或許有些人聽過「歐盟一般資料保護規定」(General Data Protection Regulation,簡稱 GDPR)」,我想一般的初步感想應該是「好像很重要、但沒有頭緒該如何面對、只好佛心斷捨離/有緣再議」。沒關係,netiCRM 作為非營利組織永續經營的後盾,你沒想到的,我們都會幫你想到/做到。以下:
- 國內對於 GDPR 的相關討論都著重在企業領域,少有直接針對非營利組織的建議。建議可先參考 NGO 推進器在去年率先整理的文章「GDPR 歐盟一般性個人資料保護法規與 NGOs」,以及日前我們簡要整理的資訊「GDPR 與台灣的非營利組織」。
- 如果想要一個簡單明瞭的答案,那就是:可以不用管 GDPR。因為國內多數的非營利組織,並不會特別針對歐盟公民/居民進行勸募等活動、收集他們的個資。
- 當然還是會有些例外。舉例來說,如果要在台灣舉辦國際研討會,研討會網站上面有多種語言版本,會收集到許多歐盟國家公民的個資,就應該謹慎面對 GDPR 的規範,盤點合規作法。
- 若是想要針對外國人進行募款,我們建議直接找國際性的機構/平台,例如 Give2Asia 或 GlobalGiving。因為若有免稅需求,這些平台比較有機會能夠核發獲得外國捐款人的國家所認可的單據。
- 但在實務上,國內的非營利組織應該藉此機會審視組織收集了哪些資料、如何保存/處理資料(不論是透過網路、或是白紙黑字)。透過對於個資保護的正面回應,建立支持者的信心、獲取信任。
以 netiCRM 的功能面來說:
- 一直以來,我們都強調讓收件人可以隨時/便利取消電子報訂閱的重要性。早期偶爾會遇到客戶希望隱藏這些連結,都在我們的循循善誘下認同這項作法。未來的趨勢,則是要讓網友「主動同意」訂閱電子報,而不是幫他預設勾選。
- 除了取得支持者的明確同意之外,netiCRM 也早就可以讓支持者選擇想要的溝通工具。系統內建的「隱私」選項,可以讓管理者標記聯絡方式偏好,或是在對外的募款/活動表單上,讓支持者自行選擇是否願意讓組織發簡訊、打電話、寄送實體郵件。
- 在資料的被遺忘權、可攜性、可改正等方面,組織內的資料管理者可以很容易地回應個資擁有者的需求,其實也可以趁著這次 GDPR 的風潮,來清洗/修補支持者的個資。(舉辦一場回娘家的活動?)
- 除了需要組織自行盤點個資的蒐集與處理之外,我們對於 netiCRM 的資安防護也非常重視,定時/即時依據相關資安通報修補難免會有的漏洞。在這邊要提醒大家的是,千萬不要在 netiCRM 裡面儲存信用卡卡號等高度機敏資料,這是違反我們的安全規劃的高風險行為。
若有任何問題,歡迎與我們聯繫,希望非營利組織不僅能善用支持者的捐款,同時也能妥善保護支持者的資料!