Eric E.S.棕色的|2019年3月26日
于2018年5月25日,一般数据保护条例(GDPR)生效,完全改变了欧盟(欧盟)的企业将如何捕获,储存和处理个人数据。这对汽车经销商特别重要。
汽车经销商长期以来依靠合法的个人数据收集,以追求销售线索,管理销售流程并提供个性化维修。但是,GDPR的变化是深远的,对于大多数经销商来说,需要彻底重新考虑个人数据如何流过他们的组织。Additionally, according to a new survey, auto dealerships’ cybersecurity vulnerabilities can also drive away customers—of 200 dealership surveyed, 84% of consumers said they would not buy another car from a dealership that had a data security breach at the dealership, and approximately 33 percent of consumers are not confident in the security of their personal and financial data when buying a vehicle at a dealership.
因此,GDPR显然呈现出经销商的挑战。与这种立法变革一样,关于GDPR的误导是公平的,所以没有适当的指导 - 获得对企业的最准确和相关建议可以证明棘手。
GDPR的规则是相对简单的,并且很难争论他们对个人数据所有者提供更大的控制。不幸的是,在多年来一直嵌入的系统和流程,经销商现在面临着大量的工作,以便符合符合要求的工作。
对于初学者,个人数据意味着一切与车辆相关联,包括VIN数字,内部组件的序列号和其他任何东西。经销商collect and maintain a wealth of personal information, including customer names, addresses, phone numbers, dates of birth, Social Security and driver’s license numbers, credit reports, credit card account numbers, financial account information, financing application data, proprietary sales information, and information collected from their websites. Regardless of whether a data breach is accidental or intentional, it can obviously have catastrophic consequences.
那么加强保护什么?
第一步是雇用或指定数据保护官(DPO),他们成为确保GDPR合规性的人。公共机构和/或大于10-15名员工的公司,处理个人数据需要任命DPO。角色需要:
- 大规模的数据受试者定期和系统监测
- 处理大规模的特殊数据类别
接下来,必须收到客户同意 - 如有疑问,请先询问。GDPR要求公司在处理或存储客户数据之前获得客户同意。同意的请求不仅需要以简单的语言制定,而且需要清楚地解释如何使用客户的数据以及将使用和存储多长时间。随着GDPR,沉默/不活动不再意味着客户同意。此外,同意的条款需要与客户最新的信息一致,如果需要更改,则新请求是按顺序进行的。最后,在任何特定的时间,客户都有权撤回同意,这需要经销商在合理的时间范围内响应和行动。
遵循同意后,经销商应执行数据保护影响评估(DPIA)和风险和漏洞评估。存储个人数据的公司需要在每个项目之前都涉及这样的个人数据。DPIA是对组织自己的流程和程序的审计,这些过程和程序衡量这些流程如何影响或可能会损害其数据它存储,收集或进程的个人的隐私 - 它确保遵守,确定风险并评估保护。
如果数据泄露,GDPR要求企业在发现的72小时内通知当地数据保护权限。在线之间读取,这意味着经销商需要将允许它们检测和解决该时间范围内的漏洞的技术和流程。这可能需要大修内部数据安全策略,以及大量员工培训,以确保他们对数据泄露威胁具有适当的响应计划。
此外,GDPR支持数据最少化原理,要求公司仅使用并保留任何特定时间所需的个人数据。如果这是不需要的预期目的和持续时间,它应该被删除,并且客户有权随时撤销同意并请求删除数据。这是至关重要的。
显然,GDPR在几十年来是数据法的最大变化。但是,那些遵守规则并提前准备的经销商将避免常规罚款和不合规性的糟糕公共关系的风险。
埃里克布朗,CISSP,PCIP是Blumshapiro的经理,最大必威电子基于新英格兰的地区商业咨询公司,与办公室在康涅狄格州,马萨诸塞州和罗德岛。该公司拥有450多个团队,提供多样性的服务,包括审计,会计,税务和商业咨询服务。BLUM为广泛的公司提供了广泛的私人公司,政府和非营利组织,并为公开交易公司提供了非审计服务。了解更多访问我们必威电子blumshapiro.com。
