Чому НКО не звільнені від GDPR
Поширена хибна думка: якщо ваша організація не є комерційною, GDPR вас не стосується. Це помилка, яка коштувала кільком некомерційним організаціям дорого.
GDPR застосовується до будь-якого суб'єкта, що обробляє персональні дані громадян ЄС — незалежно від правового статусу чи прибутковості. НКО, благодійні фонди, асоціації та громадські організації несуть ті самі зобов'язання, що й великі корпорації.
Що обробляють НКО:
- Дані донорів (імена, адреси, платіжна інформація, IBAN)
- Дані бенефіціарів (часто включаючи чутливі категорії — здоров'я, соціальний стан)
- Дані волонтерів і співробітників
- Контактні дані членів організації
- Записи про зустрічі та кореспонденцію
Кожна з цих категорій вимагає відповідного рівня захисту.
Реальні ризики для НКО
Штрафи та санкції
Наглядові органи неодноразово підкреслювали: вони не застосовують подвійних стандартів до некомерційних організацій. У 2023 році Французька CNIL оштрафувала благодійну організацію на €200 000 за неналежне зберігання даних донорів.
Втрата довіри донорів
Для НКО репутація — це все. Витік даних донорів або неналежне поводження з інформацією бенефіціарів може назавжди підірвати довіру громади.
Специфічні вразливості НКО
- Волонтери мають доступ до систем без належного навчання
- Старі бази даних Excel з роками накопичених даних без шифрування
- Листування електронною поштою з PII у вкладеннях
- Спільне використання документів через Google Docs або Dropbox без контролю доступу
Безкоштовні та доступні інструменти для НКО
1. anonym.legal — безкоштовний рівень
anonym.legal пропонує безкоштовний план, що включає:
- До 200 токенів/місяць для аналізу та анонімізації
- Підтримку 48 мов (включно з мовами меншин)
- 285+ типів сутностей PII
- Відповідність GDPR
Для малих НКО, що обробляють обмежену кількість документів, безкоштовний план може покрити базові потреби.
2. Microsoft Presidio (self-hosted)
Для технічно грамотних НКО з IT-ресурсами:
- Відкритий вихідний код — безкоштовно
- Розгортається локально на власних серверах
- Повний контроль над даними
Складнощі: вимагає Python, Docker, підтримки інфраструктури.
3. Анонімізація перед відправкою
Найпростіший безкоштовний підхід: перед відправкою будь-яких документів зовнішнім сторонам вручну або напівавтоматично замінюйте PII.
Практичні кроки для НКО
Крок 1: Реєстр обробки даних
Створіть простий реєстр у Google Sheets або Excel:
| Категорія даних | Де зберігається | Хто має доступ | Термін зберігання |
|---|---|---|---|
| Дані донорів | CRM система | Директор, фінансист | 7 років |
| Дані бенефіціарів | Зашифровані файли | Соціальні працівники | 5 років після закінчення послуг |
| Дані волонтерів | HR система | HR менеджер | Термін участі + 2 роки |
Крок 2: Налаштування основних захисних заходів
Мінімальні вимоги без бюджету:
- Шифрування диска на всіх пристроях (BitLocker у Windows безкоштовний)
- Двофакторна автентифікація для всіх облікових записів
- Регулярне резервне копіювання на зашифрований носій
- Базова политика паролів
Крок 3: Процедури для поширених сценаріїв НКО
Звіти про гранти:
- Анонімізуйте дані бенефіціарів перед включенням у звіти
- Використовуйте псевдоніми (Клієнт А, Клієнт Б) замість реальних імен
- Зберігайте таблицю відповідності окремо під захистом
Публікації та кейс-стаді:
- Завжди отримуйте письмову згоду або
- Повністю анонімізуйте перед публікацією (зміна імені, місця, ідентифікуючих деталей)
Запити на надання даних:
- Якщо донор просить видалити його дані, вам потрібен процес
- Визначте контактну особу для запитів суб'єктів даних
- Встановіть 30-денний термін відповіді
Спрощена документація для малих НКО
DPA не вимагає від малих НКО (< 250 співробітників) повного реєстру діяльності з обробки, якщо обробка не є регулярною, не стосується чутливих категорій або не несе ризику для прав суб'єктів.
Але на практиці навіть маленька НКО обробляє дані регулярно. Тому мінімальна документація бажана.
Мінімальний пакет документів:
- Политика конфіденційності (розміщена на сайті)
- Згода на збір даних (форма реєстрації донорів/волонтерів)
- Процедура відповіді на запити суб'єктів даних
- Процедура реагування на витік даних
Всі ці документи можна знайти як шаблони у відкритому доступі та адаптувати.
Чутливі категорії: підвищена увага
Багато НКО працюють із вразливими групами населення — людьми з інвалідністю, з проблемами психічного здоров'я, з міграційним статусом, з ВІЛ. Ці дані відносяться до спеціальних категорій відповідно до ст. 9 GDPR і вимагають:
- Явної згоди (не просто загальної)
- Правового обґрунтування для обробки
- Більш строгих заходів захисту
- Може знадобитися DPO (Уповноважений із захисту даних)
Практичне правило: якщо ваша НКО працює з уразливими групами, проведіть оцінку ризиків із юристом, що спеціалізується на GDPR. Багато адвокатів пропонують знижки для НКО.
Поширені помилки НКО
❌ «Нам не потрібна згода, бо люди самі звернулися до нас» Звернення за допомогою не є згодою на будь-яку обробку даних.
❌ «Ми зберігаємо дані назавжди на випадок, якщо бенефіціар повернеться» GDPR вимагає визначення терміну зберігання. Безмежне зберігання незаконне.
❌ «Наші волонтери підписали NDA, тому все добре» NDA не є заміною навчання із захисту даних і технічних заходів.
❌ «Ми відправляємо дані донорів у США нашим партнерам» Міжнародна передача даних поза ЄС вимагає окремих правових механізмів.
Висновок
Дотримання GDPR для НКО — це не опція. Але воно не повинно бути непосильно дорогим. Використовуючи безкоштовні інструменти, прості процедури та базову документацію, навіть маленька організація може суттєво знизити ризики.
Головне — почати. Навіть часткове дотримання краще, ніж ігнорування.
Джерела:
- GDPR для некомерційних організацій — EDPB
- Рекомендації ICO для благодійних організацій
- Рішення CNIL 2023 року щодо благодійних організацій