什么是 GDPR 就绪状态?
自 2018 年 5 月推出 GDPR 以来,处理个人数据的大多数人都接受过某种形式的一般GDPR 培训。大多数内部 GDPR 培训涵盖新法规带来的变化、GDPR 原则、如何确保合规以及发生违规的后果。然而,随着 GDPR 在过去两年半中融入数据合规文化,许多组织忽视了持续的 GDPR 培训。对于所有行业,包括制造业、专业服务业、金融业、建筑业和农业(仅举几例),持续的数据保护培训不仅对于避免监管制裁至关重要,而且对于确保在处理个人数据方面获得和保留客户信任所带来的竞争优势也至关重要。
尽管范围有限,但直销协会 (DMA)于 2019 年 11 月发布的研究强调,GDPR 培训频率不够高,或者与特定角色的相关性不够。
一些备受关注的案件说明了数据泄露的后果
2020 年 10 月,德国监管机构对 H&M 零售商处以超过 3520 万欧元的罚款,原因是其对员工进行了不当监控。同月,英国航空公司因未能保护其 40 多万名客户的个人和财务信息而被处以 2000 万英镑的罚款。这比 ICO 宣布打算支付的最初 1.8339 亿英镑罚款要低得多。同样,万豪国际集团也逃脱了 9920 万英镑的巨额罚款,而是被要求支付 1840 万英镑。然而,尽管罚款低于预期,但上述所有公司都将承担巨额法律费用,更不用说违规行为和随后的调查造成的媒体曝光率。
英国信息专员办公室 (ICO) 在对万豪国际集团 (Marriot International Inc.) 实施处罚时明确表示,适当的培训和资源配置对于防范复杂的数据攻击至关重要。
“此次攻击暴露了万豪未能采取适当的安全措施来应对此类攻击和/或其他可识别的系统风险。”
备受瞩目的数据泄露事件可能造成非财务损失,例如股价下跌、消费者信心丧失和投标机会丧失,这些足以说明数据保护培训的重要性。但还有一个经常被忽视的积极论点——严格遵守 GDPR 与公司的收入和利润直接相关。
数字经济中强有力的数据保护的价值
对于许多公司,尤其是服务 土耳其数据 业公司来说,数据是宝贵的资产。例如,超市会员卡可用于建立客户的人口统计资料,确定他们对特定品牌的忠诚度,并分析他们购买了什么以及花了多少钱。所有这些都是通过从数据主体收集个人信息来完成的。
人们现在非常清楚科技巨头是如何在互联网上追踪他们,收集数据流来投放广告的。尽管发生了剑桥分析公司丑闻、谷歌被处以巨额 GDPR 罚款(4400 万英镑),以及有消息称 Facebook 拨出 3.02 亿欧元用于“监管合规事宜”,但研究表明,与 2015 年相比,2019 年人们更愿意用个人数据换取个性化产品和服务,而当时大多数人几乎不知道数据保护和隐私是一个问题。
由于数据非常宝贵,而且人们 准备好揭开这些术语的神秘面纱了吗? 非常愿意提供数据,因此企业必须维护其严格遵守 GDPR 的声誉,并确保其员工接受相关的持续 GDPR 培训,包括数据安全。失去公众对数据保护原则的信任是非常容易的事情,如果企业想在现代经济中竞争,这是任何 巴西商业名录 企业都无法承受的。
GDPR 培训和意识的要求
尽管 GDPR 多次提到培训和教育,但并未将其列为核心要求。第 38(2) 条概述了控制者必须如何向数据保护官 (DPO) 提供资源“以保持其专业知识”。此外,第 39(b) 条将“提高参与处理操作的员工的意识和培训”列为 DPO 的任务。
ICO 还强调了“在整个组织中嵌入系统性和可证明的合规性”以满足第 5(2) 条(问责原则)的重要性。
这些参考资料表明,持有和处理个人数据的组织应确保其员工拥有满足 GDPR 合规性的知识和资源。还应注意的是,如果 ICO 收到违规通知,他们首先要调查的事项之一就是所提供培训的频率、能力和相关性。
GDPR培训的重要性
至关重要的是,GDPR 培训不应被视为“打勾”式的合规事宜。为了保护您的组织,GDPR 培训必须:
持续进行,
覆盖所有处理个人信息的工作人员,以及
针对特定角色和/或处理环境的性质进行定制。
企业应积极提供以下形式的培训:
海报宣传和内部信息
意识电子学习,包括考试/完成记录
在为一线员工开展意识培训的基础上,为广大受众开展入门课程
重点关注 GDPR 特定方面并与特定业务功能/隐私倡导者相关的实践研讨会
为合规/隐私专业人士和 DPO 提供深入的从业人员课程
为隐私倡导者、部门主管、合规/隐私专业人员、隐私技术专家、DPO 和 CISO 提供认证培训
高层管理人员培训概述职责和风险
GDPR 培训对于以下团队至关重要:
人力资源
营销
销售量
它
所有高级管理人员、董事和董事会成员
致力于开展涵盖多种学习机制且不仅适用于部门而且适用于个别员工角色的gdpr 培训的组织在消费者信任和参与度方面获得了关键的竞争优势。
最后的话
在数字经济中,GDPR 和隐私培训应被视为一项投资,而不是成本。数据保护法规合规性可确保当前和未来的消费者信任组织,并向其提供个人信息,从而使他们更愿意分享这些信息。反过来,企业将能够获得产品偏好和客户知识,从而针对产品/服务创新和营销活动进行定位。