GDPR 가이드: 일반 데이터 보호 규정

게시 됨: 2021-03-09

일반 데이터 보호 규정(GDPR)은 부주의나 악의적인 행위자로 인한 데이터 침해로부터 시민을 보호하기 위해 2018년 5월에 통과되었습니다. 캘리포니아의 CCPA, 브라질의 LGPD, 중국의 PIPL, 캐나다의 PIPEDA와 같은 유럽 규정은 소비자를 위해 디지털 환경을 보다 안전하게 만들기 위해 노력하는 많은 규정 중 하나입니다.

GDPR은 데이터 개인 정보 보호에 대한 유럽의 증가하는 대중의 우려에 대한 대응입니다. 유럽 ​​연합은 규정을 엄격하게 시행하여 규정을 준수하지 않거나 데이터 위반 시 상당한 벌금을 부과함으로써 EU 및 유럽 경제 지역에서 데이터 보호를 보호하기 위해 이 규정을 사용했습니다.

GDPR은 다음과 같은 소비자 데이터 보호를 제공합니다.

  1. 정보를 받을 권리
  2. 액세스 권한
  3. 시정할 권리
  4. 삭제할 권리
  5. 처리를 제한할 권리
  6. 데이터 이식성에 대한 권리
  7. 반대할 권리
  8. 자동화된 의사 결정 및 프로파일링과 관련된 권리

GDPR 준수에 관심을 가져야 하는 사람

당신이 유럽 회사이거나 유럽에서 사업을 하는 회사라면 GDPR 요구 사항을 알고 있어야 한다는 것은 말할 필요도 없습니다.

미국 기업은 GDPR에 주의를 기울여야 합니다. 그 이유는 규정이 유럽에만 적용되지만 유럽 소비자의 데이터도 처리하는 EU 및 EEA 외부 기업에 영향을 미치기 때문입니다. 세계 경제는 고립되어 있지 않으며 많은 파급 효과가 있습니다. 책임을 피하기 위해 협력하는 공급업체가 규정 준수 요구 사항을 충족하는지 확인해야 합니다.

전자 상거래 회사인 경우 판매자는 소비자 데이터를 책임지는 데이터 컨트롤러입니다. 협력할 올바른 파트너를 선택하는 것은 완전한 규정 준수를 달성하는 방법의 일부가 될 것입니다. 예를 들어 Shopify는 귀하의 의무를 이해하고 자체 규정 준수를 입증하는 데 도움이 되는 많은 GDPR 관련 리소스를 보유하고 있습니다.

미국 소비자도 GDPR에 관심을 가져야 합니다. 자신도 모르는 사이에 혜택을 받을 수 있기 때문입니다. GDPR은 유럽 시민뿐만 아니라 휴가나 사업을 위해 방문하는 소비자와 같이 유럽에서 데이터가 인신매매되는 모든 소비자를 보호합니다. 또한 미국에서 어떤 종류의 데이터가 보호되고 보호되지 않는지 알려주는 역할을 해야 합니다.

데이터 보호에 대한 소비자의 태도

RSA 데이터 개인정보 보호 및 보안 보고서는 프랑스, ​​독일, 이탈리아, 영국 및 미국 전역의 7,500명 이상의 소비자를 대상으로 "개인정보 보호, 데이터 및 규정이 기업과의 관계에 미치는 영향"에 대해 설문조사를 실시했습니다.

“응답자의 40% 이상이 온라인으로 상품 및 서비스에 가입할 때 개인정보 및 데이터를 위조한 사실을 인정했다”는 등 온라인 마케터에 대한 불신과 해커에 대한 두려움을 나타냈다.

응답자의 80%는 금융 및 은행 정보를 데이터 유출로 인해 데이터가 노출될 우려와 함께 비밀번호(76%) 및 여권 및 운전 면허증과 같은 신원 정보(72%)에 대해 우려한다고 밝혔습니다.

다른 흥미로운 인구 통계에는 독일 응답자의 51%가 자신의 유전 데이터에 대해 보호적이며 젊은 밀레니얼 세대(18-24세)의 51%가 협박에 개인 정보가 사용되는 것을 우려하고 있습니다.

소비자가 신뢰할 수 있는 온라인 공간을 구축하는 것이 중요하지만 기업이 데이터 보안 관행을 개선해야 하는 인센티브도 있습니다. 영국 응답자의 82%는 자신이 자신을 존중하지 않는다는 것을 지속적으로 보여주는 회사를 보이콧하겠다고 말했습니다. 고객 데이터를 보호합니다.

보이콧의 위협이 기업의 자율 규제에 대한 인센티브로 충분하지 않을 수 있지만, 유럽 국가들은 기업이 데이터 보안 문제를 진지하게 받아들이도록 강제하는 실질적이고 진보적인 규제 프레임워크를 개발했으며 문제의 심각성을 입증하기 위해 막대한 벌금을 부과합니다.

GDPR에 의해 보호되는 개인 데이터의 종류

GDPR의 광범위한 규정 준수 규정의 일환으로 기업은 다음을 포함한 소비자 데이터를 보호해야 합니다.

  • 이름, 주소 및 ID 번호와 같은 개인 식별 정보(PII).
  • IP 주소, 쿠키 데이터 및 RFID 태그와 같은 웹 데이터.
  • 건강 및 유전 데이터.
  • 정치적 의견.
  • 성적 지향.

GDPR의 이점

GDPR은 철저하고 진보적입니다. 부과된 높은 벌금은 Google을 짜증나게 할 수 있지만 소비자를 보호하고 더 나은 시스템을 설계할 책임을 회사에 부여하는 더 안전하고 안전한 디지털 환경을 위한 수단입니다. 팀 쿡 애플 최고경영자(CEO)는 “이는 전 세계적으로 법이 되어야 한다”며 정부가 소비자 데이터 프라이버시를 옹호해야 한다고 말했다.

GDPR이 모든 북미 기업에 적용되는 것은 아니지만 데이터 보안 관행의 얼리 어답터가 되는 것은 비즈니스에 도움이 됩니다. 마이클 피민(Michael Fimin)은 포브스(Forbes)지에 글을 기고하며 GDPR 준수의 5가지 이점을 인식하고 있습니다.

1. 사이버 보안 강화

GDPR은 "조직이 보안 전략을 식별하고 EU 시민의 개인 데이터를 보호하기 위해 적절한 관리 및 기술 조치를 채택할 것을 요구합니다." 이러한 관행을 적용하면 데이터가 보호되고 사이버 보안이 향상됩니다.

2. 데이터 관리 개선

데이터 수집 및 저장을 검토할 때 "조직에서 보유하고 있는 중복되고 쓸모없고 사소한(ROT) 파일을 제거"하고 데이터를 검색 가능하게 만드십시오. 시스템이 간결하고 인덱싱 및 검색이 가능하면 직원의 효율성이 높아집니다.

3. 더 많은 자격을 갖춘 리드로 ROI 증가

사용자가 선택해야 하는 쿠키 정책으로 쿠키 정책을 변경하면 데이터 풀이 더 작아질 수 있지만 해당 풀에 있는 모든 사람이 귀하의 데이터 사용을 허용하기 위해 적극적으로 결정을 내려야 했기 때문에 더 자격을 갖춘 것으로 간주됩니다.

4. 소비자 신뢰

소비자는 온라인에서 데이터가 수집, 사용 및 노출되는 방식에 대해 우려하고 있습니다. 고객 데이터를 GDPR 표준으로 보호하기 위한 미국 요구 사항을 뛰어넘는 것은 귀하가 고객의 개인 데이터를 얼마나 소중히 여기고 데이터 침해의 위협을 얼마나 심각하게 받아들이는지 강조합니다.

5. 시장 차별화

얼리 어답터가 되면 많은 이점이 있습니다. 늦은 채택자가 해당 영역에 진입하기 전에 데이터 보안 관행을 여러 번 반복하여 시스템을 완성할 수 있으며, 미래 규정의 요구 사항을 예상하고 의무화되거나 시행 가능하기 전에 규정 준수를 달성할 수 있으며 바다에서 시장 차별화를 제공할 것입니다. 데이터 보안에 대해 아직 움직이지 않은 경쟁업체 Fimin이 말했듯이 GDPR 준수는 "인간의 개인 정보를 소중히 여기는 새로운 비즈니스 문화를 구현할 수 있는 기회입니다. GDPR은 탁월해질 수 있는 기회입니다.”

GDPR의 단점

이러한 무거운 규정에 대한 우려는 규정 준수 비용이 새로운 회사의 위험, 혁신 및 파괴를 보상하는 환경으로 생각되는 디지털 공간에서 새로운 회사의 진입 장벽이 될 수 있다는 것입니다. 빠르게 확장하는 회사는 이미 시장에 존재하는 더 큰 경쟁자에 비해 경쟁력이 떨어질 수 있습니다.

대기업 또는 대량의 개인 데이터를 처리하는 회사의 경우 데이터 보안 및 유럽 당국 준수를 담당하는 데이터 보호 책임자를 고용하거나 승진시키는 것과 관련된 비용이 있습니다. 벌금은 무겁고 설득력이 없을 수 있지만 규정 준수와 관련된 비용도 마찬가지입니다. 추가 오버헤드는 SMB에게 치명적일 수 있습니다.

컴플라이언스는 적극적으로 관리해야 하는 부분입니다. 소규모 회사는 더 큰 회사와 동일한 역량으로 규정 준수를 따라가지 못할 수 있습니다. 이는 이러한 더 큰 회사가 이미 가지고 있는 경쟁 우위를 유지합니다.

기업이 데이터를 수집, 저장 및 사용하는 방법에 대한 제한은 많은 SMB가 의존하는 광고의 기술적 측면에 영향을 미칩니다. 마케팅 목적으로 양질의 데이터에 대한 통찰력이 없으면 기업은 의도한 잠재고객에게 도달하는 데 어려움을 겪을 수 있으며 소비자에게는 관련성이 낮은 광고가 제공될 수 있습니다. 훌륭한 광고는 올바른 제품이 올바른 눈 앞에 놓일 때 소비자와 광고주 모두에게 이익이 됩니다.

GDPR에 대한 또 다른 비판은 GDPR이 너무 지나쳤고 과잉 규제로 인해 소비자가 온라인에서 동의를 구하는 상황이 계속될 것이라는 점입니다. 사용자에게 지속적인 쿠키 배너가 표시되거나 회사는 처음부터 민감한 데이터를 수집하지 않고 대신 웹사이트 방문자에 대한 옵트인 요청 없이 규정 준수를 달성하기 위해 대체 데이터 분석을 사용합니다.

GDPR 준수를 달성하는 방법

데이터 개인 정보 보호는 전 세계적인 문제이며 GDPR은 EU 거주 데이터를 처리하는 모든 회사에 영향을 미칩니다. 웹사이트에서 분석 소프트웨어를 사용하여 사용자 데이터를 수집하는 경우 이 규정이 귀하에게 영향을 미치므로 데이터 수집 거부에서 데이터 수집 동의로 전환해야 합니다.

수집 중인 데이터를 감사합니다.

어떤 종류의 데이터를 처리하고, 어떻게 저장하며, 조직에서 누가 데이터에 액세스할 수 있는지 이해하십시오. 웹사이트에서 데이터를 수집하는 공급업체를 모니터링하고 GDPR 준수에 대한 설명을 확인하세요.

모든 수준에서 개인 정보를 처리합니다.

시스템 설계 방식이나 정보가 저장되는 방식뿐 아니라 계정에 대한 로컬 액세스 권한이 있는 사람에게도 주의를 기울이십시오.

위험 기반 접근 방식을 취하십시오.

데이터 보안 규정 준수에는 협업이 필요합니다. 조직의 모든 사람으로부터 통찰력과 의견을 수집합니다. 함께 모여 가장 큰 위험을 식별하고 수정 사항의 우선 순위를 정함으로써 위험을 효과적으로 인식하고 규정 준수를 달성할 수 있습니다.

데이터 제어

유럽 ​​소비자들은 이제 개인 데이터가 어떻게 수집되고 어떻게 사용되는지에 대한 확장된 권리를 가집니다. 그러나 그들은 또한 '데이터 이동성'에 대한 권리를 가지고 있습니다. 수정하거나 삭제할 수 있습니다.

디지털 공간에 막대한 투자를 하고 모든 수준에서 개인 데이터를 트래피킹하는 기업은 규정을 쉽게 준수할 수 있는 관행과 기술을 개발해야 합니다.

  • 디지털 자산을 지속적으로 모니터링하고 보호합니다.
  • 침해로부터 데이터를 보호할 수 있는 적절한 통제 수단을 마련하십시오.
  • '합리적인 시간' 내에 데이터 주체가 데이터를 사용할 수 있도록 합니다.

준수하지 않으면 어떻게 됩니까: GDPR 처벌

GDPR에 대한 세간의 이목을 끄는 처벌은 방대했습니다. 새 규칙이 시행된 첫 해에 Google은 5천만 유로의 벌금을 부과받았습니다. Intersoft Consulting은 GDPR 벌금이 "각 개별 사례에 대해 효과적이고 비례적이며 설득력 있게" 설계되었다고 기록합니다.

이 규정은 회사를 처벌하는 2단계 벌금 구조로 작성되었습니다.

경미한 위반 은 "최대 1000만 유로 또는 사업의 경우 이전 회계연도의 전 세계 연간 매출의 최대 2% 중 더 높은 금액"까지의 행정 벌금이 부과됩니다.

심각한 위반 은 "최대 2천만 유로 또는 사업의 경우 이전 회계 연도의 전 세계 연간 매출의 최대 4% 중 더 높은 금액의 행정 벌금이 부과됩니다."

벌칙은 다음을 고려하여 결정될 수 있습니다.

  • 관련 처리의 성격 범위 또는 목적, 영향을 받는 정보 주체의 수 및 피해 수준을 고려한 침해의 성격, 중대성 및 기간.
  • 침해의 고의적이거나 부주의한 성격.
  • 정보 주체가 입은 피해를 완화하기 위해 컨트롤러 또는 프로세서가 취한 모든 조치.
  • 컨트롤러 또는 프로세서가 구현한 기술적 및 조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 정도.
  • 컨트롤러 또는 프로세서에 의한 모든 관련 이전 침해.
  • 침해를 시정하고 침해의 가능한 부작용을 완화하기 위한 감독 기관과의 협력 정도.
  • 침해의 영향을 받는 개인 데이터의 범주.
  • 침해가 감독 기관에 알려지게 된 방식, 특히 컨트롤러나 프로세서가 침해 사실을 통지했는지 여부와 알려진 경우 어느 정도.
  • 동일한 주제와 관련하여 관련 컨트롤러 또는 프로세서에 대해 제58조(2)에 언급된 조치가 이전에 명령된 경우 해당 조치를 준수합니다.
  • 제40조에 따라 승인된 행동 강령 또는 제42조에 따라 승인된 인증 메커니즘을 준수합니다.
  • 침해로부터 직간접적으로 얻은 재정적 이익 또는 회피한 손실과 같이 사건의 상황에 적용되는 기타 악화 또는 완화 요소.

GDPR 위반에 대한 평균 벌금은 얼마입니까?

GDPR은 2018년 5월에 법으로 제정되었으며, 그 해의 나머지 기간에만 총 55,955,871유로에 달하는 91건의 벌금이 부과되었습니다. 대부분의 경우 대부분의 주목을 받는 것은 세간의 이목을 끄는 거액의 벌금이지만 모든 GDPR 벌금이 게시되거나 헤드라인을 장식하는 것은 아닙니다. 데이터에서 Google에 넘겨진 5천만 유로의 이상치 벌금을 빼면 회사가 직면한 평균 GDPR 벌금은 약 66,000유로였습니다.

네덜란드 데이터 보호국(DPA)은 2019년 3월 위반에 대한 처벌 지침을 발표했습니다. 그들은 위반의 심각성에 따라 4가지 범주로 계층화된 처벌 시스템을 개발했습니다.

범주 I은 "회사의 데이터 보호 책임자(DPO)의 연락처 세부 정보를 공유하지 않거나 처리자 또는 공동 컨트롤러의 책임을 적절하게 기록하지 않는 것"과 같은 단순하거나 사무적인 위반의 경우에 적용됩니다. €0 – €200,000의 벌금 범위; €100,000의 표준 벌금.

카테고리 II는 회사가 특정 GDPR 의무 및 요구 사항을 이행하지 않을 때 적용됩니다. €120,000 – €500,000의 벌금 범위; €310,000의 표준 벌금.

범주 III는 회사가 사용자 또는 네덜란드 데이터 보호 당국(DPA)에 대한 투명성을 거부하거나 DPA에 위반 사실을 알리기를 거부하거나 DPA에 협력하기를 거부하는 경우에 적용됩니다. €300,000 – €750,000의 벌금 범위; €525,000의 표준 벌금.

카테고리 IV는 회사가 민감한 데이터의 불법 처리, 불법 프로파일링 또는 네덜란드 DPA의 특정 지침 준수를 거부하는 경우 적용됩니다. €450,000 – €1,000,000의 벌금 범위; 표준 벌금 €725,000*
*€20,000,000 / 연간 매출의 4%가 적용되는 경우에만

GDPR 시행의 주목할만한 사례

2020년 가을, Marriot과 British Airways는 2018년에 소비자에게 부정적인 영향을 미친 별도의 데이터 침해로 인해 상당한 벌금을 부과받았습니다.

영국항공 | 2,585만 달러 | 영국, 2020

British Airways는 2,585만 달러의 벌금과 400,000개의 고객 데이터가 데이터 유출로 손상되었습니다. ICO(Information Commissioner's Office)가 그들에게 내린 벌금은 조사에서 "적절한 보안 조치 없이 상당한 양의 개인 데이터"를 처리하고 있는 것으로 밝혀진 후 데이터 보안 취약점에 대한 것이었습니다.

벌금은 ICO가 내린 가장 큰 벌금이었지만, 원래 코로나19가 항공 산업에 미친 경제적 영향을 고려하기 전에 2억 2,900만 달러의 벌금을 제안했습니다. ICO는 또한 공격 후 "IT 보안에 대한 상당한 개선"과 조사관의 준수에 대해 BA에게 공을 돌렸습니다. 두 가지 모두 원래 벌금 총액을 낮추는 데 도움이 되었습니다.

메리어트 인터내셔널 | 2,380만 달러 | 영국, 2020

2020년에 메리어트 호텔은 3억 3,900만 명의 게스트 기록을 노출시켜 EU 전역에서 3,000만 명의 사용자에게 영향을 미친 데이터 유출로 2,380만 달러의 벌금을 부과받았습니다. Marriott 사건의 흥미로운 점은 원래 위반이 2014년으로 거슬러 올라가지만 2018년까지 발견되지 않았으며 “벌금이 GDPR이 발효된 2018년 5월 25일부터 발생한 위반 부분에만 적용된다는 것입니다. .”.

영국항공의 벌금과 마찬가지로 메리어트 벌금이 부과되기 몇 주 전에 영국 정부는 코로나19의 경제적 영향과 회사의 완화 노력 및 규정 준수로 인해 총 벌금 액수를 1억 2,300만 달러에서 줄였습니다.

구글 | 5,700만 달러 | 프랑스, 2018

Google은 GDPR이 시작된 이후로 프랑스 데이터 규제 기관의 분노를 불러일으켰습니다. 2018년 회사는 "투명성 부족, 부적절한 정보 및 개인 맞춤 광고에 대한 유효한 동의 부족"으로 5천만 유로의 벌금을 부과받았습니다.

구글 | 1억 2,100만 달러 | 프랑스, 2020

2020년 말, 프랑스 규제 당국은 Google에 다시 1억 유로의 벌금을 부과했지만 Google은 현재 법정에서 소송을 진행하고 있습니다. 벌금은 사용자가 google.fr을 방문했을 때 "사용자가 조치를 취하기 전에 7개의 쿠키가 터미널 장비에 설치되었기 때문입니다."

아마존 | 4200만 달러 | 프랑스, 2020

Amazon은 또한 동일한 쿠키 위반으로 프랑스 규제 기관으로부터 3,500만 유로의 벌금을 부과받았습니다. 프랑스 당국은 구글과 아마존 모두 "사용자에 대한 사전적이고 명확하며 완전한 정보 요구 사항이나 동의를 얻어야 하는 요구 사항 및 이러한 쿠키를 반대하는 메커니즘이 부분적으로 결함이 있다"는 요구 사항을 충족하지 못했다고 결정했습니다.

H&M | 4,130만 달러 | 독일, 2020

GDPR 시행의 다른 유명한 사례는 데이터 침해 및 회사 관행의 영향을 받는 소비자 때문인 반면 H&M의 벌금은 독일에서 직원을 불법적으로 감시한 것입니다.

함부르크 데이터 보호 당국(HmbBfDI)은 회사가 직원의 사생활을 과도하게 모니터링한 사실이 밝혀진 후 GDPR 시행 이후 독일 최대 규모의 벌금을 선고했습니다. 적어도 2014년부터 일부 직원들은 "사생활에 대한 광범위한 세부 사항 녹음"의 대상이 되었습니다.

“휴가, 병가 등 결근 후 감독팀장은 직원들과 이른바 웰컴백 토크(Welcome Back Talk)를 진행했습니다. 이 대화 후에 직원들의 구체적인 휴가 경험뿐만 아니라 질병의 증상과 진단을 녹음하는 경우가 많다”고 HmbBfDI는 말했다. “게다가, 일부 감독자들은 사생활에 대한 폭넓은 지식을 사생활과 개인적인 대화를 통해 습득했습니다. 다소 무해한 세부 사항부터 가족 문제, 종교적 신념에 이르기까지 다양합니다.”

데이터 수집 관행은 내부 오류로 인해 몇 시간 동안 정보에 액세스할 수 있게 된 후 2019년 10월에 노출되었습니다. 함부르크의 데이터 보호 및 정보 자유 커미셔너인 Dr. Johannes Casper는 벌금에 대해 다음과 같이 말했습니다.

GDPR에 대한 우리의 생각

GDPR은 소비자를 보호하는 데이터 보호 표준을 설정하는 진보적이고 포괄적인 행위이며 이는 개인에게 좋은 일입니다. 처벌은 기업이 데이터 보호 문제가 얼마나 심각한지 확인하고 미준수를 단념하도록 하기 위해 비례하고 효과적이도록 설계되었습니다.

저는 유럽인이기 때문에 편견이 있을 수 있습니다. GDPR은 나의 유럽 감성과 일치합니다. 하지만 저는 제가 가치를 제공하는 회사에 우선 순위를 두고 있으며, 향상된 데이터 보안 방식이 회사에도 가장 큰 이익이 된다고 믿습니다.

예, 이러한 변화는 신속하게 규정을 준수할 수 없거나 특정 위험을 관리하기 위해 규정 준수 전문가를 고용하는 데 드는 비용을 감당할 수 없는 회사에 약간의 고통을 줄 수 있습니다. 그러나 벌금은 규정 준수 전문가에 대한 투자를 고려하거나 최소한 기존 위험을 감사하기에 충분히 비쌉니다.

이는 유럽 데이터 집행 기관이 데이터 컨트롤러와 협력하여 모든 또는 잠재적 위반의 여파를 완화하는 데 도움이 됩니다. 벌칙을 내릴 뿐만 아니라 디지털 환경이 더 안전하고 스마트하며 개선되기를 적극적으로 원합니다. 디지털 공간에 대한 소비자 신뢰 회복 사용자에게 개인 데이터에 대한 권리와 보호를 제공합니다.

웹사이트 방문자에 대한 리마케팅에 대한 옵트인 접근 방식을 사용하면 리마케팅이 더 간결해질 수 있습니다. 목록에 있는 사용자가 거기에 옵트인하기로 의식적인 결정을 내렸음을 확신할 수 있습니다. 자체 데이터를 구성하고 감사할 수 있는 시스템을 갖추면 데이터의 많은 잡음도 제거됩니다. ROT(중복, 구식 및 사소한) 데이터를 제거합니다. 귀하의 데이터는 금이 될 것이며, 귀하는 이를 보호하기를 원할 것이며, 귀하의 팀은 이를 위해 훨씬 더 효율적일 것입니다.

우리는 변호사가 아닙니다. 우리는 귀하가 사이버 보안의 규정 준수를 감사하고 달성하도록 도울 수는 없지만 GDPR 요구 사항을 충족하는 빠른 웹 사이트를 구축할 수 있으며 귀하의 데이터 관리 팀과 협력하여 귀하의 브랜드에 대한 소비자 신뢰를 구축하고 귀하의 비즈니스 목표.