Workday播客:应对GDPR的持续复杂性

去年，所有欧洲企业都在谈论2018年5月生效的《通用数据保护条例》(GDPR)。今天，企业继续努力保持在不断变化的合规路径的顶端。

荷兰德勤咨询公司(Deloitte Consulting B.V.)的专家负责人马塞尔·彼得斯(Marcel Pieters)来帮忙。在崛起的欧洲，我们谈论了GDPR的含义，它对公司的影响，以及他能提供什么建议。来听听:

在SoundCloud上收听：应对GDPR的持续复杂性

在苹果播客上收听：应对GDPR的持续复杂性

如果你是一个读者，下面是我们谈话的文字记录，为清晰起见，经过了编辑。你可以找到我们其他的Workday播客在这里．

史蒂夫•邓恩：GDPR可能是今年欧洲商界最常听到的四封信。综合数据条例于2018年5月生效。GDPR旨在协调现有欧盟数据隐私法律的拼凑，具有深远的影响。合规状态只是一个开始，而不是结束，因为公司需要在不断变化的合规路径上保持领先。

我是Workday的史蒂夫·邓恩，在今天的Workday播客中，我们将更多地讨论GDPR，它的含义，它是如何发展的，以及如何应对它的建议。为了帮助我们解决这个难题，我们邀请到了德勤咨询公司的专家领导Marcel Pieters。欢迎Marcel。

马塞尔•彼得：你好。

邓恩：如果可以的话，我们先从Marcel开始，简要介绍一下你自己的职业生涯，以及你是如何进入德勤的，以及你是如何思考GDPR这个话题的。

彼得：好的，简单介绍一下，我叫马塞尔·彼得斯。我来自荷兰的德勤，到目前为止已经在德勤工作了将近8年。两年前，我在一家美国公司工作，当时我们部署了Workday，我很喜欢这个系统，所以我想了解更多，因此，我最终在德勤工作，并从那以后开始部署。

如果我看一下GDPR，它相对较新，但也有点老，所以，就像你提到的，欧洲已经有很多宽松的监管，而一些国家仍然非常严格;在其他国家，他们有点宽松，所以我认为这是一个很好的进步。在我在德勤工作的8年里，我们见证了这种转变，并取得了今天的成就。

邓恩：完美的。正如你所说，我们距离GDPR合规日期还有六个月。根据您与欧洲组织的多次对话，他们在GDPR方面的表现如何?您注意到各国之间有什么地区差异吗?

彼得：你可以看到，基本上那些GDPR已经相当严格的国家——比如德国的工作委员会、法国、荷兰，当然还有比利时——这不是一个大的转变，更多的是在“i”上加点。但如果你看看东欧国家和南欧，遵守法律有时已经是一个挑战，所以在此基础上加上限制是一个额外的层面。你会发现他们面临着更多的挑战，他们会更加挣扎。

邓恩：我想有些愤世嫉俗的人可能会嘲笑欧盟开始对不遵守规定的公司罚款的想法，但你怎么看?这是将要发生的事情吗?

彼得：我不认为现在会发生这种情况;你可以看到，许多国家仍处于转型阶段。他们得到了很多信息，他们知道他们需要改变一些东西。但是做出这种改变并不总是容易的，因为如果你有一个非常严格的系统，那么就很难做出改变。因此，在向系统输入信息后，更多的是遵守。所以进入这个系统可以让你得到更多的东西，你可以看到一些拼凑的东西，你可以看到一些小的东西。但我认为到目前为止，很少有不遵守规定的情况。我还认为(欧盟)不会立即罚款，所以如果一年后你仍然不采取行动，那么你可能会面临风险。通常情况下，对于这种大的变化，他们总是会给你一些余地和懈怠来让它工作。我想他们会先警告你，然后再罚款。 You will not be fined immediately.

邓恩：稍微深入一下法规本身——我认为围绕GDPR的一些批评是，它的语言对普通组织来说是令人困惑的。你能跟我们谈谈数据主体的数据权利以及这意味着什么吗?

彼得：基本上来说，公司需要有一个很好的理由来捕捉他们捕捉到的关于你的信息。因此，如果他们想要捕获，例如，残疾，这对你的工资单没有任何影响，在你的系统中有这些信息没有任何法律报告。那么公司就没有一个很好的理由来存储这些信息，这就会成为员工说“不，我不想透露这些信息”的理由。员工有这样做的权利。如果他们认为公司没有必要拥有它，公司也不能解释为什么需要它，那么员工就可以说，“我不想透露它。”

这是你作为雇员所拥有的权利。你也有权利修改信息。在任何时间点，你都可以把它换成别的东西。一个简单的例子当然是婚姻。如果你愿意，你可以改变(身份)，提供信息，但作为雇员，你有权利做出改变，并将信息提供给你的雇主。

邓恩：是的，这很有趣。我认为最大的困惑领域之一似乎是关于如何、何时、何地以及可以存储多长时间的数据。“被遗忘权”是如何在这个概念中发挥作用的?

彼得：因此，被遗忘权是一个有趣的权利，因为基本上你从未存在过，但公司仍然想让你做趋势报告之类的事情。这是一个平衡，雇主有很多信息需要，而你作为员工，可以说，“我在过去的五年里没有为你工作过;我不想让你留下任何我为你工作过的记录。”所以这就是被遗忘的权利——如果你是一名员工，你被解雇了。同样，如果你申请了一份工作，但没有得到这份工作，公司可以说，“我们会把你记录在案，”但基本上你可以说，“我不想再被打扰了，我不再为你工作了。”这是另一个。但是，被遗忘权给你带来的挑战，尤其是那些已经受雇于你的人。当这个人还在你公司工作的时候，你可以删除什么类型的信息?这就是当前ERP系统所面临的问题，因为它不是为了破坏任何东西而建立的，而是为了年复一年地保存数据。

邓恩：这很有趣。我认为，就一个组织未来可能想要与其他企业共享的敏感数据而言，比如，如果有任何不端行为，或者从人力资源的角度来看，为什么有人被公司解雇，这是如何影响的?因为如果有任何敏感的东西因为某种原因需要保留，会有什么影响?

彼得：所有这些事情都有时间表。如果你犯了错误，那是不能永远保留的。如果你把它与现实生活相比较:一朝为贼，并非永远为贼——如果员工做错了什么，也是如此，你需要假定他们是无辜的。如果他们表现良好，他们的过去不应该阻碍员工的下一步行动，并且让过去的信息使下一任经理能够说，“哦，是的，七年前你做了错事，因此我现在要解雇你。”这是不允许的。

邓恩：在座的听众中可能有仍在使用内部部署软件的人，也有已经转向云的人，但是否有一种最佳的方式来做到这一点?除了云计算，哪些技术最适合GDPR?

彼得：有最优的方法吗?有一个简单的方法。我认为，通过Workday或其他云解决方案，你已经拥有了更多的灵活性，可以更好地控制你的设置，让它变得更容易一些。如果您查看您可以进行的配置，您可以说，“我想让这些个人信息字段只适用于这些国家，只允许，甚至是强制性的。”你可以对它进行配置，并在它上面设置保留表，所以你可以说，“至少过了这么久，我想删除它。”他们正在研究净化过程。

内部部署有点不同，因为它是用来保存数据的，而不是用来丢弃数据的，所以在适当的地方有一点困难。而且，如果有些东西已经在那里了，那么大多数情况下，它嵌入了很多下游系统，也很难再把它取出来。有最优的方法吗?不。但你有办法让它变得更容易，我认为云解决方案让它变得更容易一些，因为你的硬件和你的配置之间有区别。

邓恩：我认为显然有很多关于数字化转型的讨论，但许多人对GDPR的看法非常消极。但它真的能引导组织围绕人力资源基础设施等方面做出积极的转变吗?这是积极的吗?

彼得：所以我认为，好的一面是，HR真的需要思考并重新设定:我们真的需要我们所捕获的数据吗?我们的目的是什么?所以你看到越来越多的公司，尤其是大公司，他们有一个GDPR官员，或者至少是一个专门研究GDPR的人，他在公司内部检查:我们是否完全合规，我们是否能够向人们和我们自己解释为什么我们在这个国家在这个特定的时间在这个时间段需要这些信息?所以如果你准备好了所有的信息，那么就很容易制定计划转移到GDPR，否则，它就像是国家访问的拼凑:哦，是的，我们需要这个，在我们做这件事的时候，就国家而言，所以你现在看到它更多地结合到一个功能中，这让它更容易。

邓恩：当听众开始或继续他们的GDPR之旅时，你会给他们什么建议?你在路上学到了什么?

彼得：不要等待。尽快开始，也不要过度设计。在大多数情况下，好就足够好了，如果你不是百分之百确定，那么现在就把它拿出来，和你的GDPR官员或其他拥有所有这些信息的人一起去寻找答案，如果这是我们需要捕捉的信息的话。尽快开始——这不是一件可以等待的事情，因为，特别是如果你正在着手进行人力资源的新转型，把它作为转型的一部分要比在最后说，“哦，顺便说一句，我们完全遵守GDPR了吗?”容易得多。

邓恩：好的。这就是我们今天的全部内容。我要感谢来自德勤的Marcel Pieters加入我们的工作日播客。如果你想了解更多，请订阅我们的播客。我是史蒂夫·邓恩，感谢收听。