合规之路:如何应对GDPR挑战

在IMA最新的在谈话网络研讨会”,什么是GDPR ?我为什么要关心它?"由 Oracle-NetSuite, 我有机会与Bridgepoint咨询公司的一组同事交谈, Bazaarvoice和解除警报ID盈禾体育GDPR合规的现实. 对一个超过1人的参与小组讲话,来自48个国家的300名与会者, 我们讨论了谁受到了影响, GDPR合规工作的内容以及公司如何从积极主动的方法中受益.

以下是我们谈话中的一些要点:

GDPR ISN’T ON THE WAY; IT’S HERE

通用数据保护条例(GDPR) 要求组织妥善管理欧盟居民的个人数据，否则将面临严重罚款. “这是迄今为止最全面的全球数据隐私法规, 这是20多年来欧盟数据保护法的最大改革,” 迈克尔-约翰逊Bridgepoint的一位校长告诉我们的听众.

GDPR于5月25日生效^th，其主要重点是确保组织认真对待数据保护. 现在也适用了. It’s not coming; it’s here,迈克尔强调道, 称该法律不仅适用于欧盟组织, 但任何 U.S. 收集或处理欧盟居民数据用于营销等目的的企业, 研究或销售商品.

GDPR还扩大了个人数据的定义，包括电子邮件等详细信息, IP地址和GPS信息. 它还对健康记录等文化和社会数据进行了更严格的控制, 犯罪历史和宗教信仰.

受法律约束的公司必须做到以下几点:
- 合法、透明地处理这些数据
- 只能出于指定的原因收集
- 保持最新
- 使用后删除
- 安全保密地处理它
如果你现在还没有受到gdpr的约束，你很快就会受到

为什么应该你在乎? 简短的回答是，如果你不关心这些问题，你的组织将面临上一财年全球收入的4%或2000万欧元的罚款, 取较高者. 除了, GDPR影响着组织处理从邮件列表和选择加入请求到违规通知等所有事情的方式. 它还需要一些特定的控件. 例如, 如果您受GDPR的约束，并且在没有数据保护官的情况下处理大量个人数据, 你已经违规了.

约40%的与会者表示，他们不受GDPR的影响, 哪些与我们在客户群中看到的情况相符. 然而, 即使你现在不受GDPR的约束, 在不久的将来，你很可能会受到类似法律的约束. 例如, 2018年6月通过的《盈禾体育》, 采用了GDPR中的许多保护措施，并将其应用于加利福尼亚州. 随着盈禾体育数据隐私的争论越来越多, 看起来其他州和国家很快也会出台自己的隐私法规. 如果你的客户受到GDPR的约束, 你需要遵守规定，否则就有可能失去他们的生意.

相关文章: 蒂姆·库克想要一个u.S. GDPR版本. 这对你的生意意味着什么.
你的GDPR合规方法会让一切变得不同

在Bridgepoint，帮助客户实现全面GDPR合规的典型路线图包括:
- 数据映射:识别个人资料，包括类型、位置及保安措施
- 差异分析: 查看GDPR要求，看看哪些已经到位，哪些还缺失
- 行动计划: 制定补救计划，包括目标日期、所有者、风险级别和可操作步骤
- 修复:根据风险最高或最容易获胜等优先事项来解决问题
- 评价: 分析修复是否有效以及如何改进

Bazaarvoice视角:自动化数据以实现GDPR合规性

Bazaarvoice 在处理GDPR合规问题时也经历了类似的过程——这不是一项小任务, 因为不止1个,使用Bazaarvoice技术分析消费者评级和评论的5000家客户属于该规定的管辖范围.

安吉格林, Bazaarvoice的安全总监, 该组织组建了一个由IT部门领导组成的团队, 工程, HR, 法律和市场营销，以解决以下高级别领域:

政策变更和dpa(数据保护协议): 创建更严格的数据保留和隐私政策, 此外，还需要更新合同中的数据保护协议，明确识别数据处理和控制角色.
数据映射和记录报告:识别和定位所有个人资料, 同时为企业及其合作伙伴建立适当的记录.
通讯: 提醒客户注意GDPR的影响, 即将到来的变化和Bazaarvoice正在做什么来满足需求.
培训: 为所有员工提供培训，以及为支持和工程团队提供专门的培训.
数据保留和访问请求. 在生产环境中进行工程更改以支持GDPR.

数据映射:个人数据无处不在
Bazaarvoice发现个人数据无处不在:在人力资源部门, 资讯科技及生产系统, 在存储, 在SalesForce和Box等云工具中, 在本地数据库中, 电子邮件系统和日志. 安吉说:“个人数据不是放在一个标有个人数据的文件里. “它有各种形式:ppt, Excel电子表格, 结构化和非结构化文件类型.Bazaarvoice确认了一些个人所有者, 标准化的收集和报告, 并与包括Bridgepoint在内的外部合作伙伴一起构建数据地图和数据流程图. 当被问及这个过程花了多长时间时，安吉笑了. “我们还没有结束. 它是持续的，永远不会结束. 我们是一家有13年历史的公司，从来没有关注过这一点，我们花了6个月的时间. 一年半以来，我们一直致力于我们的整体合规计划.”

请求访问(RTA)和请求遗忘(RTBF):为什么手动处理不起作用
GDPR规定，任何欧盟居民都可以申请获取, 纠正或删除他们的数据在任何时间，没有不必要的延迟. 因为公司之前没有收到过RTA/RTBF请求, 他们认为他们可以在飞行中为他们可能收到的少数人设计一个手动策略. 但作为5月25日^th 日期临近, 像宝洁(Procter and Gamble)这样的大客户估计，他们每周将发送大约200个请求，这需要大量的团队努力来处理支持票，并通知客户和消费者. 该公司还意识到，手工复制和发送受影响的数据实际上会使他们面临更多的数据安全和隐私风险, 更糟的是.

而不是, Bazaarvoice通过为客户构建一个带有API和门户接口的隐私工具，自动化了这个过程. 该工具接受来自授权用户的请求, 通知所有已注册的服务和第三方，并提供包含所请求的信息或证据的安全URL.

从5月25日到9月中旬. Bazaarvoice收到4个,来自75个个人客户的700个请求，公司在14天内做出了回应. “大多数时候，我们都是数据处理商——从客户的角度来看，我们可能只是众多供应商中的一家,安吉说。. “我们想给他们足够的时间回到消费者身边. 自动化是我们能够处理如此大量请求的唯一方法.”

解除警报ID视角:避免悲剧象限

解除警报ID 帮助公司应对数据泄露，以及Response Ready Advisor 史蒂夫·艾维说他们见过很多事情，从一名员工发错电子表格，到10个客户的数据泄露，再到影响数千万人的数据泄露. 他的公司帮助客户处理紧急情况, 以及那些想在漏洞发生之前做好准备的人.

这一挑战的部分原因在于，GDPR要求企业在发现事件后72小时内通知监管机构，并“不得无故拖延”通知客户.问题是, 史蒂夫说, 没人知道那是什么意思吗, 如果不遵守规定，就会被处以巨额罚款.

帮助客户了解他们的责任, 清晰识别系统想出了一个他们称之为悲剧象限的图表. “如果你的回应很好，你就可以继续像往常一样做生意，”史蒂夫解释说. “如果你工作做得不好, 有高管被解雇, 你经历了客户群的流失，股票价格下跌. 此外，监管机构会对你的行为进行额外的审查.”

为了避免这些后果, 公司需要快速的, 高质量事件响应, 这意味着通知, 通过网站和电话线等资源，迅速支持和保护受影响的人群，让人们真正, 随着事件的继续发展，提供一致且有用的答案. 公司还需要了解和避免违规响应失败的常见原因, 比如不预留预算, 准备和测试准备计划的时间和资源.

经验教训

我们的演讲者通过分享在实现GDPR合规的道路上获得的一些经验教训来结束讨论, 包括他们看到的最有效的方法. 他们对其他希望有效应对这一新规定的组织的关键建议是:

有完整准确的数据映射;
Delete data you don’t need and don’t collect more data than you do need; and
投入资源准备和测试面向公众的违约响应计划.

把它们结合在一起

现实情况是，遵守GDPR是不可避免的. 如果您的组织现在没有受到影响, 你将来很可能会受到类似的监管, 包括美国出台联邦法律的可能性.S. 随着盈禾体育数据隐私的争论持续升温. 遵从性是一个持续的过程, 日常流程——从高级管理人员到最初级的员工都要参与其中, 这需要一些重要的数字工作.

虽然有大量的报道和文章表达了GDPR的缺点(巨额罚款和处罚), 负面媒体报道, 对公司声誉的损害, 等.)，它应该被当作一种商业差异化因素来接受，而不是被恐惧. 不管这看起来多么违反直觉, 那些在GDPR方面做得最多的人实际上会获得最大的收益. 如果您以完整的方式处理客户数据, 你可以与现有客户建立信任并吸引新客户. 通过以积极的态度接受这一努力，并专注于改进当前的系统, 你也可以获得比服从更大的回报, 包括与客户建立更好的关系，更清楚地了解他们的数据.