Esența GDPR – Informații și recomandări pentru ONG-uri
Material oferit de Centrul pentru Managementul Organizațiilor Nonprofit (CMON), gestionat de Asociația Young Initiative.
Notă: Informațiile prezente în acest articol nu au caracter de consultanță juridică și nu pot fi folosite ca bază justificativă pentru anumite acțiuni sau lipsa acestora.
Cel mai probabil ai auzit deja de GDPR și ai fost bombardat de email-urile prin care ți se cere reconfirmarea înscrierii la diverse newslettere. Cu o legislație de câteva sute de pagini și amenzi de milioane de euro, e normal să apară și confuzia. Dar hai să respirăm și să vedem câteva elemente esențiale referitoare la GDPR.
Ce sunt datele personale?
Începem cu întrebarea cea mai simplă, dar esențială. GDPR definește datele personale ca fiind orice dată care poate duce la identificarea unei persoane fizice, prin orice mijloace. Includem aici nu doar datele evidente precum numele sau CNP-ul, ci și date precum IP-ul folosit pentru a accesa website-ul organizației noastre.
Există și câteva date cu caracter sensibil, cum ar fi cele despre starea de sănătate sau cele biometrice (amprente, iris, imaginea facială – atenție la copiile de buletin).
Iar ONG-ul tău procesează date personale (ale beneficiarilor, voluntarilor, angajaților, board-ului), ca aproape orice persoana juridică, deci intră complet sub incidența GDPR.
Principii fundamentale în GDPR
- Principiul minimizării datelor – solicităm și procesăm strict datele de care avem nevoie. De exemplu, dacă pentru înscrierea la un eveniment avem nevoie doar de datele de contact, nu solicităm și informații precum starea civilă sau situația profesională.
- Principiul accesului limitat la date – la datele organizației trebuie să aibă acces doar cei care au cu adevărat nevoie de ele. Aici este important de organizat accesul digital și fizic la date doar pentru angajații și voluntarii care chiar trebuie să opereze cu ele, dar și să limităm/eliminăm accesul imediat ce persoana respectivă nu mai face parte din organizație sau părăsește proiectul.
- Principiul eficientizării datelor – Este important să știm ce date colectăm, unde le stocăm, cine are acces la ele. Un exercițiu de reflecție în cadrul ONG-ului ar fi foarte util, indiferent dacă doar trimitem un newsletter sau gestionăm voluntari.
- Informarea beneficiarilor – Cei cărora li se procesează datele trebuie să fie întotdeauna informați. Puteți crea o Politică a Datelor Personale, într-un limbaj simplu, care să cuprindă: ce date sunt colectate, unde sunt acestea stocate, în ce scopuri sunt folosite (cât mai specific), pe ce durată de colectează, cine are acces la ele, ce drepturi au proprietarii datelor respective.
- Folosirea bazei legale pentru procesarea datelor – Colectarea și procesarea datelor se face strict folosind una din bazele legale menționate de GDPR. Consimțământul este doar una dintre acestea, deci nu trebuie să ne panicăm. Bazele legale sunt detaliate mai jos. Important este să identificăm în fiecare situație ce bază legală utilizăm pentru procesarea datelor.
- Transferul datelor – Atunci când transferăm datele către alte organizații, este important să avem clauze contractuale referitoare la protecția datelor personale. De asemenea, când transferul are loc către o altă țară, trebuie să verificăm dacă țara în cauză asigură un nivel adecvat de protecție a datelor personale. Asta implică și datele stocate pe servere din alte țări, precum SUA (Dropbox, Google Drive etc). SUA nu este considerată o țară la fel de sigură ca UE pentru protecția datelor personale, însă anumite companii pot opta pentru programul Privacy Shield, care asigură compatibilitatea cu GDPR (vezi Mailchimp, Google, Apple etc).
- Data Protection Officer – Este necesar numai în anumite situații specifice. Mai exact, dacă procesezi date sensibile sau dacă gestionezi date în masă și le procesezi (pentru un număr foarte mare de oameni).
Baza legală de folosire a datelor
De fiecare dată când colectăm sau procesăm date personale trebuie să analizâm în ce bază legală facem acest lucru. Iată despre ce este vorba:
- Consimțământul – Acesta trebuie să fie întotdeauna pe principiul „opt-in”, adică utilizatorul alege să îi fie colectate datele (să primească un newsletter, de exemplu), în niciun caz „opt-out”, unde presupunem că putem lua datele și dacă utilizatorul nu e de acord, se va dezabona. Acordul poate fi demonstrat prin orice mijloace (click, bifarea unei căsuțe, semnătură).
- Interesul legitim – Atunci când scopul procesării este unul clar, evident prin natura colectării (o persoană care se înscrie ca membru într-un club se așteaptă ca datele sale să fie folosite pentru a intra în baza de date a menbrilor, de exemplu), iar procesarea datelor are loc conform așteptărilor beneficiarului, putem folosi interesul legitim. Totuși, este cea mai vagă bază legală și trebuie să avem mare grijă să nu o folosim pentru a le evita pe celelalte atunci când nu este cazul.
- Obligații legale și contractuale– Procesarea datelor care se desfășoară pentru îndeplinirea unor obligații legale nu necesită altceva decât informarea beneficiarilor. De exemplu, putem fi obligați să oferim copii după buletinele participanților pentru a valida o anumită finanțare publică. Atenție, aici vorbim inclusiv de legislația europeană, cum ar fi Regulamentul Erasmus+, ce conține prevederi clare referitoare la protecția datelor personale și situațiile în care procesarea acestora este obligatorie de către ONG. Aici poate intra și arhivarea sau stocarea pentru a demonstra unui finanțator anumite informații în caz de audit.
- Interesul vital – Folosim această bază legală atunci când este o situație de viață și de moarte, moment în care nu ar mai fi necesară nicio altă justificare suplimentară.
Care sunt pașii următori pentru ONG-ul tău?
Îți recomandăm să iei următoarele măsuri pentru a fi mai aproape de respectarea GDPR:
- Realizează un „audit” al datelor personale în cadrul organizației. Verifică, împreună cu echipa, ce date sunt colectate/folosite, unde se află acestea, cine are acces la ele.
- Asigură-te că folosești aplicații digitale pe conturi ale ONG-ului, și nu pe cele personale. De exemplu, ca ONG ai acces gratuit la Google for Nonprofits sau Office 365 for Nonprofits. Înscrie-te și folosește-le, pentru că asta înseamnă că semnezi acorduri/contracte cu acești furnizori inclusiv pentru GDPR, având astfel o grijă în minus. De asemenea, verifică dacă datele se află pe conturile digitale ale organizației. Când acestea ajung pe conturi personale pot fi vulnerabile în fața unui „data breach” (inclusiv copierea datelor de către un voluntar pentru uz propriu, de exemplu, sau transferul neautorizat către un alt ONG) de care nu vrei să auzi. :)
- Întocmește o Politică a Protecției Datelor Personale a ONG-ului tău, într-un limbaj cât mai simplu, și public-o la loc vizibil pe site. Apoi, poți include un link către aceasta în formularele online, liste de semnături etc.
- Actualizează formularele din organizație, în special cele legate de înscrierea la evenimente, la newslettere, liste de participanți. Asigură-te că soliciți consimțământul atunci când acesta este necesar și câ informezi în permanență beneficiarii cu privire la datele lor. Nu este cazul de exces de zel, e suficientă o bifă clară cu scopul procesării datelor și link către politica ta de procesare.
- Dacă ți se pare util, poți crea mici proceduri interne pentru diferite situații (ce faci când cineva își retrage consimțământul sau solicită ștergerea datelor, de exemplu).
- Asigură-te că accesul la date este exercitat doar de către persoane autorizate. Setează permisiunile din Google Drive/Dropbox/pagina de Facebook și unde mai este necesar, acordând în special atenție celor care nu mai fac parte din organizație dar continuă să aibă acces.
- Informează echipa ONG-ului tău cu privire la schimbările GDPR, atât la nivel managerial/operațional, cât și ca beneficiari.
- Roagă-te să fie bine. :)
GDPR aduce cu siguranță provocări majore pentru orice ONG, dar dacă privim aceste schimbări ca un imbold spre eficientizare și profesionalizare, putem constata că, până la urmă, ne-a sprijinit întregul demers. Datele pe care le avem în grijă sunt în responsabilitatea noastră, și e bine să le protejăm așa cum ne-am aștepta și noi să ne fie protejate datele de către alte organizații.
Pentru detalii suplimentare și complete despre GDPR poți accesa ghidul propus de autoritatea de protecție a datelor din UK.
Mult succes!
Autor: Răzvan-Victor Sassu, Președinte AYI
Asociația Young Initiative – Empowering people through education