2021년 GDPR 현황: 주요 업데이트 및 의미

게시 됨: 2022-03-10
요약 요약 ↬ 디지털 실무자로서 GDPR은 우리의 직업 및 개인 생활의 모든 측면에 영향을 미쳤습니다. Instagram에 중독되어 있거나 WhatsApp에서 가족에게 메시지를 보내거나 Etsy 또는 Google 정보에서 제품을 구매하든 2018년에 도입된 규칙에서 벗어난 사람은 아무도 없습니다.

위스콘신의 웹 디자인 회사이든 몰타의 마케팅 담당자이든 상관없이 제품과 서비스가 GDPR을 염두에 두고 설계되었기 때문에 EU의 지침은 거의 모든 디지털 전문가에게 영향을 미쳤습니다. GDPR의 광범위한 의미는 데이터 처리 방법, 제품 구축 방법, 데이터가 조직 내 및 조직 간에 안전하게 전송되는 방법에만 영향을 미치지 않습니다. 유럽과 미국 간의 국제 데이터 전송 계약을 정의합니다.

세계에서 가장 빛나는 디지털 미래학자 중 한 명인 케빈 켈리는 '기술은 자연만큼 큰 힘'이라고 주장합니다. 그가 의미하는 바는 사용자 데이터와 정보 기술이 언어 발명 이후 인류 역사상 가장 심오한 시기 중 하나를 일으키고 있다는 것입니다. 정부와 기술 다국적 기업이 인터넷을 통제하기 위해 고군분투하면서 무슨 일이 일어나고 있는지 보십시오.

지난 주에만 호주 정부가 플랫폼 소유자에게 플랫폼에서 공유되는 콘텐츠에 대해 게시자에게 비용을 지불하도록 강제하기 시작하면서 Facebook은 호주 정부의 큰 소란으로 호주 사용자에게 뉴스를 차단하기로 결정했습니다.

그리고 그것은 정부와 기술이 만나는 교차점에서 이전의 논쟁(미국 국회의사당 폭동 조직, Cambridge Analytica 스캔들)에 추가됩니다.

이 기사에서는 2018년 이후 GDPR이 어떻게 발전해 왔는지 살펴보겠습니다. EU의 일부 업데이트, 일부 주요 개발 및 GDPR이 발전할 가능성이 있는 부분을 살펴보겠습니다. 이것이 디자이너와 개발자로서 우리에게 무엇을 의미하는지 탐구할 것입니다. 그리고 이것이 EU 안팎의 기업에 어떤 의미가 있는지 살펴보겠습니다.

다음 기사에서는 쿠키 동의와 마케팅 담당자가 Google Analytics 쿠키 데이터에 크게 의존하지만 규정을 준수해야 하는 역설에 초점을 맞출 것입니다. 그런 다음 타사 쿠키에서 멀어지는 움직임이 보이기 시작하면서 자사 광고 추적에 대해 자세히 알아보겠습니다.

  • 1부: GDPR, 주요 업데이트 및 의미
  • 2부: 디자이너 및 개발자를 위한 쿠키 동의

GDPR에 대한 간략한 요약

GDPR이 무엇인지 상기하면서 시작하겠습니다. GDPR은 2018년 5월 25일에 EU 내에서 법률이 되었습니다. 이는 7가지 주요 원칙을 기반으로 합니다.

  1. 합법성, 공정성 및 투명성
    사람들이 데이터를 처리하는 대상, 방법 및 이유를 이해할 수 있도록 데이터를 처리해야 합니다.
  2. 목적 제한
    명확하고 명시적이며 합법적인 목적으로만 데이터를 수집해야 합니다. 그러면 원래 목적과 양립할 수 없는 방식으로 처리할 수 없습니다.
  3. 데이터 최소화
    필요한 데이터만 수집해야 합니다.
  4. 정확성
    귀하의 데이터는 정확하고 최신 상태로 유지되어야 합니다. 부정확한 데이터는 지우거나 수정해야 합니다.
  5. 저장 제한
    개인과 데이터를 연결할 수 있는 경우 귀하가 지정한 목적을 수행하는 데 필요한 기간 동안만 데이터를 보관할 수 있습니다. (과학적, 통계적 또는 역사적 연구 용도에 대한 주의 사항.)
  6. 무결성 및 기밀성(즉, 보안)
    보유하고 있는 개인 데이터가 안전하게 처리되도록 해야 합니다. 무단 또는 불법 처리로부터 그리고 우발적인 손실, 파괴 또는 손상으로부터 보호해야 합니다.
  7. 책임
    이제 귀하가 보유한 데이터에 대한 책임이 있으며 GDPR 준수를 입증할 수 있어야 합니다.
GDPR의 7가지 원칙인 합법성, 무결성, 저장 및 목적 제한, 데이터 최소화 및 정확성, 책임성을 보여주는 다이어그램 - 투명성, 개인 정보 보호 및 통제와 중첩
GDPR의 원칙은 투명성, 개인 정보 보호 및 사용자 제어를 기반으로 합니다. (이미지 크레디트: Cyber-Duck) (큰 미리보기)

일부 정의

  • CJEU
    유럽 ​​연합 사법 재판소. 이 법원의 결정은 GDPR과 같은 EU 법률을 명확히 합니다.
  • DPA
    국가 데이터 보호 당국. 각 EU 국가에는 하나씩 있습니다. GDPR은 이러한 기관에 의해 국가 수준에서 시행되고 벌금이 부과됩니다. 영국에 해당하는 것은 ICO(Information Commissioner's Office)입니다. 미국에서는 GDPR 스타일의 데이터 개인 정보 보호가 주로 각 주에서 입법화됩니다.
  • 유럽연합 집행위원회
    유럽 ​​연합의 행정부(기본적으로 유럽 연합의 공무원). 유럽연합 집행위원회는 GDPR을 포함한 법안 초안을 작성합니다.
  • GDPR
    2018 일반 데이터 보호 규정.

EU의 주요 업데이트

GDPR은 2018년 5월 이후로 중단되지 않았습니다. 다음은 발효 이후 발생한 상황에 대한 간략한 설명입니다.

EU와 그 회원국은 GDPR을 어떻게 구현했습니까?

유럽연합 집행위원회(European Commission)는 GDPR이 EU 전역에서 거의 완전히 시행되고 있다고 보고하지만, 슬로베니아와 같은 이름의 일부 국가에서는 발을 끌었습니다. 그러나 구현 깊이는 다릅니다. EU는 또한 회원국들이 새로운 권한을 공정하게 사용하고 있다고 말합니다.

그러나 일부 차이와 분열이 서서히 일어나고 있다는 우려도 표명했습니다. GDPR은 회원국이 일치하는 경우에만 EU의 단일 시장에서 효과적으로 작동할 수 있습니다. 법이 어긋나면 물이 흐려집니다.

EU는 GDPR이 어떻게 발전하기를 원합니까?

EU는 개인이 GDPR에 따라 더 쉽게 권리를 행사할 수 있기를 원한다는 것을 알고 있습니다. 이는 국가 간 협력 및 집단 소송 을 의미합니다. 은행과 통신을 넘어 소비자를 위한 데이터 이동성을 원합니다.

또한 중소기업( SME )이 GDPR을 더 쉽게 준수할 수 있도록 하려고 합니다. 이는 EU가 규칙을 굽히기를 원하지 않기 때문에 보다 표준적인 계약 조항(중소기업이 계약에 복사/붙여넣기할 수 있는 기본적으로 템플릿화된 법률)과 같은 추가 지원 및 도구의 형태로 제공될 가능성이 높습니다.

대규모 개발 #1: '공동 컨트롤러'의 예상외로 광범위한 정의

그렇습니다. GDPR이 법으로 제정된 후 첫 번째 큰 변화가 있습니다. Facebook과 관련된 두 가지 테스트 사례에서 유럽 연합 사법 재판소는 예상보다 훨씬 광범위한 '공동 컨트롤러'의 해석을 정의했습니다.

공동 컨트롤러 상황은 둘 이상의 컨트롤러가 모두 GDPR의 조건을 충족할 책임이 있을 때 발생합니다. (여기에 공동 컨트롤러에 대한 ICO의 좋은 설명이 있습니다.) 기본적으로:

  • 고객 데이터를 처리할 때 GDPR을 준수하도록 각 단계를 관리할 동료 공동 컨트롤러와 함께 결정합니다.
  • 그러나 귀하 모두는 전체 프로세스가 규정을 준수하는지 확인해야 할 전적인 책임이 있습니다. 여러분 각자는 불만을 처리하는 국가의 데이터 보호 당국에 전적으로 책임이 있습니다.
  • 개인은 모든 공동 컨트롤러에 대해 불만을 제기할 수 있습니다.
  • 피해를 일으킨 사건과 관련이 없음을 입증할 수 없는 경우를 제외하고는 모든 피해에 대한 책임은 귀하에게 있습니다.
  • 개인은 모든 공동 컨트롤러에게 보상을 요청할 수 있습니다. 동료 컨트롤러로부터 해당 보상의 일부를 회수할 수 있습니다.

1차 페이스북 사례에서 CJEU는 페이스북 팬페이지를 운영하는 회사가 페이스북과 함께 공동 컨트롤러로 인정되는 것을 확인했다. 두 번째로 CJEU는 자사 웹사이트에 페이스북 좋아요 버튼을 삽입한 회사가 소셜 네트워크와 공동 컨트롤러 지위를 갖고 있음을 확인했다.

이러한 사례는 본질적으로 소셜 퍼블리셔, 웹사이트 운영자 및 팬 페이지 운영자가 Facebook과 같은 플랫폼과 함께 사용자 데이터에 대한 책임을 지게 하기 때문에 개인 정보 보호 커뮤니티를 통해 충격파를 보냈습니다.

그러나 CJEU는 책임 분담이 평등한 책임을 의미하지 않는다는 점도 분명히 했습니다. 두 경우 모두 책임은 주로 Facebook에 있습니다. Facebook만 데이터에 액세스할 수 있고 Facebook만 삭제할 수 있습니다. 따라서 이 결정의 영향은 처음에 들리는 것보다 덜 심각할 수 있지만 여전히 매우 중요합니다.

2020년 독일의 EU 의장국을 위한 웹사이트와 같은 일부 사이트는 사용자가 구체적으로 선택하기 전까지 기본적으로 포함된 소셜 콘텐츠를 차단하는 이유일 수 있습니다.

타사 추적이 켜질 때까지 차단된 소셜 피드 콘텐츠를 보여주는 eu2020.de의 스크린샷
일부 사이트는 기본적으로 포함된 소셜 피드가 사이트에 표시되지 않도록 차단하기 시작하여 사용자에게 추적을 선택할 수 있는 선택권을 제공합니다. (큰 미리보기)

Big Development #2: Bye Bye Privacy Shield, Hello CPRA

두 번째 큰 변화는 더 예측 가능했습니다. 미국 기업이 유럽 고객 데이터를 더 쉽게 처리할 수 있도록 하는 메커니즘인 Privacy Shield 가 법원에 의해 기각되었습니다.

여기 이유가 있습니다.

EU는 시민의 개인 데이터를 보호하기를 원합니다. 그러나 국제 무역과 안보와 같은 분야에서 국경을 초월한 협력을 장려하기를 원합니다.

EU는 스스로를 데이터 보호의 선구자로 간주합니다. 따라서 블록체인과 거래하려는 국가가 데이터 개인 정보 보호 표준과 일치하도록 장려하기 위해 정치적인 힘을 사용하고 있습니다.

"

미국을 입력합니다. 데이터 프라이버시에 관한 유럽과 미국의 철학은 정반대 입니다. (본질적으로 유럽의 관점은 명시적인 허가를 제공하지 않는 한 개인 데이터는 비공개라는 것입니다. 미국의 관점은 데이터가 비공개로 유지되도록 명시적으로 요청하지 않는 한 데이터가 공개된다는 것입니다.) 그러나 세계에서 가장 큰 두 개의 소비자 시장으로서, 거래. 그래서 EU와 미국은 Privacy Shield를 개발했습니다.

Privacy Shield는 미국 기업이 더 높은 개인 정보 보호 표준에 가입하는 한 EU 시민의 데이터를 처리할 수 있도록 설계되었습니다.

그러나 미국 법에 따라 미국 정부는 여전히 해당 데이터를 모니터링할 수 있습니다. 이것은 오스트리아의 개인 정보 보호 옹호자인 Max Schrems가 제기한 사건에서 도전을 받았습니다. CJEU는 그의 편을 들었습니다. Privacy Shield는 중단되었고 Privacy Shield를 사용하는 5,300개의 미국 중소기업은 EU에서 규정한 표준 계약 조항을 채택할 수밖에 없었습니다.

분명히 Privacy Shield가 교체 되는 것은 모든 사람의 이익이며 그렇게 될 것입니다. 그러나 전문가들은 프라이버시에 대한 유럽과 미국의 접근 방식이 본질적으로 양립할 수 없기 때문에 적절한 시일 내에 교체가 다시 중단될 가능성이 있다고 말합니다.

한편, 캘리포니아에서는 2018년 GDPR에 영감을 받은 캘리포니아 소비자 개인정보 보호법(CCPA)이 2020년 11월 캘리포니아 개인정보 보호법(CPRA)이 통과되면서 강화되었습니다.

캘리포니아 소비자 개인정보 보호법(CCPA)

2020년 1월에 발효된 CCPA는 캘리포니아 시민 에게 데이터 판매를 거부할 권리를 부여합니다. 그들은 또한 수집된 모든 데이터의 공개를 요청할 수 있으며 해당 데이터의 삭제를 요청할 수 있습니다. GDPR과 달리 CCPA는 상업 회사에만 적용됩니다.

  • 연간 50,000명 이상의 캘리포니아 거주자의 데이터를 처리하는 사람 또는
  • 연간 총 수익이 $2,500만 이상인 사람 또는
  • 캘리포니아 거주자의 개인 데이터 판매로 연간 수익의 절반 이상을 버는 사람

캘리포니아 개인정보 보호법(CPRA)

2023년 1월에 발효되는 CPRA 는 CCPA를 넘어선 것 입니다. 핵심 사항은 다음과 같습니다.

  • 연간 100,000명의 캘리포니아 거주자의 데이터를 처리하는 회사의 기준을 높입니다.
  • 인종, 종교, 성적 취향, 건강 데이터 및 정부 신분증과 같은 캘리포니아 주민들의 민감한 데이터를 더 많이 보호합니다 .
  • 미성년자 정보 유출 시 과태료 3배
  • 캘리포니아 주민에게 데이터 수정을 요청할 권리를 부여합니다.
  • 기업이 CPRA 조사를 도울 의무가 있습니다.
  • 그리고 CPRA를 시행하기 위해 California Privacy Protection Agency를 설립합니다.
CPRA 요약 그래픽
캘리포니아는 2023년에 CPRA로 개인정보 보호법을 강화하고 있습니다. (큰 미리보기)

개인 정보 보호법에 대한 추가 추진이 다른 주에서 일어나고 있으며, 이러한 움직임은 함께 새로운 바이든 행정부 하에서 연방 개인 정보 보호 조치의 필요성을 강화할 수 있습니다.

대규모 개발 #3: 쿠키 동의

2020년 5월 EU는 쿠키 동의에 대한 두 가지 핵심 사항을 포함하여 몇 가지 사항을 명확히 하기 위해 GDPR 지침을 업데이트했습니다.

  • 쿠키 벽은 사용자에게 진정한 선택을 제공하지 않습니다. 쿠키를 거부하면 콘텐츠 액세스가 차단되기 때문입니다. 쿠키 벽을 사용하지 않아야 함을 확인합니다.
  • 웹 콘텐츠를 스크롤하거나 스와이프 하는 것은 묵시적 ​​동의와 동일하지 않습니다 . EU는 동의가 명시적이어야 한다고 거듭 강조합니다.

다음 주 두 번째 기사에서 이에 대해 더 자세히 설명하겠습니다.

광고 추적이 기본적으로 켜져 있는 Cyber-Duck 쿠키 알림
EU는 쿠키 동의에 대한 지침을 업데이트했습니다. (큰 미리보기)

대규모 개발 #4: Google과 Apple은 타사 추적에서 전환하기 시작합니다.

대형 디지털 플레이어가 GDPR을 충족하는 방법과 개인정보 보호법을 유리하게 활용하는 방법을 파악함에 따라 일부는 이미 비난을 받고 있습니다.

구글과 애플은 애드테크 회사와 퍼블리셔의 불만에 따라 반독점 소송에 직면해 있다.

두 경우 모두, 고소인들은 거대 기술 회사들이 지배적인 시장 지위를 이용하고 있다고 말합니다.

다음 시간에 이것에 대해 다시 한 번 더 자세히 설명합니다.

점프 후 더! 아래에서 계속 읽기 ↓

대규모 개발 #5: 대규모 GDPR 벌금 부과

물론 많은 조직이 규제 기관이 부과할 수 있는 벌금이 두려워 GDPR 준수에 뛰어들었습니다. 이러한 벌금이 부과되기 시작했습니다.

프랑스 데이터 규제 기관은 사용자가 Google이 데이터를 수집한 방법과 이유에 대해 "충분히 정보를 얻지 못했다"며 "투명성 부족, 부적절한 정보 및 광고 개인 최적화에 대한 유효한 동의 부족"으로 Google에 5천만 유로의 벌금을 부과했습니다.

영국에 해당하는 ICO는 3억 3,900만 명의 고객 기록을 안전하게 유지하지 못한 미국 호텔 대기업 메리어트 인터내셔널(Marriott International Inc.)에 1,840만 파운드의 벌금을 부과했습니다. 메리어트가 2016년에 인수한 Starwood Hotels and Resorts Worldwide, Inc.에 대한 2014년 사이버 공격은 2018년까지 발견되지 않았습니다.

영국의 ICO는 또한 2018년 400,000명의 고객 개인 및 신용 카드 데이터 데이터 유출로 British Airways에 기록적인 £20m의 벌금을 부과했습니다.

그리고 개인적으로 가장 좋아하는 것이 있습니다. H&M이 직원 신뢰를 충격적으로 위반하여 3,500만 유로의 벌금을 부과했습니다.

그것이 오늘날 우리가 서 있는 곳입니다.

이것은 당신에게 무엇을 의미합니까?

설계자이자 개발자로서 GDPR은 우리가 설계하고 구축하는 제품과 데이터를 위한 설계 방식에 큰 영향을 미치고 있으며 앞으로도 계속 영향을 미칠 것입니다.

디자이너로서 알아야 할 사항은 다음과 같습니다.

  • GDPR은 사용자가 데이터를 공유하는 지점, 수집되는 데이터 및 처리 방법을 설계 하기 때문에 매우 중요합니다.
  • Privacy by Design 모범 사례를 따르십시오. 바퀴를 재발명하려고 하지 마십시오. 호환되는 쿠키 배너를 만든 경우 입증된 디자인 패턴을 사용하십시오.
  • 규정 준수 및 개발 팀과 협력하여 설계가 GDPR을 충족하고 구현될 수 있도록 합니다. 필요한 데이터만 요청하세요.
  • 마지막으로 사용자에게 어떤 데이터를 공유하고 싶은지, 어떻게 사용하기를 원하는지 물어보세요. 그들이 소름 끼치는 것을 발견하면 접근 방식을 다시 방문하십시오.

개발자로서 알아야 할 사항은 다음과 같습니다.

  • GDPR은 데이터 처리, 공유 및 통합을 가능하게 하기 때문에 중요합니다.
  • GDPR의 일반적인 규칙은 접근이 필요한 접근 방식을 취하는 것입니다. 액세스 권한 없이 모든 것을 구현한 다음 필요할 때만 팀에 데이터 액세스 권한을 부여하십시오(예: 개발자에게 Google Analytics 콘솔에 대한 액세스 권한 부여). 이동하면서 감사하고 문서화합니다.
  • 디자인에 따른 개인 정보 보호 및 디자인 원칙에 따른 보안을 따릅니다. 인프라 구현을 위한 강력하고 안전한 템플릿이 핵심입니다.
  • 기술적인 측면(예: 쿠키 동의/대화 추적)에 대해 사전에 참여하여 결정된 사항을 구현할 수 있도록 하십시오.
  • 프로세스 매핑 은 데이터가 비즈니스의 다른 부분과 공유되는 위치를 보여줍니다.
  • 자동화는 인적 오류를 줄이는 안전한 데이터 처리를 제공합니다. 또한 잘못된 사람들이 데이터에 액세스하는 것을 방지하는 데 도움이 됩니다.
  • GDPR 체크리스트 와 실행 책은 물론 프로세스를 관리하는 데 도움이 됩니다. 다시 한 번 감사하고 문서화하십시오.

이제 가까운 미래에 GDPR이 어떻게 발전할지 살펴보겠습니다. 우리는 세 가지 영역에 집중할 것입니다.

GDPR이 빠르게 진화하는 세 가지 영역

1. EU가 GDPR을 구현하는 방법

먼저 GDPR이 입법 환경에 어떻게 더 포함되는지 봅시다.

EU는 회원국을 일치 상태로 유지 하기를 원합니다. 그렇게 하면 국경 간 소송과 국제 협력이 더 쉬워지기 때문입니다. 따라서 국가는 GDPR에서 우회하거나 초과해서는 안 된다고 강조했습니다. 내가 말했듯이 일부 회원국은 규정에 대해 립서비스를 제공하고 있습니다. 다른 사람들은 GDPR의 표준을 초과하기를 원합니다.

조정에 대한 대가로 EU 는 규정 준수를 시행 하고 집단 소송 및 더 저렴한 국가 간 소송을 가능하게 하며 EU 외부에서 개인 정보 보호 및 일관된 표준을 촉진합니다. SME를 위한 추가 지원 및 도구 외에도 보안 및 데이터 보호 설계에 대한 인증도 볼 수 있습니다.

마지막으로, 이것은 실리콘 밸리에서 약간의 눈살을 찌푸리게 할 수 있습니다. EU는 규정 준수를 장려하기 위해 데이터 처리 금지를 고려할 수 있다고 암시했습니다. €50m의 벌금은 Google과 친구들에게 세상의 끝이 아닙니다. 그러나 장난 꾸러기 단계에서 타임 아웃과 결과적으로 나쁜 PR은 매우 다른 것입니다.

2. GDPR이 혁신과 함께 작동하는 방식

GDPR은 기술 중립적이고 혁신을 방해하지 않고 지원하도록 설계되었습니다. 이는 지난 12개월 동안 확실히 테스트되었으며 EU는 해당 법안이 효과가 있다는 증거로 COVID-19 앱의 빠른 출시를 지적 합니다.

민감한 데이터 범주(건강 및 과학 연구)에 대한 행동 강령 을 볼 수 있습니다. 이들은 환영받을 것입니다.

그러나 그들은 혁신가를 면밀히 관찰하고 있습니다. EU는 비디오, IoT 장치 및 블록체인의 데이터 개인 정보 보호에 대해 우려를 표명했습니다. 그들은 특히 AI의 얼굴(및 아마도 음성) 인식 및 개발에 대해 우려하고 있습니다.

특히 위원회는 "다국적 기술 회사", "대형 디지털 플랫폼", "온라인 광고 및 마이크로 타겟팅"이라고 부르는 것에 대해 깊이 우려하고 있습니다. 예, 다시 한 번 Facebook, Amazon, Google 및 친구들을 보고 있습니다.

3. EU가 EU를 넘어 GDPR 표준을 추진하는 방법

우리의 디지털 경제는 글로벌하므로 GDPR의 영향은 규정 준수 측면뿐만 아니라 EU 국경을 넘어 파급됩니다. EU는 전 세계적으로 데이터 보호 법안의 기준을 설정하고 있습니다. 캘리포니아의 CCPA 외에도 브라질의 LGPD와 캐나다, 호주, 인도 및 미국의 여러 주에서의 개발을 참조하십시오.

물론, 다른 국가와 무역 블록이 그들의 기준에 부합한다면 그것은 EU의 이익입니다. 따라서 다음 과 같은 여러 가지 방법을 통해 GDPR을 홍보하고 있습니다 .

  • 일본 및 곧 한국과의 "상호 적정성 결정"을 통해
  • 예를 들어 뉴질랜드, 호주, 영국과의 양자 무역 협정에 포함
  • OECD, ASEAN, G7, G20과 같은 포럼을 통해
  • EU 및 국제 규제 기관을 위한 데이터 보호 아카데미를 통해

특히 신뢰할 수 있는 데이터 흐름 을 통해 혁신에 힘을 실어주고 법 집행 기관과 민간 운영자 간의 국제 협력을 가능하게 하는 데 열심입니다.

EU는 데이터 보호 분야에서 세계를 선도하고 있습니다. 그것이 가는 곳에 다른 사람들도 따를 것입니다. 따라서 EU 청중을 위해 디자인/개발하지 않더라도 무슨 일이 일어나고 있는지 알고 있어야 합니다.

"

이 모든 것이 EU 기업에 의미하는 바는 무엇입니까?

EU에서 사업을 운영하는 회사는 GDPR을 준수해야 하며 그렇지 않으면 벌금이 부과될 수 있습니다. 우리가 보았듯이 그 벌금은 꽤 무거울 수 있습니다. 따라서 GDPR의 7가지 원칙과 국가 데이터 보호 기관의 특정 지침을 준수하고 있음을 입증할 수 있어야 합니다.

그러나 그것은 들리는 것처럼 간단하지 않으며 어떤 경우에는 위험을 평가하도록 선택할 수 있습니다. 다음 시간에 그 예를 보여 드리겠습니다.

이것은 EU 외부에 기반을 둔 회사에 무엇을 의미합니까?

EU 외부에 기반을 둔 회사에 대한 의미 는 EU 국가의 경우와 정확히 동일하며 , EU의 개인 데이터를 처리합니다. GDPR이 EU에 거주하는 사람들의 개인 데이터에 적용되기 때문입니다. 예를 들어 EU 고객에게 판매하기 위해 처리하려면 규칙을 따라야 합니다. 그렇지 않으면 Facebook 및 Google과 같이 벌금이 부과될 위험이 있습니다.

시행 방법은 다음과 같습니다 . 많은 다국적 기업과 마찬가지로 EU에 거주하고 있고 GDPR 벌금을 내지 않으면 EU 자산이 압수될 수 있습니다. 주재원이 없는 경우 GDPR에 따라 EU에서 대리인을 임명할 의무가 있습니다. 모든 벌금은 해당 대리인을 통해 부과됩니다. 또는 복잡하고 비용이 많이 드는 국제 소송 에 직면할 수 있습니다.

다음은 모두에게 복잡해지는 부분입니다.

고객 기반에 EU 및 캘리포니아 주와 같이 개인 정보 보호법이 적용되는 다른 지역의 시민이 포함되어 있는 경우 캘리포니아 소비자 개인 정보 보호법(CCPA) 및 GDPR을 모두 준수해야 합니다. 이러한 일련의 법안은 일반적으로 일치하지만 일치하지 않습니다.

예를 들어 쿠키를 가져오세요. GDPR에 따라 사용자의 장치에 쿠키를 저장하기 전에 사용자의 적극적인 동의를 얻어야 사이트가 작동하는 데 꼭 필요한 쿠키를 차단합니다.

그러나 CCPA에 따라 수집하는 데이터를 공개하고 고객이 데이터 판매 권한을 거부할 수 있도록 해야 합니다. 그러나 그들은 당신이 그것을 수집할 수 있다는 것에 적극적으로 동의할 필요는 없습니다.

이것이 EU가 글로벌 규정 준수를 단순화하기 위해 국제 표준을 추진하는 이유입니다.

NB 미국에 거주하면서 Privacy Shield로의 교체를 간절히 기다리고 있다면 대신 Microsoft의 책에서 한 장을 읽어보는 것이 좋습니다. 데이터 처리.

웹 디자이너와 개발자가 GDPR에서 배울 수 있는 교훈은 무엇입니까?

개인 정보 보호 규정은 그대로 유지되며 모든 우선 순위와 워크플로에 영향을 미칩니다. 다음은 고객 데이터로 작업할 때 기억해야 할 6가지 교훈입니다.

  1. GDPR을 준수하기 위해 전력 질주해야 했습니다. 이제 마라톤입니다.
    우리는 GDPR이 규제하려는 기술과 함께 계속 발전할 것임을 알고 있습니다. 이는 우리에 대한 요구 사항이 동일하게 유지되지 않을 것임을 의미합니다. 뿐만 아니라 GDPR은 전 세계적으로 유사하지만 동일하지는 않은 법안에 영감을 주었습니다. 이러한 법적 요구 사항은 계속 진화하도록 설정되어 있습니다.
  2. 규정 준수는 경쟁 우위를 구축합니다.
    첫 번째 주요 GDPR 벌금은 놀라움을 자아냈지만 실제로 많은 사람들이 가장 해롭다고 말하는 것은 부정적인 홍보입니다. 대규모 데이터 유출로 이익을 얻는 사람은 누구입니까? 회사의 경쟁자. 반면에 설계 및 개발 프로세스를 강화하면서 GDPR 준수를 포함하면 규정이 발전함에 따라 더 잘 적응할 수 있습니다.
  3. GDPR 준수와 더 나은 COVID-19 결과는 사용자 중심 설계로 연결됩니다.
    디지털 혁신을 시작한 기업이 COVID-19 위기에 더 잘 적응할 수 있다는 것을 알고 있습니다. 사용자 중심 설계는 GDPR도 지원합니다. 고객 데이터가 소중하고 보호되어야 한다는 생각에 부합하는 제품을 구축하는 데 필요한 프로세스와 고객 중심이 있습니다. 그러면 미래의 법률에 따라 제품을 더 쉽게 발전시킬 수 있습니다.
  4. 디지털 제품에 규정 준수를 구축할 수 있습니다.
    디자인에 의한 개인 정보 보호는 여기에서 유지됩니다. 이미 서비스 디자인을 사용하고 있다면 서비스 청사진에 고객 정보를 데이터 계층으로 포함할 수 있습니다. 그렇지 않다면 지금이 시작하기에 좋은 시기입니다. 데이터가 수집, 처리 및 저장되는 매핑은 잠재적 위반이 발생할 수 있는 약점을 강조 표시합니다. 자동화된 규정 준수 도구는 기업의 부담을 줄이는 데 도움이 되며 데이터 처리를 더욱 안전하게 만들 수 있습니다.
  5. GDPR은 올바르게 수행하는 경우 혁신을 지원합니다.
    일부에서는 GDPR이 데이터 흐름을 제한하고 특히 기업이 데이터로 혁신하는 것을 방해함으로써 혁신을 질식시키고 있다고 경고합니다. 다른 사람들은 안전하고 데이터가 보호되는 방식으로 블록체인, IoT 및 AI로 혁신할 기회를 지적합니다. 진실? 예, 물론 혁신하고 GDPR을 준수할 수 있습니다. 그러나 AI의 윤리는 매우 중요합니다. 고객과 고객의 데이터를 존중해야 합니다.
  6. 타사 파트너를 주시하십시오.
    이것은 위의 공동 컨트롤러 결정으로 돌아갑니다. 이제 회사는 고객 데이터에 대한 책임을 데이터를 처리하는 제3자와 공유하며 해당 처리는 문서화되어야 합니다. 이제부터 제3자 확인, 모니터링 및 계약상의 의무가 기업의 우선 순위가 될 것으로 기대할 수 있습니다.

GDPR이 발전할 수 있는 방법은 다음과 같습니다.

휴. 그것은 받아들일 것이 많습니다. 그러나 앞을 내다보면 여기에서 우리가 변화를 보게 될 것이라고 장담합니다.

  1. GDPR은 테스트 사례와 잠재적으로 ePrivacy Regulation을 포함한 추가 법안에서 명확하게 밝혀지면서 계속 발전할 것 입니다.
  2. EU는 계속해서 데이터 개인정보 보호법의 국제적 채택을 촉진할 것입니다. 더 많은 국가에서 종종 무역 및 보안 협정에 포함되는 데이터 보호를 채택하는 것을 보게 될 것입니다.
  3. 운이 좋다면 특히 미국이 연방 수준에서 데이터 개인 정보 보호를 구현하는 경우 데이터 개인 정보 보호 법률의 국제 수렴 을 볼 수 있습니다.
  4. 그러나 우리는 또한 사생활에 대한 반대 접근 방식 때문에 EU와 미국 사이에 더 많은 충돌을 보게 될 것입니다.
  5. '데이터가 새로운 기름'인 만큼 사용자가 쿠키를 통해 데이터를 제공함으로써 무료 제품과 서비스를 받는 상황을 더 많이 볼 수 있었습니다.
  6. 기업은 규정 준수를 유지하기 위해 타사 쿠키에서 서버 측 추적 및 자동화로 전환 할 것입니다.
  7. 기업은 PdB( Privacy by Design ) 및 서비스 디자인 도구 및 프로세스를 채택하여 여러 개인정보 보호법을 준수할 수 있도록 합니다.
  8. 그리고 마지막으로 – 그리고 이것은 확실한 것입니다 – 우리는 점점 더 많은 개인 정보 보호 소송 을 보게 될 것입니다. 거대 기술 또는 개인 정보 보호 옹호자 중 누가 승자로 떠오를 것입니까? 그건 모르겠지만, 우리는 한 가지 확신할 수 있습니다. 사생활 보호 변호사는 많은 돈을 벌 것입니다.

신뢰에 대한 마지막 말

유럽연합 집행위원회의 커뮤니케이션과 업계 전문가들의 논평 모두를 뒷받침하는 주제는 신뢰 입니다. 우리와 같은 디지털 기관은 이제 데이터 보호를 위한 직원 교육 정책에 이르기까지 데이터 보안 및 GDPR 준수에 대한 증거를 제공해야 합니다. 그것은 새로운 것입니다. EU의 우선 순위는 EU 안팎에서 안전하고 안전한 데이터 흐름과 혁신을 지원하는 것입니다. 표준 준수는 이에 대한 솔루션입니다. 그리고 디자이너이자 개발자인 우리는 중요한 역할을 해야 합니다.

  • 1부: GDPR, 주요 업데이트 및 의미
  • 2부: 디자이너 및 개발자를 위한 쿠키 동의

추가 읽기

  • 데이터 보호, EU 사이트
  • 쿠키에 대한 영국 ICO 지침
  • GDPR 시행 추적기, GDPR에 따라 적용된 벌금 기록
  • Cyber-Duck의 GDPR 체크리스트(시작하기 좋은 곳)
  • ICLG의 미국 데이터 보호법 개요
  • GDPR 및 CCPA 비교 가이드, DataGuidance 및 개인정보 보호 포럼의 미래
  • IAPP의 CCPA 대 CPRA
  • 보안 설계(Amazon)
  • How To Protect your users with Privacy By Design Framework, Heather Burns, Smashing Magazine