Nmedia / Adobe股票
对许多公司来说,5月25日将是今年最重要的日子之一,因为欧盟的《通用数据保护条例》(GDPR)将在这一天生效。任何持有或使用欧盟公民个人数据的组织,无论其总部位于何处,都应该有一个行动计划。
在我们讨论GDPR应该如何被视为不仅仅是合规清单上的另一个项目之前,这里有一些关于新数据隐私法的快速事实:
- GDPR的目的是保护和定义一套使用欧盟公民数据的原则。
- 根据GDPR,组织需要同意数据处理,并且必须对正在处理的数据,如何以及是否与其他组织共享数据保持透明。
- 违规行为将面临巨额罚款,最高可达2000万欧元(合2410万美元),或全球收入的4%,具体取决于违规行为的严重程度。
GDPR对个人数据的定义非常宽泛,涵盖了从个人姓名、职业和人口统计信息,到IP地址和网页浏览cookie,再到政治信仰等方方面面。该法律的另一个优势将来自其有些模糊的措辞,其目的是允许在更多的个案基础上对违规行为进行判断。例如,组织将被要求证明其数据保护的“合理”水平。
公司准备好了吗?
过去几个月的许多报告和调查显示,很少有公司认为自己已经为GDPR做好了准备,有些公司认为自己无法在5月的最后期限之前做好准备。
然而,这并不意味着企业没有认真对待准备工作。
Forrester Consulting对美国、英国、德国和法国的263名数据和合规决策者进行的一项研究显示,企业正在为GDPR和电子隐私法规合规留出大量预算,48%的受访企业拨出了超过100万美元的预算。三分之二的受访者预测,这些预算将在5月后增加。
来源:Forrester Consulting
(《电子隐私条例》将取代现行的《电子隐私指令》,要求用户同意使用网站cookie并清除退出选项。目前还在审批过程中,尚未确定实施日期。)
截至2016年9月,72%的被调查组织已经在为GDPR做准备,57%的组织已经在为电子隐私条例做准备。39%的受访者报告说,他们的组织并不是从零开始的,因为他们已经有了适当的数字治理策略。另有35%的人预计5月份会有一个。
大多数受访者还表示,他们的组织正在采取措施,以确保他们的营销和IT供应商将符合新的规定。这些措施包括定期审计,在第三方合同中纳入GDPR要求,以及允许记录第三方数据处理实践的新流程。
超出合规
Forrester发现,尽管对准备工作存在疑问,但许多公司都将GDPR(以及即将出台的电子隐私法规)视为竞争优势的潜在来源,而不仅仅是另一个合规领域。
有远见的公司正在努力使数据隐私成为一项基本原则,无论是内部还是与外部服务提供商。大约一半的受访者表示,GDPR将导致他们的组织在设计上更加重视隐私。36%的人认为GDPR也会对公司文化产生影响,使其更加注重隐私。
除了避免高额罚款,潜在的商业利益还包括提高品牌声誉,提高客户满意度和忠诚度。超过三分之一的受访者表示,他们预计GDPR合规将带来更快乐、更忠诚的客户,以及更高的品牌认知度和市场差异化。
一些公司正在为GDPR做准备,任命了一名数据隐私官来监督合规情况。然而,要创建一个更加注重隐私的公司文化,可以考虑Forrester的建议,即创建一个跨职能的数据隐私团队。这种方法将有助于确保隐私得到来自业务所有部分的支持和可见性。
在外部,将数据隐私视为企业社会责任议程的一部分,并在选择加入程序时考虑改善用户体验的方法。正如Forrester所指出的那样,这不仅可以增加用户同意数据收集的可能性,良好的用户体验还可以揭示额外的信息,例如客户喜欢的营销传播内容或频率。
讨论: