GDPR이 마케팅에 끼치는 영향: 디지털 마케터가 알아야 할 팁
(참조 자료: How GDPR Impacts Marketers: What You Need to Know)
최근 EU의 GDPR(General Data Protection Regulation)가 마케팅 업계에서 큰 화두가 되고 있는데요, 그러나 이 GDPR이 마케팅 활동에 어떤 영향을 끼치는지 정확히 이야기할 수 있는 마케터는 많지 않습니다.
오늘은 GDPR의 정의, 그리고 데이터 수집에 미치는 영향, 그리고 GDPR 발효 시점인 5월 25일 이전에 정책 준수 여부를 확인하기 위해 무엇을 해야 하는지에 대해서 살펴보도록 하겠습니다.
GDPR이란 무엇인가?
오는 2018년 5월 25일부터 발효되는 유럽 일반개인정보보호법(GDPR: General Data Protection Regulation)은 EU 회원국 국민들의 개인정보 보호 권리를 강화하도록 설계되었으며 어떻게 수집되고, 어떻게 저장되고, 어떻게 사용되는지에 대한 내용을 포함하고 있습니다. EU에 거주하고 있는 국민들의 개인 데이터를 다루는 기업이라면 모두 이 GDPR의 적용법을 받습니다.
GDPR 위반 시 과징금이 얼마나 되나요?
2018년 5월 25일 이후 GDPR을 준수하지 않는 기업은 위반의 심각성에 따라 벌금이 차등 부과될 수 있습니다.(연간 글로벌 매출액의 4% 혹은 2천만 유로 중 더 높은 금액을 과징금으로 부과)
어떤 경우에 GDPR이 적용되나요?
GDPR에 적용대상에는 비단 금융거래 뿐만 아니라 비금융거래 내용도 모두 적용됩니다. 또한 EU 이외 다른 국가에 있는 기업도 EU 거주자의 개인 정보를 수집하거나 처리하는 경우에도 모두 GDPR의 적용을 받습니다.(EU 시민권자가 아니여도 거주자라면 모두 포함)
개인정보
GDPR에서 말하는 개인 정보는 직접적이거나 혹은 간접적으로도 누군가를 식별하는데 사용될 수 있는 모든 개인식별정보(Personally identifiable information, PII)를 의미합니다. 일반적으로 IP주소, 쿠키, 위치데이터, 이름이나 이메일 주소가 포함됩니다.
GDPR은 그 동안 기업이 개인 정보를 수집하고 동의를 얻는 방식에 상당한 변화를 요구하고 있습니다.
1. GDPR에서 필요한 것
명시적 동의(Explicit Consent)
EU 거주자로부터 개인 정보를 수집하는 경우에는 명시적 동의를 얻어야 하며, 일반적으로는 아래와 같습니다.
- 자발적(Voluntary): 사용자가 직접 적극적인 액션을 취하게 만들어야 합니다.
- 구체적이면서 내용을 잘 알수 있게 전달( Specific and informed): 사람들이 기업이 무엇을 수집하고 어떻게 사용하는지, 누구와 데이터를 공유하는지 이를 구체적으로 잘 인지하고 있는지 확인하세요.
- 명확함(Unambiguous): 이용 약관에 법적인 전문 용어로 채워 내용을 포장하지 말고 이해하기 쉬운 용어로 설명하십시오.
보다 구체적으로 GDPR의 준수를 위해 개인정보 동의에서 아래와 같은 사항을 준수해야 합니다.
- 법적인 전문 용어 없이 이해하기 쉽고 평범한 용어를 사용하여 명확한 동의를 얻으십시오.
- 적극적인 옵트인 액션(예를 들어 체크박스가 미리 체크되어 있으면 안됨, 직접 체크박스를 클릭하게 끔. 옵트인에서 어떠한 활동이 요구되지 않는 것도 불가. 무조건 명확한 동의 표시에 대한 액션을 요구해야 함)
- 어떠한 형태의 이용약관이든 이와 분리하여 개인정보 동의를 받으세요(옵트인 절차를 쉽게할 목적으로 한 군데에 담아 읽기 어렵게하거나 이용약관과 개인정보 수집에 대한 동의를 동시에 받지 마세요)
- 기업이 왜 데이터를 수집하고 어떠한 목적으로 구체적으로 명시하세요.
- 만약 개인정보 동의 과정 중에서 서드파티 관리자가 있다면 이름을 정확히 표기하세요.
- 데이터 주체가 어떻게 하면 개인정보 제공을 철회할 수 있는지 정확히 설명해주세요. 데이터 주체가 원한다면 언제든지 개인정보를 삭제할 수 있다는 것을 알려줘야 합니다.
- 서비스 제공의 전제 조건으로 개인정보 동의문구를 받지 마세요.
개인정보의 처리가 여러가지 목적을 가지고 있을 때 개인은 각 목적에 대해 따로 통보받아야 하며, 각각의 목적에 대해서 개별적으로 동의하거나 거부할 수 있어야 합니다. 추가적인 요구 사항들은 어린이의 동의를 받을 때 적용됩니다. 또한 기업은 데이터 주체로부터 동의 받은 기록을 반드시 보관하고 있어야 합니다.
엄격한 개인정보 취급방침이 기본 설정
개인 정보 제공에 동의하고 서비스에 가입했다 하더라도 가장 엄격한 개인정보 설정이 기본 설정이어야 합니다. 사용자가 직접 개인정보 설정을 조정해서 좀 더 완화할 수는 있어도, 기본설정에서 더욱 엄격하게 만들 필요가 없을 정도로 해놔야 합니다.
데이터에 대한 권리
GDPR에서 개인은 자신의 개인 정보를 수집, 저장, 활용되는 방법에 대해 자신이 직접 잘 통제할 수 있어야 합니다. 데이터 주체인 개인은 자신의 정보에 대해서 언제든 엑세스할 수 있는 권리가 있으며, 이는 데이터가 처리되는 위치, 이유와 그 방법들에 대해서 알 권리를 의미합니다. 또한 여기에는 데이터에 엑세스하기 위해서 기업에 보고서를 요청할 수 있는 권한도 포함됩니다. 그리고 개인은 잊혀질 권리가 있으며, 이는 그들의 데이터를 원하면 언제든 삭제할 수 있다는 것을 의미합니다.
위반 알림
기업은 GDPR 위반이 무해하고, 개인들에게 위험을 주지 않는 이상은 특정 유형의 데이터 유츌을 관련 감독 당국에 신고해야 하는 의무가 있습니다. 해당 위험이 고위험으로 판명될 경우, 회사는 영향을 받은 개인에게도 이를 통보해야만 합니다.
데이터 보호 책임자 임명
어떠한 경우든, 기업은 데이터 보호 책임자를 임명해야 합니다. 이것은 기업이 1) 민감한 개인정보(예를 들어 인종이나 유전 정보 등)를 정기적으로 모니터링하거나, 2) 대규모로 개인 데이터를 모니터링하거나, 3) 공공기관일 경우에 필요합니다.
어린이에 대한 정보
GDPR에 따르면 기업은 부모의 동의없이 만 16세 미만의 아이의 개인 데이터를 수집할 수 없습니다. 나이를 확인 한 후에 필요하다면 부모의 동의까지 받아야 하는 프로세스를 구축하십시오.
2. GDPR은 비 EU 기업에 어떤 영향을 끼치는가?
사실 많은 마케터들이 궁금한 것은 그렇다면 EU 내 기업이 아닌 다른 국가의 위치한 기업에 경우에는 GDPR이 과연 영향을 끼치는지, 그렇다면 어떻게 대처해야 하는지 입니다. 하지만 위에서 언급한 바와 같이 EU 내 기업이든, 비 EU 기업이든간에 상관없이, 1) EU 거주자의 개인 데이터를 수집하고 처리하거나, 2) 기업의 활동이 유료든, 무료든 상관없이 EU 거주자에게 제품 또는 서비스가 제공되는 경우에는 모두 GDPR을 준수해야만 합니다.
이 준수는 비단 EU 시민권자만 포함되는 것이 아니라 EU 전체 거주자가 적용되는 것입니다. 임시적으로 EU에 거주하는 한국 국민도 GDPR의 영향을 받게 됩니다.
또한 GDPR의 적용에는 꼭 금융 거래가 필요없음을 명심하길 바랍니다. 개인 데이터를 수집하거나 처리하는 모든 비 EU 기반 기업들은 모두 GDPR을 준수해야만 합니다.
따라서 비 EU 기반의 기업을 포함한 모든 비즈니스는 정보 주체로부터 명시적인 동의를 받아야만 합니다. 단지 EU 이외에 국가에 거주하는 개인을 대상으로 했거나 고 자국민을 대상으로 비즈니스 한다고 해서 위험이 해소되는 건 아닙니다.. 특히나 어느 국가에서든 서비스 가입이나 옵트인이 가능한 디지털 서비스의 경우에는 EU 거주자가 옵트인하지 않을거라는 보장은 없습니다.
3. 디지털 마케터를 위한 GDPR 준수 행동 계획
GDPR 준수 전략 감독 및 구현
먼저 웹사이트 감독을 먼저 진행하십시오.
- 보유한 데이터, 데이터의 출처 및 공유 대상을 결정하십시오.
- 기존 EU 거주자에 대한 정보가 무엇인지 결정하십시오.
- 사용중인 서드파티 서비스 제공 업체가 GDPR을 준수하고 있는지 확인하십시오.
초기 감독을 마친 이후에는 모든 정보를 검토하여 GDPR 준수에 필요한 모든 조치를 결정하십시오. 다음에는 개인정보 보호 정책을 업데이트하기 위한 행동 계획을 준비하고 이에 동이를 얻기 위한 방법을 마련하십시오.
개인정보 보호정책 업데이트
GDPR를 준수하기 위한 개인정보 취급 방침이 업데이트 되었는지 확인하십시오. 수집하는 정보, 사용 방법, 그리고 정보를 공유하는 서드파티 업체에 대해서 자세히 설명하십시오. 데이터 주차가 개인 정보에 언제든 엑세스할 수 있는 권리와 이를 삭제할 수 있는 권리도 명시하고 그 방법도 자세히 나열하십시오.
개인정보 보호정책이 GDPR의 요구사항을 따르는 건 맞지만, 이것자체가 애시당초 옵트인 페이지에서 명시적인 동의를 받아야 하는 의무를 완화시켜주지는 않습니다.(둘 다 반드시 해야합니다)
명시적 동의 받기
기업이 수집하거나 처리하는 개인정보를 결정한 후에 위에서 언급한 명시적인 동의를 받으십시오. 예를 들어 제휴사 링크나 페이스북 픽셀 광고를 사용하는 경우에는 각 용도에 대한 명시적인 동의가 필요합니다.
4. 디지털 마케터들이 우려할 만한 영역
수집하는 데이터가 정확히 무엇인지 확실하지 않은 경우 디지털 마케팅 담당자들에게 몇 가지 예와 각각을 준수하는 방법에 대한 몇 가지 팁들을 소개하고자 합니다.
구글 애널리틱스
구글 애널리틱스를 사용하는 경우, 사용자 ID, 해시된 개인 정보, IP 주소, 사이트 내 행동 프로파일링 데이터를 수집할 수 있습니다. 구글 애널리틱스를 사용하면서 GDPR을 준수하고 싶다면 저장 및 처리가 시작하기 전에 데이터를 익명으로 처리하거나, 사이트에 들어가기 전에 쿠키 사용에 대한 방문자의 동의를 요청하는 오버레이를 사이트에 추가해야만 합니다.
광고 리타깃팅 및 트래킹 픽셀
웹사이트에서 페이스북 픽셀을 비롯한 리마케팅 광고를 사용한다면 웹사이트 방문자들이 사이트에 왔을 때 이를 즉각적으로 알리고, 명시적인 동의를 받아야 할 것입니다.
스폰서 콘텐츠를 게시할 경우엔 클라이언트가 트래킹 픽셀 또는 쿠키를 사용할 것이냐, 왜 사용하냐고 물어보게 될 텐데 기업이 픽셀이나 쿠리를 사용하여 개인 정보를 수집하거나 리마케팅하는 경우에는 웹사이트 방문자들에게 방문 그 즉시 이를 알리고 명시적인 동의를 받아야 합니다.
이메일 수신 동의
뉴스레터 구독 양식에 동의가 필요한 모든 것에 체크박스가 있어야 합니다.(미체크된 상태로) 뉴스레터가 트래킹 픽셀을 활용하여 언제 이메일을 오픈했는지 확인하고 싶다면 뉴스레터 구독하기 전에 눈에 잘 들어도록 면책 조항을 기재하십시오. 뿐만 아니라 서드파티 이메일 서비스 업체가 GDPR을 준수하고 관련 툴을 제공하는지도 확인하십시오.
제휴사 링크
제휴사 링크(affiliate link)를 사용하는 경우, 쿠키 사용에 대한 동의를 받아야 합니다. 개별 게시물이나 오버레이로 동의를 받을 수 있습니다. 영업 활동을 트래킹하기 위해 브라우저에 쿠키가 저장되기 때문에 방문자가 제휴 링크를 클릭하기 전에 이에 동의를 얻어야 합니다.
디스플레이 광고
서드파티 광고 서버의 웹사이트에 광고가 있는 경우, 사이트에 들어갈 때 방문자는 광고 및 마케팅 목적으로 사용자 데이터를 수집하는 서드파티 서버 사용에 즉시 동의해야만 합니다. 광고 서버 타깃팅 목적으로 방문자에 대한 데이터를 수집하기 위해 쿠키를 사용하는 경우, 방문자가 사이트에 방문한 즉시 해당 목적을 위한 쿠키 사용에 대해 그들의 동의를 받아야 합니다.
문의하기 양식
방문자가 문의를 위한 양식을 제출하기 전에 체크박스를 통해 명시적인 동의를 받으십시오.
댓글
방문자들이 사이트 내에 댓글을 남기기 전에 체크박스를 활용하여 동의를 받고 여러분의 사이트가 방문자 댓글과 필요에 따라 관련된 날짜와 컴퓨터 IP 주소를 저장할 것이라고 밝혀야 합니다. 그리고 그 정보가 어떻게 쓰여지는지에 대해서도 알려주세요. 또한 댓글을 남길 때마다 아이디나 닉네임 같은 이름이나 URL 같은 일부 정보가 공개될 수 있다는 점도 밝혀야 합니다.
제품 판매
EU 거주자에게 제품이나 서비스를 판매하는 경우, 결제 시 필요한 최소한의 필수 정보만 수집하고 구입을 하기 전에 해당 정보가 어떻게 사용될 것이라는 명시적인 동의를 받으세요.
데이터 수집에 있어서 각각의 목적에 따른 명시적인 동의를 받는 것을 명심하길 바랍니다.(예를 들어 하나의 체크박스가 뉴스레터 구독과 구매 후 고객 커뮤니케이션을 위한 개인 정보 저장에 대한 명시적인 동의를 모두 받을 수는 없습니다.)
플러그인 또는 마케팅 도구에서 수집하는 데이터 유형에 대해서 잘 모르는 경우에는 개발자와 함께 확인해보고 혹시 GDPR을 미 준수하는 도구를 사용하고 있지 않은지 확인하세요.
5. GDPR 관리에 도움이 되는 플러그인
GDPR 규정을 준수하는 데 필요한 도구를 찾고 있다면 아래와 같은 몇 가지 워드프레스용 플러그인을 추천해드립니다.
- GDPR: 동의 관리, 개인정보 정책 구성, 데이터 내보내기 요청 등의 GDPR 관련 모든 옵션들이 포함되어 있습니다.
- Shariff Wrapper: 공유 플러그인을 통한 데이터 자동 전송을 차단합니다.
- GDPR Personal Data Reports: 데이터 엑세스를 요청하는 사용자에 대한 개인 데이터 보고서를 생성해줍니다.
- Wider Gravity Forms Stop Entries: 사용자가 민감한 정보가 서버에 저장되지 않도록 할 수 있습니다.
- Delete Me: 사용자가 자신의 계정과 프로필을 삭제할 수 있습니다.
결론
준비가 되었든, 안 되었든 GDPR 발효 시점인 5월 25일은 다가오고 있으며, EU 내 기업이 아니더라도 GDPR을 디지털 마케팅에 영향을 줄 수 있습니다. 그러나 위에서 소개한 몇 가지 단계를 따른다면 규정을 준수하고 과징금 위험에서 벗어날 수 있습니다.
* 네이버 프라이버시 센터에 가면 GDPR에 대해서 다양한 인포그래픽과 함꼐 한국어로 자세히 설명해놓았습니다. 참조하세요.
*마케팅 자료 및 기타 상담 문의: parkmg85@hanmail.net
*취업 준비생 및 사회 초년생을 위한 소규모 그룹의 원데이 마케팅 코칭 수업을 진행하고 있습니다. 수강 신청 및 자세한 사항은 여기를 클릭하고 확인해주세요.