2018년에 유럽 연합 은 (European Union)일반 데이터 보호 규정(General Data Protection Regulation) ( GDPR ) 으로 알려진 일련의 데이터 보호 개혁을 시행했습니다 . 본질적으로 GDPR 은 모든 다른 데이터 보호법을 모든 EU 국가(EU state) 에 적용되는 단일 규칙 세트로 대체 했습니다. 많은 기업이 GDPR을 준수 하기 위해 정책을 변경해야 했지만 (GDPR compliant)전환 기간(transition period) 에도 불구하고 새 규칙과 관련하여 여전히 많은 혼란이 있습니다.
GDPR이란(GDPR) 무엇 이며 어떻게 비즈니스를 규정 준수(business compliant) 할 수 있습니까?
이 문서에서는 건조한 EU 데이터 보호 지침(EU data protection directive) 을 읽지 않고도 GDPR을 준수(GDPR compliant) 하는 방법을 배웁니다 . GDPR 이 무엇인지 이해하고 사이트 가 GDPR을 준수(GDPR compliant) 하도록 하기 위해 취해야 하는 단계를 알려드립니다 .
GDPR이란 무엇입니까?
GDPR 은 EU 시민 의 온라인 개인 정보(the online privacy) 를 보호하기 위해 고안된 유럽 연합 의 (European Union)데이터 보호 지침(data protection directive) 입니다 . 개인 데이터가 사용되는 방식과 웹사이트가 귀하에 대해 수집할 수 있는 데이터 유형을 규제합니다. EU 규정(EU regulation) 에도 불구하고 GDPR 은 EU 사용자가 액세스하는 모든 웹사이트에 적용됩니다. 결과적으로 웹사이트와 기업은 GDPR을 준수하거나 EU 트래픽을 차단해야 합니다(GDPR compliant or block EU traffic) .
이를 염두에 두고 비즈니스에 영향을 미칠 수 있는 GDPR 의 주요 측면은 다음과 같습니다.(GDPR)
- 귀하의 사이트는 방문자에게 개인 데이터가 수집되고 있음을 명확하게 알려야 합니다.
- 또한 데이터가 수집 및 저장되는 방법과 이유를 공개해야 합니다.
- 사용자가 수집한 개인 데이터의 삭제(delete personal data) 를 요청하는 경우 대부분의 경우 해당 요청에 따라야 합니다.
- 사용자는 또한 귀하가 저장한 모든 개인 정보의 사본을 요청할 수 있습니다.
- 비즈니스의 주요 활동 중 하나가 개인 데이터를 수집하고 저장하는 것이라면 데이터 보호 담당자(data protection officer) 를 고용해야 합니다 .
- 웹사이트가 침해되고 사용자의 개인 정보가 유출된 경우 72시간 이내에 침해를 보고해야 합니다.
- GDPR 규정(GDPR regulation) 을 위반하면 최대 2천만 유로(fines of up to €20 million) (약 2천 4백만 달러) 또는 회사 연간 매출의 4%에 해당하는 벌금이 부과 될 수 있습니다 .
GDPR 의 주요 목적은 데이터 침해(data breaches) 로부터 사람과 개인 정보를 보호하는 것 입니다. 이제 질문은 어떤 유형의 데이터가 GDPR 에 해당 합니까?
GDPR에서 규제하는 데이터 유형(Types of Data Regulated by GDPR)
웹사이트를 처음부터 구축했든 WordPress 테마(WordPress theme) 를 사용했든 사이트는 다양한 유형의 데이터를 수집합니다. 웹사이트는 분석, WordPress(WordPress) 양식, 구독 양식, 문의 양식, 이메일 마케팅 캠페인 등 다양한 방법으로 정보를 수집합니다 .
요컨대 모든 개인 데이터는 GDPR 에 속하지만 다음 유형으로 분류할 수 있습니다.
- 유전 및 건강 정보.
- 생체 데이터.
- 정치적 및/또는 종교적 견해.
- 인종, 민족, 성별.
- 귀하의 IP 주소(IP address) 및 쿠키 데이터 와 같은 웹 데이터
귀하의 비즈니스가 앞서 언급한 EU 시민 데이터를 저장하는 한 귀하의 사이트는 GDPR을 준수해야 합니다(GDPR compliant) . 이는 귀하가 유럽 연합 국경 내에 존재하지 않는 경우에도 적용된다는 점을 기억하십시오.
GDPR을 준수하기 위해 필요한 단계
웹사이트 소유자(website owner) 로서의 책임에 대해 읽으면 압도당하고 들어오는 모든 EU 트래픽(EU traffic) 을 차단하는 것이 더 쉽다고 생각할 수 있습니다 . GDPR(Don) 이 당신을 실망 (t let) 시키지 않도록(GDPR discourage) 하십시오. 다음은 GDPR을 준수(GDPR compliant) 하기 위해 수행해야 하는 주요 단계 입니다.
1. 개인정보 보호정책 개선(1. Improve Your Privacy Policy)
데이터 수집, 저장 및 공유를 투명하게 하십시오. 귀하의 웹사이트에는 데이터 수집 관행, 데이터 보호, 쿠키 사용 및 데이터 공유를 명확하게 설명 하는 자세한 개인 정보 보호 정책 이 포함되어 있어야 합니다. (privacy policy)좋은 개인 정보 보호 정책(privacy policy) 에는 최소한 다음 사항이 포함되어야 합니다.
- 사용자의 개인 데이터를 판매하지 않습니다.
- 법에서 의무화 하지 않는 한 개인 데이터를 공유 하지 않습니다.(t share)
- 수집하는 데이터 유형.
- 데이터를 수집하는 이유와 사용 방법.
- 사용자 데이터를 보호하는 방법.
- 플러그인이 데이터를 수집하고 사용하는 방법.
해석의 여지를 남기지 않는 간단한 언어를 사용하여 가능한 한 명확하게 하면 명확하고 투명한 개인 정보 보호 정책(privacy policy) 을 갖게 됩니다.
2. 쿠키 수집 알림 생성(2. Create a Cookie Collection Notice)
GDPR 에 따르면 쿠키는 개인 데이터로 간주되므로 쿠키 데이터를 사용하기 전에 사용자에게 동의를 구해야 합니다. 웹사이트 에(Place) 명시적 쿠키 수집 알림(cookie collection notice) 을 게시하고 사용자가 동의하지 않더라도 웹사이트에 액세스할 수 있도록 허용합니다. 또한 사용자는 언제든지 쉽게 동의를 철회할 수 있어야 합니다.
3. 모든 웹사이트 양식에 공지사항 표시(3. Display Notices On All Website Forms)
다양한 유형의 제출 양식을 통해 일부 사용자 데이터를 수집하는 것이 표준 관행 입니다. (standard practice)이메일 주소 및 기타 세부 정보를 계속 수집하려면 데이터 수집 알림(data collection notice) 을 게시하십시오 . 그 시점 이전에 사용자의 승인 없이 데이터를 수집하지 마십시오. 그렇지 않으면 기업이 (Otherwise)GDPR 을 위반하여 막대한 벌금을 물게 될 수 있습니다.
가능한 한 명확하게 표현하고 데이터 수집에 대한 모든 중요한 세부 정보를 제공하십시오. 또한 미리 선택된 체크박스를 사용하지 않아야 합니다. 사용자는 데이터 수집(data collection) 이 선택 사항이며 동의가 필요함을 이해해야 합니다 .
4. 모든 플러그인이 GDPR을 준수하는지 확인(4. Make Sure All Plugins Are GDPR Compliant)
Google Analytics 와 같이 데이터를 수집하는 타사 플러그인을 사용하는 경우 데이터를 익명으로 만들어야 합니다. 이는 수동으로 수행하기 어려울 수 있지만 이 프로세스를 처리하는 GDPR 호환 플러그인을 찾을 수 있습니다. GDPR 규정 준수(GDPR compliance) 설정 이 있는 도구를 검색 하기만 하면 됩니다.(Just search)
5. 더블 옵트인 사용(5. Use the Double Opt-in)
GDPR(GDPR doesn) 은 이중 선택을 의무화하지 않지만 사용하는 것이 좋습니다. 이중 옵트인은 데이터 수집에 대한 동의를 사용자에게 두 번 요청하는 것을 의미합니다. 이것은 이메일 목록 구독에 특히 중요합니다.
이중 동의를 추가하려면 먼저 웹사이트의 구독 양식 을 통해 (subscription form)동의를 요청(request consent) 해야 합니다 . 그런 다음 사용자는 이메일을 통해 받은 링크를 클릭하여 두 번째로 동의해야 합니다.
이중 옵트인을 사용하면 데이터 보호 및 개인 정보 보호(protection and privacy) 에 전념하고 있음을 나타내며 당국에 귀하의 사이트가 GDPR을 준수한다는 추가 증거를 제공합니다.
6. 구독 취소 링크 추가(6. Add Unsubscribe Links)
(Include)구독자에게 보내는 모든 커뮤니케이션에 읽기 쉬운 구독 취소 링크를 포함 합니다. 메일링 리스트에서 구독을 취소하는 것은 쉬운 과정이며 즉각적(process and instant) 이어야 합니다 .
7. 요청 시 개인 데이터 삭제(7. Delete Personal Data on Request)
GDPR 은 사용자에게 잊혀질 권리를 부여합니다. 즉, 언제든지 데이터 삭제를 요청할 수 있습니다. 항상 요청한 대로 하십시오. 여기에는 메일링 리스트에서 사용자 제거, 계정 삭제, 사용자에 대한 개인 정보 삭제가 포함됩니다. 블로그 게시물과 포럼 댓글도 개인 데이터로 간주되며 요청 시 삭제해야 합니다.
8. 메일링 리스트를 사지 마세요(8. Don’t Buy Mailing Lists)
GDPR 을 위반할 수 있으므로 메일링 리스트를 구입하지 않는 것이 좋습니다 . 대부분의 경우 해당 이메일 주소가 사용자의 동의하에 수집되었는지 확인할 수 없습니다.
즉, 여전히 메일링 리스트를 구매하기로 결정했다면 보내는 모든 이메일에 수신거부 링크를 포함해야 합니다.
GDPR을 준수하는 것은 가치가 있습니다.
위의 모든 단계에 따라 EU 시민에게 웹사이트와 비즈니스(website and business) 를 공개하십시오 . GDPR 을 준수(GDPR compliant) 하는 것이 처음에는 어려울 수 있지만 그렇게 어렵지는 않습니다. 주로 데이터 수집 및 동의 요청에 대해 투명하게 공개합니다. 보너스로 비 EU 사용자는 귀하의 비즈니스가 개인 정보 및 데이터 보호(privacy and data protection) 에 관심을 갖고 있음 을 알게되고 귀하를 신뢰할 가능성이 높아집니다.
8 Steps To Be GDPR Compliant With Your Website
In 2018, the Euroрean Union implemеnted a series of data protection reforms known as the General Data Protection Regulation (GDPR). In essence, GDPR replaced all the different data protection laws with a single set of rules that applies to evеry EU state. Many businesses had to change thеir policies to be GDPR compliant, however, desрite the transition period, there’s still a lot of confusion regarding the new rules.
So what is GDPR and how can you make your business compliant?
In this article, you’ll learn how to be GDPR compliant without having to read the dry EU data protection directive. We’ll help you understand what GDPR is and tell you what steps you need to take to make your site GDPR compliant.
What Is GDPR?
GDPR is a data protection directive in the European Union designed to protect the online privacy of EU citizens. It regulates the way personal data is used and what type of data websites can collect about you. Despite being an EU regulation, GDPR applies to all websites accessed by users from the EU. As a result, websites and businesses have to be GDPR compliant or block EU traffic.
With that in mind, here are the key aspects of GDPR that might affect your business:
- Your site has to clearly inform the visitors that their personal data is being collected.
- You also need to disclose how and why their data is collected and stored.
- If users ask you to delete personal data you collected, you must comply with the request in most cases.
- Users can also request a copy of all the personal information you store.
- If one of your business’s main activities is to gather and store personal data, you need to hire a data protection officer.
- If your website is breached and the personal information of your users leaks out, you have 72 hours to report the breach.
- Breaking the GDPR regulation can lead to fines of up to €20 million (~$24 million) or 4% of your company’s annual turnover.
The main purpose of GDPR is to protect people and their personal information from data breaches. Now the question is, what types of data fall under GDPR?
Types of Data Regulated by GDPR
Whether you built your website from scratch or used a WordPress theme, your site gathers different types of data. Websites collect information in different ways, including through analytics, WordPress forms, subscription forms, contact forms, and email marketing campaigns.
In short, all personal data falls under GDPR, but we can break it down into the following types:
- Genetic and health information.
- Biometric data.
- Political and/or religious views.
- Race, ethnicity, and gender.
- Web data such as your IP address and cookie data
As long as your business stores any of the aforementioned data of EU citizens, your site needs to be GDPR compliant. Remember that this applies even if you don’t have a presence within the European Union’s borders.
Steps Required To be GDPR Compliant
When you read about your responsibilities as a website owner you might feel overwhelmed and decide it’s easier to block all incoming EU traffic. Don’t let GDPR discourage you. Below are the main steps you need to take to be GDPR compliant.
1. Improve Your Privacy Policy
Be transparent with collecting, storing, and sharing data. Your website should contain a detailed privacy policy that clearly explains data collection practices, data protection, the usage of cookies, and data sharing. A good privacy policy should at least include the following points:
- You don’t sell your users’ private data.
- You don’t share private data unless the law obligates you.
- The types of data you collect.
- The reasons why you collect data and how you use it.
- How you protect user data.
- How your plugins collect and use data.
Be as clear as possible by using simple language that doesn’t leave any room for interpretation and you’ll have a clear-cut transparent privacy policy.
2. Create a Cookie Collection Notice
According to the GDPR, cookies count as personal data, so you need to ask your users for consent before using cookie data. Place an explicit cookie collection notice on your website and make sure you allow users access to your website even if they don’t give consent. Your users should also have an easy way of withdrawing their consent at any time.
3. Display Notices On All Website Forms
It’s standard practice to collect some user data through various types of submission forms. If you want to continue collecting email addresses and other details, post a data collection notice. Don’t gather any data before that point and without the user’s acknowledgment. Otherwise, your business could receive a hefty fine for breaking GDPR.
Be as clear as possible with your wording and offer all the important details about collecting data. You should also avoid using pre-checked tick boxes. The user needs to understand that data collection is optional and that it requires their consent.
4. Make Sure All Plugins Are GDPR Compliant
If you’re using third-party plugins that collect data, like Google Analytics, you need to make the data anonymous. This can be challenging to do manually, but you can find GDPR-compliant plugins that handle this process for you. Just search for a tool with GDPR compliance settings.
5. Use the Double Opt-in
GDPR doesn’t make double opt-ins obligatory, but it’s highly recommended to use them. A double opt-in means you’re asking the user twice to acknowledge that they’re giving consent for data collection. This is particularly important for email list subscriptions.
To add a double opt-in, you need to first request consent through the website’s subscription form. Then the user should consent a second time by clicking a link they receive through email.
Using the double opt-in shows that you’re dedicated to data protection and privacy, and it also gives the authorities further proof that your site is GDPR-compliant.
6. Add Unsubscribe Links
Include easy-to-read unsubscribe links with every communication you send to your subscribers. Unsubscribing from your mailing list should be an easy process and instant.
7. Delete Personal Data on Request
GDPR gives users the right to be forgotten. This means they can request at all times for their data to be deleted. Always do as requested. This includes removing your users from mailing lists, deleting their accounts, and wiping any personal information you have about them. Even blog posts and forum comments count as personal data and should be removed if requested.
8. Don’t Buy Mailing Lists
Buying mailing lists isn’t recommended because you might be in violation of GDPR. In most cases, you can’t be sure whether those email addresses were collected with the users’ consent.
That said if you’re still determined to buy a mailing list, make sure you at least include unsubscribe links with every email you send.
Being GDPR Compliant Is Worth It
Open your website and business to EU citizens by following all the steps above. Being GDPR compliant might sound challenging at first, but it’s not that hard. It mostly involves being transparent about collecting data and asking for consent. As a bonus, non-EU users will see that your business cares about privacy and data protection and they’ll be more likely to trust you.
