GDPR이 미국 브랜드에 미치는 영향

데이터의 사용(및 오용)은 입법부와 법 집행 기관에 고유한 문제를 나타냅니다. 전통적인 상품 및 서비스와 달리 데이터 흐름은 전통적인 국제 경계를 존중하지 않으며 기술 변화의 속도는 데이터 개인 정보 보호법이 항상 지나치게 광범위하거나 완전히 구식임을 의미합니다.

특히 규제 기관은 해당 영역에서 큰 영향을 미치지만 물리적으로 다른 곳에 기반을 두고 있는 기업을 위한 효과적인 집행 관행을 개발하는 데 어려움을 겪고 있습니다.

이것은 최근 미국 당국이 기업이 요청한 정보를 제공하도록 강제할 수 있는 CLOUD(합법적인 해외 데이터 사용 명확화법)의 통과로 이어진 현재 미국 대법원 사건 United States v. Microsoft Corp 의 기본 주제입니다. 미국 또는 외국에 위치하는지 여부에 관계없이 서버에 저장된 데이터.

마찬가지로, 많은 사람들이 개인 데이터의 외국 조작이 잠재적으로 국내 정치를 어떻게 방해할 수 있는지를 보여 주는 Cambridge Analytica/Facebook 스캔들로 인해 여전히 비틀거리고 있습니다.

이러한 맥락에서 EU의 획기적인 데이터 개인 정보 보호 법안인 GDPR(일반 데이터 보호 규정)이 EU에 기반을 둔 회사뿐만 아니라 EU 외부의 많은 회사에도 향상된 데이터 보호 표준을 적용하려는 것은 놀라운 일이 아닙니다.

이 게시물에서 저는 미국 브랜드에 대한 GDPR의 의미와 준비를 위해 지금 취해야 하는 단계(있는 경우)를 조사합니다.

GDPR이란 무엇이며 EU 법률이 미국 기업에 어떻게 적용될 수 있습니까?

간단히 말해서 GDPR은 조직이 해당 데이터를 수집, 저장 및 처리하는 방법을 규제하여 EU 시민의 개인 데이터를 보호하려는 EU 법률의 일부입니다.

일반적으로 EU 외부에 기반을 둔 회사를 규제하지 않는 이전 데이터 보호 지침과 달리 GDPR은 처리 활동이 다음 중 하나와 관련된 EU에 있는 데이터 주체의 모든 개인 데이터 처리에 적용됩니다. 또는 EU에서 해당 데이터 주체에 대한 서비스(데이터 주체에 대한 지불이 필요한지 여부와 관계없이) 또는 그들의 행동이 EU 내에서 일어나는 한 그들의 행동을 모니터링합니다.

이는 GDPR이 미국에 본사를 두고 있는 다국적 기업이나 EU에서 직접 사업을 운영하는 미국 기업뿐만 아니라 그렇지 않은 많은 미국 기업에도 관련이 있음을 의미합니다. 온라인 컨텍스트에서 GDPR은 다음과 같은 경우에 적합합니다.

• EU에서 강력한 인터넷 입지를 가지고 있습니다(EU에 직접 판매하지 않더라도).
• 귀하는 EU 통화를 허용하거나 EU 도메인 접미사(예: .co.uk, .fr, .de 등)가 있는 전자 상거래 회사입니다.
• EU 방문자가 있고 웹사이트에서 개인화를 수행합니다.

이것을 틀리는 데 드는 비용

위의 사항이 귀하의 조직에 적용되는 경우 데이터 처리 관행을 주의 깊게 검토하고 GDPR이 귀하의 온라인 활동에 적용될 가능성이 있는지 여부를 결정해야 합니다. 이것이 중요한 이유 중 하나는 새로운 규정에 따른 상당한 벌금 때문입니다.

GDPR은 새로운 규칙을 준수하지 않는 회사에 대해 심각한 처벌을 도입합니다. 벌금은 최대 2,000만 유로 또는 조직의 전 세계 매출의 4% 중 더 큰 금액에 이를 수 있습니다.

EU 규제 기관이 EU 국가에 영구적으로 존재하지 않는 미국 회사에 이러한 처벌을 부과하는 방법은 아직 명확하지 않지만 잠재적인 벌금의 규모는 미국에만 있는 회사라도 새로운 규칙을 진지하게 받아들여야 함을 의미해야 합니다.

규정 준수는 간단할 수 있지만 단순한 체크 박스 연습이 아닙니다.

일반적인 믿음과는 달리 GDPR 준수는 막대한 리소스 없이 간단하게 달성할 수 있습니다. 그러나 이는 간단한 체크 박스 연습이 아니며 일부 단계에서는 조직 내 여러 이해 관계자의 입력이 필요할 수 있습니다.

새로운 요구 사항에 대한 보다 자세한 안내를 위해 영국 규제 기관은 GDPR 요약을 게시했으며 이는 새로운 요구 사항에 도달하는 경우 훌륭한 출발점이 됩니다. 그러나 EU 데이터 보호법에 익숙하지 않은 회사의 경우 GDPR을 준수하려면 데이터를 개념화하는 방식에 근본적인 변화가 필요할 수도 있습니다.

1.) 개인 데이터와 PII

GDPR에 따른 "개인 데이터"의 정의는 유사한 미국 개념의 "개인 식별 정보"(PII)보다 훨씬 광범위합니다.

미국에서 이해되는 PII는 일반적으로 이름, 사회 보장 번호, 생년월일 및 장소, 생체 인식, 의료, 교육, 재정 및 고용 기록과 같은 식별자로 제한됩니다. 대조적으로, EU의 개인 데이터는 식별되거나 식별 가능한 자연인 또는 "데이터 주체"와 관련된 모든 정보를 의미합니다. 여기에는 PII의 미국 정의에 포함된 식별자가 포함되며 이메일 주소, 쿠키 ID, IP 주소, 검색 습관, 위치 데이터 등과 같은 온라인 식별자가 추가로 포함됩니다.

실제로 이러한 개인 데이터의 광범위한 정의는 웹사이트 개인화와 같은 활동이 GDPR에 의해 포착된다는 것을 의미합니다. 이러한 개인화에는 사용자의 쿠키 ID 또는 IP 주소를 기반으로 하는 분석의 기본적인 사용만 포함됩니다.

2.) 데이터 보호 원칙 및 동의

GDPR은 기업이 개인 데이터를 수집하고 사용하는 데 합법적인 이해 관계가 있음을 인식합니다(예: 방문자가 회사 웹사이트와 상호 작용하는 방식을 이해하기 위한 목적). 그러나 그렇게 함에 있어 회사는 데이터 주체에 대한 투명성 보장과 같은 특정 "데이터 보호 원칙"을 따라야 합니다.

또한 데이터를 수집하기 전에 방문자의 동의가 필요한 경우가 있을 수 있습니다. GDPR에 따르면 이는 단순히 온라인 개인 정보 보호 정책을 참조하는 것 이상의 것을 요구합니다. GDPR은 묵시적 ​​동의와 미리 체크된 상자를 없애고 데이터 주체가 동의해야 하는 내용을 완전히 이해하고 동의했음을 보여줄 책임을 기업에 부여합니다.

3.) 소유권

웹사이트에서 수집된 모든 데이터가 일반적으로 해당 웹사이트의 소유자에 속하는 것으로 간주되는 미국과 달리 EU에서는 개인 데이터가 해당 데이터 주체에 속합니다. 따라서 해당 개인은 데이터가 처리되는 방식을 제어할 권리가 있으며, 이는 GDPR에 따라 데이터 주체가 데이터에 액세스하고 복사본을 가져오고 회사에 데이터 삭제를 요구할 수 있는 광범위한 권한에 반영됩니다. 회사는 엄격한 기한에 따라 이러한 요청을 준수해야 하며, 그렇지 않으면 현지 규제 기관의 심각한 집행 조치에 직면할 수 있습니다.

마찬가지로 제3자가 관련된 경우 훨씬 더 엄격한 요구 사항이 도입됩니다. 특히, 데이터 주체는 자신의 데이터가 공유되는 회사에 대해 알려야 하며 조직은 적절한 수준의 데이터 보안을 보장할 수 있는 제3자만 고용할 수 있습니다. 이는 GDPR의 내용 요구 사항을 충족하는 특정 계약 문서로 입증되어야 합니다. 이러한 개념적 차이점을 이해하는 것은 GDPR을 준수하려는 기업의 핵심이 될 것입니다.

마무리

GDPR은 기업이 EU뿐만 아니라 전 세계에서 데이터와 상호 작용하는 방식을 바꿀 것입니다. 미국 브랜드, 특히 인터넷 기반이 강한 브랜드는 데이터 처리 관행을 신중하게 검토하고 GDPR이 온라인 활동에 적용될 가능성이 있는지 여부를 결정해야 합니다. 새로운 규정에 따른 상당한 벌금을 피하기 위해 모든 우려 사항은 GDPR 발효일 이전에 변호사와 논의해야 합니다.