GDPR FAQ

GDPR 관련 자주 묻는 질문을 살펴보십시오. 이러한 설명은 정보 제공 전용이며 전문 법률 자문 자료가 아닙니다. 국가 및 상황별 정보는 별도의 법률 자문을 받으십시오.

Shopify의 결제 화면에 '이용 약관 및 개인정보처리방침 동의' 확인란이 포함되어 있지 않은 이유는 무엇입니까?

Shopify는 GDPR을 세심하게 고려하여 GDPR 등의 개인정보 보호법과 데이터 보호법을 준수할 수 있는 최고 수준의 상거래 환경을 판매자에게 제공하기 위한 플랫폼을 설계했습니다.

고객 데이터 처리 시 적절한 구현 방식을 통해 고객에게 명시적으로 동의를 받으면 데이터를 투명하게 처리하고 고객의 신뢰를 얻을 수 있습니다. 하지만 확인란이 적절하게 구현되지 않으면 고객의 혼동이나 잘못된 기대를 야기할 수 있으며 심한 경우에는 GDPR에 의거하여 판매자에게 법적 문제가 발생할 수도 있습니다. Shopify는 이러한 사안을 고려하여 결제 시 "이용 약관 및 개인정보처리방침 동의" 확인란을 포함하도록 결제 워크플로를 수정하지 않기로 했습니다.

특히 GDPR에는 판매자가 다양한 이유로 고객 개인 데이터를 수집하고 처리할 수 있다는 조항이 명시되어 있습니다. 여기에는 판매자가 제공한 정보를 토대로 고객이 동의를 한 경우가 포함됩니다. 하지만 다음과 같은 다양한 상황에서는 고객의 동의 여부와는 별개로 개인 데이터를 처리할 수 있다는 내용도 GDPR에 포함되어 있습니다.

판매자는 다양한 방식으로 고객 데이터를 처리할 때 이와 같은 여러 가지 법적 근거를 제시할 가능성이 높습니다. 예를 들어 판매자는 주문을 실제로 처리하고 고객과의 계약을 이행하기 위해 고객의 배송 주소를 사용해야 할 수 있습니다. 마찬가지로 판매자는 법률에 따라 세무 감사를 진행하거나 소환에 응하기 위해 개인 데이터를 처리해야 할 수도 있습니다. 그리고 기타 다양한 합법적 이해 관계 충족을 이해 개인 데이터를 처리할 수도 있습니다.

이와 동시에, 유럽의 규제 당국은 개인 데이터를 처리하는 여러 가지 정당한 이유 중 고객의 동의가 가장 중요함을 명확히 한 바 있습니다. 특히, 규제 당국은 특정 목적을 위해 데이터 처리 동의를 요청한 판매자가 더 이상 계약, 합법적 이해 관계 등 위에서 설명한 법적 근거를 제시할 수 없음을 시사했습니다. 또한 고객이 개인 데이터 처리에 동의했다고 해서 상품이나 서비스를 수령할 수 있는 것은 아님을 경고하기도 했습니다.

고객의 동의와 관련한 사항을 분명하게 이해해야 하는 이유를 설명하겠습니다. 판매자가 결제 화면에 "이용 약관 및 개인정보처리방침 동의" 확인란을 추가했다고 가정해 보겠습니다. 고객이 동의 확인란을 선택하지 않거나 동의를 했다가 철회하는 경우(GDPR에 따라 개별 고객에게 제공되는 권리), 판매자는 위에 나와 있는 다른 근거를 더 이상 제시할 수가 없게 됩니다. 즉, GDPR에 따라 판매자가 주문을 처리하기 위해 고객의 개인 데이터를 합법적으로 처리하지 못하게 될 수도 있습니다. 그와 동시에, 이 확인란을 반드시 선택해야 거래가 완료되는 것으로 판매자가 결제 화면을 수정하는 경우에는 동의가 상품이나 서비스를 받기 위한 전제 조건이 되므로, GDPR에 따라 효력을 발휘하지 못하게 됩니다.

이처럼 동의와 관련하여 발생하는 복잡한 문제로 인해, 다수의 규제 당국에서는 적절하지 않은 경우 고객의 동의를 요청하거나 동의를 해야 거래를 완료되도록 설정하는 행위를 금지하고 있습니다. 예를 들어 영국 정보 위원회에서는 다음 권고 사항을 제시한 바 있습니다.

"판매자가 고객 데이터를 사용하는 방식을 고객이 실제로 선택하고 제어할 수 있는 경우, 그리고 고객의 신뢰도와 참여도를 높이려는 경우 동의를 요청할 수 있습니다. 하지만 고객에게 실질적인 선택권을 제공할 수 없는 경우에는 동의를 요청할 수 없습니다. 동의 없이 개인 데이터를 처리하려는 경우 동의를 요청하는 행위는 오해의 소지가 있으며 기본적으로 공정하지 않습니다.

서비스의 전제 조건으로 동의를 포함하는 경우 가장 적절한 합법적 근거가 되지 못할 가능성이 높습니다.

공공 기관, 고용주 및 개별 직원을 통제할 수 있는 기타 조직에서는 고객이 자유 의사에 따라 동의를 한다고 확신하는 경우를 제외하고는 동의를 요청해서는 안 됩니다."

Shopify는 판매자를 지원하고 법적 문제를 방지하기 위해 최선을 다하고 있습니다. 그와 동시에, 판매자는 고객이 믿고 데이터를 맡기고 있음을 확신할 수 있어야 합니다. 따라서 판매자는 결제 페이지가 아닌 카트 페이지에 '이용 약관 동의' 확인란을 추가할 수 있습니다. 이 확인란을 추가하는 방법에 대한 자세한 내용은 Shopify 도움말 문서를 참조하십시오.

참고: 이 FAQ에서는 결제를 완료하기 위해 동의를 받는 확인란에 대해 설명합니다. 마케팅, 매우 중요한 데이터 수집 등의 다른 이유로 고객의 동의를 받으려는 경우도 있습니다.

Shopify와 DPA(데이터 처리 계약)를 체결할 수 없는 이유는 무엇입니까?

GDPR에 따르면 개인 데이터를 처리하려는 데이터 처리자는 각 데이터 관리자와의 서면 계약(전자 형식 계약 포함) 내용을 따라야 합니다. 이러한 계약은 처리 대상인 개인 데이터, 그리고 데이터 처리자 및 관리자의 의무와 권리를 지정해야 합니다. 이와 같은 계약을 DPA(데이터 처리 계약)라고도 합니다. 본질적으로 DPA는 Shopify에서 판매자(데이터 관리자)가 지정한 방식을 통해 제공된 개인 데이터만 처리한다는 계약입니다.

Shopify는 이 요구 사항을 충족하기 위해 서비스 약관에 데이터 처리 부록을 추가했습니다. 데이터 처리 부록 자체가 '계약'인 것은 아니며, 서비스 약관에 추가된 '부록'입니다.

판매자는 Shopify 서비스에 가입할 때 서비스 약관, 나아가 데이터 처리 부록에 동의하게 됩니다. 또한 서비스를 계속 사용하는 경우 서비스 약관의 업데이트 내용(예: 데이터 처리 부록을 추가한 업데이트)에 동의하게 됩니다.

서비스 약관에는 판매자가 거주하는 관할권의 법률이 아닌 온타리오 법이 적용됩니다. 따라서 판매자의 업체 및 판매자가 데이터를 처리하는 방식에 GDPR 등의 기타 지방법이 적용될 수 있으며 해당 법률에 따라 Shopify 등의 서비스 공급업체와 구속력이 있는 계약을 체결해야 할 수는 있지만, 이러한 지방법에서 계약에 법적 구속력이 있는지 여부를 규정하는 것은 아닙니다. 판매자가 Shopify와 체결하는 계약의 경우 DAP가 법적 구속력이 있는 계약인지 여부는 온타리오 법에 따라 결정됩니다.

그러므로 판매자가 거주하는 관할권에서 DAP 등의 계약을 체결해야 한다고 규정하더라도 판매자의 DAP에는 해당 규정이 적용되지 않을 수도 있습니다. 온타리오 법에 따르면 Shopify의 약관이 업데이트된 후 서비스를 계속 사용하는 경우 Shopify와 판매자에게 모두 수정된 새 서비스 약관이 적용됩니다. Shopify를 계속 사용하는 판매자는 GDPR의 규정에 따라 데이터 처리 부록을 포함하는 법적 구속력이 있는 계약을 Shopify와 체결한 것으로 간주됩니다.

참고: 협상된 DPA에 서명한 Shopify Plus 판매자인 경우에는 DPA가 Shopify의 온라인 DPA를 대신합니다.

GDPR 또는 지역별 개인정보 보호법과 관련하여 추가 문의 사항이 있으면 어떻게 해야 합니까?

해당 지역의 개인정보 보호법 또는 데이터 보호법 전문 법률 전문가에게 문의하십시오.

Shopify의 개인정보 관련 업무 방식에 대해 자세히 확인하려면 어디에 문의해야 합니까?

Shopify의 개인정보 관련 업무 방식에 대해 자세히 확인하려면 privacy@shopify.com으로 이메일을 보내 주십시오.

Shopify를 사용하여 스토어를 호스트하는 업체는 GDPR을 준수하는 것입니까?

자동으로 준수하게 되는 것은 아닙니다. Shopify의 운영 방식은 GDPR을 준수하며 Shopify는 판매자가 GDPR을 준수하는 데 활용할 수 있는 툴을 제공합니다. 하지만 업체가 사업을 운영하는 관할권의 법률을 준수하는지 확인할 책임은 각 판매자에게 있습니다.

요약하자면, Shopify의 플랫폼을 사용하는 회사가 반드시 GDPR을 준수하는 것은 아닙니다.

Shopify는 표준 조항이 포함된 계약을 체결합니까?

아니요. Shopify 백서(영문)의 데이터 전송 섹션에 설명되어 있는 것처럼, Shopify는 판매자가 유럽 내의 Shopify 아일랜드 제휴사로 데이터를 전송하도록 데이터 흐름 구조를 구축했습니다. 따라서 유럽의 당사자와 타 지역 당사자 간의 전송용으로 승인된 표준 계약 조항은 적합하지 않습니다.

또한 Shopify Inc.로 직접 데이터를 전송하는 경우 Shopify는 캐나다 기업인 Shopify Inc.에 확대 적용되는 캐나다 개인정보 보호법에 따라 유럽 위원회가 결정하는 타당성 여부를 따릅니다.

Shopify와 함께 사업을 시작할 준비가 되셨습니까?

무료 체험