귀하의 웹사이트는 Privacy Policy가 필요합니다 – 포함되어야 할 내용은 이것입니다

Source: Dev.to

웹사이트가 분석 쿠키, 이메일 주소, 서버 로그에 기록된 IP 주소와 같은 개인 데이터를 수집한다면, 법적으로 개인정보 처리방침을 마련해야 합니다. 이 의무는 EU(GDPR), 캘리포니아(CCPA/CPRA), 브라질(LGPD) 및 점점 늘어나는 다른 관할 구역에서도 적용됩니다.

개인정보 처리방침에 대한 법적 요구사항

• EU(GDPR), 캘리포니아(CCPA/CPRA), 브라질(LGPD) 및 기타 많은 지역에서는 개인 데이터가 처리될 때마다 공개적으로 접근 가능한 개인정보 처리방침을 요구합니다.
• 이 요구사항은 양식, 자동 추적, 제3자 서비스 등 모든 형태의 데이터 수집에 적용됩니다.

미준수 시 벌칙

• GDPR 위반에 대한 벌금은 연간 전 세계 매출의 4 % 또는 2천만 유로 중 큰 금액까지 부과될 수 있습니다.
• 최근 집행 사례:
  • Meta – 12억 유로(2023)
  • Amazon – 7억 4600만 유로(2022)
• 중소기업도 벌금 및 집행 조치를 받을 수 있으며, 전 세계적으로 그 속도가 가속화되고 있습니다.

포괄적인 개인정보 처리방침의 핵심 요소

귀하의 방침은 다음 각 항목을 명확히 다루어야 합니다:

수집하는 데이터

구체적으로 명시하고 “개인 정보”와 같은 모호한 용어는 피하세요. 다음과 같은 카테고리를 나열합니다:

• 이름
• 이메일 주소
• IP 주소
• 브라우저 정보
• 위치 데이터
• 구매 이력
• 쿠키 및 기타 추적 식별자

수집 방법

• 사용자로부터 직접(양식, 계정 생성)
• 자동으로(쿠키, 분석 스크립트, 서버 로그)
• 제3자 소스로부터(해당되는 경우)

수집 목적

각 처리 활동에 대한 법적 근거를 설명합니다(GDPR):

• 동의
• 계약 이행
• 정당한 이익
• 법적 의무

공유 대상

데이터를 받는 모든 제3자를 식별합니다. 예시:

• 분석 제공업체(Google Analytics)
• 결제 처리업체(Stripe)
• 이메일 서비스(SendGrid)
• 광고 네트워크

보관 기간

보관 기간을 명시합니다. “무기한”과 같은 표현은 비준수입니다. 예시:

• 마케팅 이메일 주소 – 마지막 상호작용 후 X개월 보관
• 서버 로그 – Y일 보관

사용자 권리

사용자가 권리를 행사할 수 있는 방법을 안내합니다:

• GDPR: 접근, 정정, 삭제, 이동성, 제한, 이의 제기
• CCPA: 알 권리, 삭제 권리, 판매 거부, 차별 금지

연락처 정보

프라이버시 관련 문의를 할 수 있는 명확한 연락 방법을 제공하세요. 대규모 데이터 처리를 하는 경우 GDPR에 따라 데이터 보호 책임자(DPO)를 지정해야 할 수도 있습니다.

Google Analytics와 GDPR

• Google Analytics를 사용하면 IP 주소, 브라우징 행동, 디바이스 정보가 Google 서버로 전송됩니다.
• GDPR은 추적 스크립트가 로드되기 전에 명시적 동의를 요구합니다.
• 여러 EU 데이터 보호 당국은 동의가 있더라도 미국 서버로의 전송은 GDPR에 부합하지 않는다고 판단했습니다.
• 귀하의 개인정보 처리방침에는 이러한 처리와 관련 위험을 반드시 공개해야 합니다.

쿠키 동의와 ePrivacy 지침

• ePrivacy 지침(일명 “쿠키 법”)은 비필수 쿠키(예: 분석 및 광고 쿠키)를 설정하기 전에 동의를 요구합니다.
• 사용자는 쿠키를 수락하거나 거부할 수 있어야 하며, 거부하더라도 사이트는 정상적으로 작동해야 합니다.
• 쿠키 배너는 개인정보 처리방침으로 연결되어야 하며, 방침에는 쿠키 사용 관행을 상세히 기술해야 합니다.

개인정보 처리방침 생성기 활용

개인정보 처리방침 생성기는 표준 질문에 대한 답변을 기반으로 GDPR, CCPA 및 일반 모범 사례를 포함한 초안을 제공하여 좋은 출발점을 마련해 줍니다. 그러나 각 사업체마다 고유한 상황이 존재하므로 맞춤형 접근과 법률 검토가 필요할 수 있습니다.

• 무료 생성기 사용해 보기: – 수집하는 항목, 목적, 방법 등에 대한 질문에 답하고 포괄적인 방침 초안을 받아보세요.