• 홈페이지
  • 조항
  • 기술
  • EU 개인정보 보호법(GDPR)이란 무엇이며 온라인 비즈니스에 어떤 영향을 미칩니까?

EU 개인정보 보호법(GDPR)이란 무엇이며 온라인 비즈니스에 어떤 영향을 미칩니까?

게시 됨: 2018-06-04

받은 편지함이 개인 정보 보호 정책을 업데이트하는 이메일로 가득 차 있습니까? 여기에는 이유가 있으며 그 이유는 일반 데이터 보호 규정(GDPR)입니다.

요즘 모든 사람들이 GDPR에 대해 이야기하는 것 같습니다. 그런데 왜 지금?

문제는 GDPR이 지난 7년 동안 작동해 왔다는 것입니다. 그러나 최근에 이 데이터 보호 개혁이 실제로 무엇을 수반하는지에 대한 합의가 있었습니다.

기본적으로 GDPR은 유럽 시민의 개인 데이터에 대한 통제력을 강화하기 위해 고안된 일련의 규정입니다. 그 외에도 이 개혁은 온라인 세계의 일반 동의 및 개인 정보 보호법을 규제하여 전반적인 데이터 처리 및 저장에 대한 새로운 표준을 만들 것입니다.

조직의 최소 50%는 운영을 크게 변경하지 않는 한 GDPR 준수에 어려움을 겪을 것이라고 말했습니다. 그리고 이것은 유럽 규정일 수 있지만 유럽에만 영향을 미치는 것은 아닙니다.

유럽 ​​연합은 최근 영국에서 제품이나 서비스를 제공하는 기업에 대한 새로운 온라인 규정을 통과시켰습니다. 다행히 GDPR을 준수하면 비즈니스에 여러 면에서 도움이 됩니다.

전 세계의 온라인 비즈니스는 새로운 GDPR 규정을 준수하는 것이 좋습니다. GDPR은 유럽 연합 내의 모든 회사와 유럽 연합 내에서 고객 또는 비즈니스에 제품이나 서비스를 제공하는 EU 외부의 모든 조직에 적용됩니다. 귀하의 회사가 영국의 데이터 보호법(Data Protection Act)에 해당하는 경우 귀하를 포함하여 대다수의 전 세계 기업이 GDPR을 준수해야 할 가능성이 있습니다.

이렇게 생각해 보세요. Facebook의 본사는 미국에 있지만 유럽과 전 세계에 거주하는 사람들이 Facebook에 가입할 수 있습니다. 따라서 Facebook은 유럽인에게 서비스를 제공하고 데이터를 수집하기 때문에 Facebook이 주로 미국에 위치하더라도 GDPR을 준수해야 합니다.

하지만 GDPR을 준수하는 것을 두려워하지 마십시오. 기술적으로 그럴 필요가 없더라도.

GDPR 준수는 귀하에게만 도움이 됩니다. 모든 데이터를 안전하게 유지하면서 고객(또는 이메일 구독자)에 대한 개인적이고 민감한 정보를 처리하는 시스템을 사용하게 될 것입니다. 실제로 모든 사람이 GDPR의 혜택을 받을 수 있습니다.

GDPR의 좋은 점은 데이터 수집에 관한 엄격한 규칙과 지침이 함께 제공된다는 것입니다. 이는 더 이상 흐릿한 선과 규제가 없음을 의미합니다. 그러나 이는 GDPR을 준수해야 하는 사람들이 새로운 규정을 준수하지 않을 경우 처벌을 받게 된다는 의미이기도 합니다.

데이터 처리에는 데이터 처리를 담당하는 사람(또는 기관, 권한 등)과 제어를 담당하는 사람의 두 가지 유형이 있습니다. 이 설정을 사용하면 오용이 발생하는 경우 양측이 전적인 책임을 지게 되지만 모든 사람이 데이터 보호에 대한 규칙을 준수하면 위반 가능성이 줄어듭니다. GDPR 이전에는 데이터에 문제가 발생하면 실제 솔루션이 없었습니다.

귀하의 비즈니스가 GDPR을 준수하는 방법

GDPR을 준수하기 위한 첫 번째 단계는 수집한 데이터를 잘 살펴보는 것입니다. 그 데이터는 개인 정보입니까? 그렇다면 GDPR 규칙 및 규정을 적용해야 합니다.

데이터(단일 조각 또는 전체 그룹)가 개인을 식별할 수 있는 경우 개인 데이터입니다. 이 경우 이러한 개인의 동의를 얻고 데이터가 사용되는 방식과 기간을 알려야 합니다. 또한 보유한 데이터에 대한 통찰력을 제공하고 원하는 경우 삭제할 수 있도록 해야 합니다.

개인 데이터의 몇 가지 일반적인 예에는 이름, 주소, 사진이 포함되며 IP 주소도 개인 데이터로 간주됩니다.

또한 데이터 삭제를 원하지 않는 경우 해당 데이터를 보호하기 위해 특정 활동을 수행해야 합니다. 그렇게 하는 방법 중 하나는 가명화입니다.

가명처리란 무엇입니까?

이름은 복잡하지만 아이디어는 상당히 간단합니다. 가명화는 데이터를 개인화하지 않도록 데이터를 비개인화하여 추가 데이터를 사용하지 않는 한 개인을 역추적할 수 없도록 하는 데이터 관리 기술입니다. 이것은 키와 같습니다. 해당 키가 없으면 암호화된 데이터의 원본을 찾을 수 없습니다.

GDPR에는 비개인화 프로세스와 정보가 안전하게 유지되도록 모든 암호화된 키의 저장에 대한 규칙 목록도 ​​있습니다.

개인 데이터와 암호화된 데이터는 모두 다른 퍼즐 조각을 나타내므로 방정식에서 하나를 빼면 전체 그림을 볼 수 없습니다.

가명화와 암호화의 차이점

유사점이 있지만 주요 차이점은 분명합니다. 암호화는 고정되어 있지 않으며 이를 달성하는 방법에는 여러 가지가 있습니다. 최종 결과는 동일합니다. 데이터가 보호되고 암호화됩니다.

암호화와 가명화의 차이점은 암호화된 데이터를 암호화되지 않은 원래 상태로 되돌리지 않는 한 암호화된 데이터를 처리할 수 없다는 사실에 있습니다. 가명화를 사용하면 개인 데이터를 일시적으로만 익명화하여 데이터 처리 중에 아무도 실제 사람과 연결할 수 없도록 합니다.

기본적으로 암호화가 훨씬 안전하고 완벽하지만 기술적으로 달성하기가 매우 복잡하며 가명화를 통해 데이터의 민감한 부분만 암호화할 수 있습니다. 공개 설문지를 수행하고 답변이 익명으로 처리되는 실제 상황으로 대략 번역될 수 있지만 최종 결과는 동일합니다. 즉, 찾고 있던 데이터를 얻을 수 있습니다.

GDPR 및 효과적인 데이터 보호

데이터를 처리하기 위해 기업은 GDPR을 준수하려면 가명화를 사용해야 합니다. 그들은 그렇지 않기로 선택할 수 있지만 수백만 달러에 달하는 여러 벌금에 직면하게 될 것입니다.

가명화를 통해 데이터는 분석, 탐색 및 통계 연구에 사용될 수 있지만 데이터 소유자의 동의가 있을 때도 사용할 수 있습니다. 그리고 기업은 그러한 동의를 쉽게 얻을 수 있어야 합니다.

가명화 외에도 회사에서 이 데이터를 보호하기 위해 구현할 수 있는 몇 가지 기술 솔루션이 있습니다. 가능하면 전체 암호화에 도달하는 것이 가장 좋지만 그 외에 회사는 현재 시스템이 정책 변경을 유지할 수 있는지 확인할 수 있습니다.

데이터를 보호하는 또 다른 방법은 시스템을 강화하는 것입니다. 시스템에 필요한 보호 장치를 구축하되 개발 초기 단계부터 제품 및 서비스에 보안 장치가 구축되어 있는지 확인하십시오.

GDPR 규칙은 2018년 5월 25일부터 적용되기 시작합니다. 이 날짜부터 모든 EU 조직과 회사는 GDPR을 준수해야 합니다.

GDPR의 이점은 무엇입니까?

  • 데이터 침해, 해킹 및 오용이 줄어듭니다.
  • 데이터 보호는 처음부터 모든 제품 또는 서비스에 구축됩니다.
  • 기업은 가명화와 ​​같은 데이터 보호 메커니즘을 사용하는 경우 필요한 데이터에 계속 액세스할 수 있습니다.
  • 새로운 일자리가 창출될 것입니다.
  • 사람들은 자신의 데이터를 완전히 제어할 수 있습니다.
  • 기업은 데이터가 해킹당한 경우 소비자에게 알려 은폐를 제한해야 합니다.

법안이 귀하의 비즈니스에 어떤 영향을 미칠지 걱정되십니까? DesignRush Daily Dose에 가입하여 최신 정보 를 얻으십시오!

GDPR 처벌 및 벌금

많은 기업이 GDPR을 성가신 것으로 생각하지만 벌금이 엄청나기 때문에 새로운 GDPR 규칙을 준수하도록 장려됩니다. 벌금은 1,000만 유로(1,150만 달러 이상)에서 2,000만 유로(2,300만 달러) 또는 회사의 연간 글로벌 매출의 2~4%에 이를 수 있으며, 이는 일부 기업의 경우 수십억 달러의 가치가 있을 수 있습니다.

기업은 데이터 통찰력 및 데이터 제거에 대한 사람들의 요청을 무시하고 승인 없이 데이터를 전송하는 경우 벌금을 부과받을 수 있습니다. 벌금은 위반이 발생한 후 처음 72시간 동안 사용자와 당국에 알리지 않는 회사에도 영향을 미칠 수 있습니다. 벌금이 부과될 수 있는 또 다른 예는 GDPR 규칙 및 규정 준수를 담당하는 사람(조직 내 데이터 보호를 담당하는 사람)을 지정하지 않는 것입니다.

데이터 컨트롤러 임명

처리, 모니터링 및 행동 추적을 포함하여 민감한 데이터를 처리하는 모든 조직은 데이터 보호 책임자를 지정해야 합니다. 즉, 디지털 마케팅 전략을 사용하는 회사는 GDPR을 준수해야 합니다.

DPO가 되기 위해 인증서가 필요하지 않으며 데이터 보호 책임자에 대한 실제 법률이 아닌 일련의 지침만 있을 뿐입니다. 주로 그 사람은 데이터 보호법에 대한 경험과 이해가 있어야 하며 회사가 준수하는지 확인하는 활동을 수행해야 합니다. 회사가 규정을 준수하지 않는 경우 그 사람도 책임을 져야 합니다.

또한 회사 규모에 따라 위험을 최소화하고 데이터 보호를 최대화하기 위해 전담하는 DPO가 단 한 명일 수도 있고 전체 부서가 있을 수도 있습니다.

GDPR을 핵심 가치로 만들기

기업이 GDPR을 심각하게 받아들이고 기업에서 실행하도록 할 수 있는 몇 가지 방법이 있습니다.

  • 직원 교육
  • 정책 검토
  • 인사 규정
  • 내부 감사
  • 데이터 사용과 관련된 모든 프로세스 및 활동 문서화
  • 데이터 사용 최소화
  • 가명화와 같은 전술 사용

기업이 GDPR 입법을 준비하는 방법

회사 내부의 마케팅 부서는 일반적으로 사용자의 민감한 데이터를 사용하는 부서이지만 회사 내부의 데이터를 누가 처리하는지는 중요하지 않습니다. 회사 전체가 규정을 준수해야 하며 다음은 프로세스를 단순화하는 데 도움이 되는 체크리스트입니다.

1단계 – 데이터 보호 책임자 임명

모든 내부 프로세스를 감독 및 수정하고 회사가 지침을 준수하는지 확인하는 사람이 필요합니다. 회사 내에 그러한 역할을 수행할 수 있는 사람이 없다고 생각되면 그 역할을 수행할 수 있는 사람을 고용하는 방법을 살펴봐야 합니다. 또한 현재 직원이 GDPR에 대해 자세히 알아볼 수 있는 GDPR 교육이 있습니다.

2단계 - 메일링 리스트 검토

전체 메일링 리스트를 완전히 수정하십시오. 새로운 개인 정보 보호 정책 업데이트와 관련하여 필요한 이메일을 보내고 사람들에게 여전히 데이터를 귀하와 공유하고 싶은지 물어보십시오. 그들이 동의하지 않으면 목록에서 제거하십시오. 이메일 마케팅 자동화를 사용하는 경우 유럽 사용자를 분류하여 동의를 확보할 수 있는 새 목록을 사용하기만 하면 됩니다.

3단계 - 데이터 보호 담당자를 통한 마케팅 캠페인 승인

마케팅 직원이 요령을 터득할 때까지 DPO는 마케팅 캠페인을 감독하고 출시 전에 승인해야 합니다. 이렇게 하면 모든 것이 정상이고 GDPR을 준수하는지 확인할 수 있습니다.

4단계 – 데이터 흐름 및 프로세스 문서화

귀하의 이메일 목록이 도태될 가능성이 있지만, 이제 아시다시피 이는 필수 사항입니다. 그러나 앞으로의 모든 데이터 수집도 GDPR을 준수하는지 확인해야 합니다. 데이터 진입점도 보안을 유지해야 합니다. 여기에는 뉴스레터 가입, 모든 계정 등록, 다양한 이벤트, 구매 목록, 파트너에게 전송된 데이터 보호, 모든 유형의 데이터 사용 및 수집이 포함됩니다. 사용자는 귀하의 모든 데이터 작업에 대해 귀하에게 동의해야 하며 귀하는 해당 데이터로 수행할 모든 활동을 명시적으로 지적해야 합니다.

5단계 – 개인정보 보호정책 업데이트

웹 사이트에 쉽게 액세스할 수 있는 개인 정보 보호 정책 페이지가 있는지 확인하십시오. 여기에서 데이터를 수집하고 처리하는 방법과 데이터를 보호하기 위해 취하는 조치를 공개적으로 설명할 수 있습니다.

6단계 – GDPR에 대한 직원 및 관리 교육 구현

모든 의사 결정권자와 마케팅 직원에게 데이터 보호 및 프로토콜에 대해 교육합니다. 이를 확장하여 모든 직원에게 새로운 규칙과 프로세스에 대해 교육할 수도 있습니다. 이것은 세미나, 교육, 소책자 또는 온라인 매뉴얼 배포 등 귀하의 비즈니스에 적합한 모든 것을 통해 수행할 수 있습니다.

7단계 – 회사에서 사용하지 않는 데이터 삭제

GDPR을 준수하는 단계 중 하나는 가능한 경우 일상적인 프로세스에서 사용하는 데이터를 최소화하고 더 이상 필요하지 않을 때 데이터를 삭제하는 것입니다.

8단계 – 재확인

모든 유럽 거주자에게 이메일을 보내고 목록에 포함되기를 원하는 경우 동의를 갱신하도록 요청하십시오. 이것은 이메일, 모바일 앱 또는 다이렉트 메일을 통해 수행할 수 있습니다. GDPR 정책은 이전에 목록에서 구독을 취소한 개인에게 새 이메일을 보내는 것을 엄격히 금지합니다.

GRPR에 따라 데이터 개인 정보 보호에 접근하는 몇 가지 기술적인 방법이 있습니다. 어느 것이 귀하의 비즈니스에 적합합니까?

기본 개인 정보 보호 및 설계 개인 정보 보호 — 차이점은 무엇입니까?

이 새로운 GDPR 시대에 인식되고 준수되어야 하는 두 가지 새로운 용어가 있습니다. 기본적으로 우리는 이미 새로운 제품과 서비스가 GDPR 규칙을 준수하는 기본 제공 메커니즘과 함께 제공되어야 한다고 말했습니다. 개인 정보 보호 설계는 기업이 프로젝트 초기 단계와 나머지 프로젝트 수명 주기에서 데이터 보호 정책을 포함하는 방법을 미리 생각하고 계획해야 함을 의미합니다.

데이터 처리자는 기본적으로 데이터 개인 정보를 보호해야 합니다. 즉, 데이터 소유자를 제외한 누구도 개인 데이터를 사용할 수 없습니다. 또한 처리자는 처리 목적으로 필요한 최소한의 개인 데이터만 수집해야 하며 완료 후 이 데이터를 저장하지 않아야 합니다.

프로세스를 자동화하기 위해 할 수 있는 일

이러한 많은 문제를 해결할 수 있는 기술 솔루션을 확보하십시오. 예를 들어 특정 개인 데이터를 자동으로 삭제하는 소프트웨어일 수 있습니다.

재평가 및 테스트

침해 가능성을 막고 GDPR을 준수하려면 기업에서 다양한 테스트, 사례 연구 및 재평가 프로세스를 실행하는 것이 좋습니다.

모든 새로운 시스템, 미디어 캠페인, 프로젝트 계획 작업 또는 이와 유사한 모든 항목에 대해 GDPR 준수 체크리스트를 만드십시오. 이렇게 하면 직원이 프로세스를 신속하게 평가하고 프로젝트가 규정을 준수하지 않거나 어떤 식으로든 데이터를 오용하는 경우 담당자에게 알릴 수 있습니다. 물론 회사나 직원은 이러한 추가 단계를 부담으로 생각할 수 있지만 미안한 것보다 안전한 것이 좋습니다.

수백만 달러의 벌금을 기억하십시오.

새로운 데이터 수집 정책

이전에 수집된 데이터를 보호하는 것 외에도 향후 데이터 수집이 처음부터 안전한지 확인해야 합니다. 동의를 요청할 때 간단하고 자연스러운 언어를 사용할 수 있습니다.

복잡한 용어 뒤에 숨기는 것은 매우 오해의 소지가 있습니다. 사람들이 제공하는 동의는 명확하고 모호하지 않아야 합니다. 새로 수집된 정보를 어떻게 사용할 것인지 명확하게 설명하십시오.

웹사이트에 대한 또 다른 쿠키 정책 동의가 필요한 시점이기도 합니다. 새로운 GDPR 규칙에 따르면 16세 이상만 개인 데이터를 제공할 수 있기 때문에 구독하는 사람들이 법적 연령인지 확인해야 합니다. 16세 미만의 어린이는 부모의 동의가 필요합니다.

회사는 정당한 사유 없이 개인정보를 요청할 수 없음을 이해해야 합니다. 해당 정보의 저장이 GDPR 규칙과 일치하더라도 그렇지 않습니다. 기업은 각 데이터 수집 및 처리 활동에 대한 법적 근거를 마련하기 위해 법적 지원을 요청해야 합니다.

새로운 양식에는 GDPR 규칙이 적용되는지 여부를 결정하기 위해 사용자의 연령과 거주 국가가 포함될 수 있습니다. 또한 고객은 데이터가 국경을 넘어 전송되는지 여부를 알 권리가 있습니다. 항상 사용자가 동의를 철회하거나 불만을 제기할 수 있는 메커니즘이 있는지 확인해야 합니다.

회사는 사람들이 자신의 정보에 대한 인사이트를 요청하면 이를 준수하고 이유 없이 답변을 제공해야 하며 늦어도 요청을 받은 후 1개월 이내에 보내야 합니다.

새로운 전자 개인 정보 보호법

유럽 ​​위원회는 ePrivacy Regulation에 관한 새로운 법률 제안을 발표했습니다. 기존의 "쿠키법"에 대한 업데이트로 의도되었으며 이미 사용된 GDPR 법도 따릅니다.

GDPR과 전자 개인 정보 보호법의 차이점

GDPR은 개인 데이터의 데이터 보호와 관련이 있지만 ePrivacy 법은 사용자의 개인 생활에 대한 개인 정보를 규제하기를 원합니다. 이러한 방식으로 온라인 통신은 사용자를 보호할 수 있습니다. 이러한 법률의 영향을 받는 많은 부문과 산업이 있습니다. 유럽 ​​위원회는 서로 다른 인권에 기반을 둔 두 가지 다른 규칙 세트가 있어야 한다고 생각합니다.

이 새로운 ePrivacy 법은 마케팅 업계에 상당한 영향을 미칠 수 있습니다. 92% 이상의 사람들이 온라인 개인 정보 보호 및 데이터가 마케팅 목적으로 사용되는 방식에 대해 걱정하고 있습니다. 그들은 특히 온라인 활동, 이메일 콘텐츠 및 메시지를 모니터링할 때 회사가 자신의 삶에 대해 가지고 있는 통찰력에 대해 매우 걱정하고 있습니다. 이것이 이 개념이 GDPR 및 개인 데이터 보호에서 ePrivacy 법 및 나머지 데이터로 발전한 이유입니다.

기본적으로 모든 마케팅 목적에 대한 동의를 얻는 것과 관련하여 훨씬 더 규제된 규칙과 정책이 있을 것입니다. 여기에는 행동 마케팅 전략도 포함됩니다. 새로운 전자 개인 정보 보호법에 따라 기업은 즉각적인 데이터 처리에 필요한 경우가 아니면 전자 통신의 데이터, 소비자가 사용하는 장치에 저장된 정보 또는 기타 정보를 사용자의 동의 없이 사용할 수 없습니다.

현명한 사람에게 전하는 말 — 사기를 조심하십시오

기업들이 사람들에게 메일링 리스트에서 탈퇴하도록 제안하는 이메일을 보내왔기 때문에 사기꾼들은 피싱 사기에 전체 GDPR 준수를 사용하는 방법을 알아냈습니다. 해커가 새로운 GDPR 규칙으로 데이터를 안전하게 보호하려는 사람들을 의도적으로 표적으로 삼고 있다는 아이러니를 피할 수 없습니다.

GDPR 피싱 사기를 식별하는 방법은 다음과 같습니다.

회사에서 데이터베이스에 남을 것인지 묻는다면 아마도 피싱 사기가 아닐 것입니다. 그러나 어느 시점에서든 이름, 주소, 사용자 이름, 비밀번호 및 결제 정보와 같은 개인 데이터 또는 정보를 다시 보내야 하는 메시지를 받은 경우에는 피하십시오. 실제 회사는 이메일로 그렇게 하지 않을 것입니다.

데이터 보호의 미래와 비즈니스에서 해당 정보를 사용하는 방법

다시 말하지만 GDPR과 마찬가지로 개인 정보 보호 권한은 데이터 소유자에게 돌아가고 있습니다. 이 새로운 법으로 사용자는 인터넷 브라우저에서 바로 쿠키 사용에 대한 동의를 제공하거나 쿠키를 철회할 수 있습니다.

이렇게 하면 각 웹 사이트에 대한 쿠키 정책이 필요하지 않고 이를 처리하는 소프트웨어 원장과 비슷하다고 생각됩니다. 이는 웹사이트가 익명 데이터 수집만 사용하는 경우 동의를 요청하기 위해 지루한 팝업을 사용할 필요가 없다는 의미이기도 합니다.

이 새로운 개인정보 보호법은 Facebook의 Messenger 앱, Viber, WhatsApp 및 Gmail을 포함한 모든 메시징 서비스에 적용됩니다.

이러한 조치 중 많은 부분이 디지털 마케팅의 미래에 직접적인 영향을 미칠 것이지만 이것이 어떻게 전개될지 말하거나 예측하는 것은 아직 이르다. 우리는 기다리는 동안 데이터를 주시하면서 지켜봐야 할 것입니다.

이러한 모든 새로운 데이터 규정을 최신 상태로 유지하는 데 도움이 필요하십니까? GDPR 규정이 적용될 때 프로세스를 간소화하는 데 도움이 될 수 있는 최고의 사이버 보안 및 위험 관리 회사에 대한 DesignRush의 목록을 확인하십시오.

더 많은 비즈니스 통찰력을 원하십니까? 뉴스레터에 가입하세요!