סוף סוף אנחנו בשנה של GDPR. מכיוון שארגונים מכל הגדלים עלולים להרגיש מופגזים בעצות ובפחדים, חסכו מחשבה על ארגוני צדקה שצריכים להתייחס לעדכון חוק הגנת המידע.
אז בוא נניח שכבר יש לך הבנה בסיסית של מה תקנה כללית להגנה על נתונים (GDPR) הוא. אם לא, או אם תרצה לרענן את הידע שלך, אתה יכול להסתכל על כמה ממשאבי ה-GDPR השונים שהרכיב ISMS.online.
למרות שכרגע אין הנחיות ספציפיות לצדקה המתפרסמות על ידי משרד נציב המידע, אתה יכול להשתמש במדריכים החינוכיים הכלליים שה-ICO הפיק. ה-ICO הוא הארגון האחראי להסדרת חוק הגנת המידע והעדכונים הבאים מה-GDPR.
עכשיו אנחנו הולכים להסתכל על כמה מהשאלות הנפוצות שארגוני צדקה שאלו את ה-ICO.
כמו היבטים רבים של ה-GDPR וכל תקנה לצורך העניין, ישנם מספר גורמים שיקבעו אם הצדקה שלכם צריכה למנות קצין הגנת מידע או לא.
בדיוק כמו כל ארגון, תידרש על פי חוק להחזיק DPO אם:
דיברנו קצת על נתוני קטגוריות מיוחדות במאמר קודם בבלוג על עדכונים של משרד נציב המידע. אלו הן קטגוריות שנחשבות לרגישות במיוחד, ואם אבטחת הנתונים הללו נפגעת, עלולים להיות "סיכונים משמעותיים יותר לזכויות היסוד ולחירויותיו של אדם".
סביר להניח שכארגון צדקה תעבדו נתונים מקטגוריות מיוחדות וניתן לטפל בהם (בזמן כתיבת שורות אלו) באופן דומה לסעיף 3 של חוק הגנת הנתונים 1998, נתונים אישיים רגישים.
לצורך התייחסות, הקטגוריות הללו הן גזע, מוצא אתני, פוליטיקה, דת, חברות באיגוד מקצועי, גנטיקה, ביומטריה - שבהן נעשה שימוש בנתונים למטרות זיהוי, בריאות, חיי מין ונטייה מינית.
אבל רק בגלל שאולי לא תידרש על פי ה-GDPR למנות DPO, אתה עדיין יכול לבחור לעשות זאת. בנוסף, מקובל להעסיק קצין הגנת מידע יחיד כדי לפקח על קבוצת חברות, כל עוד זה ריאלי שהם יוכלו לנהל את כולן.
ה-ICO עשה זאת בקלות על ידי פירוק לארבעה חלקים, המידע שעליך לקחת בחשבון בעת כתיבת הודעת פרטיות; מה, איפה, מתי ואיך.
כדי לעשות זאת, עליך להבין איזה סוג של נתונים אישיים מחזיק ארגון הצדקה שלך. אתה צריך לדעת מה נעשה עם הנתונים או מה אתה מתכנן לעשות איתם. לאחר מכן עליך לוודא שאתה אוסף ומאחסן רק מידע שאתה צריך. ה-ICO גם מציע שארגון הצדקה שלך יחליט "האם אתה יוצר מידע אישי חדש והאם יש מספר בקרי נתונים".
ההסכמה לשיתוף מידע אישי צריכה לכלול הסכמה חיובית - המשמעות היא שאסור למלא מראש את תיבת הסימון. הסבר כיצד תשתמש במידע, כמה זמן תשמור אותו ואפשר לאפשרויות "להסכים לסוגי עיבוד שונים".
תוכל גם לכלול מידע על האופן שבו הנתונים מתקשרים לסוגים אחרים של נתונים, לשם מה לא תשתמש במידע שלהם ולהסביר את ההשלכות האמיתיות של אי מסירת המידע שלהם.
ה-ICO נתן דוגמאות לכך:
תן מידע פרטיות:
שקול גישה מרובדת:
השפה שבה אתה משתמש צריכה להיות ברורה וישירה, ולהיות באותו סגנון כמו הקהל שלך.
אם יש לך קהלים שונים, עליך לספק הודעות נפרדות לכל אחד מהם. כמו כן, חשוב להיות מסוגל לעדכן את ההודעה בעת הצורך.
לאחר הכתיבה, כדאי לבדוק את הודעת הפרטיות עם חברי צוות או משתמשים אמיתיים של השירותים שלך. זה מבטיח שהם מבינים את ההסכמה שהם נותנים.
ה-ICO כתב רשימת בדיקה לקבלת הסכמה לעיבוד נתונים עם GDPR. הרשימה מפרטת דרכים שיעזרו לך לזהות את כל הפערים שיש לך בעיבוד הנוכחי שלך. יכול להיות שההסכמה שקיבלת במסגרת חוק הגנת המידע הנוכחי מספיקה, אבל היא עשויה גם לחשוף נסיבות שבהן יהיה צורך לבקש שוב הסכמה, כדי לעמוד ב-GDPR.
בנוסף ל-GDPR, אם הצדקה שלך משווקת לאנשים פרטיים בטלפון, בדוא"ל או בהודעת טקסט, תצטרך לציית לתקנת הפרטיות והתקשורת האלקטרונית (PECR).
יש הרבה מה לקחת בחשבון, אבל אחד מהיתרונות הרבים של GDPR הוא שברגע שהעבודה תבוצע ותתחזק, תשווק לגייסי כספים ותורמים פוטנציאליים שמתעניינים באמת בעבודה שהצדקה שלך עושה.
אם אתה מחפש כלי שיעזור לך לתאר, להדגים ולנהל ללא הרף את אחריותך ב-GDPR, צור קשר עם הצוות והזמן את ההדגמה שלך.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה