电子商务企业需要了解哪些法规遵从标准以及必须采取的保护客户数据的步骤

随着《通用数据保护条例》全面生效，公司与欧盟公民开展业务的方式已发生了重大变化。但是，该法规的影响远远超出了欧盟28个成员国的边界。

一个Ovum的调查显示，全球IT决策者的70%预计增加支出，以满足数据保护的要求，以避免2000万欧元(或全球总收入的4%)和其他违规可能产生的影响的巨额罚款。其中包括损害品牌声誉和消费者信任度。如果品牌希望在2020年预测的全球电子商务销售额超过4万亿美元中分得一杯share，那么合规性投资只是业务成本的一部分。

Digital River的数据保护官Chris Rence (如图)最近在eWEEK上表示，他认为合规性正变得越来越复杂，在不断变化的电子商务环境中保护消费者数据并保持合规性对于全球成功。

在以下一系列数据点中，Rence解释了电子商务企业需要了解其合规标准以及保护客户数据必须采取的步骤。

步骤1： 了解如何处理和存储消费者数据

GDPR的主要目的之一是使消费者对其数据有更多的控制权。其中包括诸如了解处理其个人数据的目的，透明性将其存储多长时间以及与第三方共享其时间和位置的详细信息之类的内容。如果不完全了解您公司的当前实践，就不可能进行必要的更改以符合法规。

步骤2： 定义数据控制器或处理器的状态

这是您在GDPR合规性旅程中将要采取的最关键的早期步骤之一。根据您是数据控制器(独立数据控制器还是联合数据控制器)，数据处理器或其任意组合，您的业务将承担不同的义务。一旦您对GDPR的名称有了共识，就应该概述适用于您的每项义务。

步骤3： 数据保护官的崛起

在某些情况下，GDPR表示企业必须任命一名数据保护官(DPO)，包括处理活动需要定期对数据主体进行大规模监控时。DPO可以通知，建议或培训员工，充当监督机构的联系人，或者就GDPR事宜指导您的业务。不管您对GDPR的要求如何，强烈的商业惯例都是任命DPO –随着数据保护环境的日益复杂，他们将全力以赴。

步骤4： 评估处理数据的原因

您的业​​务必须对每个数据存储和处理活动具有合法的理由-例如但不限于同意，合法权益或合同必要性。完成对每个数据处理活动的评估。如果您打算依靠合法利益，则应完成正式的“合法利益评估”并获得高级和/或执行领导的批准。

步骤5： 准备应对数据泄露

根据GDPR，在某些情况下必须在数据泄露后72小时内检测并通知“监管机构”。Ponemon Institute最近的 一份报告显示，有69%的信息安全和法规遵从专业人员认为他们的组织将难以满足GDPR的时间限制，因此这可能具有挑战性 。能够快速发现并传达违规信息对于许多公司来说是一个巨大的飞跃，但这是必须计划的。

步骤6： 开发或购买用于处理消费者访问请求的工具

GDPR旨在使消费者更容易向公司发送“访问请求”，包括访问，删除，编辑，导出，限制或反对处理的权利他们的数据。每个请求都需要单独评估以进行适当处理。考虑一个“隐私跟踪器”工具，该工具可以捕获请求，记录操作并可能允许企业响应消费者。这是数据控制器和处理器需要协同工作以确保满足每个消费者请求的领域。

步骤7： 更新隐私，安全和事件响应策略

更新公司与最终用户一起使用的外部隐私策略，以及解决公司员工如何处理最终消费者个人信息的公司内部隐私策略。使这些与GDPR的要求保持一致。两者都需要更新，而不仅仅是一个。

步骤 8：培训员工从邮件室到董事会

遵守GDPR应该是整个公司从邮件室到董事会的合作伙伴关系。为员工提供内部培训，并为他们提供充足的机会，向他们提出有关该法规的问题，并讨论该法规如何影响他们与之交互和处理个人数据的方式，这是他们日常职责的一部分。

步骤9： 领先其他法规

GDPR补充了全球其他与消费者保护义务，现行和即将颁布的“ cookies”法，网络和信息安全指令，合同法以及支付卡行业有关的法规需求等。即将推出的还有日本和中国的其他大数据隐私指令，必须遵守这些指令才能使您的全球电子商务业务持续取得成功。