調查發現：GDPR合規狀態非常糟糕

有一個訊息可能是在意料之內的，調查發現，鮮有公司遵守歐盟在3個多月之前開始生效的通用資料保護條例（GDPR）的要求。

這項由資料整合公司Talend SA進行的調查發現，雖然受訪的103個企業組織中有98％已更新了資料隱私政策以符合新條例，但70％的企業組織未能在30天限制內提供資料。

值得注意的是，只有35％的歐洲公司——受GDPR影響最大的群體——能夠滿足要求，而歐盟以外的公司也只有50％。總體來看，受訪的企業中有70％位於歐洲，19％位於北美，11％位於亞太。

到目前為止，零售商表現最差，不到1/4的企業可以滿足要求。表現最佳的細分市場金融服務市場在一半的情況下也不會做得更好。

需要注意的是：該調查是在6月1日至9月3日之間進行的，在條例生效僅一週之後就開始了對第一家企業的調查走訪，因此讓對比工作變得很困難。

Talend表示，該研究旨在瞭解企業是否根據GDPR更新了他們的隱私政策，滿足了為客戶提供簡單方法來請求資料、及時響應請求並實現資料可移動性的要求。

在規定時間內做出迴應的企業中，有30％平均需要3周的時間，只有7家公司在24小時內做出了迴應，他們主要是流媒體服務、移動銀行和技術類別，而老式實體公司的表現最差。 Talend表示：“這項研究表明，脫離線上的、受遺留系統阻礙的企業可能會發現GDPR合規性更具挑戰性。”

目標企業代表了各種各樣的行業。Talend沒有透露任何被聯絡企業的名稱，但“其中大多數是廣為人知的全球品牌，或歐洲財富50強”。

在研究人員發現的異常情況中，有四家企業未經許可就刪除了賬戶和資料，還有四家企業似乎不知道“個人資料”指的是什麼。幾乎每家企業都未能滿足資料可移植性的要求。可移植性讓人們可以輕鬆地將個人資料從一個IT環境安全地移動、複製或傳輸到另一個IT環境。

在無法作出迴應之前，有數量不詳的企業要求提供額外的個人資訊，這表明資料治理不善。一家頂級金融企業通過安全郵件快遞提供列印頁面作為迴應，這就是不可移植的代表。只有極少數企業提供了Talend稱之為“一鍵式、令人難忘的客戶體驗”。毫不奇怪，他們是非常注重技術的企業，例如Spotify AB、N26 GmbH和Garmin。

GDPR規定了每次違規行為的罰款為2000萬歐元（約合2300萬美元）或企業全年全球收入的4％，以較大金額為準。這意味著被調查的企業將受到至少16億美元的罰款。迄今為止，沒有關於根據新準則成功起訴的報告，這意味著歐洲監管機構目前至少還有相當數量的資金機會。