웹사이트에서 GDPR을 준수하는 8단계

2018년에 유럽 연합 은 (European Union)일반 데이터 보호 규정(General Data Protection Regulation) ( GDPR ) 으로 알려진 일련의 데이터 보호 개혁을 시행했습니다 . 본질적으로 GDPR 은 모든 다른 데이터 보호법을 모든 EU 국가(EU state) 에 적용되는 단일 규칙 세트로 대체 했습니다. 많은 기업이 GDPR을 준수 하기 위해 정책을 변경해야 했지만 (GDPR compliant)전환 기간(transition period) 에도 불구하고 새 규칙과 관련하여 여전히 많은 혼란이 있습니다. 

GDPR이란(GDPR) 무엇 이며 어떻게 비즈니스를 규정 준수(business compliant) 할 수 있습니까?

이 문서에서는 건조한 EU 데이터 보호 지침(EU data protection directive) 을 읽지 않고도 GDPR을 준수(GDPR compliant) 하는 방법을 배웁니다 . GDPR 이 무엇인지 이해하고 사이트 가 GDPR을 준수(GDPR compliant) 하도록 하기 위해 취해야 하는 단계를 알려드립니다 .

GDPR이란 무엇입니까?

GDPR 은 EU 시민 의 온라인 개인 정보(the online privacy) 를 보호하기 위해 고안된 유럽 연합 의 (European Union)데이터 보호 지침(data protection directive) 입니다 . 개인 데이터가 사용되는 방식과 웹사이트가 귀하에 대해 수집할 수 있는 데이터 유형을 규제합니다. EU 규정(EU regulation) 에도 불구하고 GDPR 은 EU 사용자가 액세스하는 모든 웹사이트에 적용됩니다. 결과적으로 웹사이트와 기업은 GDPR을 준수하거나 EU 트래픽을 차단해야 합니다(GDPR compliant or block EU traffic) .

이를 염두에 두고 비즈니스에 영향을 미칠 수 있는 GDPR 의 주요 측면은 다음과 같습니다.(GDPR)

  • 귀하의 사이트는 방문자에게 개인 데이터가 수집되고 있음을 명확하게 알려야 합니다.
  • 또한 데이터가 수집 및 저장되는 방법과 이유를 공개해야 합니다.
  • 사용자가 수집한 개인 데이터의 삭제(delete personal data) 를 요청하는 경우 대부분의 경우 해당 요청에 따라야 합니다.
  • 사용자는 또한 귀하가 저장한 모든 개인 정보의 사본을 요청할 수 있습니다.
  • 비즈니스의 주요 활동 중 하나가 개인 데이터를 수집하고 저장하는 것이라면 데이터 보호 담당자(data protection officer) 를 고용해야 합니다 .
  • 웹사이트가 침해되고 사용자의 개인 정보가 유출된 경우 72시간 이내에 침해를 보고해야 합니다.
  • GDPR 규정(GDPR regulation) 을 위반하면 최대 2천만 유로(fines of up to €20 million) (약 2천 4백만 달러) 또는 회사 연간 매출의 4%에 해당하는 벌금이 부과 될 수 있습니다 .

GDPR 의 주요 목적은 데이터 침해(data breaches) 로부터 사람과 개인 정보를 보호하는 것 입니다. 이제 질문은 어떤 유형의 데이터가 GDPR 에 해당 합니까?

GDPR에서 규제하는 데이터 유형(Types of Data Regulated by GDPR)

웹사이트를 처음부터 구축했든 WordPress 테마(WordPress theme) 를 사용했든 사이트는 다양한 유형의 데이터를 수집합니다. 웹사이트는 분석, WordPress(WordPress) 양식, 구독 양식, 문의 양식, 이메일 마케팅 캠페인 등 다양한 방법으로 정보를 수집합니다 .

요컨대 모든 개인 데이터는 GDPR 에 속하지만 다음 유형으로 분류할 수 있습니다.

  • 유전 및 건강 정보.
  • 생체 데이터.
  • 정치적 및/또는 종교적 견해.
  • 인종, 민족, 성별.
  • 귀하의 IP 주소(IP address) 및 쿠키 데이터 와 같은 웹 데이터

귀하의 비즈니스가 앞서 언급한 EU 시민 데이터를 저장하는 한 귀하의 사이트는 GDPR을 준수해야 합니다(GDPR compliant) . 이는 귀하가 유럽 연합 국경 내에 존재하지 않는 경우에도 적용된다는 점을 기억하십시오.

GDPR을 준수하기 위해 필요한 단계

웹사이트 소유자(website owner) 로서의 책임에 대해 읽으면 압도당하고 들어오는 모든 EU 트래픽(EU traffic) 을 차단하는 것이 더 쉽다고 생각할 수 있습니다 . GDPR(Don) 이 당신을 실망 (t let) 시키지 않도록(GDPR discourage) 하십시오. 다음은 GDPR을 준수(GDPR compliant) 하기 위해 수행해야 하는 주요 단계 입니다.

1. 개인정보 보호정책 개선(1. Improve Your Privacy Policy)

데이터 수집, 저장 및 공유를 투명하게 하십시오. 귀하의 웹사이트에는 데이터 수집 관행, 데이터 보호, 쿠키 사용 및 데이터 공유를 명확하게 설명 하는 자세한 개인 정보 보호 정책 이 포함되어 있어야 합니다. (privacy policy)좋은 개인 정보 보호 정책(privacy policy) 에는 최소한 다음 사항이 포함되어야 합니다.

  • 사용자의 개인 데이터를 판매하지 않습니다.
  • 법에서 의무화 하지 않는 한 개인 데이터를 공유 하지 않습니다.(t share)
  • 수집하는 데이터 유형.
  • 데이터를 수집하는 이유와 사용 방법.
  • 사용자 데이터를 보호하는 방법.
  • 플러그인이 데이터를 수집하고 사용하는 방법.

해석의 여지를 남기지 않는 간단한 언어를 사용하여 가능한 한 명확하게 하면 명확하고 투명한 개인 정보 보호 정책(privacy policy) 을 갖게 됩니다.

2. 쿠키 수집 알림 생성(2. Create a Cookie Collection Notice)

GDPR 에 따르면 쿠키는 개인 데이터로 간주되므로 쿠키 데이터를 사용하기 전에 사용자에게 동의를 구해야 합니다. 웹사이트 에(Place) 명시적 쿠키 수집 알림(cookie collection notice) 을 게시하고 사용자가 동의하지 않더라도 웹사이트에 액세스할 수 있도록 허용합니다. 또한 사용자는 언제든지 쉽게 동의를 철회할 수 있어야 합니다.

3. 모든 웹사이트 양식에 공지사항 표시(3. Display Notices On All Website Forms)

다양한 유형의 제출 양식을 통해 일부 사용자 데이터를 수집하는 것이 표준 관행 입니다. (standard practice)이메일 주소 및 기타 세부 정보를 계속 수집하려면 데이터 수집 알림(data collection notice) 을 게시하십시오 . 그 시점 이전에 사용자의 승인 없이 데이터를 수집하지 마십시오. 그렇지 않으면 기업이 (Otherwise)GDPR 을 위반하여 막대한 벌금을 물게 될 수 있습니다.

가능한 한 명확하게 표현하고 데이터 수집에 대한 모든 중요한 세부 정보를 제공하십시오. 또한 미리 선택된 체크박스를 사용하지 않아야 합니다. 사용자는 데이터 수집(data collection) 이 선택 사항이며 동의가 필요함을 이해해야 합니다 .

4. 모든 플러그인이 GDPR을 준수하는지 확인(4. Make Sure All Plugins Are GDPR Compliant)

Google Analytics 와 같이 데이터를 수집하는 타사 플러그인을 사용하는 경우 데이터를 익명으로 만들어야 합니다. 이는 수동으로 수행하기 어려울 수 있지만 이 프로세스를 처리하는 GDPR 호환 플러그인을 찾을 수 있습니다. GDPR 규정 준수(GDPR compliance) 설정 이 있는 도구를 검색 하기만 하면 됩니다.(Just search)

5. 더블 옵트인 사용(5. Use the Double Opt-in)

GDPR(GDPR doesn) 은 이중 선택을 의무화하지 않지만 사용하는 것이 좋습니다. 이중 옵트인은 데이터 수집에 대한 동의를 사용자에게 두 번 요청하는 것을 의미합니다. 이것은 이메일 목록 구독에 특히 중요합니다. 

이중 동의를 추가하려면 먼저 웹사이트의 구독 양식 을 통해 (subscription form)동의를 요청(request consent) 해야 합니다 . 그런 다음 사용자는 이메일을 통해 받은 링크를 클릭하여 두 번째로 동의해야 합니다.

이중 옵트인을 사용하면 데이터 보호 및 개인 정보 보호(protection and privacy) 에 전념하고 있음을 나타내며 당국에 귀하의 사이트가 GDPR을 준수한다는 추가 증거를 제공합니다.

6. 구독 취소 링크 추가(6. Add Unsubscribe Links)

(Include)구독자에게 보내는 모든 커뮤니케이션에 읽기 쉬운 구독 취소 링크를 포함 합니다. 메일링 리스트에서 구독을 취소하는 것은 쉬운 과정이며 즉각적(process and instant) 이어야 합니다 .

7. 요청 시 개인 데이터 삭제(7. Delete Personal Data on Request)

GDPR 은 사용자에게 잊혀질 권리를 부여합니다. 즉, 언제든지 데이터 삭제를 요청할 수 있습니다. 항상 요청한 대로 하십시오. 여기에는 메일링 리스트에서 사용자 제거, 계정 삭제, 사용자에 대한 개인 정보 삭제가 포함됩니다. 블로그 게시물과 포럼 댓글도 개인 데이터로 간주되며 요청 시 삭제해야 합니다.

8. 메일링 리스트를 사지 마세요(8. Don’t Buy Mailing Lists)

GDPR 을 위반할 수 있으므로 메일링 리스트를 구입하지 않는 것이 좋습니다 . 대부분의 경우 해당 이메일 주소가 사용자의 동의하에 수집되었는지 확인할 수 없습니다.

즉, 여전히 메일링 리스트를 구매하기로 결정했다면 보내는 모든 이메일에 수신거부 링크를 포함해야 합니다.

GDPR을 준수하는 것은 가치가 있습니다.

위의 모든 단계에 따라 EU 시민에게 웹사이트와 비즈니스(website and business) 를 공개하십시오 . GDPR 을 준수(GDPR compliant) 하는 것이 처음에는 어려울 수 있지만 그렇게 어렵지는 않습니다. 주로 데이터 수집 및 동의 요청에 대해 투명하게 공개합니다. 보너스로 비 EU 사용자는 귀하의 비즈니스가 개인 정보 및 데이터 보호(privacy and data protection) 에 관심을 갖고 있음 을 알게되고 귀하를 신뢰할 가능성이 높아집니다.



About the author

저는 이 분야에서 거의 10년의 경험을 가진 소프트웨어 엔지니어이자 블로거입니다. 저는 Mac 및 Windows 플랫폼을 위한 도구 리뷰 및 튜토리얼 제작을 전문으로 할 뿐만 아니라 소프트웨어 개발 주제에 대한 전문가 논평을 제공합니다. 저는 또한 전 세계의 기술 컨퍼런스에서 프레젠테이션을 한 전문 연사이자 강사입니다.



Related posts