GDPR 준비를 위한 전자상거래 전문가 가이드
게시 됨: 2018-05-15요즘에는 모든 대화가 온라인 개인 정보 보호 및 데이터 오용으로 돌아가고 있는 것 같습니다. 우리는 최근 Facebook CEO Mark Zuckerberg가 Facebook의 개인 데이터 사용에 대해 미 상원에서 증언하는 것을 보았습니다. 매일 해결해야 할 새로운 데이터 관련 논쟁이 있는 것 같습니다.
더 익명의 인터넷에 대한 대중의 열망과 사용자 데이터 수집이 비즈니스에 좋다는 민간 부문의 인식과 함께 논쟁은 계속됩니다. 한편, 유럽 국가들은 데이터 잘못 관리로부터 시민을 보호하기 위해 노력하고 있으며 그 결과는 전 세계 기업에 막대한 영향을 미칠 수 있습니다.
2018년 5월 25일에 유럽 기업은 소비자 데이터를 처리하는 방식을 해결해야 합니다. 일반 데이터 보호 규정(GDPR)의 일환으로 기업은 고객에게 데이터 수집, 저장 및 궁극적인 사용 방법에 대한 더 많은 제어 권한을 부여해야 합니다.
이 규정은 데이터 수집 회사의 위치에 관계없이 유럽 연합 내 시민의 데이터 보호 및 개인 정보를 강화하는 것을 목표로 합니다. 즉, 유럽 고객에게 개방된 비즈니스를 갖고 있다면 GDPR이 최종적으로 시행되기 전에 주의를 기울여야 합니다. 회사에서 EU 사용자의 데이터를 처리하는 경우 이 새로운 규정을 이해하는 데 시간이 걸립니다.
GDPR이란 무엇입니까? 일반적인 질문과 답변
GDPR은 2016년 4월 27일에 공식적으로 채택되었지만 기업이 새 규칙에 적응하는 데 도움이 되도록 설계된 2년의 전환 기간으로 인해 2018년 5월 25일까지 시행되지 않습니다. 요컨대, 이 규정은 소비자가 데이터 수집 및 사용 방법을 완전히 제어할 수 있도록 하기 위한 것입니다. EU는 개인 데이터를 생일, 주소, 전화번호, 급여, 임대료 및 IP 주소를 포함하여 "식별되거나 식별 가능한 자연인과 관련된 모든 정보"로 정의합니다.
다음은 이러한 산업 변화에 대비하기 위해 추가 리소스를 지출해야 하는지 여부를 더 잘 이해할 수 있도록 이 중요한 규정과 관련된 몇 가지 일반적인 질문입니다.
준수하지 않으면 벌금을 낼 수 있습니까?
예, 새로운 규정을 준수하지 않는 조직은 무거운 벌금에 처하게 됩니다. 규정에 따르면 GDPR을 위반하면 연간 글로벌 매출의 최대 4% 또는 2천만 유로(약 2천 4백만 달러) 중 더 큰 금액의 벌금이 부과될 수 있습니다.
내 비즈니스에 적용됩니까?
GDPR의 범위는 확실히 방대합니다. 이는 유럽 연합 거주자의 데이터를 처리하는 모든 회사에 적용됩니다. 즉, 개인 또는 가정용으로만 데이터를 사용하는 경우 규정이 적용되지 않으며 직원이 250명 미만인 회사의 경우 덜 엄격할 수 있습니다. 비즈니스 규모에 관계없이 세부적인 내부 기록을 유지하고 GDPR을 준수해야 하지만 기록 유지 요구 사항은 다릅니다.
미국 기업이 벌금을 낼 수 있나요?
미국 기업은 미준수에 대해 책임을 져야 하며 국제법에 따라 동일한 기준에 따라 벌금을 물 수 있습니다. 유럽 연합에 물리적으로 존재하지 않는 기업도 새로운 규정을 준수해야 한다고 전문가들은 말합니다.
GDPR은 무엇을 보호합니까?
이 법안의 주요 목적은 소비자에게 데이터 수집에 대해 명확하고 혼동되지 않는 선택 언어를 제공하는 것입니다. 정보 제공, 접근, 수정, 삭제, 처리 제한, 데이터 이식성, 이의 제기, 자동화된 의사 결정 및 프로파일링과 관련된 결정의 8가지 개별 권리를 소비자에게 제공합니다.
GDPR은 소비자에게 어떤 이점이 있습니까?
새로운 규정의 주요 이점은 소비자 데이터를 비공개로 유지한다는 것입니다. 아래에서 다루겠지만 새로운 규칙은 기업에 몇 가지 측정 가능한 이점을 제공할 수 있습니다.
이것은 전자 상거래 비즈니스에 무엇을 의미합니까?
의심의 여지가 없습니다. 리타게팅 광고, 이메일 마케팅 활동 및 광고 개인화와 같은 것에 대해 소비자에 대한 귀중한 데이터를 효율적으로 수집할 수 있는 Springbot과 같은 전자 상거래 분석 도구를 통해 소비자를 이해하는 것은 일반적으로 대부분의 온라인 상점에서 상당한 투자입니다. 책임감 있게 데이터를 수집하는 한 GDPR 및 유사한 규정에 직면하여 이러한 귀중한 도구에 대한 의존을 중단할 필요가 없습니다. 결론은 개인 데이터 마이닝이 믿을 수 없을 정도로 어둡고 대부분의 소비자가 통제할 수 있을 때만 지원한다는 것입니다.
규칙의 변화가 의미하는 것은 보다 표준화된 데이터 수집을 위한 추진이며, 이는 실제로 귀하의 비즈니스에 더 나은 것을 의미할 수 있습니다. 실제로 이는 이메일 목록에 등록하거나 구매를 하든 관계 없이 개인의 데이터를 처리할 때마다 해당 사용자에게 액세스를 검토, 조정, 삭제 및 제한할 수 있는 권한을 부여해야 함을 의미합니다.
더 큰 그림에서 이는 소비자를 최우선으로 하여 비즈니스의 사이버 보안을 개선하고 기업의 평판을 보호한다는 의미입니다. 공유할 의사가 있는 사람들로부터 데이터를 수집할 때 여전히 주요 분석을 집계하고 정보 저장을 원하지 않는 사람들의 고객 불만을 최소화할 수 있습니다.
준비를 위해 해야 할 5가지 주요 사항
공식 GDPR 구현을 위해 비즈니스를 준비하기 위해 할 수 있는 가장 중요한 일은 법률을 배우는 것입니다. 공식 규정은 길고 법적 전문 용어로 가득 차 있지만 데이터 수집과 관련된 새로운 규칙에 대한 훌륭한 요약을 제공하는 양질의 온라인 리소스가 있습니다. 예를 들어, 새로운 법률은 소비자에게 72시간 이내에 데이터 침해 사실을 알려야 하고, 소비자에게 데이터가 사용되는 방식에 액세스할 수 있는 권한을 부여해야 하며, 소비자가 "잊히거나" 삭제되도록 허용해야 한다고 명시하고 있습니다. 요청 시 시스템.
다음으로 법률이 귀하의 비즈니스에 구체적으로 어떤 영향을 미칠지 결정하는 것이 중요합니다. 언급한 바와 같이 중소기업(SMB)과 대기업은 보고 측면과 기록 보관 규칙이 다르기 때문에 회사의 책임을 알고 있어야 합니다.
당연히 기업이 규정 준수에 대비하기 위해 할 수 있는 유익한 일들이 많이 있습니다. 아래의 권장 팁 외에도 법률 고문과 상의하여 프로세스에 취약점이 없는지 확인하는 것이 좋습니다.
1. 투명한 프로세스로의 전환
이 규정의 통과에서 핵심 내용은 사람들이 소비자가 자신의 데이터가 사용되는 방식에 대한 모든 것을 알 수 있는 권리를 원하고 법을 시행할 것이라는 점입니다. 이는 데이터에 관한 소비자와의 모든 단일 커뮤니케이션이 가능한 한 투명해야 함을 의미합니다. 회사에서 데이터를 처리하는 방법을 이해하면 데이터가 규정을 준수하는지 판단하는 데 도움이 됩니다. 따라서 데이터가 저장되는 위치와 사용 방법을 알 수 있습니다.
- 명확한 언어로 동의서를 다시 작성하십시오.
- 데이터를 수집할 때 사용자의 명확한 동의를 받으십시오.
- "옵트아웃"에서 "옵트인" 언어로 전환합니다.
- 특정 데이터를 처리하는 이유를 설명합니다.
- 데이터 보호 영향 평가(DPIA)를 실행합니다.
2. 리더 임명 및 정보 공유
이 규정의 또 다른 중요한 측면은 일부 회사는 회사 내 데이터 보호 프로세스를 감독할 책임이 있는 데이터 보호 책임자(DPO)를 임명해야 한다는 것입니다. 모든 회사에 DPO가 필요한 것은 아닙니다. 방대한 양의 개인 데이터를 처리하는 회사만 해당됩니다. 그러나 모든 회사는 모든 법률이 올바르게 준수되고 있는지 확인하는 데 도움을 줄 수 있는 규정 준수 리더를 지정해야 합니다.
- 귀하의 비즈니스에 DPO가 필요한지 알아보십시오.
- DPO가 필요하지 않더라도 데이터 개인 정보 보호 담당자를 지정하십시오.
- 모든 부서에 새 규칙을 알립니다.
- 데이터 액세스 요청을 처리하는 방법을 결정합니다.
3. 모든 서비스를 확인하십시오
회사는 합법적인 데이터 저장을 구현하는 데 도움이 되는 데이터 프로세서만 사용해야 합니다. 즉, 강력한 감사를 수행하여 새로운 규정을 크게 무시할 수 있는 도구가 없는지 확인해야 합니다. 예를 들어 분석 플러그인을 사용하는 경우 GDPR을 준수하는 방식으로 소비자 데이터를 저장하고 관리해야 합니다. Springbot은 고객이 합법적이고 윤리적인 방식으로 데이터를 얻을 수 있도록 최선을 다하고 있습니다.
- 타사 서비스가 규정을 준수하는지 확인하십시오.
- 사용하는 도구에 사용자의 동의가 필요한지 알아보십시오.
- 파트너의 도구를 찾아 프로세스 속도를 높이십시오.
4. 기록 관리 개선
GDPR의 가장 어려운 측면 중 하나는 기록 보관입니다. 소비자는 이제 자신의 개인 데이터에 대해 알고 액세스하고 삭제할 권리가 있으므로 프로세스가 세심하게 기록되었는지 확인해야 합니다. 또한 소비자가 요청할 경우 고객 데이터에 대한 주문형 액세스 권한이 있어야 합니다.
제3자와 공유하는지 여부에 관계없이 개인 데이터를 식별하고 보고할 수 있어야 합니다. 보다 엄격한 기록 보관 규칙의 주요 목적 중 하나는 개인 데이터가 정확한지 확인하는 것입니다. 올바른 개인 데이터를 기록하고 그에 따라 다른 조직을 업데이트하는 것은 귀하에게 달려 있습니다.
- 기록 보관을 다루는 30조에 대해 알아보십시오.
- 모든 데이터 처리 목적을 기록하십시오.
- 데이터 주체 및 수신자 범주에 대한 기록을 유지합니다.
- 30조에서 요구하는 것 이상으로 모든 것을 기록하십시오.
5. 올바른 방법으로 데이터 활용
마지막으로, 전환을 준비하기 위해 할 수 있는 마지막 일은 이러한 새로운 규정에 따라 고객 데이터를 활용하는 가장 책임 있는 방법을 찾는 것입니다. GDPR은 개인 데이터가 "개인 데이터가 처리되는 목적에 필요한 것보다 더 이상 데이터 주체를 식별할 수 있는 형식으로 보관되어야" 한다고 명시하고 있습니다. 따라서 명시된 목적으로 데이터를 사용할 계획임을 소비자에게 알리는 한 리타겟팅 및 기타 장기 마케팅 활동을 위해 데이터를 계속 사용할 수 있습니다.
- 기록에 개인 데이터를 보관할 수 있는 기간을 이해합니다.
- 해당 기간 후에 데이터를 언제 어떻게 파기할지 계획을 세우십시오.
- 더 오래 저장할 수 있도록 데이터를 최대한 "익명화"하십시오.
- 어떤 종류의 개인 데이터가 가장 높은 위험을 나타내는지 식별합니다.
중요한 이유
이 모든 것이 많은 작업처럼 보입니다. 맞습니까? 그러나 여기 문제가 있습니다. GDPR은 개인 데이터를 수집하는 것만큼이나 고객 경험에 좋습니다. 소비자들이 압도적으로 개인화된 경험을 선호하고 데이터 집계가 보다 개인적인 온라인 경험으로 이어질 수 있다는 점을 인식하면서도 자신의 데이터를 완전히 통제하기를 원하기 때문입니다. 그리고 온라인 쇼핑객의 92%가 보안과 개인 정보 보호를 우려하고 있기 때문에 온라인 쇼핑을 보다 프라이빗하게 만들기 위해 이러한 조치를 취해야 합니다.
이 모든 것을 염두에 두고 중요한 개인 정보 보호 경계를 넘지 않고 고객에게 더 나은 서비스를 제공할 수 있도록 새로운 조정 작업을 수행하는 것이 중요합니다. 마케팅, 영업 및 비즈니스 성장과 관련하여 GDPR이 좌절되어서는 안 됩니다.
대신 행복하고 신뢰할 수 있으며 충성스러운 고객을 육성할 수 있도록 업무 방식을 개선해야 합니다. 따라서 GDPR에 대비하여 비즈니스를 준비하는 데 약간의 추가 시간과 돈을 투자하면 노력할 가치가 있습니다.