《通用数据保护条例》(GDPR)自生效以来,对企业运营产生了重大影响。组织更清楚地了解他们持有哪些个人数据、如何使用这些数据以及谁有权访问这些数据。隐私管理已成为一项核心职能,由专门的数据保护官(DPO)领导,该官向董事会汇报,其职责是监督合规性。
要求在发现存在危害风险的数据泄露后 72 小时内通知相关监管机构,以鼓励采取主动预防措施并确保问责制。同时,信息处理实践的透明度可以增加信任、缩短销售周期并增加品牌价值。
英国 GDPR 的历史
GDPR 于 2018 年 5 月 25 日生效。当时,它适用于包括英国在内的所有 28 个欧盟成员国。随后,英国于 2021 年 1 月 1 日脱离欧盟,并将 GDPR 的大部分内容转化为国内法。尽管 GDPR 和 2018 年《数据保护法》已成为监管领域的一部分超过三年,但许多企业仍不确定其合规责任,尤其是在英国脱欧之后。CrowdStrike 在《Infosecurity Magazine》上发表的最新研究证实了这一点:
英国脱欧后 GDPR 如何适用于英国企业
英国脱欧后,GDPR 现已有两个版本。英国版本称为英国 GDPR,欧盟版本适用于欧盟。对于在英国经营并处理 手机号码数据 英国或欧盟个人数据的企业,这意味着英国 GDPR 适用,反之亦然。然而,虽然可以说公司承担的义务大致相同,但现在又增加了一层复杂性:
由于英国现在是欧盟的第三国,在欧盟运营的英国公司将需要任命当地代表来代表他们行事,除非他们通过位于欧盟境内并在监管机构注册的专门子公司开展业务。
同样,在英国运营的来自第三国(目前包括剩余的 27 个欧盟成员国)的企业也必须任命当地代表或通过已在信息专员办公室 (ICO) 注册的专门子公司开展运营。
现在我们已经弄清楚了英国脱欧的影响,我们可 大化利用而今年的品牌 以把注意力转向 GDPR 对企业的总体影响。
GDPR 如何影响企业
GDPR 对企业的影响有多种方式,我们将 西班牙电台 其分为四类:责任、处罚、声誉和机会。
让我们深入研究一下:
职责
GDPR 要求企业遵守许多责任,包括:
公平、安全、透明、合法地处理数据。
仅在需要时存储数据。
获得同意或建立处理数据的合法目的。
能够在规定的时限内(通常为 1 个月)处理主题访问请求。
在 72 小时内向相关监管机构报告数据泄露。
保持个人数据的最新和准确。
确定是否任命数据保护官(这可能是强制或自愿任命,或者根本没有必要)。
以上只是 GDPR 责任的一部分,为了实现合规性,您需要定期:
识别并映射您的组织所持有的数据。
审查并修改政策和流程。
保存处理活动的记录。
通过实施持续的培训和意识计划来培育隐私文化。
在业务的各个方面,特别是新项目方面,都考虑到隐私问题。
处罚
违反 GDPR 的行为属于严重违法行为,最高可处以罚款。罚款分为两个等级:
更高金额——最高可达 1750 万英镑,或上一财年全球年营业额的 4%,以较高者为准。这些涉及更严重的违反 GDPR 原则、数据泄露或将数据传输到第三国。
标准金额——最高可达 850 万英镑,或上一财年全球年营业额的 2%,以较高者为准。这违反了对控制者和处理者的要求。
注意:英国脱欧后,英国 GDPR 最高罚款金额从欧元转换为英镑,这就是为什么它看起来低于 2000 万欧元/1000 万欧元,您可能在其他地方读到过这些内容 – 它们可以在第157 条 DPA Keeling 附表下找到。
两级罚款迫使控制者和处理者制定政策和程序,以确保合规。它还激励企业定期审查和更新其隐私和数据保护框架。这种方法可以阻止大公司或任何企业简单地忽视 GDPR 合规性并在发生重大数据泄露时支付罚款。
并非所有违反 GDPR 的行为都会导致罚款。
ICO 等数据保护机构可以选择多种替代措施;这些措施包括:
发出警告或者谴责。
发布(评估、信息或强制执行)通知。
暂时或永久禁止数据处理。
命令更正、限制或删除数据。
暂停向第三国传输数据。
名声
数据泄露不仅会给企业带来经济损失,还会给企业带来声誉损害。然而,从几家上市公司在数据泄露事件发生后股价受到的影响来看,股价大幅下跌似乎是暂时的。这在一定程度上取决于企业处理事件响应的能力,也取决于投资者的疲劳。
更重要的是,企业可能会因失去客户和销售额而面临长期后果。2019 年的一项研究表明,44% 的英国消费者声称,在安全漏洞发生后,他们将在几个月内停止在企业消费,41% 的消费者声称,在安全漏洞发生后,他们将永远不会再光顾该企业。此外,数据泄露造成的声誉损害可能会阻碍企业吸引和留住最优秀的人才。员工希望为有道德的公司工作,并表示他们现在愿意抗议以促成政策变革。
机会
尽管媒体对可能被罚款和合规义务增加的负面报道层出不穷,但《GDPR》为积极主动的公司提供了许多机会。实施符合《GDPR》的隐私框架要求组织检查他们拥有哪些个人数据、如何使用这些数据、谁有权访问这些数据、在哪些系统上访问、存储在何处、如何保护这些数据以及保留多长时间。
这种分析的内省性质通常可以带来原本不可能实现的运营效率改进。实施有效的 GDPR 合规政策和程序不仅说明了流程可以简化的地方,还说明了如何实施良好的治理来提高数据质量并减少重复。
值得借鉴
重视隐私和数据保护的公司会吸引客户和高技能员工。GDPR 为组织提供了一个与客户、服务用户、员工和其他利益相关者建立信任和信心的机会。
如果您需要进一步的证据来证明严格的 GDPR 合规性对企业有利,那么 2021 年的一项研究表明,拥有成熟隐私实践的组织获得的业务收益高于平均水平,并且可以迅速应对新的和不断发展的全球隐私法规。此外,35% 的公司报告称,他们获得的收益至少是其在隐私和数据保护合规性方面的投资的两倍 – 即每投资 1 英镑就能获得 2 英镑的回报。