GDPR이란?

GDPR은 EU 거주자에게 자신의 개인 데이터에 대한 통제권을 부여하는 포괄적인 데이터 보호법입니다. 세계 어디에 있든 EU 거주자의 데이터를 처리하는 모든 조직에 적용됩니다. 이 규정은 데이터 수집, 저장, 처리 및 공유를 포괄합니다.

GDPR의 핵심 원칙

GDPR 적용 대상

GDPR은 조직이 어디에 기반을 두고 있든 관계없이 EU 내 개인의 개인 데이터를 처리하는 모든 조직에 적용됩니다. 여기에는 EU 고객, 웹사이트 방문자 또는 직원을 보유한 미국, 아시아 또는 기타 지역의 기업이 포함됩니다.

GDPR에 따른 개인 권리

• 접근권: 사용자는 자신의 데이터 사본을 요청할 수 있습니다.
• 정정권: 사용자는 부정확한 데이터를 수정할 수 있습니다.
• 삭제권: '잊힐 권리.'
• 데이터 이동권: 사용자는 자신의 데이터를 다른 서비스로 이전할 수 있습니다.
• 이의 제기권: 사용자는 특정 유형의 처리에 이의를 제기할 수 있습니다.
• 처리 제한권: 사용자는 데이터 사용 방법을 제한할 수 있습니다.

미준수에 대한 제재

GDPR과 디지털 시장법(DMA)

2024년부터 EU의 디지털 시장법은 GDPR과 함께 대형 플랫폼이 사용자 데이터를 처리하는 방식을 규제합니다. DMA는 지정된 '게이트키퍼'(Google, Apple, Meta 등)가 서비스 전반에 걸쳐 사용자 데이터를 결합하기 전에 명시적 동의를 받도록 요구합니다. 이는 광고 공급망에서 동의가 수집되고 전달되는 방식에 직접적인 영향을 미칩니다.

GDPR과 쿠키: 동의 관리의 역할

GDPR 및 ePrivacy 지침에 따라 웹사이트는 비필수 쿠키를 설치하기 전에 명시적 동의를 받아야 합니다. 이는 규정을 준수하는 쿠키 배너가 선택 사항이 아닌 법적 요건임을 의미합니다. 주요 사항은 다음과 같습니다:

• 비필수 쿠키(분석, 마케팅, 광고)는 사용자가 명시적 동의를 제공할 때까지 차단되어야 합니다
• 동의는 자유롭게 제공되어야 하며 -- 미리 체크된 상자나 수락을 강제하는 쿠키 월이 없어야 합니다
• 사용자는 동의를 제공한 것만큼 쉽게 철회할 수 있어야 합니다
• 동의 기록은 저장되어 감사 목적으로 이용 가능해야 합니다

Google Consent Mode V2와 GDPR

2024년 3월부터 Google은 유럽경제지역(EEA)에서 광고를 게재하는 웹사이트에 Google 인증 CMP를 사용하고 Consent Mode V2를 구현하도록 요구합니다. 이 통합은 동의 신호가 Google 서비스에 적절히 전달되도록 보장하며, 개인정보 보호 모델링을 통해 측정 기능을 유지하면서 규정 준수 광고 게재를 가능하게 합니다.

IAB TCF 2.3과 GDPR 준수

IAB 투명성 및 동의 프레임워크(TCF) 버전 2.3은 디지털 광고 생태계 전반에 걸쳐 동의를 수집하고 전달하는 표준화된 방법을 제공합니다. FlexyConsent와 같은 TCF 2.3 준수 CMP를 사용하면 동의 신호가 공급망의 모든 광고 공급업체에 적절히 형식화되어 전송됩니다.

2026년 GDPR 준수 방법

• 데이터 수집 및 처리 활동을 감사하세요
• FlexyConsent와 같은 Google 인증 CMP를 구현하세요
• CMP가 IAB TCF 2.3 및 Google Consent Mode V2를 지원하는지 확인하세요
• 명확하고 접근 가능한 개인정보 및 쿠키 정책을 작성하세요
• 데이터 주체 접근 요청(DSAR)을 활성화하세요
• 데이터 보호 책임에 대해 팀을 교육하세요
• 필요한 경우 데이터 보호 책임자(DPO)를 임명하세요
• 데이터 침해 알림 절차를 구현하세요 (72시간 규칙)
• 정기적으로 데이터 보호 영향 평가(DPIA)를 실시하세요