Privacy verklaring (GDPR-versie)
Overeenkomstig art. 40 van de GDPR – Verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens; Verordening (EU) 2016/679 van 27 april 2016;
Datum in werking treding: 25 mei 2018
Artikel 1.
Proma verbindt zich ertoe ten aanzien van haar schenkers en sympathisanten om de GDPR loyaal en transparant toe te passen.
Artikel 2.
Met betrekking tot het verleden meent Proma een legitiem belang te hebben om schenkers en sympathisanten die reeds vóór 25 mei 2018 in de databank zitten op de hoogte te blijven houden van de bestemming van gedane giften en eventueel voorziene legaten ten voordele van Proma vzw; en over de toekomstige en bijkomende noden van de ondersteunde projecten. Deze overweging is mee ingegeven door het feit dat de registratie van de persoonsgegevens mogelijk zelfs dateert van vóór de overzetting van donateursgegevens naar de nieuwe databank, waardoor toen bepaalde historiek over het ontstaan van de band tussen betrokken schenker/sympathisant en Proma verloren ging.
Voor de werking na 25 mei 2018 meent Proma dat ze eveneens een legitiem belang heeft om de persoonsgegevens van de nieuwe schenkers op te slaan en te verwerken om hen op de hoogte te kunnen houden van de ondersteunde projecten, van de behoeften; om hen te kunnen bedanken; en om de binding met de statutaire doelstellingen van Proma te kunnen verzekeren. Deze verwerking is bovendien in het belang van de donateur, die het recht heeft om te worden geïnformeerd over de correcte besteding van zijn gift en in de meeste gevallen ook recht heeft op een fiscaal attest.
Proma verbindt zich ertoe om nieuwe sympathisanten, andere dan effectieve nieuwe donateurs, in de toekomst enkel mits een uitdrukkelijke, heldere en formele instemming (zogenaamde ‘opt-in’) systematisch via een directe communicatie op de hoogte te houden van de werking en de financieringsbehoeften van de ondersteunde onderwijsprojecten, dit overeenkomstig de regels en verwachtingen van de GDPR, artikel 4 §11.
Artikel 3.
Proma verbindt zich ertoe om de persoonsgegevens van schenkers en sympathisanten te ontvangen en te bewaren conform de regels opgelegd door de GDPR.
Proma engageert zich om bij de verwerking extra zorg te besteden aan de bescherming van persoonsgegevens van minderjarigen woonachtig in de EU. Elk gebruik van de gegevens van dergelijke minderjarigen, voor informatieve of fondsenwervende doeleinden, is onderworpen aan de voorafgaande toestemming van de ouders of wettelijke vertegenwoordiger.
Proma engageert zich ook om van bij de projecten betrokken minderjarigen woonachtig buiten de EU, zo weinig mogelijk gegevens op te vragen en te bewaren; dit zowel om de privacy van die kinderen te beschermen alsook om te vermijden zelf buitenlandse privacyregels te overtreden.
Artikel 4. Rechten van de personen van wie Proma gegevens verwerkt
Proma verbindt zich ertoe om tegemoet te komen aan elke vraag naar informatie of aanpassing van de persoonsgegevens binnen de 30 dagen na ontvangst van het verzoek.
Iedereen heeft verder het recht om zich tegen de verdere verwerking van zijn of haar gegevens te verzetten. Conform artikel 17 van de GDPR verbindt Proma zich dan ook ertoe om de gegevens in haar databank te desactiveren van elkeen die daartoe een uitdrukkelijk verzoek indient.
Bij twijfel over de identiteit van de persoon die zich verzet tegen de verdere verwerking, behoudt Proma zich het recht voor om aan de indiener van het verzoek te vragen om te staven dat hij/zij ook effectief degene is van wie de schrapping van de gegevens gevraagd wordt of minstens iemand die gemachtigd is om namens de betrokken persoon dergelijk verzoek in te dienen.
Proma engageert zich ertoe om dergelijk verzoek tot wissen of schrapping te behandelen binnen de 30 werkdagen na ontvangst.
Proma verbindt zich tot terughoudendheid en omzichtigheid op het vlak van het gebruik van cookies en traceringsmiddelen op haar website en eventueel in de toekomst te gebruiken sociale media. Goed om te weten: momenteel verzamelt Proma noch via cookies noch op aanverwante manieren gegevens om die te kunnen koppelen aan het ‘profiel’ van de in haar databank opgenomen donateurs en sympathisanten.
Artikel 5. Eventuele vaststelling van inbreuken op GDPR-regels
Proma engageert zich ertoe om een zogenaamd incidentenlogboek bij te houden van alle discussies of incidenten over het al dan niet correct toepassen van de GDPR-regels.
Proma engageert zich om minstens eenmaal per jaar op basis van de ervaringen van de voorgaande periode en de geregistreerde incidenten, de toepassing van haar privacy beleid te evalueren en waar nodig bij te sturen.
Bij eventuele vaststelling – maar zelfs bij ernstige vermoedens – van zware inbreuken, meer bepaald datalekken, verbindt Proma zich ertoe om die binnen de 72 uur na kennisname te melden aan de bevoegde toezichthoudende autoriteit (momenteel gekend onder de benaming Privacy Commissie) en in nauw overleg met deze autoriteit zo spoedig mogelijk de nodige en/of opgelegde maatregelen te nemen om de gevolgen van die zware inbreuk te beperken.
Artikel 6. Uitwisseling van data met ‘derden’
Proma verbindt zich ertoe om haar donateurs ervan te vrijwaren dat ze door opname in de gegevensbank van Proma benaderd worden door ‘derde partijen’, dit wil zeggen: bedrijven of andere fondsenwervende organisaties. Proma engageert zich dus om alles in het werk te stellen opdat de over haar donateurs opgeslagen gegevens niet door ‘derde partijen’ zullen gebruikt worden voor commerciële doeleinden of voor fondsenwervende acties van andere organisaties. Ze heeft in het verleden nooit uitdrukkelijk toestemming gevraagd aan haar donateurs en sympathisanten om dat toch te mogen doen en is ook niet van plan om dat in de toekomst toch te doen.
Proma behoudt zich wel het recht voor om gegevens uit te wisselen wanneer daar een wettelijke noodzaak toe bestaat of wanneer er een legitiem belang is.
Zo moet Proma gegevens over donateurs uitwisselen met de Belgische fiscale administratie, in het kader van haar erkenning om fiscale attesten uit te reiken. In het kader van deze fiscale erkenning, is Proma trouwens wettelijk verplicht om bepaalde data bij te houden; wat mogelijks tot een conflict kan leiden met een uitdrukkelijke vraag van een donateur om zijn gegevens definitief te verwijderen. In zo’n geval krijgt de wettelijke verplichting om gegevens bij te houden voorrang en zullen de gegevens op verzoek enkel uit de ‘actieve databank’ verwijderd worden (dit wil zeggen: niet meer actief gebruikt worden om de donateur te benaderen met informatie en verzoeken om een gift te doen), maar wel in een ‘passieve databank’ bewaard blijven om Proma in staat te stellen om de wettelijke bewaarplicht te respecteren.
Zo moet Proma ook adresgegevens kunnen uitwisselen met leveranciers zoals drukker(s) en verzendhuis, om haar papieren communicatiemiddelen (mailings, fiscale attesten, ProMagazine, e.d.) aan haar donateurs te kunnen bezorgen.
Voor de samenwerking met de bij haar aangesloten particuliere projecten (zogenaamde 4de pijler-organisaties), beschouwt Proma de projectverantwoordelijken in Azië, Afrika of Latijns-Amerika en de contactpersonen in België ieder voor zijn project niet als ‘derden’. De verantwoordelijkheid om fondsenwervende acties op te zetten, ligt immers in de eerste plaats bij deze ‘vrijwillige medewerkers’ van elk van die particuliere projecten.
Proma meent dat er een legitiem belang is om met deze vrijwillige medewerkers gegevens van de donateurs van – enkel ! – hun project uit te wisselen, om deze mensen toe te laten om hun donateurs te bedanken en/of om deze donateurs via eigen communicatiemiddelen (bv. een eigen nieuwsbrief) nog beter op de hoogte te houden van de realisaties van het project, de financieringsbehoeften en dus een nog betere binding met het project tot stand te brengen.
Anderzijds heeft Proma in het verleden nooit gegevens van derden gehuurd of gekocht, om op die manier een nieuw publiek van potentiële donateurs te kunnen bereiken die voorheen niet uit eigen beweging hun interesse voor onze activiteiten en projecten getoond hadden. Ook op dit vlak heeft Proma niet de intentie om haar politiek te wijzigen en in de toekomst toch donateurs te proberen winnen op basis van door derden gecommercialiseerde adressen.
Artikel 7.
Proma engageert zich ten opzichte van haar schenkers en sympathisanten om de veiligheid van de verwerkte persoonsgegevens zo goed mogelijk te waarborgen. Proma neemt hiervoor alle mogelijke maatregelen die redelijkerwijze van een organisatie met haar omvang verwacht mag worden op het vlak van toegang tot en van beheer en verwerking van de gegevens; van gebruikte soft- en hardware en toegepaste beveiligingsmaatregelen.
Proma verwerkt gegevens over een relatief beperkt aantal personen. We hebben niet de omvang van grote fondsenwervende NGO’s die gegevens verwerken over meer dan 100.000 personen. Bovendien houdt Proma slechts een beperkt aantal persoonsgegevens bij over haar donateurs, voor het overgrote deel enkel die gegevens die vereist – minstens nuttig – zijn in het kader van de erkenning om fiscale attesten uit te reiken en de daaraan verbonden wettelijke verplichtingen. Proma houdt geen ‘gevoelige’ informatie bij, zoals gegevens over gezondheid, geaardheid, financiële vermogenstoestand en inkomen, geloofsovertuiging en dergelijke meer. Proma meent dan ook dat op haar geen verplichting rust om een externe ‘Data Protection Officer’ (DPO) aan te stellen.
Artikel 8.
Proma engageert zich om de nodige maatregelen te treffen en adviezen te geven om te waarborgen dat alle personen die betrokken zijn bij de verwerking van persoonsgegevens van donateurs en vrijwilligers, de confidentialiteit van die gegevens respecteren.
Proma verbindt zich ertoe om haar leveranciers en onderaannemers (zoals externe ICT-firma en/of ontwikkelaar/beheerder databank) een privacy engagement te doen onderschrijven of afleveren, waarin zij zich op hun beurt ertoe verbinden om de GDPR te respecteren en de veiligheid en confidentialiteit van de door Proma verwerkte persoonsgegevens te waarborgen.
Proma engageert zich om persoonsgegevens niet langer bij te houden dan wat verantwoord is om haar statutair doel te realiseren.
Goed om te weten:
Deze Privacy verklaring is geïnspireerd door de op de Algemene Vergadering dd. 22/03/2018 van de Vereniging van de Ethiek in de Fondsenwerving (VEF) gepresenteerde versie van het model gedragscode en de twee daarop volgende besprekingen in de VEF-werkgroep terzake.