מדריך תיקון 13 לעמותות וארגונים ללא כוונת רווח

עמותה מחזיקה מידע על תורמים, מתנדבים, ונהנים - שלושה מאגרי מידע שונים. תיקון 13 חל גם על ארגונים ללא כוונת רווח, ללא קשר לגודל. עמותות נבחנות בקפידה בגלל רגישות המידע של הנתמכים והחשיפה הציבורית.

רקע: מה זה תיקון 13?

מה עמותה אוספת?

שמות וכתובות תורמים, פרטי חשבון לתרומות חוזרות, רשימות מתנדבים עם טלפונים, מידע על נהנים (לפעמים מידע בעל רגישות מיוחדת - רפואי, פיננסי, או על מצבם הנפשי). מידע על קטין כשלעצמו אינו "מידע בעל רגישות מיוחדת" לפי תיקון 13, אך לעיתים קרובות הוא משולב עם מידע רפואי/חינוכי שכן נכלל בהגדרה. כל אלה מאגרי מידע שונים ודורשים הגנה נפרדת.

תורמים - מידע פיננסי ודיוור ישיר

פרטי כרטיס אשראי של תורמים זה מידע פיננסי הדורש הגנה. DPA עם חברת הסליקה חובה. חשוב להבהיר: תקן PCI-DSS מגן על נתוני אשראי (מספר, תאריך), אבל הוא לא מגן על הפרטים האישיים של התורם (שם, טלפון, כתובת, סכום תרומה). לכן צריך DPA נוסף שדורש מהסליקה להגן על המידע האישי. אם שולחים דיוור לתורמים צריך הסכמה נפרדת וברורה, וחובה להנחות את העמותה כיצד לבצע מחיקה טכנית מכל המערכות (לא רק מייל, גם CRM). בכל הודעת דיוור, חייב להיות לינק הסרה בולט וקל להשתמש בו.

נהנים - הגנה מוגברת ומזעור נתונים

ארגונים שמטפלים באוכלוסיות מוחלשות (ילדים, חולים, קשישים) אוספים מידע רגיש. זה דורש הסכמה מפורשת מהורה או אפוטרופוס (לקטין), אבטחה מוגברת, והגבלת גישה חמורה. קריטי: מזעור נתונים פעיל. אם עמותה מאשרת זכאות לסיוע על סמך אישור רפואי, עליה להשמיד את המסמך הרפואי עצמו בתוך 72 שעות מהאימות ולאחסן בקובץ רק סימון שהזכאות אושרה. אין צורך לשמור את האבחנה הרפואית או הפרטים הרגישים בשרתים לשנים קדימה. שאלו עצמכם: האם אני באמת חייבת לשמור את צילום תעודת הזהות של הנתמך, או שמספיק לי לראות אותה פעם אחת ולאפסן? תיקון 13 עודד מזעור נתונים - אל תשמרו מה שלא חייבים.

מתנדבים ועובדים - סודיות, הדרכה שנתית ודו-צדדית

פרטי מתנדבים (ת.ז., אישור משטרה, בריאות) הם מידע אישי. מתנדבים נחשפים לעיתים קרובות למידע הכי רגיש של העמותה (ביקורי בית, חלוקת מזון, היסטוריה חברתית). תיקון 13 דורש הדרכה מוגברת: כל מתנדב ועובד חייבים לחתום על הצהרת סודיות וגם להבין שאסור להוציא מידע מהעמותה (אפילו בשיחת וואטסאפ עם חברים). עם זאת, חתימה לא מספיקה צריך רענון נוהלים חצי-שנתי: בכל חצי שנה, שלחו תזכורת לכל המתנדבים המפורשת שמזכירה להם: איסור לצלם את הנתמכים, איסור לשתף סיפורים או תמונות שלהם ברשתות חברתיות, איסור לדבר על פרטים אישיים במשפחות ובחברים. עובדי עמותה חייבים גם הסכם סודיות רשמי, הגבלת גישה לפי תפקיד, ושמירה לפי חוק (7 שנים לנתוני שכר/מס).

CRM וחברת הסליקה - DPA מובנה וענן בטוח

אם מערכת ה-CRM שלכם (כמו Salesforce, מערכת ייעודית לניהול עמותות כגון Salesforce NPSP) שומרת נתוני תורמים צריך DPA פעיל עם הספק. אם משתמשים בדיסק קלאוד פתוח (Google Drive, Dropbox) לאחסון רשימות תורמים או נהנים חשוב לוודא שהשרתים נמצאים במדינות מאושרות או שיש DPA מתאים. מידע רגיש של נהנים (נתוני בריאות, כלכליים, על קטינים) לא אמור להישמר בגרסה חינמית של Google Drive צריך שרוויס מאובטח עם DPA כראוי. גם לחברת הסליקה: בדקו שהיא עומדת בתקן PCI-DSS להגנה על מידע פיננסי, אך זה לא מספיק דרוש DPA נוסף להגנה על הפרטים האישיים של התורם.

תקופת שמירה, ניקוי נתונים, והנגשה לנתמכים

תורם שתרם פעם אחת ואינו בקשר במשך 3-5 שנים אין סיבה שיהיה בקשר פעיל. תיקון 13 דורש מחיקה פעילה של נתוני נהנים וחלק מנתוני תורמים שלא היו בקשר. עובדו נוהל שנתי: בדקו מי בקשר פעיל ומי לא, ומחקו את הישנים. חשוב גם: אם העמותה עובדת עם אוכלוסייה שלא דוברת עברית או שיש לה מוגבלות, חובה להנגיש את הסבר הפרטיות (המדיניות) בשפה ברורה או במדיות נגישות (קול, טקסט גדול, תמונות מקובלות). זכות הנתמך לדעת מה סוג המידע שלו ואיך משמר אותו צריכה להיות נגישה ברורה.

צ׳קליסט ציות

  • מדיניות פרטיות באתר ובטפסי הרישום לסיוע - בשפה פשוטה וגם עבור מי שלא גולש באתר; כולל הנגשה לשפות רלוונטיות או תיווך לנתמכים
  • הסכמה מתועדת מתורמים - DPA עם מערכת ה-CRM וחברת סליקת התרומות (כולל הבדלה בין PCI-DSS לבין הגנה על פרטים אישיים)
  • הסכמה נפרדת לדיוור ישיר עם מנגנון הסרה אוטומטי בכל הודעה
  • הסכמה מפורשת למידע רגיש (נהנים) - הורה או אפוטרופוס לקטין
  • נוהל מחיקת מסמכי מקור (צילומי ת.ז., אישורים רפואיים/כלכליים) לאחר אימות הזכאות - בכפוף לדרישות שמירה אחרות (חוק העמותות, תקנות מס הכנסה, ביקורת רשם). שמור רק תיעוד של עצם האישור.
  • בדיקת מזעור נתונים: האם צריכים לשמור את המידע הרגיש הזה, או שאפשר לשמור רק תוצאה של האישור?
  • הצהרת סודיות ושמירה על פרטיות - חתימה חובה לכל עובד ומתנדב
  • הדרכה חצי-שנתית לעובדים ומתנדבים: תזכורת מפורשת על האיסורים (לא להוציא מידע מהעמותה, לא לצלם נתמכים, לא לשתף בוואטסאפ/רשתות חברתיות)
  • אם משתמשים בענן (Google Drive, Dropbox): ודא שיש DPA כראוי עם הספק, במיוחד למידע רגיש של נהנים
  • הגדרת תקופות שמירה: נהנים (בדיקה שנתית), תורמים ישנים (מחיקה אחרי 7 שנים לפי חוקי ניהול ספרים)
  • הגבלת גישה לנתוני נהנים - רק לעו"ס, מנהל פרויקט, ומי שחייב
  • מנגנון למימוש זכויות (עיון, תיקון, מחיקה) לתורמים ונהנים
  • הורדת תבנית "הצהרת סודיות ושמירה על פרטיות למתנדב" - תבנית מוכנה ומותאמת לתיקון 13

משאבים להורדה

תיקון 13 מחייב הדרכה והחתמה של כל אדם שחשוף למידע רגיש בארגון. להלן תבנית מוכנה להצהרת סודיות ושמירה על פרטיות למתנדבים - מותאמת לדרישות החוק וקלה להדפסה וחתימה.

הורד תבנית הצהרת סודיות למתנדבים (PDF)
בדוק את העסק שלך בחינם