웹사이트 GDPR을 준수하는 방법

많은 사용자가 GDPR에 대해 질문해 왔습니다. 이것이 의미하는 바는 무엇입니까? 누구와 무엇에 적용됩니까? 비즈니스에 어떤 영향을 미칩니까? 우리는 많은 정보가 인터넷을 돌고 있지만 이 정보의 일부가 불완전하거나 부정확하거나 오해의 소지가 있다는 것을 알고 있습니다.

이것이 우리가 영국 최고의 로펌 중 하나인 지적 재산 전문 회사인 Fladgate에 연락한 이유입니다. 그들은 이 게시물에 포함된 주제에 대해 완전하고 전문적인 답변을 제공할 만큼 친절했습니다.

아래에서 Elementor 사이트 작성자와 관련된 주제와 관련된 GDPR에 대한 읽기 쉽고 이해하기 쉬운 지침을 찾을 수 있습니다. 법률 문서로 작성되었으므로 일반적인 블로그 용어와 약간 다르지만 GDPR 규칙을 명확하게 이해하는 가장 좋은(유일한) 방법이라고 생각합니다. 우리 커뮤니티를 위해 이 정교하고 포괄적인 지침을 작성하고 명확히 해주신 Fladgate의 Eddie Powell에게 감사드립니다.

이 게시물에서 답변된 질문은 다음과 같습니다.

GDPR은 무엇이며 왜 중요한가요?

GDPR의 기본 규칙은 무엇입니까?

어떤 개인 데이터를 사용할 수 있으며 어떻게 사용할 수 있습니까?

개인 데이터를 제3자에게 양도할 수 있습니까?

개인은 기업에 대해 어떤 권리를 가지고 있습니까?

비즈니스 소유자로서 내 웹사이트의 개인 데이터를 어떻게 보호해야 합니까?

GDPR은 일반 데이터 보호 규정을 나타냅니다. 이는 기업이 개인의 개인 데이터를 보유하고 사용하는 방법을 규율하는 새로운 EU 공식 규정 세트입니다.

대부분의 사람들은 규칙을 어기는 사업체에 부과될 수 있는 벌금에 대해 들어본 적이 있습니다. 이는 최대 2000만 유로 또는 특히 큰 회사 그룹의 경우 그룹 글로벌 매출의 4%에 달할 수 있으며 이는 엄청난 금액이 될 수 있습니다.

그러나 더 중요한 것은 데이터 보호 규칙을 준수하지 않는 것과 관련된 홍보가 기업의 명성을 크게 손상시키고 고객과 공급업체가 이를 신뢰하지 못하게 할 수 있다는 것입니다. 또한 고객이 정보를 비즈니스에 신뢰하지 않으면 새로운 비즈니스에 영향을 미치고 높은 수준의 개인 정보를 유지하게 됩니다. 고객은 자신의 개인 정보를 통제하고 싶어합니다.

규칙은 "개인 데이터"에 적용됩니다. 개인 데이터에는 사람의 이름, 주소 및 연락처 세부 정보 등과 같은 명백한 정보가 포함됩니다. 또한 주소에서 개인을 식별할 수 있는 이메일 주소 목록도 포함됩니다(예: [이메일 보호됨] – Bob Smith가 Universal에서 근무하고 있음을 알 수 있습니다. 위젯) 및 IP 주소. 정보 집합에서 개인이 누구인지 알아낼 수 없도록 익명화하면 정보가 개인 데이터가 되지 않습니다.

GDPR에 따르면 이 개인 데이터(이 모든 것을 "처리"라고 함)를 단순히 비즈니스 시스템에 저장하기 때문에 수집, 저장, 사용 및 전송할 수 없습니다. 무엇을 하고 싶은지 생각하고 규칙을 적용해야 합니다.

GDPR이 지정하는 6가지 근거 중 하나가 있어야 합니다. 우리의 목적을 위한 핵심은 다음과 같습니다:

• 개인과의 계약을 이행하거나 계약을 체결하기 위해 정보를 사용하는 행위
• 자금 세탁 방지 규칙 준수 또는 범죄 예방과 같이 비즈니스가 적용되는 법적 의무(다른 회사와의 계약이 아님) 준수
• 개인이 자신의 정보로 수행하려는 작업에 대해 (구체적이고, 정보에 입각하고, 모호하지 않은) 동의를 제공한 경우 그리고
• 수행하려는 처리가 비즈니스의 정당한 이익을 위해 필요하지만 개인 정보 보호에 관심을 갖게 될 관련 개인의 권리 및 이익과 균형을 이루는 경우.

부모와 함께 자녀의 동의를 확인해야 하는 자녀를 다루는 특별 규칙이 있습니다. 또한 사람들의 범죄 전과에 대한 정보와 다음 정보를 포함하는 법률이 "특수 범주"라고 부르는 정보를 취급하기 위한 특별 규칙이 있습니다.

• 건강
• 민족성
• 성적 지향
• 정치적 신념
• 종교
• 노동조합 가입
• 유전 및 생체 데이터.

이메일 및 SMS 마케팅에 대한 특별 규칙(GDPR의 일부가 아님)이 있음을 기억할 가치가 있습니다. 누군가의 이메일 주소나 연락처 세부 정보가 있다고 해서 이러한 채널을 통해 마케팅 커뮤니케이션을 보낼 수 있다고 가정하지 마십시오. 정보를 수집할 때 이러한 커뮤니케이션을 거부할 수 있는 기능을 제공해야 하며 향후 마케팅 커뮤니케이션에서 구독을 취소할 수 있는 기능을 항상 포함해야 합니다.

새로운 소프트웨어 구현, 새로운 데이터베이스 프로젝트 또는 고객에게 보다 개인화된 서비스를 제공하기 위해 개인 데이터를 사용하려는 경우 기존 개인 데이터를 가져갈 수 있다고 가정하지 않는 것이 정말 중요합니다. 비즈니스 시스템에서 사용하고 있습니다. 위에서 논의한 기반에 대해 생각해야 하며, 특히 이에 대한 규칙이 훨씬 더 엄격하기 때문에 포함될 수 있는 특수 범주 데이터가 있는지 여부에 대해 생각해야 합니다.

명시된 목적을 위해 추가 정보를 수집하는 경우 실제로 필요한 정보만 수집하십시오. 그들이 말한 목적을 달성하는 데 필요한 것보다 더 많이 제공하도록 개인에게 요청하지 마십시오.

개인은 자신의 개인 정보에 대해 어떤 일이 일어나고 있는지 매우 명확한 용어로 알려야 합니다. 여기에는 다음이 포함됩니다.

• 회사 세부 정보 및 연락처 세부 정보
• 데이터 처리의 목적은 무엇입니까?
• 누구에게 데이터를 보낼 것인지;
• 데이터를 다른 국가로 내보낼 것인지 여부
• 데이터를 보관할 기간 그리고
• 동의를 철회할 수 있는 권리 및 GDPR에 따라 발생하는 기타 권리에 대한 정보.

이 정보는 정보가 수집될 때 또는 (정보가 간접적으로 수신된 경우) 수령 후 1개월 이내에 GDPR에 따라 제공되어야 합니다. 귀하의 비즈니스에는 이 정보를 제공할 수 있는 표준 양식이 있어야 합니다. 새로운 개인 데이터가 수집될 때 항상 사용해야 합니다.

위의 사항을 준수했다면 계획한 프로젝트를 실행하되 이를 고수하고 필요하지 않거나 합법적으로 보관할 수 없는 개인 데이터는 삭제해야 합니다. 계획을 변경하거나 개인 데이터로 다른 작업을 수행하기로 결정한 경우 단계를 다시 되돌려 운동을 다시 수행해야 합니다.

귀하의 비즈니스에서 사용하기 위해 수집한 개인 데이터를 사용하는 데 특히 주의하십시오. 이제 이를 제3자에게 전달하려고 합니다.

위의 기본 준수 단계에 대해 생각하고 처리에 대한 법적 근거를 충족하고 개인에게 필요한 모든 정보를 제공했는지 확인해야 합니다.

수령인이 귀하의 지시에 따라 귀하를 대신하여 작업을 수행하는 경우(예: 급여 서비스 제공업체), 그들은 귀하의 "처리자"가 되며 귀하는 보안 및 규정 준수에 대한 특정 보장이 포함된 서면 계약을 그들과 체결해야 합니다.

데이터의 "특수 범주"를 수신하거나 전송할 수 있는 가능성은 매우 낮으며, 이것이 필요한 경우 비즈니스의 규정 준수 팀에 확인해야 합니다.

개인 데이터 보호에 관한 법률이 그다지 엄격하지 않을 수 있는 EU 외부 국가로 정보를 이동하려는 경우에도 특별 규칙이 있습니다. 개인 데이터를 수신하거나 개인의 권리가 존중되도록 다른 조치를 취하려는 비즈니스 또는 조직과 표준 형식의 계약을 사용해야 할 수도 있습니다.

GDPR은 개인에게 개인 데이터를 보유하는 기업에 대한 여러 권리를 부여합니다. 여기에는 다음이 포함됩니다.

• 수정 – 모든 실수 또는 부정확성은 수정되어야 합니다.
• 액세스 – 데이터 사본과 데이터가 사용되는 세부 정보를 제공해야 합니다.
• 처리 중지 – 누군가의 개인 데이터 사용을 모두 중지
• 삭제(잊혀질 권리) – 개인에 대한 모든 기록 삭제
• 이식성 – 기계가 읽을 수 있는 형식으로 보관된 개인 데이터를 개인 또는 다른 제공자에게 전송하는 것입니다.

GDPR은 보안 수준을 지정하지 않습니다. 기업은 적절한 수준의 기술 및 조직적 보안을 갖추어야 하므로 기업은 이 요구 사항을 준수하는 데 도움이 되도록 설계된 보안 절차를 마련해야 합니다. 항상 그들에게 순종하십시오.

개인 데이터 보안을 침해할 수 있는 것은 대규모 사이버 공격만이 아니라는 점을 기억하십시오. 모바일 장치에 저장된 개인 데이터가 분실되거나, 암호화되지 않은 노트북이 공공 장소에 방치되는 등 가장 큰 문제를 일으키는 것은 사소한 일인 경우가 많습니다. 개인 데이터 손실의 가장 큰 원인 중 하나는 잘못된 이메일 주소를 입력하는 자동 완성으로 인해 이메일이 잘못 전달되는 것입니다.

GDPR은 기업이 보안 위반에 대해 당국에 알릴 의무를 부과하며, 회사는 아무리 사소한 위반이라도 기록을 유지하여 경영진이 통지해야 할 사항에 대한 결정을 내릴 수 있도록 해야 합니다. . 개인정보와 관련된 손실이 있는 경우 빠르게 수정되거나 피해를 줄 가능성이 낮더라도 회사 정책에 따라 보고해야 합니다.

Eddie Powell은 런던에 있는 Fladgate LLP 변호사의 상업 스포츠 및 IP 팀의 파트너입니다. 자세한 내용은 https://www.fladgate.com/lawyer/eddie-powell/을 참조하십시오.

사이트가 GDPR을 준수하도록 하기 위해 어떤 조치를 취했습니까? 아래 의견에 알려주십시오.