비즈니스 웹사이트를 위한 GDPR 전자상거래 체크리스트 - 전체 가이드

게시 됨: 2020-09-26

소개

GDPR 준수는 유럽 국가에 제품 또는 서비스를 제공하는 모든 웹사이트의 기본 요구 사항입니다. 웹사이트가 법적 프레임워크를 준수하도록 할 뿐만 아니라 방문자의 눈에 신뢰할 수 있도록 만듭니다. 투명도가 높아지기 때문입니다. 그러나 GDPR을 준수하는 방법은 일부 웹사이트 소유자에게 모호할 수 있습니다.

이 기사에서는 GDPR 전자 상거래 체크리스트를 가져왔습니다. 해당 분야의 신규 사용자이든 전문가이든 상관없이 당사의 GDPR 체크리스트는 전자 상거래 규정 준수를 위한 지침 프레임워크 역할을 합니다. 이 기사의 끝에서 두 개의 간단한 WordPress 플러그인을 사용하여 사이트를 GDPR을 준수하는 쉬운 방법으로 만드는 방법도 알려줍니다. 기사를 살펴보면 번거로움 없이 몇 가지 간단한 단계만 거치면 웹사이트 GDPR을 준수할 수 있습니다.

GDPR이란 무엇입니까?

1

일반 데이터 보호 규정 또는 GDPR은 유럽의 법적 프레임워크입니다. EU 거주자의 데이터 프라이버시를 보호하기 위해 2018년 5월 25일에 구현되었습니다.

GDPR은 누구에게 적용됩니까?

GDPR은 다음과 같은 경우 영리 조직에 적용됩니다.

  • EU 국가 중 어느 곳에서나 사업체를 운영하고 있습니다.
  • EU에 사업체가 없지만 유럽 거주자의 개인 데이터를 처리하고 EU 국가 거주자에게 제품 또는 서비스를 제공합니다.
  • 250명 이상의 직원을 보유하고 있습니다.
  • 직원 수는 250명 미만이지만 데이터 수집 및 처리는 데이터 주체의 개인 정보 보호 권리와 자유에 영향을 미치며 프로세스는 정기적이며 특정 유형의 민감한 데이터를 포함합니다.

전자 상거래 GDPR 벌금에 대해 알아야 합니다.

GDPR에 따른 주요 벌금은 다음과 같습니다.

  • 전년도 회사 연간 소득의 최대 2% 또는 최대 1천만 달러 중 더 높은 금액. 미준수 시 적용됩니다.
  • 회사의 전년도 연간 소득의 최대 4% 또는 2천만 달러 중 더 높은 금액. 데이터 유출을 위한 것입니다.

주요 GDPR 요구사항 및 GDPR 준수 방법

데이터 처리에 대한 법적 근거

GDPR에 따라 EU 거주자의 개인 데이터는 법적 근거가 하나 이상 있는 경우에만 소유할 수 있습니다. 다음은 GDPR이 데이터 처리를 위해 제공하는 법적 근거입니다.

  • 사용자가 특정 목적을 위해 동의한 경우
  • 사용자가 참여하는 계약을 유지하거나 입력하기 위해 데이터 처리가 필요합니다.
  • 데이터 컨트롤러가 주체인 법적 의무를 이행하기 위해 데이터 처리가 필요합니다.
  • 이용자의 권익 보호를 위해 데이터 처리가 필요합니다.
  • 공익을 위한 활동에는 데이터 처리가 필요합니다.
  • 데이터 처리는 데이터 컨트롤러 또는 다른 사람의 합법적인 이익을 위해 수행됩니다.

동의

동의라는 단어는 단순히 데이터 처리에 대한 사용자의 권한을 의미합니다. 동의는 자발적이어야 하며 일반적으로 본질적으로 가변적입니다. 즉, 사용자는 언제든지 동의를 변경할 수 있습니다. 동의 알림은 깨끗하고 명확해야 합니다. 그 안에 모호함이 없어야 합니다.

조직은 다음과 같은 동의 기록을 보관해야 합니다.

  • 누가 동의했습니까?
  • 이용자의 동의를 받은 방법과 시기
  • 동의 수집 시 사용자에게 동의서를 제공했는지 여부
  • 동의 수집 당시 적용 가능한 법적 문서 및 조건

사용자의 권리

GDPR은 EU 시민들에게 프라이버시와 보안을 보호할 수 있는 많은 권리를 부여했습니다. 다음은 GDPR에 따른 주요 권리입니다.

  • 정보를 받을 권리

데이터 주체는 데이터 처리에 대해 알려야 하며 데이터 수집 전에 동의를 받아야 합니다. 그들은 데이터가 수집되는 목적, 처리 및 저장 방법, 제3자와 공유할지 여부, 공유 대상을 알 권리가 있습니다.

  • 액세스 권한

데이터 주체는 이제 원할 때마다 조직의 데이터베이스에 있는 자신의 개인 데이터에 액세스할 수 있는 권한이 있습니다. 컨트롤러는 사용자가 요청할 경우 데이터 처리 프로세스의 개요를 제시해야 합니다.

  • 시정할 권리

사용자는 이제 데이터가 불완전하거나 부정확한 경우 데이터를 수정할 권리가 있습니다. GDPR은 또한 수정 과정에 관련된 모든 제3자 수신자에게 수정 사항을 공개해야 한다고 명시하고 있습니다. 사용자가 요청하는 경우 조직은 사용자에게 제3자 수신자에 대해 알려야 합니다.

  • 삭제할 권리

사용자는 조직에 데이터베이스에서 자신의 데이터를 삭제하도록 요청할 수 있습니다. 이 경우 조직은 해당 정보를 삭제할 의무가 있습니다.

  • 처리를 제한할 권리

데이터 주체는 데이터 처리를 제한할 권리가 있습니다. 요청을 받은 후 1개월 이내에 요청을 처리해야 합니다.

  • 데이터 이식성에 대한 권리

사용자는 데이터 프로세서의 반대 없이 한 컨트롤러에서 다른 컨트롤러로 전송하기 위해 개인 데이터를 얻을 수 있습니다. 제공된 데이터와 관찰된 데이터 모두 이 규칙에 따릅니다.

  • 반대할 권리

GDPR은 사용자가 개인 데이터와 관련된 특정 데이터 처리 활동에 반대할 권리를 부여합니다. 데이터 처리가 공익을 위해 수행되는 경우 사용자는 이의 제기에 대한 유효한 동기를 제공해야 합니다. 단순히 마케팅 목적으로 처리하는 경우 사용자 측에서 이의를 제기할 동기가 필요하지 않습니다.

  • 자동화된 의사 결정 및 프로파일링과 관련된 권리

데이터 주체는 자동화된 데이터 처리 시스템에 대해 거부할 권리가 있습니다. 조직은 사용자의 허가에 따라 EU 주법에서 인정하는 계약을 체결하거나 유지해야 하고 데이터 주체에 법적 또는 유사한 영향이 없는 경우에만 자동화된 데이터 처리를 수행할 수 있습니다.

국경 간 데이터 전송

GDPR은 데이터가 전송되는 국가가 EU 표준에 따라 적절한 수준의 데이터 보호를 갖는 조건에서만 EEA 또는 유럽 경제 지역 외부로 데이터 전송을 허용합니다.

다른 조건은 데이터 주체가 이에 대해 알려야 한다는 것입니다. 주체의 동의 없이는 어떠한 데이터도 양도할 수 없습니다.

설계 및 기본 개인 정보 보호

데이터 처리는 비즈니스 프로세스의 설계 및 개발 초기부터 포함되어야 합니다. 즉, 기업은 데이터 처리의 수명 주기에 관한 한 데이터 처리의 기준을 높게 설정하고 GDPR에서 설정한 기준을 충족하기 위해 필요한 모든 조치를 취해야 합니다.

위반 알림

위반의 경우 데이터 컨트롤러는 데이터 위반을 인지한 후 72시간 이내에 상위 기관에 이를 알려야 합니다. 데이터가 데이터 컨트롤러를 대신하여 데이터 프로세서에 의해 처리되는 경우, 데이터 위반에 대해 알게 되는 순간 컨트롤러에 알려야 합니다. 또한 사용자는 데이터 침해에 대해 알려야 합니다.

데이터 보호 책임자

데이터 보호 책임자(Data Protection Officer)는 조직이 GDPR 법률을 준수하도록 돕는 사람입니다. 그는 조직이 모든 규칙을 구현하고 의제를 설정하며 내부 규정 준수를 위한 조치를 취하도록 돕습니다.

특히 다음과 같은 경우 데이터 보호 담당자가 필요합니다.

  • 정기적으로 대규모의 체계적인 사용자 모니터링이 이루어지는 곳
  • 데이터 처리가 공공 기관에서 수행되는 경우
  • 사용자 데이터로 복잡한 작업을 수행하는 경우, 특히 민감한 데이터를 다루는 경우.

처리 활동 기록 유지

GDPR은 데이터 컨트롤러와 프로세서 모두에게 사용자 데이터의 포괄적이고 업데이트된 "전체적이고 광범위한" 기록을 유지하도록 명령합니다.

다음과 같은 경우 기록을 보관해야 합니다.

  • 데이터 처리가 비정기적이지 않음
  • EU 거주자의 개인 정보 보호 권리 및 자유에 대한 위험을 초래할 수 있음
  • 민감하거나 특별한 범주의 데이터를 포함합니다.
  • 처리는 직원이 250명 이상인 조직에서 수행합니다.

기록에는 다음이 포함되어야 합니다.

  • 데이터 컨트롤러의 이름 및 연락처 정보
  • 데이터 처리 목적
  • 데이터 범주, 사용자 및 데이터 수신자에 대한 적절한 설명
  • 다양한 범주의 데이터 처리에 대한 대략적인 시간 제한
  • 조직의 기술적 보안 조치에 대한 설명

데이터 보호 영향 평가(DPIA)

DPIA 또는 데이터 보호 영향 평가는 조직이 GDPR 표준을 충족하고 준수하도록 업그레이드하는 데 도움이 되는 프로세스입니다. 주로 기록을 보관하는 과정입니다. 데이터 처리가 데이터 주체의 프라이버시에 위험을 초래할 가능성이 있는 경우 필수입니다. DIPA는 조직의 편의를 위해 서면으로 기록되어야 합니다.

DIPA에는 다음이 포함됩니다.

  • 처리된 데이터에 대한 설명
  • 데이터 처리 목적
  • 목적과 관련된 데이터 처리의 요구 사항 및 범위에 대한 평가 보고서
  • 위험 요인 평가
  • 위험을 해결하기 위해 취한 조치에 대한 설명

완전한 규정 준수를 시작하는 데 필요한 사항은 다음과 같습니다.

GDPR을 준수하는 방법에는 여러 가지가 있습니다. 목적의 주요 요구 사항은 전자 상거래 웹 사이트에 대한 개인 정보 보호 정책, 개인 데이터 수집에 대한 사용자의 동의 및 쿠키를 사용할 경우 쿠키 알림 정책입니다. 이러한 요구 사항을 충족하는 가장 쉬운 방법은 WordPress 플러그인을 사용하는 것입니다. WP Legal Pages Pro 및 WP Cookie Consent라는 두 가지 사용자 친화적인 플러그인을 권장합니다.

WP 법률 페이지 PRO

2

WP Legal Pages Pro는 클릭 몇 번으로 WordPress 웹사이트에서 변호사 수준의 법률 문서를 만드는 데 도움이 되는 강력한 WordPress 도구입니다. 25개 이상의 미리 디자인된 템플릿이 함께 제공됩니다. 이 WordPress 개인 정보 보호 정책 플러그인에는 전자 상거래 웹 사이트에 대한 GDPR 개인 정보 보호 정책이 포함되어 있습니다. 플러그인을 설치 및 활성화하고 템플릿을 가져오고 세부 정보를 추가하고 "게시" 버튼을 클릭하여 웹사이트를 GDPR을 준수하도록 만들기만 하면 됩니다.

WP 쿠키 동의

삼

WP 쿠키 동의는 사용자 지정 쿠키 막대를 사용하여 사이트가 GDPR을 준수하도록 도와주는 우아하고 현대적인 WordPress 쿠키 동의 플러그인입니다. 몇 분 안에 어려움 없이 쿠키 알림을 만들 수 있습니다. 지리적 위치를 기반으로 이러한 알림을 표시하거나 숨길 수 있습니다. 활성화된 동안 모든 웹사이트와 타사 쿠키를 자동으로 감지하는 원클릭 스캐너가 있습니다. 쿠키 세부 정보를 수동으로 편집할 수 있습니다.

마지막 생각들

이 기사에서는 GDPR 법적 프레임워크 및 전자 상거래 규정 준수에 대한 아이디어를 제공하려고 했습니다. 또한 웹 사이트가 새로 구현된 개인 정보 보호 규칙을 준수하도록 하는 데 도움이 되는 상세한 GDPR 요구 사항 체크리스트를 제공했습니다. 기사 끝에서 GDPR에서 요구하는 법적 문서를 생성하도록 설계된 두 가지 초보자 친화적이고 반응이 빠른 플러그인을 제안했습니다. 플러그인을 잡고 계속 진행할 수 있습니다. 몇 분 안에 사이트가 GDPR을 준수하도록 만들 수 있습니다.

기사가 도움이 되셨다면 Twitter와 Facebook에 공유해 주세요. 아래 댓글 섹션에 의견을 남겨주세요. 귀하의 피드백을 듣고 싶습니다. 추가 정보가 필요하시면 주저하지 마시고 저희에게 연락해 주십시오. 곧 다시 연락드리겠습니다. 비디오 자습서를 보려면 YouTube 채널을 구독하십시오.

면책 조항 : 이것은 이웃 블로그의 게스트 기여입니다.