Fundraisers.be

RGPD en collecte de fonds: documentation

Le Fundraisers Forum propose différents documents susceptibles de facilité la mise en conformité RGPD dans le cadre d'activités en collecte de fonds:

- un guide disponible en versions FR ou NL (confer sommaire ci-dessous)
- diverses annexes (confer sommaire ci-dessous) 
- une Newsletter mensuelle 'RGPD en collecte de fonds', (éditée de février à juillet 2018).

Prix et formulaire de commande

Le Toolkit (guide, annexes et Newsletter) vous sont proposés au prix de 45€, et transmis endéans les 48 heures après enregistrement de votre commande au travers de ce formulaire.

1 - Guide 'Implémentation de la RGPD en collecte de fonds'

1a - Principales exigences de la RGPD

  • 1.1 RGPD: contexte, acteurs, échéances (p.7)
  • 1.18 Terminologie (p.8)
  • 1.19 Responsable du traitement et sous-traitant : quelles obligations ? (p.9)
  • 1.20 Obligation de documenter vos activités de traitement : registre des traitements (p.10)
  • 1.21 Obligation de documenter le fondement légal des différentes catégories de traitements (p.12)
  • 1.21a Obligation de documentation (p.12)
  • 121b Six bases légales (p.12)
  • 1.21c Marketing direct : justification du fondement légal sur base soit de votre intérêt légitime soit du consentement des usagers (p.13)
  • 1.21d Fondement légal sur base de l’intérêt légitime de l’organisation: conditions à respecter (p.13)
  • 1.21e Fondement légal sur base du consentement explicite des usagers: conditions à respecter (p.14)
  • 1.21f Soft opt-in : justification en cas de communication électronique avec vos donateurs et autres contacts actifs (p.15)
  • 1.21g Autres fondements légaux concernant le traitement de données personnelles hors marketing direct ou collecte de fonds (p.17)
  • 1.22 Respect des droits des personnes dont nous traitons des données personnelles (p.18)
  • 1.22a Droit à l’oubli (p.18)
  • 1.22b Droit à l’information (p.18)
  • 1.22c Droit de rectification (p.19)
  • 1.22d Droit d’accès (p.19)
  • 1.22e Droit d’opposition (p.19)
  • 1.22f Informer concrètement vos usagers quant à leurs droits (p.20)
  • 1.23 Faciliter l’accès aux données (p.21)
  • 1.24 Rédiger et publier votre ‘Déclaration de confidentialité’ (p.21)
  • 1.25 Appliquer les principes de ‘minimisation des données’ et de ‘durée de conservation limitée’ (p.23)
  • 1.26 Sécurisation des données & procédures en cas de fuite de données (p.23)
  • 1.26a Procédures administratives en vue d’éviter les pertes de données (p.23)
  • 1.26b Procédures informatiques en vue d’éviter les pertes de données (p.23)
  • 1.26c Procédures concernant vos sous-traitants (p.24)
  • 1.26d Mise en place préventive d’un dispositif activable  en cas de violation des données (p.24)
  • 1.27 Décision individuelle automatisée et profilage : effets en collecte de fonds ? (p.25)
  • 1.28 Mise en conformité des contrats avec des sous-traitants (p.26)
  • 1.29 Désignation d’une personne responsable du respect des règles de protection des données personnelles (p.26)

1b - Autres exigences de la RGPD 

Cette seconde section présente diverses obligations qui ne concernent le plus souvent que les plus grands acteurs de la collecte.

  • 1.31 Principe de finalité déterminée (p.27)
  • 1.32 Portabilité des données (p.27)
  • 1.33 Données sensibles (p.27)
  • 1.34 Données concernant les enfants (p.28)
  • 1.35 Protection dès la conception et protection des données à défaut (p.28)
  • 1.36 Data Protection Impact Assesment (DPIA) (p.29)
  • 1.37 Data Protection Officer (D.P.O.): designation, missions (p.29)
  • 1.38 Transferts de données vers les pays tiers (p.30)
  • 1.4 Implémentation de la RGPD en collecte de fonds : autres conseils pratiques
  • 1.41 Première étape : sensibiliser les personnes et équipes concernées (p.31)
  • 1.42 Etapes suivantes (p.31)
  • 1.49 ‘GDPR for fundraising charities : tips and tricks’ (p.32)

2 - Annexes

2a- Appendix 1 – ‘GDPR: the essentials for fundraising organisations’

Edited by the Institute of Fundraising (IoF) – (extracts)

  • Note 1 - How do the legal rules and GDPRwork with the Fundraising Regulator and the Code of Fundraising Practice ? (page 3)
  • Note 2 - Getting ready: top tips (page 3)
  • Note 3 - We do fundraising, is that the same thing as ‘direct marketing’ ? (page 4)
  • Note 4 - Can I send direct marketing by post, email, sms, telephone, automated telephone calls ? (page 4)
  • Note 5 - GDPR and consent – the ‘opt in’ approach (page 5)
  • Note 6 - ‘Legitimate interest’ as legal condition for direct marketing (page 6)
  • Note 7 - Legitimate interest becomes a balancing exercise (page 7)
  • Note 8 - Legitimate interest or consent: what do the British Authorities and the Institute of Fundraising recommend ? (page 9)
  • Note 9 - Can we use both legitimate interest and consent ?
    Or do we have to choose just one and stick with it? (page 11)
  • Note 10 - How long can we keep sending direct marketing to supporters ?
    Is there a limit to how long consent lasts ? (page 11)
  • Note 11 - People might have different expectations of what’s reasonable, how do we decide ? (page 12)
  • Note 12 - It hasn’t been recorded whether some people on our database have given us their consent or not. What should we do regarding email or postal marketing ? (page 12)
  • Note 13 - Make sure that on communications that you send them that you’re giving them easy and simple ways to change their preferences (page 13)
  • Note 14 - What about ‘wealth screening’, researching, and profiling supporters ? (page 13
    British publications recommended by the Institute of Fundraising (page 14)

Appendix 2 – Fundraising and Data Protection ‘A survival guide for the uninitiated’

Author: Tim Turner (extracts)
Summary of the Notes

  • Note n° 15 – EU legislations - Role of the British Authority (ICO) (page 17)
  • Note n°16 - Ten essential things you need to know about data protection (page 18)
  • Note n° 17 – How should you write your purposes down ? (page 19)
  • Note n° 18 - Appending, in order to keep your data accurate and up to date, is OK (page 20)
  • Note n° 19 – Should your Privacy notice be transparent on profiling, research, data sharing? (page 20)
  • Note n° 20 – Do we have to tell them at all? The concept of ‘reasonable expectations’ (page 22)
  • Note n° 21 – Privacy notices: the ICO suggests a layered approach & ‘just-in-time’ notices (page 22)
  • Note n° 22 – Example: a Privacy notice ‘vague to the point of being unfair’ (page 22)
  • Note n° 23 – Do we provide a privacy notice, or make available on our website? (page 23)
  • Note n° 24 – Definition of Consent (page 23)
  • Note n° 25 – Can consent be opt-out or does it have to be opt-in? (page 24)
  • Note n° 26 – What about implied consent? (page 26)
  • Note n° 27 – How long does consent last? (page 26)
  • Note n° 28 - Are we able to ask for lifetime consent rather than asking every couple of years? (page 26)
  • Note n° 29 - Bundled consent (page 27)
  • Note n° 30 - Can you email donors to ask for a consent ? (page 27)
  • Note n° 31 - What happens if you don’t have good records of consent, i.e. the person is on your database, but you cannot be certain that they opted into marketing? (page 27)
  • Note n° 32 - ‘Legitimate interests’ is OK if you make a compelling case that your data processing is necessary (page 27)
  • Note n° 33 - The legitimate interests condition is a balancing act (page 28)
  • Note n° 34 - Legitimate interests for profiling donors and potential donors, and for wealth screening ? (page 28)
  • Note n° 35 - Sensitive personal data (GDPR special categories) (page 29)
  • Note n° 36 - Obtaining data from third parties (page 30)
  • Note n° 37 - Why should you keep and update a suppression list ? (page 30)
  • Note n° 38 - The Right to Be Forgotten does not mean you should have no suppression list (page 31)
  • Note n° 39 - GDPR rules regarding profiling or ranking donors with scoring systems (page 31)
  • Note n° 40 - PECR rules for consent over electronic direct marketing (automated calls, live calls, emails and texts) (page 31)
  • Note n° 41 - The ‘existing customer’ exemption (an opt-out approach for email and text in certain limited circumstances) (page 32)
  • Note n° 42 - Identifying a legal ground for your personal data processing is only the first of eight important RGPD principles (page 34)

Appendix 3 – Privacy Notice (examples)

Appendix 4 – Opt-in forms & preference forms (examples)

Appendix 5 – Recording your processing activities: examples