×
Outbyte PC Repair
Outbyte Driver Updater

GDPR이 비즈니스에 미치는 영향 및 2023년 예상 사항

2023/01/12
GDPR이 비즈니스에 미치는 영향 및 2023년 예상 사항
  • GDPR 준수는 움직이는 목표이지만 규제 지침은 법의 조항을 명확히 합니다.
  • 특히 대규모 기술 회사와 빅 데이터의 경우 GDPR의 시행이 느립니다.
  • 모든 기업, 특히 소규모 기업의 경우 데이터 보호 규정을 준수하면 브랜드 충성도와 고객 신뢰가 구축됩니다.
  • 이 문서는 데이터 개인 정보 보호 규정에 대해 자세히 알아보려는 소기업 소유자를 위한 것입니다.

유럽 ​​연합의 전면적인 데이터 개인 정보 보호법인 일반 데이터 보호 규정(GDPR)은 2018년 5월에 시행되기 전에 많은 회사가 규정을 준수하기 위해 안간힘을 쓰고 있습니다. EU 법은 전 세계 어디에서나 EU 시민의 데이터를 다루며, 위반 시 최대 1,000만 유로 또는 위반 건당 연간 글로벌 매출액(또는 수익)의 2%(둘 중 더 큰 금액)의 벌금에 처해집니다.

GDPR이 시행된 지 4년이 된 지금, 데이터 프라이버시의 환경은 크게 바뀌었습니다. 기술 거대 기업에 대한 큰 사건이 여전히 최종 결정을 기다리는 동안 소규모 기업은 행동을 바꾸고 사용자 데이터 처리를 개선해야 했습니다. CCPA(California Consumer Privacy Act) 및 VCDPA(Virginia Consumer Data Protection Act)와 같은 많은 주 규정을 포함하여 전 세계적으로 다양한 데이터 개인 정보 보호 및 보안 조치가 등장했습니다.

GDPR 규정 준수는 어떤 모습입니까?

GDPR은 11개 장과 99개 조항으로 구성된 88페이지 분량의 법률로, 모두 EU 시민의 데이터와 관련된 데이터 프라이버시 관행을 개선하고 통합하기 위한 것입니다. EU 국경에만 국한되지 않습니다. EU 시민의 데이터를 수집 및/또는 처리하는 회사는 GDPR을 준수해야 합니다. EU 시민과 비즈니스를 수행하는 미국 전역의 회사가 이 법의 범위에 포함됩니다.

“데이터 관리자”와 “데이터 처리자”가 따라야 할 GDPR 규칙 중에는 데이터 주체 또는 개별 사용자에게 부여된 권리와 자유가 있습니다. 여기에는 데이터 수집에 동의할 수 있는 사용자의 권리, 데이터 삭제를 요청할 수 있는 사용자의 권리 및 데이터에 액세스할 수 있는 사용자의 권리와 같은 윤리적 문제가 포함됩니다. 이러한 권리에 의미 있게 대응하기 위해 많은 기업은 이전에는 존재하지 않았던 시스템과 프로세스를 도입해야 했습니다. 2018년부터 특정 GDPR 조항을 명확히 하기 위해 노력했지만 준수하려는 기업에 몇 가지 질문이 남아 있습니다.

Fox Rothschild LLP의 파트너이자 GDPR 컴플라이언스 및 국제 프라이버시 관행 의장인 Odia Kagan은 GDPR 컴플라이언스에 대한 실질적인 청사진은 없다고 말했습니다. 비즈니스가 시작해야 하는 질문은 “기본적으로 내 비즈니스에 규칙이 실제로 무엇을 의미합니까?”입니다. 답은 회사마다 다를 수 있다고 케이건은 말했다.

“우리는 모든 사람에게 공통된 규칙이 있기 때문에 시작하고 기본 사항을 완료하려고 노력했습니다.”라고 그녀는 말했습니다. “GDPR은 시간의 스냅샷이 아닙니다. 진행 중인 거래입니다. 계속 진행하고 계속 재평가해야 합니다. 이는 지속적인 규정 준수 프로세스입니다. 상당한 양의 작업을 수행한 회사라도 여전히 수행하고 유지해야 할 작업이 더 많을 수 있습니다.”

GDPR은 데이터 처리 및 수집에 대한 표준을 성문화하여 EU 외부에서도 EU 시민의 데이터 사용을 관리하는 포괄적인 규칙을 만듭니다. 본질적으로 Kagan은 모든 회사가 GDPR 준수를 위해 작업할 때 다음 고려 사항부터 시작해야 한다고 말했습니다.

  • 확장된 공개: 기업은 수집하는 데이터, 수집 이유, 저장 및 처리 방법에 대한 명확한 설명을 제공해야 합니다. 여기에는 데이터 공유 대상, 데이터 저장 기간 및 데이터 보호 방법에 대한 설명이 포함됩니다.
  • 사용자 제어: 기업은 데이터에 발생하는 일에 대해 사용자에게 더 많은 제어 권한을 부여해야 합니다. 사용자는 요청 시 데이터 사본을 받을 수 있습니다. 또한 자신의 데이터를 삭제하거나 잘못된 데이터를 수정하도록 요청할 수 있습니다. 또한 사용자는 아웃소싱 처리 이외의 목적으로 자신의 데이터를 타사와 공유하는지 여부에 동의할 권리가 있습니다.
  • 다운스트림 규정 준수: 모든 제3자 회사 및 서비스 제공업체도 GDPR을 준수해야 합니다. 그렇지 않으면 데이터를 수집하는 회사가 책임을 질 수 있습니다. 즉, 장부에 의해 사용자 데이터를 수집하지만 규정을 준수하지 않는 회사에 처리를 아웃소싱하면 위반에 대한 책임을 질 수 있습니다. 여기에는 제3자 쿠키에 대한 고려와 일반 데이터를 수집하고 추적하는 방법이 포함됩니다.

Kagan은 “복잡성을 더한 것은 EU 회사들이 이미 큰 출발점을 가지고 있었다는 것입니다.”라고 말했습니다. “데이터 보호 지침에는 28개의 EU 국가에 걸쳐 국가 시행법이 있었습니다. 이것은 기본적으로 GDPR [내 규정]의 80% 정도를 포함합니다.”

2002 ePrivacy Directive와 같은 데이터 보호 지침에 대한 후속 개선 사항은 EU가 데이터 보호 법률에서 미국보다 앞서 있음을 의미했습니다. 미국 기업들은 GDPR 시행 기간 동안 따라잡기 위해 안간힘을 써야 했고, 많은 고객들이 Kagan이 따를 수 있는 체크리스트가 있는지 물었습니다. 그녀의 대답은 “예, 하지만… 대신 Kagan은 모든 비즈니스에 공통적인 요구 사항으로 시작했다고 말했습니다.

GDPR을 준수하지 않을 경우의 결과

GDPR을 준수하지 않을 경우 과징금이 가중될 수 있습니다. 최대 1,000만 유로 또는 전년도 글로벌 연간 수익의 2%에 해당하는 벌금이 부과됩니다. 많은 기업에게 이는 치명적인 타격이 될 수 있습니다. Marriott, British Airways, H&M과 같은 대기업은 막대한 벌금을 물었지만, 소규모 기업이 규제로 인해 문을 닫았는지 여부는 불확실합니다. National Bureau of Economic Research의 연구에 따르면 새로운 지침을 준수하는 비용으로 인해 Android 애플리케이션의 약 1/3이 종료되었습니다 . 미국 및 그 외 지역에 있는 기업의 경우 GDPR 규정을 준수하는 것이 최우선 과제이자 지속적인 과제입니다.

GDPR과 같은 포괄적인 법률을 준수하려면 해당 분야에서 경험과 전문성을 입증하는 변호사 또는 컨설턴트와 협력하는 것이 현명합니다. 그러나 BrandExtract의 소프트웨어 엔지니어링 부사장인 Donovan Buck은 법률을 읽는 것이 가장 좋은 첫 단계라고 말했습니다.

“어디서부터 시작해야 할지 모르겠다면 법은 정말 이해하기 쉽습니다.”라고 Buck이 말했습니다. “좀 길지만 평범한 사람들이 이해할 수 있는 명확한 용어로 쓰여 있습니다. 그리고 그것에 대한 서문이 있습니다… [그것은] 법의 정신을 전달합니다. 법 자체는 그렇게 무섭지 않습니다. 법을 읽으십시오. 그렇게 나쁘진 않네.”

GDPR 규정 명확화

법률을 읽는 사람들에게도 GDPR은 2018년 5월 시행까지(그리고 그 이후에도) 많은 답을 얻지 못한 질문을 남겼습니다. 다음을 포함하여 회사가 실제로 규정을 준수하는지 확인하는 데 도움이 되는 지침:

  • 명확하고 투명한 공개: 데이터 주체로부터 명시적인 동의 를 얻기 위해 회사는 데이터 수집, 사용 및 공유를 사용자에게 공개해야 합니다. 이용 약관에 작은 글씨를 포함하는 것만을 의미하지는 않습니다. 일반 언어로 명확하게 설명해야 합니다. 그렇지 않으면 데이터 주체의 명시적 동의를 얻는 것이 GDPR에 따라 유효하지 않을 수 있습니다.
  • 지역 범위: 2019년 11월 유럽 데이터 보호 위원회는 GDPR이 적용되는 회사에 대한 설명을 발표했습니다 . 지침은 EU 내 사용자를 대상으로 하는 EU 시설 또는 회사를 구성하는 요소를 명확히 하는 데 도움이 됩니다. 또한 EU 외부 기업에 GDPR을 시행하기 위한 국제 협력 메커니즘의 필요성도 고려합니다.
  • 처리의 법적 근거: 2019년 4월 유럽 데이터 보호 위원회 는 GDPR에 따른 개인 데이터 처리의 법적 근거에 대한 지침을 발표했습니다. 이 지침은 필요한 데이터 수집, 계약 종료 및 이러한 규칙의 적용을 구성하는 요소를 명확히 했습니다.
  • COVID-19 발생 상황에서 위치 데이터 및 접촉 추적 도구 사용: 2020년 4월 유럽 데이터 보호 위원회는 COVID-19 팬데믹으로 인해 발생한 일부 데이터 개인 정보 문제에 대응해야 했습니다. 그들의 지침 은 “데이터 최소화”라는 GDPR 원칙을 강조하여 식별 정보나 정확한 위치 정보가 아닌 COVID-19 접촉 추적과 관련된 데이터만 수집해야 한다고 강조했습니다.
  • 액세스 권한: 2022년 1월 유럽 데이터 보호 위원회 는 데이터 주체가 자신의 개인 데이터에 액세스할 수 있는 권리를 구현하기 위한 지침 초안을 발표했습니다. 컨트롤러는 액세스를 제한하는 대신 대부분의 경우 가장 광범위한 용어로 데이터 요청을 해석해야 합니다. 그러나 데이터 주체에게 데이터가 포함된 완전한 문서를 제공할 필요는 없으며 대신 사용자의 개인 정보만 포함된 새 문서를 제공할 수 있습니다.

주요 내용: 유럽 데이터 보호 위원회는 2018년 GDPR 제정 이후 무수히 많은 업데이트된 지침, 설명 및 모범 사례를 발표했습니다. 주요 업데이트에는 어떤 회사가 GDPR에 구속되는지, 어떤 소비자 데이터를 수집해야 하는지, 회사가 어떻게 해야 하는지에 대한 정보가 포함됩니다. 데이터 요청을 이행합니다.

GDPR 집행이 진행 중이지만 느리게 진행 중입니다.

GDPR은 일부 심각한 위반 사항을 제거하여 데이터 보안을 확실히 개선했지만 전반적인 집행은 많은 사람들이 예상한 것보다 오래 걸립니다. 정보는 온라인에서 빠르게 이동하고 GDPR은 특히 Meta 및 Google과 같은 거대하고 광범위한 기술 회사의 경우 따라잡기 힘든 것처럼 보입니다. 예를 들어 데이터 프라이버시 비정부 조직인 noyb (“none of your business”를 의미함)는 GDPR이 활성화된 날 Instagram, Facebook, Google 및 WhatsApp에 대한 강제 동의에 대해 불만을 제기했습니다. 4년이 지난 지금도 결의안이 개발 중입니다.

그러나 법 집행이 이루어졌습니다. GDPR은 1,216건의 벌금을 부과했다고 Privacy Affairs가 보고했으며 Enforcement Tracker 에 따르면 2022년 12월 현재 벌금이 25억 달러를 초과 합니다. 즉, 회사는 “공개” 및 “동의”와 같은 법률 요소에 대한 규제 기관의 정의를 따르고 있는지 확인해야 하며 이러한 용어에 대한 자체 해석을 따라야 합니다.

Enforcement Tracker에 따르면 가장 큰 세 가지 벌금에는 2021년 7월 룩셈부르크 관리가 Amazon Europe Core S.à.rl에 대해 부과한 7억 4,600만 유로(약 7억 9천만 달러)와 2022년 Meta에 대한 두 가지 큰 벌금이 포함됩니다. 2022년 9월 아일랜드의 데이터 보호 위원회는 Meta Platforms Inc.에 4억 500만 유로(약 4억 3000만 달러)의 벌금을 부과했고, 2022년 11월에는 Meta Platforms Ireland Ltd.에 2억 6500만 유로(약 2억 8000만 달러)의 벌금을 부과했습니다. 아마존, 메타(페이스북과 왓츠앱 포함), 구글이 최고 10대 벌금 중 8개를 받는 등 최고 벌금 목록에는 같은 이름이 지배적이다.

Meta에 대한 11월 판결은 이메일 주소와 전화번호를 포함한 약 5억 3300만 명의 Facebook 사용자 개인 정보의 데이터 유출과 관련이 있습니다. 벌금을 지불하는 것 외에도 Facebook은 사용자의 데이터 안전을 개선하고 추가 데이터 스크래핑을 방지하기 위한 조치를 취해야 합니다. 메타에 대한 9월 판결은 인스타그램이 아동 데이터에 대한 GDPR 가이드라인을 위반했다고 밝혔습니다. Instagram은 13세에서 17세 사이의 어린이가 비즈니스 계정에서 이메일 주소와 전화번호를 공유할 수 있도록 허용했습니다. 또한 기본적으로 십대의 계정을 공개했습니다. 메타는 판결에 항소하고 있다.

Challenger의 공동 창립자이자 CEO인 Chris Slovak은 “[많은] 규정의 큰 부분은 동의를 수집하는 방법과 수집하는 내용에 대해 명확하고 투명하며 분명한 방식으로 소비자에게 알리는 방법입니다.”라고 말했습니다. 인터렉티브.

거대 기술 기업에 대한 책임은 천천히 움직이고 있지만 데이터 프라이버시에 대한 전반적인 태도는 바뀌고 있습니다. 일반 소비자는 기업이 정보를 수집하는 방식에 대해 더 잘 알게 되었고 개인 정보 보호 문제가 기술에 대한 대화의 중심이 되었습니다. 그러나 자신을 기술 회사라고 생각하지 않는 기업도 고객 데이터 관행을 평가하고 데이터 관리가 안전한지 확인해야 합니다.

GDPR은 글로벌 데이터 보호법의 물결의 “촉매”일 뿐이며 기업은 전 세계의 유사한 발전을 모니터링해야 한다고 Slovak은 말했습니다.

예를 들어 캘리포니아, 버지니아, 유타, 콜로라도, 코네티컷에서는 새로운 데이터 개인 정보 보호법을 시행하거나 기존 법을 업데이트하고 있습니다. 한국과 중국과 같은 다른 국가에서도 데이터 보안에 대한 새로운 규정을 통과시키고 있습니다.

법무법인 톰슨 하인( Thompson Hine )에 따르면 미국에서 다가오는 데이터 보호법과 규정은 소비자의 선택 해제 권리와 개인 정보 보호 우선권을 강조합니다 . 이를 준수하기 위해 온라인 비즈니스는 자신의 웹사이트가 고객에게 개인 정보의 공유 또는 판매를 거부할 수 있는 승인되고 명확한 방법을 제공하는지 확인해야 합니다. 이는 “내 개인 정보를 판매하거나 공유하지 마십시오” 및/또는 “내 민감한 개인 정보의 사용 제한” 링크를 의미할 수 있습니다.

이는 소비자에게 더 많은 투명성과 통제권을 제공하기 위해 고안된 향후 지침의 일부 예일 뿐입니다. 2023년에는 데이터 프라이버시에 대한 고객의 권리에 대한 커뮤니케이션과 관련된 더 많은 지침을 기대할 수 있습니다.

“이것은 EU 시민과 캘리포니아에만 국한된 것이 아닙니다.”라고 Slovak은 말했습니다. “전 세계를 휩쓸고 있는 트렌드입니다. 현재 가지고 있는 데이터 흐름에 투자하여 앞서 나가십시오.”

GDPR 및 데이터 보호 준수를 위한 팁

GDPR과 같은 포괄적인 법률을 준수하는 것은 불가능해 보일 수 있지만 한 번에 한 단계씩 수행하면 비즈니스는 곧 준수를 향한 길에 들어서게 될 것입니다. 동기 부여를 유지하기 위해 완전한 규정 준수가 목표일 필요는 없음을 기억하십시오. 노력을 보여주는 것만으로도 규제 기관을 저지하기에 충분할 수 있습니다.

케이건은 “길을 걸어 규제 당국과 협력한 회사들은 소송이 종결되거나 벌금이 감면됐다”고 말했다. “계획이 필요합니다. 위험 평가를 수행하고 처리의 더 위험한 부분을 파악하고 작업을 시작하십시오. 길을 가십시오.”

시작하려면 다음 도움말을 따르세요.

  • 당황하지 말 것. 데이터 보호법은 복잡하고 광범위합니다. 기업, 특히 중소기업이 관리하기에는 부담이 될 수 있습니다. 그러나 한 번에 하나의 작은 작업을 수행할 수 있도록 프로세스를 관리 가능한 조각으로 나누는 것이 중요합니다. 목록에서 한 번에 삭제하는 것이 아니라 규정 준수를 향해 나아가고 있다고 생각하십시오.
  • 위험 평가를 수행합니다. Kagan에 따르면 시작하기 좋은 곳은 위험 평가를 수행하는 것입니다. 이 평가를 사용하여 규칙을 위반하거나 데이터 유출에 취약할 수 있는 비즈니스의 가장 큰 위험 영역을 식별하십시오.
  • 가장 위험한 구성 요소부터 시작하십시오. 데이터 수집 작업의 각 요소에 대한 위험 프로필을 포괄적으로 이해하면 먼저 처리할 부분을 결정할 수 있습니다. 항상 회사의 가장 위험한 요소부터 시작하십시오. 예를 들어 보안이 취약한 경우 데이터 침해를 방지하기 위해 방어를 강화하십시오. 데이터 캡처 및 사용에 대한 소비자의 동의를 얻지 못한 경우 해당 동의를 얻을 수 있는 방법을 구현하십시오. GDPR 규정 준수 컨설턴트와 협력하면 위험을 보다 명확하게 이해하는 데 도움이 될 수 있습니다.
  • 데이터와 데이터를 수집하는 이유를 이해합니다. 미국 전역의 GDPR 및 데이터 개인 정보 보호법의 큰 부분은 회사가 수집하는 데이터와 수집 이유에 대한 완전한 그림을 가지고 있어야 한다는 것입니다. 요청 시 소비자는 자신의 데이터 사본을 제공받아야 하며 회사는 이를 편집하거나 삭제할 수 있어야 합니다. 비즈니스에서 수집하는 데이터, 저장 방법, 공유 위치 및 사용 이유를 이해하는 것이 중요합니다. 완전한 이해를 발전시키지 못하면 데이터 보호법을 준수하는 것이 사실상 불가능해집니다.
  • 공식적인 거버넌스 프로그램을 수립합니다. 데이터 보호법을 준수하기 위한(또는 적어도 준수를 위해 노력하기 위한) 내부 프로세스를 개발한 후에는 공식 거버넌스 프로그램을 수립하여 규제 기관에 이러한 노력을 입증할 수 있습니다. 공식적인 거버넌스 프로그램은 데이터를 캡처, 저장, 공유 및 사용하는 방법을 정확하게 구성할 수 있습니다. 이는 대기업에 특히 중요하지만 중소기업도 데이터 거버넌스를 공식화함으로써 이점을 얻을 수 있다고 Kagan은 말했습니다. 여기에는 일상적인 데이터 수집 및 처리를 감독하여 데이터가 GDPR 규칙에 부합하는지 확인하기 위해 데이터 보호 책임자를 임명하는 것이 포함될 수 있습니다.

GDPR, CCPA 및 기타 데이터 개인 정보 보호 법률 준수는 지속적인 프로세스입니다. 통과되거나 제안된 법안마다 요구 사항이 다르지만 기본 목표는 동일합니다. 개인 데이터 처리의 적절한 관리부터 위반 방지에 이르기까지 기업이 해야 할 일은 많습니다. 즉, 모든 세부 사항을 알지 못하거나 규제 기관에서 모든 해명을 내리지 않고도 규정 준수를 위해 작업을 시작할 수 있다고 Kagan은 말했습니다.

“준수하기에 너무 늦지 않았습니다.”라고 그녀는 말했습니다. “당신의 싱크대가 접시로 가득 차 있다는 사실을 무시하십시오. 피하지 말고 내일로 미루세요. 그냥 시작하세요.”

모범 사례를 구현하고 따름으로써 데이터 개인 정보 보호법을 위반할 위험을 줄이고 최악의 경우 소비자 데이터를 보호하기 위해 선의의 노력을 기울였다는 것을 규제 기관에 입증할 수 있습니다. 컴플라이언스 외에도 데이터 보호 규정에 명시된 모범 사례를 준수해야 하는 강력한 비즈니스 이유가 있다고 Slovak은 말했습니다.

“올바르게 수행하면 감사 가능성과 투명성을 얻을 수 있습니다.”라고 그는 말했습니다. “고객에게 보유한 데이터와 데이터를 보낼 위치를 알릴 수 있습니다. 제대로 한다면 고객과 대화하는 순간 고객이 원하는 것이 무엇인지 더 잘 이해할 수 있기 때문에 고객과 더 나은 대화를 나눌 수 있습니다.”

소비자 데이터 프라이버시를 보호하는 것은 훌륭한 비즈니스 감각이며 신뢰할 수 있는 브랜드를 구축하는 데 도움이 된다고 그는 덧붙였습니다. GDPR 준비는 소비자 데이터 보호를 최우선으로 하는 방향으로 전환하기 시작하는 좋은 방법입니다.

“결국 데이터는 여러분에게 맡겨진 것입니다.”라고 Slovak은 말했습니다. “소비자는 자신에 대한 정보를 귀하에게 맡기므로 귀하는 그들을 위해 더 나은 경험과 서비스를 만들 수 있습니다. 고객과 잠재 고객을 대하는 방법을 재평가할 수 있는 기회입니다. 다른 사고 방식과 데이터에 대한 투자, 그리고 데이터 자체를 관리하는 도구가 필요합니다.”

규제 곡선보다 앞서 나가고 고객과 더 나은 관계를 구축하기 위해 데이터 인프라 및 거버넌스에 투자하는 것부터 시작할 수 있습니다.

Cailin Potami는 이 기사의 작성 및 보고에 기여했습니다. 일부 소스 인터뷰는 이 기사의 이전 버전에 대해 수행되었습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다