Nous sommes enfin dans l'année de RGPD. Alors que les organisations de toutes tailles peuvent se sentir bombardées de conseils et d’alarmisme, pensez aux organisations caritatives qui doivent réfléchir à la mise à jour de la loi sur la protection des données.
Supposons donc que vous ayez déjà une compréhension de base de ce que signifie Règlement général sur la protection des données (GDPR) est. Si ce n’est pas le cas, ou si vous souhaitez parfaire vos connaissances, vous pouvez consulter certaines des différentes ressources RGPD rassemblées par ISMS.online.
Bien qu'aucune directive spécifique aux organismes de bienfaisance ne soit actuellement publiée par le Bureau du commissaire à l'information, vous pouvez utiliser les guides pédagogiques généraux produits par l'ICO. L'ICO est l'organisme chargé de réglementer la loi sur la protection des données et les mises à jour ultérieures du RGPD.
Nous allons maintenant examiner certaines des questions fréquemment posées par les organisations caritatives à l'ICO.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Comme pour de nombreux aspects du RGPD et de toute réglementation d'ailleurs, un certain nombre de facteurs détermineront si votre organisme de bienfaisance doit ou non nommer un délégué à la protection des données.
Comme toute organisation, vous serez tenu par la loi d’avoir un DPO si :
Nous avons parlé un peu des données de catégories spéciales dans un article de blog précédent sur les mises à jour du Bureau du commissaire à l'information. Il s'agit de catégories considérées comme particulièrement sensibles, et si la sécurité de ces données est compromise, il pourrait y avoir « des risques plus importants pour les droits et libertés fondamentaux d'une personne ».
Il est probable qu'en tant qu'organisme de bienfaisance, vous traiterez des données de catégorie spéciale et que cela puisse être traité (au moment de la rédaction) de la même manière que l'article 3 de la loi sur la protection des données de 1998, Données personnelles sensibles.
À titre de référence, ces catégories sont la race, l'origine ethnique, la politique, la religion, l'appartenance syndicale, la génétique, la biométrie – où les données sont utilisées à des fins d'identification, de santé, de vie sexuelle et d'orientation sexuelle.
Mais même si le RGPD ne vous oblige pas à nommer un DPO, vous pouvez toujours choisir de le faire. De plus, il est acceptable d’employer un seul délégué à la protection des données pour superviser un groupe d’entreprises, à condition qu’il soit réaliste qu’il soit en mesure de toutes les gérer.
L'ICO a rendu cela facile en décomposant en quatre sections les informations que vous devez prendre en compte lors de la rédaction d'un avis de confidentialité ; Quoi, où, quand et comment.
Pour ce faire, vous devez déterminer le type de données personnelles détenues par votre organisme de bienfaisance. Vous devez savoir ce qui est fait avec les données ou ce que vous comptez en faire. Ensuite, vous devez vous assurer que vous collectez et stockez uniquement les informations dont vous avez besoin. L'ICO suggère également que votre organisme de bienfaisance décide « si vous créez de nouvelles informations personnelles et s'il existe plusieurs contrôleurs de données ».
Le consentement au partage d’informations personnelles doit inclure un opt-in positif – cela signifie que la case à cocher ne doit pas être pré-remplie. Expliquez comment vous utiliserez les informations, combien de temps vous les conserverez et autorisez les options pour « accepter différents types de traitement ».
Vous pouvez également inclure des informations sur la manière dont les données sont liées à d'autres types de données, sur les raisons pour lesquelles vous n'utiliserez pas leurs informations et expliquer les conséquences réelles de ne pas vous fournir leurs informations.
L’ICO en a donné des exemples :
Donnez des informations sur la confidentialité :
Envisagez une approche à plusieurs niveaux :
Le langage que vous utilisez doit être clair et direct, et être dans le même style que celui de votre public.
Si vous avez des publics différents, vous devez fournir des avis distincts pour chacun. Il est également important de pouvoir mettre à jour l'avis lorsque cela est nécessaire.
Une fois rédigée, il est utile de tester la déclaration de confidentialité auprès de membres du personnel ou de vrais utilisateurs de vos services. Cela garantit qu’ils comprennent le consentement qu’ils donnent.
L'ICO a rédigé une liste de contrôle pour obtenir le consentement au traitement des données avec le RGPD. La liste présente des moyens de vous aider à identifier les lacunes que vous pourriez rencontrer dans votre traitement actuel. Il se peut que le consentement que vous avez obtenu en vertu de la loi actuelle sur la protection des données soit suffisant, mais il peut également révéler des circonstances dans lesquelles le consentement devra être demandé à nouveau, afin de se conformer au RGPD.
En plus du RGPD, si votre organisme de bienfaisance fait du marketing auprès de particuliers par téléphone, e-mail ou SMS, vous devrez vous conformer au règlement sur la confidentialité et les communications électroniques (PECR).
Il y a beaucoup à prendre en compte, mais l'un des nombreux avantages du RGPD est qu'une fois le travail effectué et maintenu, vous pourrez faire du marketing auprès de collecteurs de fonds et de donateurs potentiels qui sont véritablement intéressés par le travail de votre organisme de bienfaisance.
Si vous recherchez un outil pour vous aider à décrire, démontrer et gérer en permanence vos responsabilités RGPD, contactez l'équipe et réservez votre démo.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup