Az általános adatvédelmi rendelet az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (angol: General Data Protection Regulation, röviden: “GDPR”)

Ahol személyes adatok kezelése valósul meg, ott a GDPR rendelkezései azonnal érvényesülnek. Egy civil szervezet működése során nagyon szerteágazóak azok a területek, ahol az adatkezelés megjelenik, kikerülni nem lehet.

Néhány példa:

a civil szervezet kuratóriumának üléseiről jegyzőkönyv készül,
a munkavállalók, önkéntesek, tagok, kedvezményezettek adatainak kezelése
munkatársak, önkéntesek (stáb) listázása a honlapon,
a támogatási szerződések alapján megvalósuló rendezvények-programok résztvevői listái,
a tagság informálásával járó kommunikáció (pl. hírlevélküldés),
az 1%-os kampány során támogatók, potenciális támogatók megkeresése
munkaszerződések, megbízási szerződések, önkéntes szerződések nyilvántartása
stb.

A GDPR-nak való megfelelés szervezeti szintű megvalósítása nem egy jogi kötelezettség kipipálását jelenti, hanem a szervezet adatkezelési folyamatainak teljes és előzetes áttekintését, rendszerbe foglalását, jogi megfelelőségének biztosítását.

Alapvetés, hogy mindig előzetesen tájékoztassuk tagjainkat (támogatóinkat, önkénteseinket, stb.) az adatkezelési tevékenység(ek)ről, és hogy bármikor gyakorolhassák önrendelkezési jogaikat, azokra technikailag fel legyünk készülve (tájékoztatás, hozzáférés, adatváltozás esetén módosítás, törlési kérelem).

Korántsem elég, ha látszólag-formailag megfelelő a szervezet adatkezelési szabályzata, vagy adatkezelési tájékoztatója, ugyanis ha ezek nem állnak összhangban a szervezet tényleges munkájával, kommunikációs folyamataival, akkor ez akadályozhatja a szervezet munkáját, és a szervezet gúzsba kötve érezheti magát a jogszabályok téves értelmezése miatt… A cél viszont az lenne, hogy hatékonyan, gördülékenyen tudjuk végezni a munkánkat, miközben az alkalmazott eljárások biztosítják azt, hogy az ügyfeleink, támogatóink, egyéb érintettek tisztában lehetnek azzal, mi történik az adataikkal. A helyes adatvédelmi gyakorlat bizalmat épít a szervezet és az ember között.

Ezért is nem ajánlott a interneten felkutatott mintákat, más szervezetek folyamataira szabott tájékoztatókat magunkra átírni és hátradőlni, hogy na ezt is kipipáltuk, mert nagyon gyorsan ott találjuk magunkat, hogy egy-egy levelet, meghívót, stb. nem tudunk kiküldeni, mert céljainkat nem szolgáló szabályoknak, szabályzatoknak köteleztük el magunkat, amelyeket lehet, hogy már nyilvánosságra is hoztunk.

FONTOS! Az adatvédelmi hatóság sem a formális megfelelést vizsgálja, hanem azt, hogy az előzetes tájékoztatás valóban összhangban van-e a ténylegesen megvalósult adatkezelési folyamattal és tartalommal!

A kérdés: hogyan tervezzük meg a személyes adatokat is magába foglaló munkafolyamatokat és kommunikációs folyamatokat, hogy ezek a GDPR-nak is megfeleljenek és mindez gördülékenyebbé tegye a munkánkat?

Elsősorban a kívánt tevékenységünk pontos, folyamatszemléletű megtervezésére kell koncentrálnunk. Nem csak az aktuális kampányokban kell gondolkodnunk, hanem a jövőbeni lehetőségek megalapozására is. Ez tervezési és stratégiai gondolkodást igényel!

PÉLDA: ha a szervezetünk új tevékenységet (pl. marketing kampányt, vagy új projektet) kíván elindítani, akkor előzetesen mérlegelnünk kell, hogy

mi a pontosan elérni kívánt cél? (pl. új,rendszeres támogatók felkutatása );
milyen eszközök állnak rendelkezésünkre? (milyen kommunikációs platformon dolgozunk, mennyi idő áll rendelkezésre vagy miben gondolkodunk, milyen hardver/szoftver eszközökön tárolunk adatokat - stb.), és
milyen módszereket használunk az adott kommunikációban? (közvetlen megkeresés avagy online közösségi médiakampány, esetleg ügyfeleink bemutatása storytelling során több fajta médiumban stb.)

A rövid távú célokon kívül a hosszú távú céljainkat is át kell tekinteni. Egy rövidebb (pl. egy 3-5 napos) Facebook LEAD új adományozók felkutatására irányuló kampány adatkezelési szabályainak megalkotása során figyelemmel kell lennünk a hosszú távú szervezeti érdekekre is, mert ha ezt nem tesszük, akkor akkor túl szűkre szabhatjuk a kampány során alkalmazott adományozói nyilatkozatok szövegét. Ha nem figyelünk a szándékainkkal egyező tájékoztatásra, akkor abban a helyzetben találhatjuk magunkat, hogy pl. a rendezvényen résztvevő érdeklődők számára egy másik kampány során már nem tudunk jogszerűen emailt küldeni, mert nem kértük a hozzájárulásukat ahhoz, hogy rendszeres tájékoztatást is kaphassanak tőlünk. Lehetséges az is, hogy hiába adták meg a telefonszámukat a rendezvényre történő jelentkezésük során, nem tudjuk őket felhívni adománygyűjtési céllal, mert ehhez az eltérő adatkezelési célhoz nem kaptuk meg az előzetes hozzájárulásukat.

Lássuk be: zavarbaejtő (és jogsértő), ha egy támogatói koncertjegyet veszünk és az esetleges esőnapra szóló tájékoztatásra megadott telefonszámunkon ugyanazon civil szervezet adománygyűjtői kezdenek hívogatni bennünket - hónapokkal a koncert után!

Kellemetlen meglepetéseket tud okozni, ha utólag döntünk az adatok más célú felhasználása mellett, és olyan célokra használjuk a megszerzett adatokat, amelyekre az érintett nem számít. Ha ez kellemetlenül érinti az érintettet (amellett, hogy az adafelvételkor megadott céltól vagy céloktól eltérő adatkezelés jogellenes, túlterjeszkedő) akkor akár az adatvédelmi hatósághoz is fordulhat panaszával, ami megnyitja az utat a hatósági vizsgálat, majd a hatósági eljárás előtt.

Gondoljunk bele abba, hogyan érintene bennünket érzelmileg, ha a pizzéria, ahonnan online szoktunk pizzát rendelni, egy idő után belgyógyászati szakrendelésre, vagy éppen “Túlsúlyos ön?” című emaileket küldene. Az adatvédelmi jog fontos alapelvei a célhoz kötöttség és az adattakarékosság, tehát adatokat csak olyan célból szabad kezelni és annyi ideig, amelyre felhatalmazást kaptunk!

TIPP: ha egy rendezvényt szervezünk, érdemes a jelentkezési felületen lehetővé tenni, hogy az eseményre regisztrálók egy külön nyilatkozattal feliratkozhassanak a szervezet hírlevelére vagy arra, hogy a jövőben SMS-ben is értesítést kapjanak egyéb rendezvényekről, támogatási lehetőségekről. A jelenben zajló tevékenység során a jövőbeni lehetőségek tudatában kell cselekednünk és tájékoztatnunk az érintetteket az őket érintő adatkezelésről.

A hosszú távú, folyamatszemléletű tervezés azért is fontos, mert valószínűleg az adománygyűjtési vagy egyéb kommunikációs kampányunk nem a szervezettől függetlenül, teljesen önállóan fog működni. Egy rövid kampány is szervesen támaszkodhat az általános hírlevelünkre, arra új feliratkozókat hozhat, Az adománygyűjtési kampány növelheti hez új érdeklődők számát és ez közvetve rendezvény résztvevőket, webshop vásárlókat, honlap látogatásokat generálhat, ami jót tesz a szervezet ismertségének..

PÉLDA: a szervezet a Meta (Facebook és Instagram) erre a célra létrehozott kampány oldalain figyelemfelhívó (pl. állatvédelem) videókat helyez el. A videókat lájkoló személyek számára lehetőségként felkínálásra kerül, hogy meglátogassák a civil szervezet honlapját és ott regisztráljanak hírlevélre, vagy egy további adományozási felületen támogassák a szervezet célkitűzéseit. Ezért például az is nagyon fontos, hogy megfelelő színvonalú, jogtiszta videók kerüljenek fel az oldalakra, illetve hogy a további adatkezelésre szolgáló felületek, pl. a szervezet honlapjának adatkezelési folyamatai is rendben legyenek.

A szervezeti-működési, értékesítési, adománygyűjtési, szolgáltatási folyamat pontos megtervezése során pontosan meg lehet határozni, hogy milyen adatok szükségesek a tervezett folyamat lebonyolításához. A szükséges adatok között azonosítani kell a személyes adatokat (pl. egy személy neve, születési dátuma) és a más, technikai, technológiai vonatkozású adatokat (pl. felhasznált CRM szoftver, vagy egyéb alkalmazás elnevezését), illetve azt, hogy ki vesz részt az Adatkezelő részéről a folyamat lebonyolításában (pl. ki férhet hozzá az önkéntesek kiválasztásakor az önéletrajzokhoz, meddig és milyen célból).

PÉLDA: a szervezet honlapján egy jótékonysági licitet szerveztünk. A liciten való részvételhez a résztvevők előzetesen megadják a nevüket, email címüket és telefonszámukat, a rendszer pedig rögzíti a licit összegét és pontos időpontját. A személy neve, személyes email címe és telefonszáma személyes adat lesz, a rendszer által rögzített licit összege és pontos időpontja pedig technikai adat.

Ha mégis félrement valami a tervezésben, és olyan helyzetben találjuk magunkat, amire a közönség számára elérhetővé tett tájékoztatás, vagy hozzájáruló nyilatkozat nem ad jogosultságot, még nincs veszve minden. Itt olvashatsz arról, hogy hogyan járhatsz el, ha a későbbiekben módosítanál az adatkezelés célján.

Kapcsolódó tartalom

Mit tehetünk, ha olyan adatkezelési helyzet áll elő, amire a korábbi hozzájárulás nem ad jogosultságot? - GDPR sorozat

Ajánljuk a kommunikáció téma további tudnivalóit is:

A GDPR helye és szerepe egy civil szervezet kommunikációs folyamatainak tervezésében (GDPR sorozat)

Tavaszi Zsongás 2025 – pályázati felhívás

Kulturális statisztikai adatszolgáltatás

Mit tehetünk, ha olyan adatkezelési helyzet áll elő, amire a korábbi hozzájárulás nem ad jogosultságot? - GDPR sorozat

A GDPR helye és szerepe egy civil szervezet kommunikációs folyamatainak tervezésében (GDPR sorozat)