웹사이트를 GDPR을 준수하도록 만드는 방법

게시 됨: 2021-07-19

GDPR 요구 사항은 영국의 Brexit 철회 기간 및 EU와 거래하는 모든 비즈니스에 계속 적용됩니다. 다음은 법을 준수하고 고객을 행복하게 하기 위해 지금 웹사이트에서 변경해야 하는 10가지입니다.

이 게시물에서는 웹사이트가 GDPR을 준수하도록 하는 방법에 대한 좁은 영역을 구체적으로 다루고 변경해야 할 특정 변경 사항에 대한 권장 사항을 제시하고자 합니다.

Brexit과 2020년은 어떻습니까... GDPR은 여전히 ​​요구 사항입니까?

일반 데이터 보호 규정(GDPR)은 EU에 기반을 둔 모든 회사와 EU 시민을 고객으로 둔 회사에 적용됩니다. 영국 기업의 경우, Brexit 철회 협정은 전환 기간 동안 준수해야 할 필요성을 변경하지 않으며 EU 내에서 거래하는 기업에 대한 요구 사항도 변경하지 않습니다.

또한 영국은 GDPR의 높은 기준을 유지하기 위해 최선을 다하고 있습니다(정부는 Brexit 이후 영국 법률에 이를 통합할 계획입니다.

현재 GDPR 규정은 2018년 5월 25일부터 발효되었습니다.

GDPR 규정의 시행을 고려하는 것은 흥미롭고 GDPR 시행 추적기 웹사이트는 EU 내 데이터 보호 당국이 GDPR에 따라 부과한 벌금 및 처벌에 대한 목록과 개요를 제공합니다.

첫째, 나는 법률 전문가가 아니라는 것을 말해야 하고, 둘째 이것은 피상적인 분석이다. 작성 당시 데이터베이스에는 다음이 포함되어 있습니다.

  • 2019년 12월 법률 뉴스 웹사이트 운영자에 관한 사례를 포함하여 요약 요약에 "web"이라는 단어가 포함된 벌금 및 처벌 사례는 네덜란드어 및 프랑스어 사용자에게도 제공되었지만 영어로만 제공되는 개인 정보 보호 정책이 있었습니다. 청중.
  • 2019년 Vodaphone이 블라인드 카피 기능을 사용하지 않고 다수의 수신자(클라이언트)에게 마케팅 이메일을 보낸 사례를 포함하여 요약에 "이메일"이라는 단어가 포함된 5건. EUR 60.000의 초기 벌금이 EUR 36.000로 감소했습니다.

한편, 이것은 비준수에 대한 엄청난 수의 기소는 아니지만 이러한 위험과 개인 데이터 처리의 민감도 증가 및 이에 대한 문제 인식을 결합하고 GDPR 준수는 법적 요구 사항일 뿐만 아니라 좋은 비즈니스 감각.

GDPR은 웹사이트 계획 및 기능에 어떤 영향을 미칩니까?

GDPR은 웹사이트 요구 사항에 상당한 영향을 미치며 웹사이트가 이메일 마케팅, 소셜 미디어 및 전자 상거래 활동과 같은 다른 디지털 활동과 통합되는 방식에 파급 효과가 있습니다.

이러한 모든 권장 사항을 연결하는 황금 실은 GDPR에 따라 자유롭고 구체적이며 정보에 입각한 동의 개념이 새로운 규칙으로 강화되고 있다는 것 입니다. 이는 우리와 같은 기업이 더 많은 투명성을 제공해야 함을 의미합니다.

다음은 웹사이트에 대해 검토하고 웹 개발 팀과 필요한 변경 사항에 대해 논의할 10단계입니다. 질문이 있으시면 언제든지 저에게 연락하십시오.

수행해야 하는 간단한 변경부터 시작한 다음 더 복잡한 영역으로 이동합니다.

1. 양식: 활성 옵트인

뉴스레터를 구독하도록 사용자를 초대하거나 연락처 기본 설정을 나타내는 양식은 기본적으로 "아니오"로 설정되거나 비어 있어야 합니다. 이 경우에 해당하는지 확인하려면 양식을 확인해야 합니다.

예를 들어, GDPR 이전의 현재 Boots 등록 양식은 옵트인 상자를 선택하여 사용자가 적극적으로 옵트아웃하도록 했습니다. 매우 음탕하고 나쁜 사용자 경험이며 5월까지 변경해야 합니다.

GDPR 옵트인 실패

2020년에 해당 양식은 GDPR 요구 사항에 따라 선택 해제되었습니다.

Boots 2020 웹사이트 GDPR 준수

반면에 Sainsbury's는 옵트인을 가정하고 옵트아웃 확인란을 선택하도록 강요함으로써 나에게 훌륭한 경험을 제공하지 못한다고 주장합니다. 나는 그들이 그것에 대해 바람 가까이에서 항해하고 있을지도 모른다고 주장하고 잠재적인 고객으로서 나를 기쁘게 하지 않을 것입니다.

2020 GDPR Sainsburys 옵트아웃

2. 번들되지 않은 옵트인

귀하가 요청하는 동의는 이용약관에 대한 동의와 기타 데이터 사용 방법에 대한 동의에 대해 별도로 명시해야 합니다.

이 예에서 Sainsbury's는 계약 조건의 수락을 명확하게 설정하고 연락처 권한에 대한 활성 옵트인을 별도로 설정합니다.

Sainsbury's가 커뮤니케이션 옵트인 기본 설정(이메일, SMS, 우편) 측면에서 보다 세분화된 옵션을 얻지 못한 것은 유감입니다.

sainsburys 세분화된 옵트인

3. 세분화된 옵트인

사용자는 다양한 유형의 처리에 대해 별도의 동의를 제공할 수 있어야 합니다.

이 예에서 ABC Awards는 각 처리 유형(우편, 이메일, 전화)에 대한 특정 권한을 요청하고 제3자에게 과거 세부 정보에 대한 권한도 요청합니다.

4. 동의 철회 및 탈퇴 용이

동의를 취소하는 것은 승인을 취소하는 것만큼 쉬워야 하며 개인은 항상 동의를 철회할 권리가 있음을 알아야 합니다.

웹 사용자 경험 측면에서 이는 구독 취소가 특정 통신 스트림에 대한 동의를 선택적으로 철회하는 것으로 구성될 수 있음을 의미합니다.

동의 철회 GDPR

또는 통신 빈도를 쉽게 변경하거나 모든 통신을 완전히 중지합니다.

동의 빈도 철회

5. 기명 당사자

웹 양식은 동의가 부여되는 각 당사자를 명확하게 식별해야 합니다. 구체적으로 정의된 제3자 조직의 범주를 말하는 것만으로는 충분하지 않습니다. 이름을 지정해야 합니다.

이 예에서 John Lewis는 Waitrose, John Lewis 및 John Lewis Financial Services의 업데이트 각각에 대해 명명된 권한을 부여해야 한다는 요지를 이해하고 있음을 알 수 있습니다.

이전에는 이 양식에서 사용자에게 옵트인 이 아닌 옵트 아웃 을 요청 했습니다.

존 루이스 권한

6. 개인정보 취급방침 및 이용약관

ICO(Information Commissioner's Office)는 귀하의 웹사이트에서 사용할 수 있는 샘플 개인정보 보호 고지를 친절하게 제공했습니다. 간결하고 투명하며 쉽게 액세스할 수 있습니다.

또한 웹사이트에서 GDPR 용어를 참조하도록 약관을 업데이트해야 합니다. 특히, 정보를 받은 후에는 그 정보로 무엇을 할 것인지, 그리고 이 정보를 웹사이트와 사무실 시스템 모두에 보관할 기간을 투명하게 밝혀야 합니다.

또한 데이터를 수집하는 방법과 이유를 알려야 합니다. 귀하의 개인 정보 보호 정책은 사용자 상호 작용을 추적하는 데 사용하는 응용 프로그램을 자세히 설명해야 합니다.

7. 온라인 결제

전자 상거래 비즈니스인 경우 금융 거래에 지불 게이트웨이를 사용할 가능성이 높습니다. 귀하의 웹사이트는 세부 정보를 지불 게이트웨이로 전달하기 전에 개인 데이터를 수집할 수 있습니다.

이 경우 정보가 전달된 후 귀하의 웹사이트가 이러한 개인 정보를 저장하고 있는 경우 합리적인 기간(예: 60일) 후에 개인 정보를 제거하도록 웹 프로세스를 수정 해야 합니다. GDPR 법률은 일수에 대해 명시되어 있지 않으며, 무엇이 합리적이고 필요한지 방어할 수 있는지에 대한 귀하의 판단입니다.

8. 타사 추적 소프트웨어

이제 타사 추적 소프트웨어와 관련하여 상황이 까다로워지기 시작합니다.

많은 웹사이트가 웹사이트에서 타사 마케팅 자동화 소프트웨어 솔루션을 사용하고 있습니다. 이는 Lead Forensics, Leadfeeder 또는 CANDDI와 같은 리드 추적 애플리케이션일 수 있습니다. 또는 Infinity Call Tracking 또는 Ruler Analytics와 같은 통화 추적 애플리케이션일 수 있습니다.

이러한 추적 응용 프로그램을 사용하면 GDPR 준수 측면에서 몇 가지 매우 흥미로운 질문이 제기되며 제 생각에는 이것이 회색 영역으로 남아 있습니다. 언뜻 보기에 이러한 애플리케이션은 사용자가 예상하지 못한 방식으로 사용자의 동의를 받지 않은 상태로 추적합니다 . 예를 들어, 귀하의 웹사이트로 돌아갈 때마다 또는 귀하의 사이트에서 특정 페이지를 볼 때마다 내 행동을 추적합니다.

그러나 이러한 애플리케이션의 공급업체는 GDPR을 준수함을 보증합니다.

첫째, CANNDI와 같은 공급업체는 쿠키가 사용 중임을 명확하고 명확하게 알리는 배너에 대해 조언하고 있습니다.

CANNDI GDPR 준수

그리고 소프트웨어 공급업체는 쿠키 추적 기술을 사용하는 것이 데이터 컨트롤러, 특히 Recital 47에서 "직접 마케팅 목적을 위한 처리 또는 사기 방지"를 허용하는 비즈니스의 정당한 이익 이라고 주장합니다.

CANNDI는 다음과 같이 조언합니다.

정당한 이익 - 웹사이트 추적 내에서 정당한 이익 원칙을 사용하는 경우 GDPR 준비 중에 이것이 사실임을 기록하는 것이 좋습니다. 여기에는 이것을 사용하는 근거가 포함되어야 합니다.

GDPR 관점을 공유해 준 CANNDI에 감사의 말씀을 전하고 싶습니다(PDF).

CANNDIO GDPR 관점

이러한 도구의 제공자는 GDPR을 준수한다고 확신합니다. 그러나 소프트웨어가 불법적인 작업을 수행하는 경우 데이터 컨트롤러로서 귀하의 비즈니스 책임입니다. 진짜 문제는 이런 종류의 소프트웨어를 사용할 때 GDPR 준수 위험을 식별하고 비즈니스 소유자로서 위험을 완화하는 것입니다. 따라서 이러한 소프트웨어 제공업체와의 계약을 신중하게 검토해야 합니다.

9. Google 애널리틱스와 Google 태그 관리자는 어떻습니까?

GDPR에 대한 Google의 약속에 관심이 있다면 시작하는 것이 좋습니다. Google이 데이터 보호법을 준수하는 방법

많은 웹사이트가 Google Analytics를 사용하여 사용자 행동을 추적하도록 구성되어 있습니다. Google Analytics는 항상 익명의 추적 시스템이었습니다. 수집되는 "개인 데이터"가 없으므로 GDPR이 사용에 영향을 미치지 않는다고 생각합니다.

Google 태그 관리자와 관련하여 소량의 코드를 삽입하여 웹사이트에서 타사 응용 프로그램에 정보를 보낼 수 있는 강력한 도구입니다. 내부 데이터 리포지토리는 물론 외부 리마케팅 ​​및 리타게팅 시스템과 기타 여러 서비스를 통합할 수 있습니다. 태그 관리자와 관련된 비즈니스의 문제는 태그 관리자에 액세스할 수 있는 개인(웹 디자이너 또는 디지털 마케팅 대행사일 수 있음)과 계약을 체결하여 다음과 같은 법적 책임을 이해하도록 하는 것입니다. 데이터 컨트롤러로서 귀하를 대신하는 데이터 프로세서.

따라서 새로운 GDPR의 근본적인 문제는 사용자 자신의 이익을 모두 보호하기 위해 타사 데이터 프로세서를 식별하고 계약을 체결하는 것입니다.

10. 그리고 마지막으로… GDPR을 준수해야 하는 것은 웹사이트뿐만이 아닙니다.

GDPR과 함께 도입되는 변경 사항은 전체 비즈니스에 영향을 미치며 이 일련의 기사에서는 순수하게 디지털 마케팅에 초점을 맞추고 있습니다.

웹사이트의 세부 사항을 계획하기 시작하면 고려해야 할 알라딘의 동굴 문제를 발견하게 될 것입니다. 정보 커미셔너(Information Commissioner)는 귀하가 참고할 수 있는 훌륭한 리소스를 제공했지만, 5월 마감일이 다가오면서 고려해야 할 몇 가지 주요 질문은 다음과 같습니다.

  • 회사 주변의 다양한 위치에 많은 개인 데이터가 저장되어 있을 것입니다. 보유하고 있는 데이터를 잘 이해하고 문서화된 기록을 가지고 있습니까?
  • 보유하고 있는 데이터에 대한 동의를 얻거나 새로 고쳐야 합니까?
  • 개인 데이터를 보관하는 기간에 대해 정의된 정책이 있어 불필요하게 보관하지 않고 최신 상태로 유지되도록 하시겠습니까?
  • 데이터 보안의 기술과 인적 요소를 모두 염두에 두고 데이터를 안전하게 보관하고 있습니까?
  • 데이터 컨트롤러나 데이터 프로세서(또는 둘 다)에 상관없이 올바른 법적 조치가 마련되어 있습니까?

웹 디자인 및 크리에이티브에 도움이 필요하시면 주저하지 마시고 저희에게 연락해 주십시오.