自欧盟《通用数据保护条例》(GDPR)于 2018 年 5 月生效以来,英国和欧盟的独立监管机构已对违反该条例的行为发出了 800 多项罚款。其中一些罚款金额令人瞠目结舌。2021 年 7 月,卢森堡数据保护机构(即国家数据保护委员会)对亚马逊处以 7.46 亿欧元罚款。几个月后,爱尔兰数据保护委员会以透明度不足为由对 Meta 旗下 WhatsApp 处以 2.25 亿欧元的 GDPR 罚款。这两起案件目前都在上诉中。在英国,信息专员办公室对英国航空公司处以 2000 万英镑罚款,原因是其数据安全措施不力,未能防止 2018 年的数据泄露,并泄露了其客户的个人详细信息。
虽然备受瞩目的处罚总是成为头条新闻,但2021 年发布了 412 份 GDPR 执法通知,罚款总额首次达到 11 亿欧元。随着英国和整个欧洲的数据保护机构加强执法活动, 这一趋势将在 2022 年继续保持同样的上升趋势。
目前隐私培训支出的数据
根据IAPP-EY 2021 年度隐私治理报告:
仅有 51% 的跨国公司认为自己完全 土耳其数据 或非常符合 GDPR 规定。总部位于欧洲或英国的企业中,这一比例上升至 63%。
45%的主管级或更高级别的隐私专业人士预计将在未来六个月内雇用更多隐私人员,近四分之三(74%)的人计划招聘一到两个职位。
自 2019 年以来,组织的平均隐私预算从 62.2 万美元(45.7 万英镑)增加到 87.3 万美元(64.2 万英镑)。
接受调查的组织将其预算的 6% 用于员工隐私意识培训,另外 5% 用于隐私合规团队的专业发展。
超过一半(60%)的受访者 为宾客提供非凡服务 预计未来 12 个月的隐私预算将增加,其中 38% 将用于隐私培训。
未来 12 个月需要增加隐私培训的一个原因是家庭办公的急剧转变以及这种工作场所转型给数据保护带来的风险。
远程工作如何提高 GDPR 培训的重要性
企业被迫迅速适应 COVID-19 疫情,这意味 007 數據 着远程办公已成为数百万人的常态。尽管发生了巨大变化,但雇主和雇员都看到了在家办公的许多优势。
然而, IBM 2021 年数据泄露成本报告的详细信息表明,快速转向远程操作是以牺牲隐私和安全考虑为代价的,而这些考虑已经落后,导致了更昂贵的数据泄露。
如今,连接到网络的终端设备(智能手机、电脑、打印机、监控摄像头等)不再仅限于组织内部;它们也位于员工家中,而这几乎总是比办公室环境更不安全。根据Ponemon Institute 2022 年《内部威胁全球成本报告》,事故总数增加 44% 与转向居家办公有关,其中疏忽和人为错误是主要原因。从这些统计数据来看,很明显数据保护培训比以往任何时候都更加重要。
ICO 为在家办公的员工提供了一份安全检查清单。虽然这些清单提供了缓解 GDPR 合规性相关风险的实际要求,但只有针对所有员工的持续、强大的数据保护培训计划才能确保 GDPR 合规性成为您组织文化的一部分,无论是在办公室内还是在办公室外。
员工隐私意识培训
正如我们之前所讨论的,在团体内培养隐私文化时,工作场所培训是必不可少的。然而,任何文化意识计划的成功都在很大程度上取决于 GDPR 合规性是否被视为高级管理层全力投入的核心价值。此外,组织需要实施由数据保护官 (DPO) 或负责人领导的强大治理结构。
在基础到位的情况下,所有参与处理个人数据的员工都应定期接受意识培训。这至少应每年进行一次,并明确概述内部政策指南、道德标准并满足 GDPR 的法律义务。培训可以在线进行,也可以由讲师亲自授课,但应始终包括测试和完成记录。
经常处理客户和员工数据的员工也需要接受额外的基于角色的培训。其中一些人可能还适合担任隐私倡导者或隐私技术专家的角色。