학습 내용
GDPR과 관련하여 자주 묻는 질문들을 살펴보고 규정 준수에 도움을 받으세요.
GDPR은 일반 데이터 보호 규정의 약자입니다. 2016년 유럽연합 집행위원회에서 제정하여 2018년 5월 25일부터 시행된 법입니다. 이 규정은 개인 데이터에 관한 규정을 적용하여 유럽연합 외부에 위치한 기업과 거래하는 경우를 포함해 모든 유럽연합 시민의 개인 정보를 보호하도록 설계되었습니다. GDPR에 대한 자세한 내용은 블로그 시리즈에서 확인하세요.
본 정보는 교육 용도이며 법률 자문으로 해석되어서는 안 됩니다. Klaviyo는 모든 고객과 전자상거래 판매자가 GDPR의 구체적인 준수 방법에 관해 법률 자문을 구할 것을 권장합니다.
유럽 고객의 데이터를 Klaviyo로 전송해도 합법적인가요?
예, 그렇습니다. GDPR은 유럽연합 외부로 데이터를 전송하기 위한 여러 법적 메커니즘을 인정합니다. EU-US Privacy Shield 프레임워크가 무효화됨에 따라 Klaviyo는 유럽 위원회의 표준 계약 조항을 Klaviyo의 데이터 보호 부록에 통합했으며, 이는 Klaviyo의 서비스 약관에 통합되어 있습니다. 조직에서 수행하게 되는 모든 데이터 전송에 대해 적절한 전송 메커니즘이 무엇인지 판단하려면 법무팀과 상의하는 것이 좋습니다.
기존 프로필에 대한 명시적인 옵트인을 증명할 수 없을 경우, 이메일로 이것을 확인할 수 있는 방법이 있나요?기존 프로필에 대한 명시적인 옵트인을 증명할 수 없을 경우, 이메일로 이것을 확인할 수 있는 방법이 있나요?
GDPR이 시행되기 전(2018년 5월 25일)에 Klaviyo는 유럽연합 내 모든 구독자에게 재허가 캠페인을 보낼 것을 권장했었습니다. 그러나 이제 GDPR이 시행됨에 따라 더 이상 이 관행을 권장하지 않습니다. 명시적인 옵트인을 입증할 수 없는 기존 고객, 혹은 구독자에게 연락하기에 앞서 법무팀과 먼저 상의하세요.
구독자가 동의한 날을 포함하여 동의 여부를 어떻게 증명하나요?구독자가 동의한 날을 포함하여 동의 여부를 어떻게 증명하나요?
이중 옵트인을 사용하는 것 말고도 소비자가 동의를 제공한 양식, 이메일 또는 웹페이지에 표시된 언어를 유지해야 합니다. 따라서 동의한 시간/날짜와 동의한 내용을 정확히 제시할 수 있어야 합니다.
웹사이트의 이메일 필드에 고객이 세부 정보를 제출하기 전에 선택할 수 있는 확인란을 더 추가�해야 하나요?웹사이트의 이메일 필드에 고객이 세부 정보를 제출하기 전에 선택할 수 있는 확인란을 더 추가해야 하나요?
Klaviyo는 여러 개의 체크박스가 있는 GDPR 준수 양식을 제공하여 세분화된 동의를 허용합니다(예: 이메일 마케팅 및 Facebook 마케팅에 대한 별도 동의).
GDPR을 준수한다고 확인된 양식을 선택한 다음, 마케팅 프로그램에 따라 적절하게 사용자 지정해야 합니다. 다른 플랫폼을 통해 유럽연합 소비자에 대한 개인 정보를 수집하는 경우, 해당 플랫폼에서도 변경해야 합니다.
어떤 유형의 개인 데이터를 처리하며, 어디에 호스팅되고, 누구와 공유하며, 얼마나 오래 보관하나요?어떤 유형의 개인 데이터를 처리하며, 어디에 호스팅되고, 누구와 공유하며, 얼마나 오래 보관하나요?
Klaviyo에서 처리하는 데이터, 그리고 해당 데이터 보호를 위해 취하는 조치에 관한 정보는 데이터 처리 부록(DPA)에서 확인할 수 있습니다. 보안 조치는 부록의 첨부 2에 구체적으로 설명되어 있습니다. 전체 서비스 약관을 읽어보실 수도 있습니다.
Klaviyo에 데이터가 저장되는 방식에 관한 정보가 포함된 이메일을 캡처할 때 약관을 업데이트해야 하나요?Klaviyo에 데이터가 저장되는 방식에 관한 정보가 포함된 이메일을 캡처할 때 약관을 업데이트해야 하나요?
예, 약관을 업데이트해 유럽연합 잠재 고객 및 고객을 위한 다음의 지침을 반영해야 합니다.
- 이해하기 쉽고 명확하며 평이한 언어를 사용하세요.
- 데이터가 필요한 이유와 데이터로 수행할 작업을 구체적으로 제시하세요.
- 조직 및 사용할 타사 프로세서의 이름을 지정하세요.
- 개인이 동의를 철회할 수 있음을 알려주세요.
GDPR을 준수하려면 현지 언어로 된 옵트인 이메일을 제공해야 하나요?
꼭 그렇지는 않습니다. 구체적인 요구 사항은 국가마다 다를 수 있으므로 국가별 요구 사항에 대해서는 법무팀에 문의하는 것이 좋지만, Klaviyo는 여러 언어로 기본 옵트인 언어를 제공합니다.
소비자로부터 모든 개인 데이터에 대한 동의를 받아야 하나요?소비자로부터 모든 개인 데이터에 대한 동의를 받아야 하나요?
민감한 데이터를 수집하거나 처리할 수 있는 합법적인 근거를 마련하기 위한 유일한 방법은 명시적인 동의뿐입니다. 그 외 개인 데이터의 경우에는 합법적인 근거를 마련하기 위한 선택지가 여럿 있을 수도 있지만, 조직이 자주 의존하는 옵션 중 하나는 동의입니다.
그 외 합법적인 근거로는 다음과 같은 것이 있습니다.
- 계약 이행을 위해 또는 계약 체결 전 정보 주체의 요청에 따라 조치를 취하기 위해 처리가 필요한 경우
- 법적 의무를 준수하기 위해 처리가 필요한 경우
- 데이터 주체 또는 다른 사람의 중대한 이익을 보호하기 위해 처리가 필요한 경우
- 데이터 처리는 비즈니스의 정당한 이익을 위해 필요하지만, 그러한 이익이 정보 주체의 이익이나 기본권보다 우선되지는 않습니다.
- 공익을 위해 수행되는 업무 또는 공무원의 책무를 이행하기 위해 처리가 필요한 경우
조직의 데이터 처리에 관해 적절한 법적 근거를 판단하려면 법무팀에 문의하는 것이 좋습니다.
프로필은 볼 수 있지만 개인 식별 정보는 볼 수 없도록 내 데이터를 익명화할 수 있나요?프로필은 볼 수 있지만 개인 식별 정보는 볼 수 없도록 내 데이터를 익명화할 수 있나요?
현재 고객이 프로필을 익명화하는 것은 허용되지 않지만, 성과 지표의 정확성을 유지하기 위해 해당 프로필과 관련된 익명화된 데이터(예: 완료된 주문 이벤트)는 계정에 남아 있습니다. 시스템에서 데이터를 추출할 때는 익명으로 처리할 수 있지만, Klaviyo 내에서는 모든 프로필에 통합된 데이터를 완벽하게 파악할 수 있습니다.
같은 맥락에서 규정 준수를 증명하기 위해 삭제 기록을 남기고 연락처를 삭제할 수 있으며, 연락처의 요청이 있는 경우 해당 프로필의 모든 데이터를 내보낼 수도 있습니다.
장바구니 이탈 이메일은 GDPR을 준수하나요?장바구니 이탈 이메일은 GDPR을 준수하나요?
이에 대한 답은 명확하지 않지만, 많은 조직에서 정당한 이해관계에 근거하여 마케팅 커뮤니케이션을 위해 명시적인 동의 없이도 장바구니 이탈 이메일을 보낼 수 있다는 견해를 취하고 있습니다. 장바구니 이탈 이메일은 비즈니스와의 거래를 완료하려는 명시적인 의도와 관련된 커뮤니케이션으로 간주할 수 있습니다. 반면에 검색 포기 및 윈백과 같은 기타 트리거 이메일은 고객이 이전에 GDPR을 준수한 방식으로 마케팅 이메일을 수신하는 데 동의하지 않는 한 허용되지 않을 수 있습니다.
즉, 정당한 이익 또는 기타 법적 근거의 적용 여부는 이메일의 수와 빈도, 장바구니 이탈 후 경과된 시간 등 특정 상황에 따라 달라집니다. 이메일 캠페인이 관련 법률을 준수하는지 확인하려면 법무팀과 상의할 것을 강력히 권장합니다.
Google Fonts를 사용하는 것은 GDPR를 준수하는 것인가요?Google Fonts를 사용하는 것은 GDPR를 준수하는 것인가요?
Google Fonts를 사용하면 Google 서버에서 글꼴을 제공하기 위해 수신자의 IP 주소를 필요로 하므로 GDPR 준수 문제가 발생할 수 있습니다. GDPR에 따르면 IP 주소는 사용자를 식별하는 데 사용될 수 있는 개인 정보에 해당합니다. 글꼴 라이브러리에 Google Fonts를 포함하면 Google Fonts를 사용하는 것으로 간주됩니다.
Google Fonts의 대안으로 Klaviyo는 가입 양식, 동의 페이지 및 이메일에 사용할 수 있도록 Klaviyo에서 호스팅하는 다양한 글꼴을 제공합니다. 이러한 글꼴 사용에는 수신자의 IP가 필요하지 않습니다.
추가 리소스