美国跨国公司的百分之九十二的引用符合若隐若现的通用数据保护条例(GDPR)作为头等数据保护优先,根据普华永道最新研究。百分之六十八的$ 1百万和GDPR准备和法规遵从性工作$ 1千万之间专款专用,有9%的预计花费超过1000万$,周杰伦克莱恩,普华永道的美国隐私领导说。
克莱因说,普华永道slatest调查显示,担心仍然是美国CIO们最大的动力,看数据外泄导致收入损失,监管罚款和消费者信任的侵蚀后,谁是‘连接点’。“我们。公司认为这样做很好的隐私和更高的收入和消费者信任之间的联系,”克莱因,谁接受调查的首席信息官200,首席信息安全官和其他首席高管说。
Short of a catastrophic breach, there may not be a better business case for U.S. companies operating in Europe to fortify their cybersecurity and risk management portfolios than the GDPR, which regulators will implement on May 25, 2018 to ensure data protection for individuals within the European Union (EU). Businesses that fail to comply with GDPR’s broad and extensive rules will face a potential 4 percent fine based on their global revenues, potentially worth hundreds of millions of dollars.
GDPR遵守繁重
放置由GDPR的负担是压倒性的,甚至对于美国的跨国公司有相当多的资源。GDPR条规定该公司保持足够的数据记录;在数据破坏的事件通知调节剂;保证客户被遗忘的权利;并让客户把他们的数据与他们。在一些情况下,当数据处理是由公共机构进行,例如,GDPR需要公司任命一个数据保护官员。
[相关阅读:为什么你需要一个数据保护官员]
面对这些要求,许多企业都在努力修补他们的数据保护机制,构建风险评估程序对隐私合规性和安全Gartner分析师谁调遣几百篇关于GDPR客户的咨询在最近几个月巴特Willemsen说道。他们还苦苦思考如何制定违反预防,侦查,取证,补救和通知措施GDPR任务。企业也质疑数据居住和位置两者的法律和技术方面。
“跨境转移和引起关注的允许机制,需要同时在法律和IT部门的作用,即使是在供应商的选择和采购流程,” Willemsen说。
CIO和CISO正在转向加密(无论是在运输,以及在休息),符号化和技术,使假名,包括大数据分析,物联网(IOT)和blockchain互联网。仿佛这些内部责任是不够的,CIO们还必须确保他们的云供应商和其他第三方合作伙伴都秉承GDPR规范。
结合合同和示范条款
GDPR合规超越的技术和程序的能力。许多公司都在寻求特殊的合同,以确保监管机构,并赔偿自己。所谓的示范条款,公司和技术供应商之间建立合同,以确保一定的数据保护标准得到满足,正在通过58%的受访普华永道的克莱因说,
但克莱因也说,受访者中有75%都在寻求结合欧盟跨境遵守公司规则,基本上让公司获得欧盟监管机构上签署自己的数据保密程序,政策和程序。“这可以让公司在世界各地传递其在欧洲的数据,”克莱因说。“这是更高的标准[REACH法规],但它是在长期更加灵活。”
Willemsen说,示范条款,并结合公司规则最好的作品一起实施。"BCRs seem to be the explicit favorite of EU data protection authorities, although I still see organizations also revert to adoption of the standard contractual clauses (or ‘EU Model Clauses’). Some use them in addition to BCR with an overlapping scope, which I think is excellent."
尽管三年提前通知 - 欧盟宣布GDPR在2015年 - 一些企业远远落后于计划。
虽然大多数使用的2016年预算周期,以评估他们的数据保护的差距和目标,以填补2017年的缺口,克莱因说,23%的受访还没有开始准备迎接GDPR,将很难发现它追赶。“还没有采取显著步骤,为GDPR准备美国跨国公司已经是同龄人的后面,”克莱因说。
这并不奇怪Willemsen,谁在九月研究报告中指出,受该公司GDPR超过50%将不是由2018年年底完全符合其要求。然而,而不是他们的预算的较大部分来写分配满足GDPR在下一个周期,企业应致力于对隐私合规永久预算。
“这是做生意的道德的方式,” Willemsen说。“好隐私保障......应该是在你操作的核心,展示价值,以客户和同事。安全类似,如果你这样做的权利,隐私[遵守]为业务推动者,而不是绊脚石对于那些谁价值消费者信得过单位“。
这个故事,“美国公司花费数百万美元,以满足欧洲的GDPR”最初发表CIO 。