2018년 5월 25일에 당신이 어디에 있었는지 기억하십니까? 아니? GDPR(일반 데이터 보호 규정)이 발효된 날이었습니다. 정규 영업일이었고 많은 사람들이 예상했던 것처럼 하늘이 무너지지 않았습니다. 실제로 작업은 평소와 같이 계속되었으며 모든 비즈니스는 GDPR 이후 시대로 순항했습니다. 일부는 준비되었지만 일부는 그렇지 않았으며 많은 사람들이 GDPR이 무엇인지 또는 어떻게 준수해야 하는지를 모르고 있었고 지금도 그렇습니다.
GDPR을 준수하지 않을 위험을 감수하고 적응을 위한 계획을 개발할지 여부를 고려하십시오. 앞으로의 접근 방식을 결정하는 데 도움이 되도록 다음을 고려하십시오.
GDPR을 준수하는 것이 어려운 작업일 필요는 없습니다. 하지만 소규모 기업이라면 상당한 시간이 걸릴 수 있습니다. 제 조언은 규정을 준수하기 위한 계획을 세우고 시간이 지남에 따라 작업하는 것입니다. 포함해야 하는 내용은 다음과 같습니다.
GDPR에 따른 개인 데이터는 이름, 주소, 이메일 주소, 은행 또는 신용 카드 세부 정보, 사진 및 IP 주소를 의미한다는 점을 이해해야 합니다. 특정 사용자를 직접 가리키는 웹사이트 방문자의 정보(예:건강 정보, 종교적 견해, 노조 가입 또는 보험 관련 목적의 결혼 여부)를 수집하는 경우 민감한 데이터로 간주됩니다. 민감한 데이터는 단순한 개인 데이터보다 더 중요하고 차별화된 관리가 필요합니다.
GDPR은 귀하가 개인 데이터를 수집하거나 보유하는 것을 방지하지 않습니다. 그렇게 하려면 정당한 이유가 있거나 수집하기 전에 사용자의 동의를 얻어야 합니다. 정당한 이유는 계약 관계를 유지하거나 미래에 관련 제품을 고객에게 서비스하거나 마케팅할 수 있는 능력을 만드는 것일 수 있습니다. 해당 링크를 만들 수 없는 경우 매우 구체적인 목적에 대해 사용자의 동의를 구하고 해당 동의를 문서화하세요.
중소 기업일지라도 잠재 고객 및 고객 데이터에 대해 생각해야 합니다. 어떻게 보호할 것인가? 데이터가 유출된 경우 72시간 이내에 개인 및 당국에 알릴 수 있습니까?
GDPR은 사용자가 자신에 관한 데이터를 소유한다고 구체적으로 명시하고 있습니다. 사용자에게 1개월 기간 내에 정보에 대한 액세스 권한을 부여할 수 있는지 생각해 보십시오. 사용자는 자신의 데이터에 액세스하고 잘못된 경우 수정하고 더 이상 보유하고 싶지 않은 경우 삭제하도록 할 권리가 있습니다. 경우에 따라 한 달 단위로 연장할 수 있습니다. 연장은 최대 90일까지만 가능하며 특별하고 정당한 상황에 해당해야 합니다.
DPO는 데이터 보호 책임자입니다. 대부분의 소규모 비즈니스에는 필요하지 않지만 핵심 활동에 대규모 개인에 대한 정기적이고 체계적인 모니터링이 필요한 경우 GDPR에 따라 필요합니다. 귀하의 핵심 활동은 특수 데이터 처리 또는 범죄 유죄 판결에 대한 정보로 구성됩니다. 소규모 비즈니스이고 많은 양의 데이터를 처리하지 않는다면 DPO가 필요하지 않습니다.
귀하의 디지털 제품 및 서비스(귀하의 웹사이트 포함)에 대한 개인정보 보호정책 및 사용 약관을 다시 살펴보십시오. 다행히도 이러한 사항이 이미 마련되어 있습니다. 그렇지 않다면 지금이 그것들을 정리할 때입니다. GDPR을 사용하면 사용자 정보가 수집, 관리 및 사용되는 방식을 일반 언어로 설명하도록 고지를 수정해야 합니다.
GDPR을 준수하려면 파트너도 GDPR을 준수해야 합니다. 소규모 기업의 경우 이는 시간 투자가 될 수 있습니다. 클라우드 기반 소프트웨어 또는 서비스를 사용하는 경우 이미 GDPR에 대한 입장을 취했으며 공급 조직의 규정 준수를 반영하도록 계약을 수정했을 수도 있습니다. 먼저 연락하여 이를 확인하고 파트너가 아닌 경우 GDPR 준수 요청을 포함하여 새 계약 작성을 고려하십시오.
EU와 비즈니스를 하는 소규모 회사의 경우 가장 큰 문제는 데이터를 미국으로 이전하는 것과 관련이 있습니다. 유감스럽게도 EU는 미국이 개별 사용자의 온라인 권리를 보호하기 위한 적절한 보안 통제 수단을 갖고 있다고 생각하지 않습니다. 좋은 소식은 중소기업이라면 클라우드에서 서비스를 사용할 가능성이 높으며 그 중 많은 서비스가 GDPR을 준수한다는 것입니다. 그렇지 않은 경우 호스팅 또는 스토리지를 EU 기반 클라우드 솔루션으로 옮기는 것이 합리적일 수 있습니다. 그렇지 않으면 EU 사용자 데이터가 더 높은 수준의 보안으로 암호화, 전송 및 저장되고 해당 수준의 규정 준수를 확인하기 위한 조치를 취해야 합니다.
GDPR은 확실히 중소기업(저 포함!)에게 벅차고 두려운 것처럼 보일 수 있습니다. 새로운 데이터 보호 규칙이 적용되면 귀하의 비즈니스는 연간 수익의 최대 2% 또는 1천만 유로(약 1160만 달러) 중 더 높은 금액의 벌금에 처해질 수 있습니다. 개인 데이터 침해의 경우 수익의 4% 또는 2천만 유로(2천 3백만 달러)로 증가합니다. 그러나 GDPR에 적응하면 경쟁 우위도 있습니다!
우리 모두가 GDPR을 부담으로 보기는 쉽지만, 이는 귀하에게 유리하게 사용될 수 있고 귀하의 비즈니스에 가치를 더할 수 있는 것입니다. 잠재 고객/고객에게 GDPR 준수 비즈니스를 제공하면 신뢰를 구축할 수 있습니다. 그리고 실제로 아무도 데이터가 손실, 도난, 손상, 오용 또는 적절한 동의 없이 공유되는 것을 좋아하지 않습니다. GDPR을 준수한다는 것은 고객의 데이터를 존중 및 보호하고 고객에게 더 높은 가치를 입증한다는 의미입니다. 이것은 감사히 여길 것이며 현재는 물론 향후에도 결실을 맺을 것입니다.