調查發現:GDPR合規狀態非常糟糕
有一個訊息可能是在意料之內的,調查發現,鮮有公司遵守歐盟在3個多月之前開始生效的通用資料保護條例(GDPR)的要求。
這項由資料整合公司Talend SA進行的調查發現,雖然受訪的103個企業組織中有98%已更新了資料隱私政策以符合新條例,但70%的企業組織未能在30天限制內提供資料。
值得注意的是,只有35%的歐洲公司——受GDPR影響最大的群體——能夠滿足要求,而歐盟以外的公司也只有50%。總體來看,受訪的企業中有70%位於歐洲,19%位於北美,11%位於亞太。
到目前為止,零售商表現最差,不到1/4的企業可以滿足要求。表現最佳的細分市場金融服務市場在一半的情況下也不會做得更好。
需要注意的是:該調查是在6月1日至9月3日之間進行的,在條例生效僅一週之後就開始了對第一家企業的調查走訪,因此讓對比工作變得很困難。
Talend表示,該研究旨在瞭解企業是否根據GDPR更新了他們的隱私政策,滿足了為客戶提供簡單方法來請求資料、及時響應請求並實現資料可移動性的要求。
在規定時間內做出迴應的企業中,有30%平均需要3周的時間,只有7家公司在24小時內做出了迴應,他們主要是流媒體服務、移動銀行和技術類別,而老式實體公司的表現最差。 Talend表示:“這項研究表明,脫離線上的、受遺留系統阻礙的企業可能會發現GDPR合規性更具挑戰性。”
目標企業代表了各種各樣的行業。Talend沒有透露任何被聯絡企業的名稱,但“其中大多數是廣為人知的全球品牌,或歐洲財富50強”。
在研究人員發現的異常情況中,有四家企業未經許可就刪除了賬戶和資料,還有四家企業似乎不知道“個人資料”指的是什麼。幾乎每家企業都未能滿足資料可移植性的要求。可移植性讓人們可以輕鬆地將個人資料從一個IT環境安全地移動、複製或傳輸到另一個IT環境。
在無法作出迴應之前,有數量不詳的企業要求提供額外的個人資訊,這表明資料治理不善。一家頂級金融企業通過安全郵件快遞提供列印頁面作為迴應,這就是不可移植的代表。只有極少數企業提供了Talend稱之為“一鍵式、令人難忘的客戶體驗”。毫不奇怪,他們是非常注重技術的企業,例如Spotify AB、N26 GmbH和Garmin。
GDPR規定了每次違規行為的罰款為2000萬歐元(約合2300萬美元)或企業全年全球收入的4%,以較大金額為準。這意味著被調查的企業將受到至少16億美元的罰款。迄今為止,沒有關於根據新準則成功起訴的報告,這意味著歐洲監管機構目前至少還有相當數量的資金機會。