel het.
Alhoewel daar tans geen liefdadigheidsspesifieke leiding deur die Inligtingskommissaris se kantoor gepubliseer word nie, kan u die algemene opvoedkundige gidse wat die ICO vervaardig het, gebruik. Die ICO is die organisasie wat verantwoordelik is vir die regulering van die Databeskermingswet en die daaropvolgende opdaterings van die GDPR.
Nou gaan ons kyk na 'n paar van die gereelde vrae wat liefdadigheidsorganisasies die ICO gevra het.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Soos baie aspekte van die GDPR en enige regulasie vir daardie saak, is daar 'n aantal faktore wat sal bepaal of jou liefdadigheidsorganisasie 'n Databeskermingsbeampte moet aanstel of nie.
Net soos enige organisasie, sal jy deur die wet vereis word om 'n DPO te hê indien:
Ons het 'n bietjie gesels oor spesiale kategoriedata in 'n vroeëre blogartikel oor opdaterings van die Inligtingskommissaris se kantoor. Dit is kategorieë wat as besonder sensitief beskou word, en as die veiligheid van daardie data in die gedrang kom, kan daar 'n "meer beduidende risiko's vir 'n persoon se fundamentele regte en vryhede wees."
Dit is waarskynlik dat jy as 'n liefdadigheidsorganisasie spesiale kategorie-data sal verwerk en dit kan hanteer word (ten tyde van skrywe) op 'n soortgelyke manier as Artikel 3 van die Wet op Databeskerming 1998, Sensitiewe Persoonlike Data.
Ter verwysing is daardie kategorieë Ras, Etniese oorsprong, Politiek, Godsdiens, Vakbondlidmaatskap, Genetika, Biometrie – waar data vir ID-doeleindes gebruik word, Gesondheid, Sekslewe en Seksuele oriëntasie.
Maar net omdat jy dalk nie ingevolge die GDPR vereis word om 'n DPO aan te stel nie, kan jy steeds kies om dit te doen. Daarbenewens is dit aanvaarbaar om 'n enkele Databeskermingsbeampte in diens te neem om toesig te hou oor 'n groep maatskappye, solank dit realisties is dat hulle hulle almal sal kan bestuur.
Die ICO het dit maklik gemaak deur in vier afdelings af te breek, die inligting wat u moet oorweeg wanneer u 'n privaatheidskennisgewing skryf; Wat, waar, wanneer en hoe.
Om dit te doen, moet jy uitvind watter soort persoonlike data jou liefdadigheidsorganisasie hou. Jy moet weet wat met die data gedoen word of wat jy beplan om daarmee te doen. Dan moet jy seker maak dat jy net inligting wat jy nodig het, versamel en berg. Die ICO stel ook voor dat jou liefdadigheidsorganisasie moet besluit "of jy nuwe persoonlike inligting skep en of daar veelvuldige databeheerders is".
Die toestemming om persoonlike inligting te deel moet 'n positiewe intekening insluit - dit beteken dat die merkblokkie nie vooraf ingevul moet word nie. Verduidelik hoe jy die inligting gaan gebruik, hoe lank jy dit sal hou en laat opsies toe om “in te stem tot verskillende tipes verwerking”.
Jy kan ook inligting insluit oor hoe die data met ander soorte data skakel, waarvoor jy nie hul inligting sal gebruik nie en enige werklike gevolge verduidelik as jy nie hul inligting aan jou gee nie.
Die ICO het voorbeelde hiervan gegee:
Gee privaatheidsinligting:
Oorweeg 'n gelaagde benadering:
Die taal wat jy gebruik, moet duidelik en reguit wees, en in dieselfde styl as jou gehoor wees.
As jy verskillende gehore het, moet jy aparte kennisgewings vir elkeen verskaf. Dit is ook belangrik om die kennisgewing te kan opdateer wanneer nodig.
Sodra dit geskryf is, is dit nuttig om die privaatheidskennisgewing met personeellede of regte gebruikers van u dienste te toets. Dit verseker dat hulle die toestemming wat hulle gee, verstaan.
Die ICO het 'n kontrolelys geskryf vir die verkryging van toestemming vir dataverwerking met GDPR. Die lys sit maniere uiteen om jou te help om enige leemtes wat jy mag hê in jou huidige verwerking te identifiseer. Dit mag wees dat die toestemming wat jy ingevolge die huidige Databeskermingswet verkry het, voldoende is, maar dit kan ook omstandighede ontbloot waar toestemming weer aangevra sal moet word, om aan GDPR te voldoen.
Benewens GDPR, as jou liefdadigheid per telefoon, e-pos of SMS aan individue bemark, sal jy aan die Privaatheids- en Elektroniese Kommunikasieregulasie (PECR) moet voldoen.
Daar is baie om in te neem, maar een van die vele positiewe aspekte van GDPR is dat sodra die werk gedoen en onderhou is, jy sal bemark aan potensiële fondsinsamelings en skenkers wat opreg belangstel in die werk wat jou liefdadigheidsorganisasie doen.
As jy op soek is na 'n hulpmiddel om jou te help om jou GDPR-verantwoordelikhede te beskryf, te demonstreer en voortdurend te bestuur, kontak die span en bespreek jou demo.
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering