很有可能,你的个人数据在过去的一年里被盗了。在现在臭名昭著的Cambridge Analytica崩溃中,有8700万多个Facebook个人资料遭到破坏,而在Equifax违规中,有1.45亿个信用资料被盗,最近有超过一半的美国人是数据盗窃的受害者。(当然,您可能在两个漏洞中都遭到了黑客攻击,而不仅仅是其中一个。)
在最近国会对Facebook首席执行官马克·扎克伯格 (Mark Zuckerberg) 进行的盘问中,有很多关于加强美国数据隐私的监管的讨论。虽然这无疑是向前迈出的一步,但现实情况是,已经有一套全面的数据隐私法规将在被称为通用数据保护法规或GDpR的2018年5月25日上生效。尽管该法规来自欧盟,但与普遍的看法相反,它将影响成千上万家美国公司。扎克伯格本人在GDpR上被盘问,并在一次揭露他的笔记的坦率镜头中表示,Facebook尚未符合GDpR。
符合GDpR标准需要有意义的投资,但如果不这样做,可能会危及你的客户关系,同时有效地这样做将有助于你领先于竞争对手。底线: 从营销和客户关系的角度来看,GDpR合规性可以提供有意义的竞争优势,无论您的创业公司是否需要。
披露时间: 我不是律师。我曾想过一次获得JD,甚至买了一本LSAT预备书,但这和我来的差不多。以下建议是从与律师和初创公司首席执行官的讨论中提炼出来的。
什么是GDpR?
GDpR专注于可以直接或间接识别欧盟居民的数据。它对涉及处理此类数据的公司提出了一系列要求,无论它们是控制该数据的使用还是仅代表他人行事。这是英国一家律师事务所的实质性但易于理解的摘要。
对于大多数受GDpR影响的初创企业来说,围绕同意权、擦除权、数据治理等有各种相当广泛的规定,这些规定需要进行重大改变。这就引出了一个关键问题: 哪些初创公司应该关心GDpR?
与我交谈过的许多首席执行官认为GDpR仅适用于欧盟公司。事实并非如此。该法规是 “域外” 的,这意味着它们可以适用于在营销商品或服务和/或监控欧盟产品的背景下处理欧盟个人数据的公司,无论它们位于何处。
但是新规定不止于此。它们还具有 “直通” 组件,这意味着任何处理欧盟数据的公司都必须具有完全符合GDpR的技术堆栈。因此,如果你是一家总部位于美国的初创公司,只为美国客户提供服务,但其中一些客户处理欧盟数据,你很可能需要证明GDpR合规性。GDpR对相关侵权行为规定了最高2000万欧元或全球收入4% (以较高者为准) 的罚款,而执法权力增强的监管机构则强烈要求使用它们。
但潜在的罚款可能不是初创企业投资合规努力的最有说服力的理由。
初创公司投资GDpR合规性的最有说服力的理由是建立一个有竞争力的护城河,让他们为要求合规性的客户提供服务,并淘汰那些不能合规的竞争对手。在过去的六个月里,我听到越来越多的初创公司首席执行官的声音,他们的客户要求他们证明遵守GDpR。5月后,这一浪潮可能会加速,特别是对于为更多企业级客户提供服务的初创公司。就可寻址市场而言,现在投资合规的初创公司将最有可能在自己和竞争对手之间制造楔子。
启动如何兼容?
GDpR是一套法规,将适用于特定情况并进行解释。没有二进制的 “拥有与否” 认证计划。第三方管理机构没有提供表明合规的批准印章。因此,初创企业必须使用判断力来确定何时进行了足够的投资以使其合规。
这里的北极星是,倾听你的顾客。他们会要求特定的项目来证明合规性,你应该投资以领先于这些请求。不要陷入过度投资于你可能不需要的昂贵资源的陷阱。与客户进行公开、持续的对话将帮助您确定适当的投资水平,随着监管和执法的发展,投资水平可能会随着时间的推移而变化。
GDpR complians的第一步是指派一名内部冠军。从总顾问到产品线索,初创公司的各种职能都扮演着这一角色。越来越多的初创公司正在招聘合规线索,并以竞争差异化的名义为费用辩护。无论是谁,队友都必须将GDpR合规性作为关键绩效目标。Lotame的总法律顾问兼全球隐私副总裁蒂芙尼·莫里斯·帕拉佐 (Tiffany Morris palazzo) 说得很好: “在这个时代,没有一个内部负责考虑隐私的人是一个错误。不一定是律师。它必须是一个有很强责任感的人。“
第二步是对当前合规性进行评估。有各种各样的评估工具,从完全自我指导到全套服务提供商。英国信息专员办公室的这份指南是我遇到的最好的评估概述。
如果您正在寻找外部评估帮助,请谨慎选择。有大量的GDpR顾问吹捧任何数量的服务。通常,他们习惯于与较大的公司打交道,并且没有将GDpR应用于初创公司的经验。此外,他们的激励措施通常与销售更多服务保持一致,因此,如果您走这条路,最终很可能会得到太热的粥和太低的银行帐户。如果您决定聘请法律帮助,请与具有GDpR和启动经验的律师合作。
任何评估和合规策略的关键是文档。您需要组装一个带有清晰标签的数据包,其中包含您为合规所做的所有努力。这应该是你发现你的客户最常要求的任何一种格式。请记住,由于没有GDpR认证文件,因此要由您说服客户您是否合规。
虽然这些规定可能不是初创公司首席执行官们梦寐以求的,他们会把时间花在2018年上,但那些做得好的公司将建立一个竞争护城河,让他们能够为竞争对手无法提供的客户服务。在初创企业竞争日益激烈的世界中,GDpR可能是变相的祝福。