GDPR이 판매자에게 주는 영향

GDPR(개인정보보호 규정)은 유럽에서 사업을 운영하거나 유럽 고객에게 상품/서비스를 제공하는 모든 Shopify 판매자에게 적용됩니다. Shopify는 GDPR을 준수하기 위해 노력하고 있으며, 판매자도 2018년 5월 25일자로 발효된 GDPR을 준수할 수 있도록 지원하고 있습니다. 하지만 판매자도 GDPR에 의거하여 Shopify 플랫폼에서 독자적인 조치를 취해야 합니다.

Shopify는 판매자들이 GDPR을 최대한 효율적으로 준수할 수 있도록 지원하고자 합니다. 이 문서에는 판매자가 GDPR을 준수하는 방식으로 스토어를 설정했는지 확인하기 위해 판매자의 의무 사항을 평가할 때 고려해야 하는 질문을 소개합니다.

이 문서의 내용은 법률 자문이 아닙니다. GDPR은 복잡한 규정이며 판매자마다 다르게 적용됩니다. 따라서 법률 전문가와의 상담을 통해 구체적으로 취해야 하는 조치를 파악해야 합니다.

데이터 요청 처리에 대한 자세한 내용은 GDPR 데이터 요청을 참조하십시오.

Shopify에서 판매자를 위해 GDPR 규정 준수를 처리할 수 없는 이유는 무엇입니까?

GDPR에 따라 데이터 처리자와 관리자에게는 여러 가지 의무가 적용됩니다. 데이터 처리자인 Shopify는 GDPR하의 법적 의무를 이행합니다. 하지만 데이터 관리자인 판매자 역시 별도의 의무를 고려해야 합니다.

Shopify는 GDPR을 준수하도록 구성할 수 있는 플랫폼을 판매자에게 제공합니다. 하지만 판매자는 사업 운영 방식을 직접 고려해야 합니다.

추가 지침을 파악하려는 경우 유럽연합 내의 다음 규제 당국에서 GDPR과 관련하여 제공한 구체적인 지침을 확인할 수 있습니다.

개인 데이터 수집

GDPR은 개인 데이터 처리와 관련하여 유럽연합 내 개인의 기본권을 보호합니다.

개인 데이터의 예는 다음과 같습니다.

  • 이름
  • 주소
  • 이메일 주소
  • 소셜 미디어 계정
  • IP 주소 또는 쿠키 ID와 같은 디지털 식별자

다음과 같은 질문을 고려해 보십시오.

  • 유럽 고객의 개인 데이터를 수집합니까? 대다수 웹사이트는 유럽 거주자에게 제공되며 GDPR의 적용 대상입니다.
  • 스토어에서 타사 앱이나 테마를 사용하는 경우 해당 앱/테마가 GDPR에 따라 데이터를 수집하고 처리합니까? Shopify에서는 이 프로세스를 쉽게 처리할 수 있도록 모든 앱이 데이터 처리 방식을 자세히 설명하는 개인정보처리방침을 게시하도록 요구하고 있습니다. 따라서 판매자는 해당 앱의 데이터 처리 방식이 적합한지 여부를 평가할 수 있습니다. Shopify에서 개발한 앱에는 데이터 처리 부록의 내용이 적용되며, Shopify는 해당 앱이 데이터 처리 부록을 준수함을 확인합니다.
  • 사용하는 채널 또는 전자결제 대행사가 GDPR에 따라 데이터를 수집하고 처리합니까? 해당 채널/대행사와 관련한 추가 작업을 수행하여 GDPR 준수 여부를 확인해야 합니다.
  • 고객으로부터 수집하는 모든 유형의 개인 데이터 및 이 데이터를 사용하는 모든 방식이 포함된 목록이 있습니까? GDPR 30조에 따라 데이터 이용 사례의 최신 맵을 유지 관리해야 합니다.

개인정보 관련 고지

GDPR(특히 12~14조)에 따라 판매자는 해당 데이터를 처리하는 개인 고객에게 구체적인 정보(보통 개인정보 관련 고지 또는 개인정보처리방침 형식)를 제공해야 합니다.

Shopify의 개인정보처리방침 생성기를 사용하여 정보 제공을 시작할 수 있습니다. 개인정보처리방침 생성기는 판매자 설정의 결제 아래에 있으며, 온라인으로도 제공됩니다.

다음과 같은 질문을 고려해 보십시오.

  • 규정에 따라 제공해야 하는 모든 정보가 포함된 개인정보처리방침이 사이트에 포함되어 있습니까? 이 개인정보처리방침에는 최소한 고객이 개인정보 관련 문의를 위해 판매자에게 연락할 수 있는 방법과 자신의 권리(예: 자신의 데이터를 지우거나(삭제) 정정(수정)할 권리 및 데이터에 액세스할 권리)를 행사할 수 있는 방법이 포함됩니까?
  • 개인정보처리방침에 Shopify에서 자동화된 위험/사기 점수 매기기에 고객의 개인 데이터를 사용할 수 있는 방법이 포함됩니까? GDPR에 따라 판매자 또는 해당 서비스 공급업체가 자동화된 의사 결정 과정에서 고객의 정보를 사용하는 경우 해당 사항을 공개해야 합니다. Shopify는 고객의 개인 정보를 사용하여 자동화된 의사 결정을 통해 사기로 간주되는 특정 거래를 차단합니다. Shopify의 개인정보처리방침 생성기에는 이 정보가 포함됩니다. 이 시스템에 대한 자세한 내용은 자동화된 의사 결정을 참조하십시오.

데이터 보호 책임자 임명

DPO(데이터 보호 책임자)는 조직에서 개인 데이터를 수집하고 처리하는 방법을 감독합니다. 핵심 활동에 대규모 온라인 추적이 포함되는 업체는 GDPR에 따라 DPO를 임명하고 개인정보처리방침에서 DPO의 연락처 정보를 제공해야 합니다.

GDPR에는 조직에서 개인 데이터 수집/처리 방법을 변경할 때 데이터 보호 영향 평가 수행 등 DPO가 수행해야 하는 특정 작업과 관련된 내용이 포함되어 있습니다. DPO는 GDPR 및 데이터 보호 요구 사항 관련 전문 지식을 갖춘 내부 직원일 수도 있고, 컨설턴트 또는 업체를 외부 DPO로 활용할 수도 있습니다.

다음과 같은 질문을 고려해 보십시오.

  • 상점의 추적 기술이 적용되는 고객의 수는 몇 명이나 됩니까? 행동 맞춤형 광고 앱, 대상 다시 지정 앱 등이 포함될 수 있습니다. 기술이 적용되는 고객 수가 많은지 여부는 법적인 결정 사항이므로 상황에 따라 법률 전문가의 상담을 받아야 합니다.
  • DPO를 자발적으로 임명해야 합니까? DPO를 임명해야 한다는 법적 의무는 없지만, 유럽에서 대규모 사업을 운영하는 경우에는 고객 데이터를 적절하게 보호할 수 있도록 DPO를 자발적으로 임명할 수 있습니다.

데이터 처리 계약

데이터 관리자는 GDPR 28조에 따라 Shopify 등의 데이터 처리자와 협력하여 고객 데이터를 처리할 때 데이터 처리자가 해당 데이터를 사용하고 처리할 수 있는 방법과 관련하여 엄격한 계약상의 요구 사항을 적용해야 합니다. 일반적으로는 DPA(데이터 처리 부록)를 통해 이러한 요구 사항을 적용합니다.

Shopify는데이터 처리 계약(https://www.shopify.com/legal/dpa)을 서비스 약관에 자동으로 통합하여 GDPR 28조의 요구 사항을 충족하고 있습니다.

Shopify Plus 판매자의 경우 Shopify와의 관계에서는 협상된 계약의 내용을 따릅니다. Plus 판매자는 요구를 충족하기 위해 데이터 처리 부록을 체결할 수 있습니다. 데이터 처리 부록을 체결하는 Shopify Plus 판매자에게는 Shopify의 온라인 데이터 처리 부록이 적용됩니다.

다음과 같은 질문을 고려해 보십시오.

  • Shopify 이외의 기타 협력 데이터 처리자가 고객 데이터 보호를 위한 계약상의 의무를 다하고 있습니까? 대부분의 타사 앱, 채널, 전자결제 대행사 또는 기타 데이터 처리자의 약관에도 데이터 처리 계약이 자동으로 통합됩니다. 이러한 개별 타사와 관련 상담을 완료했는지 확인해야 합니다.

  • 협상된 계약이 있는 Shopify Plus 판매자이십니까? 데이터 프로세싱 계약을 맺으려면 Shopify Plus 지원으로 문의하십시오. Shopify의 DPA 템플릿을 제공받을 수 있습니다.

고객 동의

판매자는 GDPR에 따라 고객의 개인 데이터를 처리하기 위한 동의를 받아야 하거나, 현재 그러한 동의를 받는 방법을 변경해야 할 수 있습니다.

예를 들어 고객에게 마케팅 메시지를 보내거나 온라인 광고 또는 대상 다시 지정 앱을 사용하는 경우 고객에게 동의를 받아야 할 수 있습니다.

동의를 받아야 하는 경우에는 GDPR에 따라 다음 요건을 준수해야 합니다.

  • 고객이 자유 의사로 동의: 동의는 전적으로 고객의 자발적인 의사여야 하며 기타 상품이나 서비스를 제공하는 조건으로 동의를 요청해서는 안 됩니다.
  • 구체적: 명확하게 설명된 사용 사례에 따라 동의 여부를 결정해야 합니다.
  • 충분한 정보 제공: 데이터 주체에게 수집/사용 대상인 개인 데이터와 관련하여 충분한 정보를 제공해야 동의를 받을 수 있습니다.
  • 분명한 동의 요청 표현: 서비스를 계속 사용하면 자동으로 동의하는 것으로 간주되는 방식이 아니라, 판매자가 확실하게 동의를 요청해야 합니다.

즉, 고객에게 특정 사용 사례에 대한 상세 정보를 제공해야 하며 소비자가 동의 의사 표시를 위해 명확한 작업을 수행해야 합니다.

마지막으로, 고객에게 동의 옵션을 제공하는 경우에는 GDPR에 따라 동의를 철회하는 방법도 제공해야 합니다. 동의 철회 옵션은 탈퇴 기능을 통해 제공하는 경우가 많습니다. 개인 데이터 수집 동의를 받아야 하는 경우와 방법 또는 고객이 동의를 철회할 수 있는 범위와 관련하여 궁금한 점이 있는 경우 데이터 보호법 전문 법률 전문가의 상담을 받아야 합니다.

하지만 동의는 GDPR에 따라 개인 데이터 처리의 정당한 사유가 될 수 있는 여러 가지 법적 근거 중 하나일 뿐입니다. 판매자는 계약 요구 사항을 충족하거나 법에 따라 데이터를 처리해야 하는 경우에도 개인 데이터를 처리할 수 있습니다.

유럽의 일부 규제 당국은 판매자가 처음에 동의를 요청할 때 고객이 거부하거나, 동의를 했다가 나중에 동의를 철회하면 판매자가 개인 데이터 처리를 위한 다른 법적 근거를 더 이상 제시할 수 없다고 규정하고 있습니다. 그러므로 판매자는 개인 데이터 처리를 위한 다른 법적 근거를 제시하지 않으려는 경우나 제시할 필요가 없는 경우에만 고객의 동의를 받아야 합니다.

참고: 영국 정보 위원회 웹사이트에서 데이터 처리를 지원하기 위한 여러 가지 법적 근거에 대해 자세히 확인할 수 있습니다.

다음과 같은 질문을 고려해 보십시오.

  • 고객 데이터를 사용하거나 처리하는 각 방식의 법적 근거는 무엇입니까? 고객의 동의에 따라 데이터를 처리합니까? 고객과 체결한 계약상의 의무를 이행하기 위해 데이터를 처리합니까? 사업상의 합법적인 이해 관계를 증진하게 위해 데이터를 처리합니까? 개인 데이터 수집에 설명되어 있는 데이터 처리 방식 맵의 일부분으로 법적 근거를 기록해야 합니다.
  • 고객에게 동의를 받아야 하는 경우 동의가 상품이나 서비스 제공의 전제 조건입니까? 예를 들어 by purchasing these goods, you agree to our use of your personal information 등의 설명은 GDPR에 따라 더 이상 사용할 수 없습니다.
  • 고객이 정보를 토대로 동의 여부를 결정할 수 있도록 해당 개인 데이터를 사용할 방식과 관련하여 충분한 세부 정보를 제공하고 있습니까?
  • 고객의 동의를 지정된 위치에 기록/저장하고 있습니까?
  • 고객에게 마케팅 자료를 보내려면 동의를 받아야 합니까? GDPR에 따라 동의를 받을 필요가 없더라도 지역법에 따라 고객에게 마케팅 자료를 보내기 위해 동의를 받아야 하는지 여부가 달라질 수 있습니다. 스토어에 적용되는 구체적인 요구 사항은 법률 전문가에게 문의하십시오.
  • 마케팅 자료를 보내려면 동의를 받아야 한다고 생각되는 경우 스토어의 마케팅 동의 확인란 선택이 기본적으로 취소되어 있습니까? 고객에게 표시되는 마케팅 동의 확인란이 기본적으로 미리 선택되어 있지 않도록 상점을 설정하는 것이 좋습니다. 이렇게 하면 고객이 동의를 하려는 경우 명확한 작업을 수행해야 합니다.

부모 동의

GDPR에는 16세 미만(특정 국가에서는 연령이 더 낮을 수도 있음) 사용자의 개인 데이터 처리에 대한 특정 부모 동의 요구 사항이 포함되어 있습니다.

다음과 같은 질문을 고려해 보십시오.

  • 16세 미만의 사용자 데이터 처리를 중지하거나 부모의 동의를 얻기 위해 고객 데이터를 처리하는 방법을 변경해야 합니까? Shopify 앱 스토어의 연령 제한 앱을 사용하여 16세 미만의 사용자가 사이트에 액세스하지 못하도록 하거나 방문자가 성인인지를 확인하도록 요청하여 이 과정을 수행할 수 있습니다.

자동화된 의사 결정

GDPR에 따르면 판매자는 고객의 개인 데이터를 사용해 자동화된 의사 결정을 진행하는 경우 고객에게 해당 사실을 알려야 합니다.

자동화된 의사 결정이란 자동 알고리즘을 사용하여 개인이 특정 서비스 또는 제공 혜택을 받을 자격이 있는지 여부, 특정 가격 청구 대상인지 여부 또는 특정 유형의 상품이나 서비스에 관심이 있는지 여부를 결정하는 방식입니다.

고객에게 중대한 법적 영향을 주는 완전 자동, 즉 사람의 개입이 전혀 없는 의사 결정 과정이 포함된 프로세스를 사용하는 경우에는 고객의 동의를 받아야 합니다.

자동 의사 결정 프로세스에 대한 요구 사항
프로세스 요구 사항
자동화된 의사 결정 알림
중대한 법적 영향을 주는 완전 자동 결정 과정 동의

일반적으로 Shopify는 고객의 개인 데이터를 사용해 완전 자동 의사 결정 과정을 진행하지 않습니다.

단, Shopify의 위험 및 사기 차단 과정에서는 결제 시도가 특정 수만큼 실패하고 나면 Shopify가 특정 결제 카드 번호 또는 IP 주소를 자동으로 차단할 수 있습니다. 자동 차단은 단시간 동안만 유지되므로, Shopify는 이러한 차단이 고객에게 중대한 법적 영향을 주지는 않는다고 간주합니다.

다음과 같은 질문을 고려해 보십시오.

  • Shopify의 위험 및 사기 차단 과정에서 자동화된 의사 결정에 고객의 개인 정보가 사용될 수 있다는 내용을 개인정보처리방침에 포함했습니까? 개인정보처리방침 13조에서 Shopify의 자동화된 의사 결정 방식에 대해 자세히 확인할 수 있습니다. 또한 특정 상황을 토대로 하여 이 서비스가 고객에게 중대한 법적 영향을 주지 않음을 법률 전문가에게 확인해야 합니다.
  • 자동화된 의사 결정 과정에 활용될 수 있는 타사 앱을 사용하고 있습니까? 상점에서 사용 중인 타사의 위험 또는 사기 방지 서비스나, 고객 프로필을 작성하거나 고객 세그먼트를 타기팅할 수 있는 모든 유형의 광고/마케팅 앱을 철저하게 검토해야 합니다.
  • 자동화된 의사 결정 과정에 활용되는 타사 앱을 사용하는 경우 이러한 앱 사용을 고객에게 알리거나 앱 사용 동의를 받아야 합니까?

데이터 유출 알림

GDPR의 적용되는 판매자의 경우 데이터 유출이 발생하면 영향을 받는 사용자 또는 특정 규제 기관에 알려야 할 수 있습니다.

특히 GDPR에 따르면 데이터 유출로 인해 개인의 권리와 자유가 참해될 위험성이 높은 경우 알림을 제공해야 합니다.

유출된 정보가 다음에 해당하는 경우 알림을 보내야 할 가능성이 높습니다.

  • 결제 세부 정보 포함
  • 공개되면 곤란한 정보나 개인 정보를 노출하는 데 사용될 수 있음
  • 개인 계정이나 서비스에 액세스하는 데 사용될 수 있음

해당하는 경우 판매자는 유출 사실을 알게 된 후 72시간 이내에 알림을 제공해야 합니다.

다음과 같은 질문을 고려해 보십시오.

  • 법률 전문가와의 상담을 통해 어떤 정보를 수집/처리할 때 데이터가 유출되면 알림을 제공해야 하는지를 확인했습니까?
  • 사고를 준비할 수 있는 기업의 데이터 유출 대응 계획이 있습니까?
  • 결제 세부 정보 포함
  • 공개되면 곤란한 정보나 개인 정보를 노출하는 데 사용될 수 있음
  • 개인 계정이나 서비스에 액세스하는 데 사용될 수 있음

GDPR에는 사용자의 개인 데이터를 처리하기 위해 타사 공급업체와 서비스 공급업체를 이용하는 업체에 대한 요구 사항이 규정되어 있습니다.

Shopify는 고객의 데이터를 처리하기 위해 다수의 하청 처리 업체를 이용합니다. Shopify의 하청 처리 업체에 대한 자세한 내용은 Shopify 하청 처리 업체를 참조하십시오.

다음과 같은 질문을 고려해 보십시오.

  • Shopify를 비롯하여 이용 중인 공급업체와 서비스 공급업체의 개인정보 처리 방식을 검토해 이러한 업체가 고객의 개인 데이터를 안전하게 보호하는지를 확인했습니까?

타사 앱

GDPR에 따르면 판매자는 자사 및 타사 서비스 공급업체의 개인 데이터 수집/사용과 관련하여 여러 가지 명확한 단계를 수행해야 합니다. 이러한 공급업체에는 Shopify가 포함되며 판매자가 Shopify 스토어와 관련하여 사용할 수 있는 타사 앱도 포함됩니다.

Shopify는 판매자가 설치하는 앱이 액세스할 수 있는 개인 데이터를 더 쉽게 파악할 수 있도록 필요한 작업을 수행했습니다.

단계:

  1. Shopify 관리자에서 을 클릭합니다.

  2. 권한을 검토할 앱의 세부 정보 보기를 클릭합니다.

앱을 설치하기 전에 앱 스토어의 설치 화면에서 앱 권한을 검토할 수도 있습니다.

그리고 앱 스토어에는 앱 개발자가 수집하는 정확한 데이터와 해당 데이터를 사용하는 방식을 더 자세히 설명하는 개인정보처리방침에 연결할 수 있는 각 앱용 섹션도 있습니다.

Shopify는 판매자가 설치하도록 선택하는 앱의 데이터 처리 방식을 최대한 쉽게 평가할 수 있도록 지원하지만, GDPR을 준수하는 방식으로 타사 앱을 사용 중인지는 판매자가 확인해야 합니다.

다음과 같은 질문을 고려해 보십시오.

  • 판매자/고객/앱 개발자의 위치와 각 앱의 구현에 따라 GDPR을 준수하는 방식으로 타사 앱을 사용하고 있습니까? 특정 앱의 데이터 처리 방식을 추가로 고려해야 하거나, 판매자가 GDPR 준수를 위한 작업을 수행해야 하는지 여부와 관련하여 궁금한 점이 있으면 법률 전문가의 상담을 받으십시오.

해외 데이터 전송

GDPR에서는 정보를 적절하게 보호하는 경우가 아니면 유럽인의 개인 데이터를 유럽 외부로 내보내는 행위를 금지하고 있습니다.

Shopify는 GDPR의 요구 사항에 따라 미국과 캐나다로 전송되어 처리되는 개인 데이터를 보호합니다.

Shopify는 판매자를 대신하여 이러한 요구 사항을 처리하기 위해 데이터 흐름을 설정했습니다. Shopify의 개인정보처리방침 12조에서 설명하는 것처럼, 판매자로부터 수령된 유럽인의 모든 개인 정보는 Shopify의 아일랜드 제휴사인 Shopify International Ltd가 아일랜드에서 처리합니다. 그리고 나면 Shopify는 GDPR에 따라 해당 데이터를 계속 전송합니다.

GDPR 해외 데이터 전송

GDPR 표준 및 정보 보안 모범 사례에 따라 Shopify가 EEA(유럽 경제 지역) 고객의 개인 데이터를 수신하고 처리하는 방법에 대한 자세한 내용은 Shopify의 GDPR 백서(영어)를 참조하십시오.

다음과 같은 질문을 고려해 보십시오.

데이터 전송 대상인 다른 당사자가 GDPR을 준수하는 방식으로 국가 간에 데이터를 전송합니까? 타사 앱/채널/전자결제 대행사/기타 공급업체의 개인정보처리방침을 확인하여 유럽인의 데이터를 보호하는 방식의 설명이 포함되어 있는지를 확인하면 됩니다.

Shopify의 GDPR 백서 다운로드

Shopify가 GDPR을 준수하는 방식에 대한 자세한 내용을 파악하고 Shopify 사용 방식이 GDPR을 준수하는지 확인하려면 Shopify의 GDPR 백서 문서(영문)를 다운로드하십시오.

Shopify와 함께 사업을 시작할 준비가 되셨습니까?

무료 체험