GDPR 준수란 무엇입니까? 여기 당신이 알아야 할 최소한입니다

유럽에 사용자가 있는 모든 사람을 위한 GDPR 또는 일반 데이터 보호 규정 이 오늘 발효됩니다. 그것은 매우 중요하면서도 이해하기 어렵다는 불행한 조합을 가지고 있습니다.

대부분의 변환 전문가, 이메일 마케팅 담당자 및 일반 온라인 마케팅 담당자는 법률 문제를 헤쳐 나갈 시간이 없지만 여전히 폭발적인 영역에서 벗어나야 합니다.

이 기사는 이러한 마케터를 위한 출발점입니다.

법무팀의 조언을 대체하지는 않습니다. 정보 보안 및 법무팀과 함께 전략을 완성해야 합니다. 그러나 이것은 올바른 방향을 가리키고 일반 언어로 GDPR에 대한 세부 정보를 얻으려는 경우 도움이 될 것입니다.

데이터 최소화 – "탐욕스러운 마케터" 신드롬 없음

EU가 GDPR을 구현하는 주요 이유 중 하나는 마케터가 데이터를 수집하는 방식입니다. 세계 어느 곳에서나 정보를 요청할 때 그에 대한 대가로 불균형적인 양의 정보를 요청할 수 있습니다. 당신의 전환율은 아마 그것 때문에 급락할 것이지만, 당신이 그것을 할 수 없는 법적 이유는 없습니다.

GDPR은 이를 변경합니다.

다음 은 개인 데이터 처리와 관련된 원칙 에 관한 5조의 관련 부분입니다.

개인 데이터는 다음과 같습니다.

• 정보 주체와 관련하여 적법하고 공정하며 투명한 방식으로 처리됩니다('합법성, 공정성 및 투명성').
• 명시적이고 적법한 목적을 위해 수집되고 해당 목적과 양립할 수 없는 방식으로 추가 처리되지 않습니다. 공익을 위한 보관 목적, 과학적 또는 역사적 연구 목적 또는 통계 목적을 위한 추가 처리는 89(1)조에 따라 초기 목적('목적 제한')과 양립할 수 없는 것으로 간주되지 않습니다.
• 적절하고 관련성이 있으며 처리 목적과 관련하여 필요한 것으로 제한됩니다('데이터 최소화').

이것이 의미하는 바는 필요한 데이터만 수집해야 하는 훨씬 더 많은 이유가 있다는 것입니다.

• 사용자가 요청한 PDF를 전달하려면 해당 이메일 주소가 필요 합니다.
• 전화번호, 근무하는 회사, 회사 규모, 실제 주소가 마케팅 자동화 시스템 내에서 프로필을 구축하기를 원합니다 .

추가로 원하는 것? 유럽에 사용자가 있다면 더 이상 공정한 게임이 아닙니다.

데이터를 사용할 목적을 명시하고 사용자로부터 필요한 데이터만 수집해야 합니다.

옵트인 동의 - 기본 구독 없음

일부 마케터는 방문자와 다음과 같은 동의 게임을 합니다.

• 사용자는 양식을 작성할 때 옵트아웃할 수 있지만 옵트인 확인란은 미리 선택되어 있습니다.
• 사용자는 자동으로 옵트인되며 사용자는 특정 프로그램에 옵트인하고 싶지 않다고 회사에 수동으로 알려야 합니다.
• 옵트인 프로그램의 언어가 모호하여 사용자가 깨닫지 못한 채 여러 항목에 가입할 수 있습니다.

이러한 모든 게임은 조직을 비준수 위험에 빠뜨릴 것입니다. 다음은 제 7조 동의 조건 의 관련 부분입니다.

처리가 동의를 기반으로 하는 경우 컨트롤러는 데이터 주체가 자신의 개인 데이터 처리에 동의했음을 입증할 수 있어야 합니다.

정보주체의 동의가 다른 문제와 관련된 서면 선언의 맥락에서 제공되는 경우, 동의 요청은 다른 문제와 명확하게 구별되는 방식으로 명확하고 쉽게 접근할 수 있는 형태로 제공되어야 합니다. 평범한 언어. 이 규정의 침해를 구성하는 그러한 선언의 어떤 부분도 구속력이 없습니다.

이것이 의미하는 바는 유럽에 사용자가 있는 경우 해당 동의 게임이 더 이상 실행 가능하지 않다는 것입니다.

사용자가 선택하는 항목에 대해 명확해야 합니다. 그들이 뉴스레터에 옵트인하고 제품 프로모션을 보여주고 싶다면 두 가지에 대해 별도로 동의하도록 하고 이를 명시적으로 명시해야 합니다.

다음 네 가지를 기억하십시오.

• 적극적으로 동의해야
• 사용자는 명확한 언어로 무엇에 가입하는지 알려야 합니다.
• 묵음 및 사전 체크 박스는 동의로 간주되지 않습니다.
• 한 활동에 대한 동의는 다른 활동에 대한 동의로 적용되지 않습니다.

동의 철회 – 방문자가 농구를 뛰어 넘지 않도록 합니다.

작업해야 할 또 다른 사항은 사용자에게 프로그램을 선택 해제할 수 있는 옵션을 제공하는 것입니다. 7조는 계속됩니다.

정보주체는 언제든지 동의를 철회할 권리가 있습니다. 동의 철회는 철회 전 동의에 기반한 처리의 적법성에 영향을 미치지 않습니다. 동의를 하기 전에 정보주체에게 그 사실을 알려야 합니다. 철회는 동의만큼 쉬워야 합니다.

제품 판촉 또는 뉴스레터 형태로 이메일을 발송하는 경우 사람들이 귀하의 프로그램에서 탈퇴할 수 있는 명확한 방법이 항상 있어야 합니다. 그리고 그것들은 눈에 잘 띄어야 합니다.

이전에는 데이터베이스에 원하는 사람만 있는 것이 전환의 관점에서 더 좋았습니다. 이제 법적 관점에서도 그게 더 낫습니다.

기술 스택 – 보안 없음, 이름 없음

개인 식별 정보가 포함된 모든 것을 빠르게 처리하고 있다면 기술 스택을 빠르게 강화하는 것이 좋습니다. 즉, 가명화 또는 관련 기술에 대한 조항 없이는 민감한 고객 정보 및 프로필 구축이 불가능합니다.

실제 이름과 민감한 정보가 포함된 회사 내 떠돌아다니는 Excel 파일은 항상 금지되어야 했지만 이제는 그런 일이 발생하지 않도록 해야 할 더 많은 이유가 있습니다.

설계 및 기본적 데이터 보호 25조에 는 보안이 약한 회사에 매우 어려운 조항이 있습니다.

최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 처리로 인해 자연인의 권리와 자유에 대한 가능성과 심각성이 달라질 위험을 고려하여 컨트롤러는, 처리 수단을 결정할 때와 처리 자체 시에 데이터 최소화와 같은 데이터 보호 원칙을 구현하도록 설계된 가명화와 ​​같은 적절한 기술 및 조직적 조치를 효과적인 방식으로 구현합니다. 이 규정의 요구 사항을 충족하고 데이터 주체의 권리를 보호하기 위해 필요한 보호 장치를 처리에 통합합니다.

컨트롤러는 기본적으로 처리의 각 특정 목적에 필요한 개인 데이터만 처리되도록 보장하기 위해 적절한 기술적 및 조직적 조치를 구현해야 합니다. 해당 의무는 수집된 개인 데이터의 양, 처리 범위, 저장 기간 및 접근성에 적용됩니다. 특히, 그러한 조치는 기본적으로 개인의 개입 없이 무한한 수의 자연인이 개인 데이터에 액세스할 수 없도록 해야 합니다.

결론적으로, 개인 식별 정보를 보관하려면 해당 정보를 안전하게 유지해야 합니다.

GDPR 규정 준수: 복잡한 야수

페널티를 받는 것을 피하십시오. GDPR 준수 작업에 뒤처져 있는 경우 최소한 다음을 수행해야 합니다.

• 수집하는 데이터의 양과 데이터 최소화가 필요한지 여부에 대한 감사,
• 개인 데이터를 익명 데이터로 전환하는 방법에 대한 개요 및
• 방문자 데이터 사용에 대한 동의를 얻는 것에 대해 얼마나 명시적인지 검토