기사미국 웹사이트용 GDPR: 알아야 할 모든 것

게시 됨: 2022-08-12

우리 대부분은 2018년의 GDPR 열풍을 기억할 것입니다. 유럽 연합(EU) 및 새로운 일반 데이터 보호 규정(GDPR)에 대한 정보에 압도당했을 가능성이 큽니다. 이 전면적인 규정은 2018년 5월 25일부터 시행되었습니다.

이 기사를 위해 처음 연구를 시작했을 때 나는 "전문가" 출처의 수에 놀랐습니다. Google 검색 엔진 결과 페이지의 상단에 나타나는 많은 링크는 "공식" 사이트인 것처럼 보입니다.

그들은 단지 돈을 벌기 위한 컨설팅을 위한 마케팅 마이크로사이트일 뿐입니다. 이는 광고에 해당되지만 유기적 결과에도 동일하게 적용됩니다. 이 사이트의 정보 중 일부는 꽤 좋지만 거의 모든 경우에 불완전하고 저자의 동기가 불분명합니다.

그 모든 혼란과 잘못된 방향을 피하기 위해 저는 권위 있는 단일 출처인 European Commission Website로 이동하기로 결정했습니다. 내 사실과 권장 사항은 규정 2016/679(GDPR)의 텍스트를 직접 기반으로 하며 이 기사 전체에서 자유롭게 인용합니다.

규정의 텍스트와 함께 아래 "타사 문제" 섹션에서 Google 및 Pardot과 같은 타사 서비스 제공업체의 진술을 조사했지만, 이는 많은 고객이 사용하는 해당 회사의 서비스와 관련된 것입니다.

제 타겟 고객은 미국에 기반을 두고 EU에서 일정 부분 사업을 수행하는 기업(공공 및 민간)의 대표로 구성되어 있습니다. 제 목표는 그들이 새로운 규정을 준수하기 위해 기업 웹사이트에서 무엇을 해야 하는지 이해하도록 돕는 것입니다.

귀하의 회사가 미국 이외의 지역에 있는 경우 귀하의 회사는 민감한 데이터(예: 의료 기록)를 처리하고, 어린이에 대한 데이터를 수집하고, 정부 기관이거나 정부 기관에 대한 서비스 제공자라면 지금 읽기를 중단하십시오... 이것은 귀하를 위한 것이 아닙니다.

분명히 말씀드리자면 저는 변호사가 아니며 여기에 있는 어떤 것도 법적 조언으로 해석되어서는 안 됩니다.

GDPR이란 무엇입니까?

EU 회원국의 개인 정보 보호에 대한 권리는 매우 높은 수준으로 유지되며 데이터를 수집하는 사람들의 부담은 여기 미국보다 더 큽니다. 이것은 새로운 상황이 아닙니다. GDPR 이전에 EU에는 1995년에 제정된 데이터 보호 지침(DPD)이 있었고 GDPR에서 찾을 수 있는 것과 동일한 원칙을 많이 제시했습니다. DPD와 GDPR은 모두 유럽 연합의 기본권 헌장을 기반으로 하며 다음과 같이 간단하게 명시되어 있습니다.

모든 사람은 자신과 관련된 개인 데이터를 보호할 권리가 있습니다. – 유럽 연합 기본권 헌장, 8(1)조

GDPR의 기본 정신은 모든 "자연인"(자세한 내용은 나중에 설명)이 자신의 데이터가 수집되는 시기를 알 권리와 해당 데이터 수집을 거부할 권리가 있다는 것입니다. 그들이 동의하는 경우 수집 , 그들은 해당 데이터가 사용되는 방식을 관리하고, 동의를 철회하고, 나중에 모든 현재 및 과거 데이터를 지우도록 선택할 권리가 있습니다.

또한 사용자 데이터를 보호하기 위한 거버넌스 및 프로세스와 관련하여 데이터 "컨트롤러" 및 "프로세서"에 대한 특정 기대치가 있습니다. 마지막으로 데이터 유출이 발생한 경우 컨트롤러가 수행해야 하는 작업이 있습니다.

GDPR의 정신을 이해하기 위한 가장 좋은 자료 중 하나는 서문입니다. 그것은 대부분의 법률 문서보다 이해하기 쉽게 단순하고 직접적인 언어로 작성되었습니다. 그러나 이 평이한 언어는 법의 절대적인 글자를 온전히 전달하지 못하고 실제 규정을 대신할 수 없습니다.

DPD와 달리 GDPR 규칙은 모든 회원국에 적용됩니다. 규정이 발효되기 전에 회원국이 규정을 시행할 필요는 없습니다. 그러나 GDPR은 의료 기록과 같은 특정 유형의 민감한 개인 데이터를 보호하기 위해 더 나아가는 회원국의 추가 법률을 배제하지 않습니다.

GDPR은 위치에 관계없이 EU에서 사업을 하는 모든 회사에 적용됩니다. 사용자가 EU에서 귀하의 웹사이트에 액세스하게 한다고 해서 EU에서 사업을 할 의사가 있는 것은 아닙니다. 그러나 EU에서 적극적으로 비즈니스를 재판하는 경우 GDPR을 따라야 합니다.

참고 사항: GDPR은 EU 쿠키법을 대체하거나 대체하지 않습니다. 그 규정은 여전히 ​​유효합니다.

누가 그리고 무엇을 보호합니까?

EU에 거주하는 자연인은 GDPR의 보호를 받습니다. 이 규정은 Brexit 이전에 발효되므로 GDPR에는 현재 영국이 포함됩니다. 자연인은 단순히 개별 인간으로 생각할 수 있습니다. 이와 대조적으로 법인은 법인일 수 있습니다. GDPR의 보호는 유럽 연합 외부의 사람들에게는 적용되지 않습니다.

개인의 신원이 현재 알려져 있는지 여부에 관계없이 한 개인과 연관될 수 있는 모든 정보는 "개인 데이터"로 간주됩니다.

'개인 데이터'는 식별되거나 식별 가능한 자연인('데이터 주체')과 관련된 모든 정보를 의미합니다. 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자와 같은 식별자를 참조하거나 물리적, 생리적, 해당 자연인의 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성, – GDPR 제4(1)조

"식별 가능한"은 우리가 다루어야 할 용어입니다. 우리가 현재 개인의 신원을 알 필요는 없습니다. 나중에 데이터를 개인과 연결할 수 있는 수단(쿠키, IP 주소 등)이 있으면 개인 데이터가 GDPR 기준에 따라 보호됩니다.

이 규정은 데이터 수집의 특정 기술(예시 사용 제외)을 다루지 않기 때문에 기술에 구애받지 않습니다. 데이터 수집에 대한 혁신의 속도를 감안할 때 GDPR이 상대적으로 미래에 대비할 수 있도록 하려면 이는 필요합니다. 쿠키, IP 주소, 브라우저 프로필, 경로에 사용자 데이터가 있는 RESTful API 및 미래에 만들어질 수 있는 기타 영리한 기술은 GDPR에서 다룹니다.

규정 준수 책임은 누구에게 있습니까?

당신 . 귀하의 조직은 웹사이트의 "관리자"이며 궁극적으로 개인 데이터가 GDPR을 준수하는 방식으로 처리되도록 할 책임이 있습니다. 귀하의 웹사이트에서 규정 준수에 미치지 못하는 제3자 서비스를 사용하기로 선택한 경우 귀하의 잘못입니다.

'관리자'는 단독으로 또는 다른 사람과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 기관을 의미합니다. – GDPR 제4(7)조

웹사이트에 추가되는 모든 서비스(예: Google Analytics, Pardot 등)도 GDPR을 준수해야 합니다. 추가하는 서비스가 개인 데이터를 수집하지 않는다고 생각하더라도 주의해야 합니다.

많은 무료 서비스에는 나중에 광고 네트워크에 사용되는 일부 형태의 데이터 캡처가 포함됩니다. 2011년에 몇 가지 테스트를 실행한 결과 ShareThis 또는 AddToAny와 같은 "무료" 소셜 공유 위젯을 여러 광고 네트워크용으로 포함된 추적 구성 요소를 찾았습니다. 한 경우에는 단일 공유 위젯으로 6개의 광고 네트워크에서 추적이 가능했습니다.

웹사이트에 포함하는 모든 애플리케이션과 서비스를 철저히 조사해야 합니다. 웹사이트의 일부가 제3자(예: 채용/인사 또는 투자자 관계)에 의해 호스팅되는 경우 해당 공급업체와 이들이 사용하는 모든 제3자가 GDPR을 준수하는지 확인해야 합니다.

또한 웹사이트에서 데이터를 수집할 필요는 없지만 수집된 데이터를 어떤 식으로든 위임받은 제3자도 확인해야 합니다. 분석 컨설턴트가 이 범주에 속할 수 있습니다.

이러한 제3자는 모두 사용자 데이터의 "처리자"입니다.

'처리자'는 개인정보처리자를 대신하여 개인정보를 처리하는 자연인 또는 법인, 공공기관, 기관 또는 기타 기관을 의미합니다. – GDPR 제4(8)조

회사에 직원이 250명 미만이고 개인의 권리와 자유에 대한 위험을 초래할 수 있는 민감한 개인 데이터를 수집하지 않는 경우 처리 활동 기록에 대해 어느 정도 관대하여 부담을 줄일 수 있습니다. GDPR 준수에서 면제되지는 않지만 더 큰 조직과 동일한 표준을 준수하지 않습니다.

처리에 대한 법적 근거

GDPR에 따라 개인 데이터 수집이 허용되려면 6가지 기준 중 하나 이상을 충족해야 합니다. GDPR은 6(1)조에서 다음과 같이 명시합니다.

  1. 처리는 다음 중 하나 이상이 적용되는 경우에만 합법적입니다.

    (a) 데이터 주체가 하나 이상의 특정 목적을 위해 자신의 개인 데이터를 처리하는 데 동의했습니다.

    (b) 데이터 주체가 계약을 이행하기 위해 처리가 필요한 경우 파티 또는 계약을 체결하기 전에 데이터 주체의 요청에 따라 조치를 취하기 위해

    (c) 컨트롤러가 적용되는 법적 의무를 준수하기 위해 처리가 필요합니다.

    (d) 데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 처리가 필요한 경우

    (e) 공익을 위해 또는 컨트롤러에게 부여된 공식 권한의 행사를 위해 수행되는 작업을 수행하기 위해 처리가 필요합니다.

    (f) 개인정보 보호를 필요로 하는 정보주체의 이익 또는 기본적 권리와 자유에 의해 그러한 이익이 우선시되는 경우를 제외하고 컨트롤러 또는 제3자가 추구하는 정당한 이익의 목적을 위해 처리가 필요한 경우, 특히 여기서 데이터 주체는 어린이입니다.

이 6가지 기준 중 첫 번째 기준만 대부분의 고객 웹사이트에 적용됩니다. 직업 및 전자 상거래 섹션 또는 로그인이 필요한 모든 서비스의 경우 기준 (B)도 적용될 있습니다.

신분증

이는 GDPR에 따라 법적 근거가 필요하지 않은 데이터 수집 유형을 결정할 때 매우 중요한 개념입니다. 어떤 의미에서 식별은 쉽게 이해됩니다... 이 데이터를 자연인과 연결할 수 있습니까? 그렇다면 분명히 해당 개인은 GDPR에 따라 보호됩니다.

쿠키 또는 기타 추적 기술을 사용하여 익명의 사람을 추적하는 경우 어떻게 됩니까? 그 사람이 익명이라 하더라도 추후 추가적인 데이터 수집을 통해 본인을 식별할 수 있습니다. 따라서 그 사람은 보호됩니다.

자연인은 인터넷 프로토콜 주소, 쿠키 식별자 또는 무선 주파수 식별 태그와 같은 기타 식별자와 같은 장치, 애플리케이션, 도구 및 프로토콜에서 제공하는 온라인 식별자와 연관될 수 있습니다. 이것은 특히 고유 식별자 및 서버가 수신한 기타 정보와 결합하여 자연인의 프로필을 생성하고 식별하는 데 사용할 수 있는 흔적을 남길 수 있습니다. – GDPR 전문(30)

그 이유는 사전에 동의 없이 개인 사용자에 대한 데이터를 수집할 수 없기 때문입니다. 데이터를 수집한 다음 나중에 자연인과 연결하면 그 원칙을 위반하게 됩니다.

사용자의 권리

개인 데이터를 수집하기 전에 동의를 받아야 합니다. 그리고 구체적으로 언제 동의했는지, 사용자가 동의한 처리 형식을 포함하여 상기 동의와 관련된 모든 데이터를 저장해야 합니다. 반대로 사용자가 개인 데이터 수집의 일부 또는 전체에 대한 동의를 철회하는 경우 해당 철회도 기록해야 합니다.

정보주체의 '동의'는 진술이나 명확한 적극적 조치를 통해 정보주체와 관련된 개인정보 처리에 대한 동의를 나타내는 정보주체의 의사를 자유롭게 제공되고 구체적이며 정보에 입각하고 모호하지 않은 표시를 의미합니다. 또는 그녀; – GDPR 제4(11)조

일부 제3자는 동의를 확보하기 위한 자체 메커니즘을 가지고 있을 수 있지만 해당 서비스가 사용자 경험에 스스로를 주입하도록 허용하는 것은 사람들을 혼란스럽게 할 것입니다. 단일 타사 제공업체를 사용하여 사용자에 대한 정보를 저장하지 않는 한 명확하고 간결한 단일 동의 메커니즘을 만드는 것이 좋습니다. 제3자를 포함하여 귀하의 웹사이트에서 모든 다양한 데이터 수집 수단을 관리하는 데 사용해야 합니다.

'동의'는 전자적 수단을 포함한 서면 진술과 같이 자신과 관련된 개인 데이터 처리에 대한 데이터 주체의 동의를 자유롭게 제공되고 구체적이며 정보에 입각하고 모호하지 않은 표시를 설정하는 명확한 긍정적 행위에 의해 제공되어야 합니다. , 또는 구두 진술. – GDPR 전문(32)

사용자는 자신의 데이터에 액세스하고 데이터를 수정할 권리가 있으며 데이터 처리에 대한 법적 근거가 더 이상 없는 경우(예: 사용자가 동의를 철회하거나 더 이상 고객이 아닌 경우) 데이터 주체는 다음과 같은 권리를 갖습니다. 잊었다. 여기에는 수집된 사용자 데이터를 저장할 수도 있는 프로세서에 알리는 컨트롤러가 포함됩니다.

또한 개인 데이터는 수집된 법적 근거나 동의한 목적을 위해 더 이상 필요하지 않은 경우 잊어버려야 합니다.

데이터 보호 및 인증

GDPR은 데이터 컨트롤러(귀하)와 처리자가 개인 데이터를 보호하기 위해 적절한 조치(기술적 및 조직적)를 취하도록 요구합니다.

이 규정을 준수함을 입증할 수 있도록 컨트롤러는 내부 정책을 채택하고 특히 기본적으로 데이터 보호 설계 및 데이터 보호 원칙을 충족하는 조치를 구현해야 합니다. 그러한 조치는 특히 개인 데이터 처리 최소화, 가능한 한 빨리 개인 데이터 가명화, 개인 데이터 기능 및 처리에 관한 투명성, 데이터 주체가 데이터 처리를 모니터링할 수 있도록 하여 컨트롤러가 다음을 수행할 수 있도록 구성됩니다. 보안 기능을 만들고 개선합니다. – GDPR 전문(78)

이러한 조치에는 제한된 액세스, 암호화 및 기타 데이터 보안을 위한 기본적인 모범 사례도 포함되어야 합니다. GDPR 작성자는 컨트롤러와 프로세서가 개인 식별 정보 보호를 위한 ISO/IEC 27018 실행 규범과 같은 데이터 보호 인증을 식별하고 준수할 것을 권장합니다.

이 규정에 대한 투명성과 준수를 강화하기 위해 인증 메커니즘과 데이터 보호 봉인 및 마크의 수립을 장려하여 데이터 주체가 관련 제품 및 서비스의 데이터 보호 수준을 신속하게 평가할 수 있도록 해야 합니다. – GDPR 전문(100)

가명화

내 연구에서 가명처리가 GDPR에서 가장 잘못 이해되는 개념이라는 것을 발견했습니다. 가명화는 익명화와 동일하지 않습니다. 사용자 레코드를 식별할 수 있도록 하는 데이터 세트에서 속성을 제거하고 고유 식별자 형식을 사용하여 이러한 속성을 별도의 데이터 소스에 저장하는 작업일 뿐입니다. 가명 처리된 데이터는 개별 사용자를 식별하기 위해 별도의 데이터 소스와 조정될 수 있습니다.

'가명화'는 추가 정보를 사용하지 않고는 개인 데이터가 더 이상 특정 데이터 주체에 귀속될 수 없도록 하는 방식으로 개인 데이터를 처리하는 것을 의미합니다. 단, 그러한 추가 정보는 별도로 보관되고 기술적 및 조직적 조치가 적용됩니다 개인 데이터가 식별되거나 식별 가능한 자연인에게 귀속되지 않도록 합니다. - GDPR 4(5)조

수집된 데이터의 가명 처리는 사용자 데이터 처리를 위한 법적 근거를 생성하지 않습니다. 그러나 특히 해당 데이터가 프로세서 또는 기타 제3자와 함께 저장되는 경우 사용자 데이터를 안전하게 저장하기 위한 모범 사례입니다. 예를 들어, 사용자를 식별하기 위해 자체 데이터 세트와 결합할 수 있는 프로세서 데이터 세트의 고유 식별자를 사용할 수 있습니다.

데이터 침해 공개

개인 데이터 침해가 발생한 경우 컨트롤러는 해당 사실을 알게 된 후 72시간 이내에 감독 기관에 알려야 합니다. 귀하는 미국 기반 회사의 일원이기 때문에 감독 기관은 데이터 주체가 거주하는 회원국의 감독 기관이 됩니다.

'개인 데이터 침해'는 전송, 저장 또는 처리되는 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반을 의미합니다. – GDPR 제4조(12)

컨트롤러는 침해가 발생한 경우 영향을 받는 데이터 주체에게 통지해야 하지만 이러한 통지 일정은 계속되거나 유사한 데이터 침해를 방지하는 데 필요한 조치에 따라 달라질 수 있습니다. 지침은 단순히 데이터 주체에게 과도한 지연 없이 연락해야 한다고 명시하고 있습니다.

페널티

GDPR 위반 처벌은 두 가지 범주로 나눌 수 있습니다.

  1. 감독당국이 부과하는 벌금
  2. 권리를 침해받은 정보주체에 대한 보상

내가 읽은 대부분의 기사는 감독 당국이 부과할 수 있는 벌금에 초점을 맞추는 경향이 있습니다.

그리고 그 이유를 쉽게 알 수 있습니다.

벌금은 최고 €20,000,000 또는 이전 회계 연도의 전 세계 연간 총 매출의 최대 4%일 수 있습니다. 무서운 숫자들입니다.

그러나 이러한 벌금은 가장 심각하고 피해를 주는 상황에 대한 상한선임을 이해하는 것이 중요합니다. 벌금 액수를 결정할 때 많은 요소가 고려됩니다.

과태료 부과 여부를 결정하고 개별 사례별로 과태료 금액을 결정할 때 다음 사항을 적절히 고려해야 합니다.

  1. 관련 처리의 성격 범위 또는 목적, 영향을 받는 정보 주체의 수 및 피해 수준을 고려한 침해의 성격, 중대성 및 기간
  2. 침해의 고의적이거나 부주의한 성격;
  3. 정보 주체가 입은 피해를 완화하기 위해 컨트롤러 또는 프로세서가 취한 모든 조치
  4. 제25조 및 제32조에 따라 수행된 기술적 및 조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 정도
  5. 컨트롤러 또는 프로세서에 의한 모든 관련 이전 침해
  6. 침해를 시정하고 침해의 가능한 부작용을 완화하기 위한 감독 기관과의 협력 정도,
  7. 침해의 영향을 받는 개인 데이터의 범주
  8. 침해가 감독 기관에 알려지게 된 방식, 특히 컨트롤러 또는 프로세서가 침해 사실을 통지했는지 여부 및 통지했다면 어느 정도인지,
  9. 동일한 주제와 관련하여 관련 컨트롤러 또는 프로세서에 대해 제58조(2)에 언급된 조치가 이전에 명령된 경우 해당 조치의 준수
  10. 제40조에 따라 승인된 행동 강령 또는 제42조에 따라 승인된 인증 메커니즘을 준수합니다. 그리고
  11. 침해로부터 직간접적으로 얻은 재정적 이익 또는 회피한 손실과 같이 사건의 상황에 적용되는 기타 악화 또는 완화 요소.

– GDPR 83(2)조

더 큰 미지수는 권리가 침해 된 정보 주체에 대한 보상이 무엇인지입니다. GDPR 위반이 한 개인에게만 영향을 미칠 가능성은 낮으므로 어떤 형태의 그룹 소송을 예상하는 것이 합리적입니다.

EU 회원국의 국가 규칙은 집단 소송 문제(집단 소송)와 관련하여 매우 다양합니다. 따라서 규정이 시행되기 전에 결과를 예측하는 것은 법률 전문가에게 가장 잘 맡겨진 일입니다. 수정 구슬을 바라보는 투시력이 더 좋을 수도 있습니다.

몇 가지 일반적인 시나리오

결론은 GDPR 준수가 그렇게 어려울 필요가 없다는 것입니다. 수행해야 할 몇 가지 기본 단계가 있지만 지침은 명확하고 측정 가능합니다. EU에서 사업을 하고 있지만 데이터 보호 지침을 무시하고 있다면 따라잡아야 할 일이 조금 있을 것입니다. 하지만 그렇게 나쁘지 않다는 것을 강조하겠습니다.

BrandExtract가 서비스하는 거의 모든 비즈니스에서 공유되는 몇 가지 공통 시나리오가 있습니다. 일반적으로 우리는 절대적으로 필요한 경우가 아니면 동의를 수집하거나 개인 데이터를 관리해야 하는 상황에서 고객을 피하려고 노력합니다. 하지만 말이 되는 상황이 있습니다. 다음은 권장 사항이 있는 몇 가지 특정 상황입니다.

구글 애널리틱스

품질 분석을 위해 사용자의 완전한 IP 주소를 수집하고 저장할 필요가 없다는 것이 BrandExtract의 입장입니다. 그리고 IPv4 주소의 마지막 옥텟과 IPv6 주소의 마지막 80비트를 삭제하여 IP 주소를 익명화하면 Google 측에서 사용자 식별 가능성을 제거하기에 충분합니다.

이는 GA 자바스크립트 라이브러리에 내장된 IP 주소 익명화 기능을 사용하여 Google 애널리틱스에서 쉽게 수행할 수 있습니다. EU 내에서 사이트에 액세스하는지 여부에 관계없이 모든 사용자에 대해 간단히 호출할 수 있습니다. IP 주소 익명화를 사용하면 식별 가능한 개인 데이터가 Google 서버에 기록되지 않습니다.

또한 귀하의 웹사이트에서 Google Analytics 쿠키의 사용을 비활성화할 수 있습니다. 이로 인해 일부 분석 데이터가 손실됩니다(손실된 내용을 확인하기 위해 테스트 중입니다). 그러나 IP 주소를 익명화하고 쿠키를 제거하면 사용자를 더 이상 식별할 수 없기 때문에 더 이상 Google Analytics에 대한 동의를 수집할 필요가 없습니다.

쿠키와 함께 Google Analytics를 사용할 수는 있지만 그렇게 하기 전에 동의를 얻어야 합니다. 또한 Google은 규정 준수를 보장하기 위해 분석에서 개별 사용자 데이터를 제거하는 도구를 약속했습니다. 그것들은 5월 25일까지 제자리에 있어야 합니다.

웹 서버 로그 파일

기본적으로 웹 서버에 대한 모든 요청은 로그 파일에 기록됩니다. 각 기록에는 사용자의 IP 주소가 포함되며, 이는 나중에 사용자가 식별되는 경우 해당 사용자의 활동을 소급하여 추적하는 데 나중에 사용될 수 있기 때문에 개인 데이터로 간주됩니다. IP 주소 기록을 비활성화하거나 IP 주소를 익명화해야 합니다.

파르도

Google과 마찬가지로 사용자가 컨트롤러이고 프로세서라는 것이 Pardot의 입장입니다. Pardot의 서비스 제공은 사용자를 식별할 수 있는지 여부에 달려 있습니다. 따라서 웹사이트에서 Pardot 서비스를 사용하려면 사용자 데이터를 처리하기 위한 법적 근거가 있어야 합니다.

Pardot은 아직 사용자 데이터를 수집하거나 제거하기 위한 도구가 없으며 마감일까지 이러한 도구를 사용할 것으로 기대하지 않습니다. 데이터에 대한 모든 요청과 잊어버리려는 요청은 Pardot의 서비스 데스크를 통해 이루어져야 합니다.

허브스팟

Hubspot 서비스 제공의 일부에는 접수 양식 및 사용자 추적이 포함됩니다. 사용자를 추적하기 위해 다른 타사 공급자를 사용하지 않는 경우 Hubspot의 동의 수집 메커니즘을 사용할 수 있습니다. 이 새로운 기능은 5월 25일까지 적용되어야 합니다.

Hubspot 외에 다른 공급자를 사용하거나 자체 시스템에 사용자 데이터를 저장하는 경우 사용자 데이터가 저장되는 모든 방식에 대한 동의를 수집하기 위한 고유한 메커니즘을 만들어야 합니다.

이메일 마케팅

이메일 마케팅 서비스 제공업체를 사용하거나 사용자의 이메일 응답을 추적하는 자체 메커니즘이 있는 경우 이메일을 보내기 전에 동의 또는 법적 근거가 있어야 합니다. 이메일 캠페인의 경우 처리를 위한 법적 근거가 포함된 데이터 주체와의 확립된 관계가 필요합니다.

호스팅된 글꼴 및 기타 자산

이것은 쉽습니다... GDPR이 걱정된다면 제3자를 사용하여 웹사이트의 글꼴, 자바스크립트 라이브러리 또는 기타 자산을 호스팅하지 마십시오. 특정 글꼴을 타사 호스트를 통해서만 사용할 수 있는 경우 다른 글꼴을 사용하십시오.

모든 공급자는 정책이 변경되지 않도록 지속적인 모니터링이 필요한 자체 서비스 약관과 규정 준수 수준을 갖습니다. 그 번거로움과 위험을 피하십시오.

공유 서비스(ShareThis, AddToAny 등)

그들은 끔찍합니다. 사용하지 마십시오. 뉴스 가치가 있는 GDPR 개발 이전에도 BrandExtract는 항상 서비스로 위장한 이러한 기생충으로부터 고객을 멀리했습니다. 귀하의 사용자는 아무도 들어본 적이 없는 47개의 소셜 네트워크에서 귀하의 웹 페이지를 공유할 수 있는 기능이 필요하지 않습니다. BrandExtract에는 비즈니스에 실제로 중요한 모든 주요 플랫폼에서 공유하기 위한 사용자 지정 코드가 있습니다.

개인화

이것도 쉽습니다. 대륙 또는 국가별 광범위한 지리적 위치를 제외한 모든 개인화 시나리오에는 사용자 식별이 필요하며 사용자 동의가 있어야 합니다 . 주위에 방법이 없습니다.

자원

  • 유럽연합 집행위원회 웹사이트
  • GDPR 텍스트
  • 분석의 IP 익명화
  • 분석 쿠키 비활성화

GDPR 규정은 압도적일 수 있습니다. 여러분이 알아야 할 모든 것을 통합하는 데 도움이 되었기를 바랍니다. 귀하의 사이트에 대한 감사를 고려 중이시라면 기꺼이 채팅해 드리겠습니다. GDPR 팟캐스트 에피소드에서 전문가 팀과 함께 GDPR에 대해 더 자세히 알아봅니다. 브랜드에 대한 웹 및 디지털 고려 사항에 대한 자세한 정보를 보려면 다음과 같은 몇 가지 팁과 리소스를 참조하세요.

  • 사이트에 액세스할 수 있도록 하려면 무엇이 필요한지 알아보세요.
  • 웹사이트 보안의 핵심과 사이트를 안전하게 유지하는 방법을 알아보십시오.
  • 매력적인(그리고 전환하는) 비즈니스 웹사이트를 만드는 방법을 살펴보십시오.