许多公司仍然在其启动后六个月内卡在GDPR准备阶段
据Stewart Room,Lead合作伙伴(GDPR)(GDPR)和数据保护,仍未将数据保护实践仍未嵌入日常业务运营中的日常业务运营。
在欧盟(欧盟)GDPR的两年实施阶段之后,六个月进入全力后,许多组织仍然陷入筹备阶段,他每周告诉电脑。
在2018年5月25日的赛季中,房间表示,组织正在运行“嘈杂和繁忙”的GDPR准备计划,但此类计划应尽一点结束并像往常一样过渡到业务。“但是,一般来说,我不确定结果已经很好地实现了,”他说。
房间都有例外,一些组织在常见(BAU)中向业务的筹备计划发出了非常好的过渡,但许多组织仍在寻找填补与GDPR相关的角色,并在规模上实施GDPR相关的流程。
“我们获得的很多Bau问题本质上是非常初级的,并且他们是在筹备方案中被指控转换为日常业务流程的人在筹备方案中得到了解的那种问题,”房间说。
“我不相信数据保护正在从计划到BAU的节目和复杂性转换到它应该是。”
他说,这一转型的缓慢部分是由于数据保护计划在“最后时刻旋转了一个相对恰当的话题的人”。
“主要目标是在2018年5月25日之前尽可能多地勾选,而无需思考如何建立一个数据保护框架,这些框架在长期内幸存和衡量。所以它被设计为一个程序,它不是设计为鲍 - 这是一个设计问题,“他说。
第二次趋势,普华永道识别的是组织失败,以便在业务的技术和数据层中提供数据保护结果。大多数GDPR计划的焦点是,房间,在组织过程方面,在政策,通知,程序和合同方面以及“人们层”方面一直存在“纸层”。
“技术和数据层并未真正发生的业务转型,以至于GDPR所需的程度,我们期望成为一个可见和明显的问题,因为数据保护制度继续执法行动和诉讼,”他说。
“例如,数据准确性是GDPR中载有的数据保护原理之一,但您无法提供数据准确性而不具有基于代码的结果。您无法以非技术方式提供准确的电子数据。
“只需创建关于物联网的优质文书工作,您无法将隐私威胁固定对互联网连接玩具的儿童。在某些时候,你必须在关于相机和麦克风应该运作的情况下,以确保隐私没有风险,但许多组织已经完成了他们的GDPR准备计划,而不使这一关键是代码之旅,“房间说。
他说,第三个重要的主题是,虽然我们六个月进入全面的GDPR执法,但迄今为止没有实际执法行动,这似乎支持那些没有看到必要投资的人的观点GDPR合规性。
“然而,有迹象表明,第一轮的重要执法活动将于12月举行。欧洲数据保护监督员对该效果提出了评论,因此这些案件可能会迫在眉睫,“他补充道。
除了确保从GDPR程序成功转换到数据保护,作为正常业务的一部分,并确保他们将计划转化为商业的数据和技术层,房间表示组织需要有必要的应对策略地方。
“问责制是GDPR的一个关键原则,所以如果投诉来到他们的方式,一个组织需要能够讲一个好故事并引人注目。这仍然是一个关键的优先事项,“他说。
“假设数据保护恢复到类型,组织需要应对策略,以应对个人数据泄露的受害者,以应对消费者有关营销问题的消费者,并处理不适当处理的权利要求。
“如果这是数据保护议程在未来12个月内定居的地方,那么就如何处理这些事项的立场将是95%的数据保护专业人士将不得不关心自己。
“但是GDPR将在多大程度上移动数据保护的程度更加全面仍然不确定。一个预测是它将恢复为类型,但它可以移动到数据保护的所有考虑因素都很重要的地方。
“我们不知道要去哪种方式,所以组织需要在问责制方面进行答案,他们肯定需要在技术和数据层方面提供数据保护结果,但它们也应该专注于关于个人数据违约,误操作和营销相关隐私问题。“
询问欧盟撤军协议草案的数据保护要素,房间表示对个人数据的承诺将向所有部门的公民和企业保证。
“撤回协议的条款,如果同意和批准,将确保跨境数据流动中断,因为欧盟数据保护法,包括当前的充足决策,将继续在过渡期间申请英国。英国公民的数据将继续在欧盟法律中受到保护。“政治框架在下一阶段谈判中提供了一项欢迎致力于合作数据保护,但不保证过渡期结束时的充分性评估,”他警告说。