동의 vs. 정당한 이익: 마케팅을 위해 무엇을 선택해야 합니까?

GDPR 6조를 통해 귀하는 동의 및 정당한 이익을 포함한 6가지 합법적인 기반에 따라 사용자의 개인 데이터를 처리할 수 있습니다.

GDPR 6(1)(a)조 – 데이터 처리에 대한 합법적 근거로서의 동의: 데이터 주체는 하나 이상의 특정 목적을 위해 개인 데이터를 처리하는 데 동의했습니다.

GDPR 6(1)(f)조 – 컨트롤러 또는 제3자가 추구하는 정당한 이익의 목적을 위해 처리가 필요합니다. 단, 이러한 이익이 다음을 요구하는 정보 주체의 이익 또는 기본적 권리와 자유에 의해 무효화되는 경우는 예외입니다. 특히 데이터 주체가 어린이인 경우 개인 데이터 보호.

이 두 가지는 마케팅 목적으로 개인 데이터를 처리하기 위해 가장 많이 논의되는 법적 근거이기도 합니다.

이 중 동의 기반은 매우 간단합니다. 사용자가 데이터 처리에 "동의"했기 때문입니다.

그러나 문제는 동의가 있는 경우 마케팅 프로세스에 항상 적합하지 않다는 것입니다.

그러면 마케터에게 정당한 이익 조항이 남게 됩니다.

표면적으로는 정당한 이익은 많은 개인 데이터 처리를 허용할 수 있는 포괄적인 용어처럼 보입니다. 그러나 합법적인 이익을 법적 근거로 사용하는 것은 데이터 처리가 실제로 필요한 경우에만 데이터 처리를 위한 합법적인 근거로 간주될 수 있으므로 신중한 고려가 필요합니다.

마케팅 목적을 위한 동의와 정당한 이익 사이에서 선택

동의가 "황금 기준"이기 때문에 법적 근거로 동의를 사용하여 개인 데이터를 처리하는 것은 매우 안전한 것으로 간주됩니다.

그것은 또한 모호하지 않기 때문에 정당한 이익의 근거보다 데이터 처리에 대한 훨씬 더 강력한 근거입니다. 당신은 사용자에게 물었고 그들은 "예!"라고 말했습니다.

그러나 특정 유형의 개인 데이터를 처리할 때마다 동의를 얻는다는 것은 사용자가 다양한 동의 양식을 선택하도록 하는 것을 의미합니다.

실제로 GDPR은 합법적으로 동의를 구하는 방법에 대한 몇 가지 매우 명확하고 엄격한 지침을 제공합니다.

[...] 동의 표시는 모호하지 않아야 하며 명확한 긍정적 조치(옵트인)를 포함해야 합니다. 특히 미리 선택된 옵트인 상자를 금지합니다. 또한 고유한 처리 작업에 대해 고유한('세분화된') 동의 옵션이 필요합니다. 동의는 다른 이용약관과 분리되어야 하며 일반적으로 서비스 가입의 전제 조건이 되어서는 안 됩니다.

반면에 적법한 이익의 법적 근거는 매우 유연합니다.

무엇보다도 GDPR은 마케터가 합법적인 이익을 근거로 직접 마케팅 목적으로 개인 데이터를 처리하는 경우를 허용합니다.

…직접 마케팅 목적으로 개인 데이터를 처리하는 것은 정당한 이익을 위해 수행되는 것으로 간주될 수 있습니다.

또한 ICO(Information Commissioner's Office, GDPR와 같은 영국의 데이터 개인 정보 보호법을 적용하는 방법에 대해 기업을 안내하는 영국 기반의 독립 기관)는 마케팅에 대한 합법적인 이익(예: "판매 촉진")이 어떻게 가능한지 설명합니다. 데이터 처리의 진정한 목적을 확인하십시오.

[우리]판매를 늘리기 위해 기존 고객에게 우리 상품을 마케팅하는 데 합법적인 이해관계가 있습니다.

ICO는 또한 다음과 같은 여러 경우에 정당한 이익이 어떻게 가장 적절한 근거가 될 수 있는지 설명합니다.

• 처리가 법에 의해 요구되지는 않지만 귀하 또는 다른 사람에게 명백한 이익이 되는 경우
• 개인에 대한 제한된 개인 정보 영향이 있습니다.
• 개인은 귀하가 자신의 데이터를 그러한 방식으로 사용하기를 합리적으로 기대해야 합니다. 그리고
• 귀하는 개인에게 완전한 사전 통제(즉, 동의)를 제공하거나 처리에 반대할 가능성이 낮은 경우 방해적인 동의 요청으로 그들을 귀찮게 할 수 없거나 원하지 않습니다.

각 마케팅 요구(또는 목적)에 대해 마케터는 사용할 다양한 법적 기반(GDPR이 데이터 처리를 허용하는 6가지 법적 기반 중에서)을 신중하게 결정해야 합니다. 이 6가지 중 동의와 정당한 이익은 일반(또는 로그인하지 않은) 방문자를 위한 웹사이트 개인화에 자주 사용되는 두 가지 합법적인 기반입니다. (이 문서는 웹사이트 경험을 개인화하기 위해 합법적인 이익을 합법적인 기반으로 사용하는 방법에 중점을 둡니다.)

일반적으로 정당한 이익 조항에 따른 사례를 포함하는 것은 많은 생각을 필요로 합니다. 이를 다소 쉽게 하기 위해 ICO는 귀하가 갖고 있는 목적이 합법적인 이익 조항에 따라 합법적인 근거가 될 수 있는지 여부를 식별하는 데 도움이 되는 세 부분으로 구성된 테스트를 설계했습니다.

GDPR에 따른 정당한 이익을 결정하기 위한 ICO의 세 부분 테스트는 다음과 같습니다.

1. 목적 테스트 – 처리 이면에 정당한 이익이 있습니까?
   정당한 이익을 개인 데이터 처리를 위한 합법적인 근거로 사용하려면 먼저 관련 개인 데이터를 처리해야 하는 필요성을 설명해야 합니다. 당신은 그것을 처리하고자 하는 이면에 명확한 목적이 필요합니다.
2. 필요성 테스트 – 그 목적을 위해 처리가 필요한가?
   합법적인 이익을 개인 데이터 처리에 대한 합법적인 근거로 사용하려면 목적을 달성하는 데 덜 침습적인 다른 방법이 없으며 처리가 " 비례하고 목적을 달성하기 위해 적절하게 타겟팅됩니다... "
3. 균형 테스트 – 정당한 이익이 개인의 이익, 권리 또는 자유보다 우선합니까?
   귀하의 사례가 처음 두 가지 테스트에서 자격을 얻은 후에는 관련 개인 데이터를 처리하는 것이 개인 데이터가 처리될 개인의 권리와 자유를 침해하지 않는지 확인해야 합니다.

이제 GDPR의 정당한 이익 조항에 해당할 수 있는 매우 일반적인 개인 데이터 처리 예를 살펴보겠습니다.

정당한 이해관계를 이용한 개인정보 처리 근거의 10가지 예

실제 예를 보기 전에 아래 나열된 모든 예에는 많은 경고 목록이 있음을 이해하십시오. 이러한 예는 정당한 이익 조항에 따라 탐색할 수 있는 마케팅 목적에 대한 몇 가지 제안을 제공하기 위한 것입니다.

여기 간다 …

1. IP 주소 데이터 처리

캡처하는 데이터의 양에 따라 IP 주소가 많은 것을 알 수 있습니다. 예를 들어 방문자의 위치를 ​​찾는 데 사용하거나 방문자가 일하는 회사를 찾는 데 사용할 수도 있습니다(자세한 내용은 ABM 101 기사 참조).

정당한 이익은 사용자의 IP 주소 데이터(개인 데이터로 분류됨)를 처리하는 데 사용할 수 있는 합법적인 근거 중 하나입니다. IP 주소를 사용하는 정당한 이익 조항에 따른 마케팅 목적의 예로는 현지화된 제안을 제공할 수 있습니다.

예를 들어, 전자 상거래 상점은 우기인 지역에서 검색하는 사람에게 비옷을 홍보할 수 있습니다. 또는 온라인 상점은 방문자의 위치 데이터를 사용하여 방문자의 지역에 제한된 시간 무료 배송 제안을 제공할 수 있습니다.

마찬가지로, B2B 회사는 방문자의 회사(IP 주소에서 식별됨)를 사용하여 회사 이름이나 산업으로 개인화된 이미지 또는 콘텐츠의 형태로 동적 개인화를 보여줄 수 있습니다.

참고: 웹사이트 경험을 개인화하기 위해 방문자의 IP 주소를 사용하는 경우 날씨 또는 위치 서비스에 사용했다면 데이터베이스에 저장하지 않는 것이 가장 좋습니다. 이렇게 하면 이 데이터는 같은 지점에 있는 사람에 대한 여러 데이터 포인트를 수집할 때 문제를 일으키지 않습니다.

2. 웹사이트 분석 데이터 처리

대부분의 웹사이트는 성능 최적화를 위해 방문자의 검색 데이터를 수집합니다. 이것은 일반적으로 정당한 이익 조항에 따라 다루어집니다. 일반적으로 이러한 데이터는 종종 익명화되기 때문에 문제를 나타내지 않으며 Google Analytics와 같은 대부분의 분석 도구는 PII(개인 식별 정보)의 처리/저장을 금지합니다.

이러한 데이터 처리의 추세는 광범위한 개인화된 웹사이트 경험의 기초를 형성하는 데 사용될 수 있습니다.

예를 들어 Google Analytics를 사용하면 웹사이트에서 대부분의 리드를 잃게 되는 페이지를 식별할 수 있습니다. 또한 Google Analytics의 일부 고급 세분화 옵션을 사용하여 이탈하는 잠재고객 세그먼트를 식별할 수 있습니다. 이러한 데이터 처리는 인구 통계 및 손실 중인 트래픽에 대한 많은 통찰력을 생성할 수 있습니다.

이러한 통찰력을 사용하여 이러한 세그먼트에 보다 개인화된 웹 사이트 경험을 제공하는지 테스트할 수도 있습니다.

예를 들어 전자 상거래 상점에서 특정 제품 페이지의 이탈률이 높다는 것을 발견한 경우 잠재고객의 인구 통계 정보를 사용하여 제품 페이지의 메시지를 미세 조정할 수 있습니다.

이러한 개인화는 미묘하고 의미가 있을 뿐만 아니라 처리되는 개인 데이터도 거슬리지 않습니다.

3. 통신 데이터 처리

이메일이나 SMS를 통해 개인화된 마케팅 커뮤니케이션을 실행하려면 항상 명시적인 동의가 필요합니다.

또한 GDPR을 게시하고 CRM에 개인의 이메일을 추가하고 이메일로 연락처 양식을 통해 귀하에게 연락했다는 이유만으로 마케팅 이메일을 보내는 것은 불법입니다. 방문자의 허가를 명시적으로 요청하는 연락처 양식 아래의 동의 상자를 사용해야 합니다.

게다가 GDPR은 단독으로 작동하지 않습니다. 따라서 이메일(또는 SMS) 마케팅 캠페인은 사용자에게 구독 취소 링크 등을 제공하는 것과 같은 관련 법적 규정을 준수해야 합니다.

즉, 가입자로부터 그러한 통신에 대한 동의를 얻은 경우 마케팅 이메일 또는 SMS와의 상호 작용을 기반으로 해당 가입자에 대한 웹사이트 경험을 개인화할 수 있습니다. 이는 정당한 이익 조항에 따라 합리적으로 다루어져야 합니다.

예를 들어, 여행 회사는 구독자와의 통신 기록을 사용하여 개인화된 페이지를 표시할 수 있습니다. 예를 들어, 호화 여행에 관심을 보인 가입자(예: 링크 클릭)에게 호화 호텔 숙박 패키지를 홍보하는 페이지가 표시될 수 있습니다. 또는 저예산 여행자에게 저가 호텔에 대한 몇 가지 선별된 거래가 표시될 수 있습니다.

4. 쿠키, 웹 비콘 등을 통한 행동 데이터 처리

행동 데이터 처리는 웹사이트 분석 데이터 처리와 매우 유사합니다. 웹사이트 분석 데이터와 마찬가지로 행동 통찰력 기반 캠페인을 지원하는 데 사용되는 개인 데이터도 익명으로 처리됩니다. 그리고 GDPR은 익명화된 데이터를 처리할 때 매우 유연합니다.

방문자와 웹 사이트의 상호 작용에서 얻은 통찰력(예: 방문자가 본 페이지 및 클릭 데이터)을 사용하여 상황에 맞는 풍부한 웹 사이트 경험을 제공할 수 있습니다.

예를 들어, 엔터프라이즈 수준의 소프트웨어 회사는 방문자의 행동 데이터를 추적하고 재방문 시 보다 개인화된 경험을 제공할 수 있습니다. 예를 들어, 특정 솔루션을 탐색하는 것처럼 보이는 방문자는 다음 웹사이트 방문 시 동일한 솔루션의 평가판 페이지 또는 가입 양식을 볼 수 있습니다.

5. 프로필 데이터 처리

웹사이트 분석 및 행동 데이터 처리와 마찬가지로 회사는 정당한 이익 기반을 사용하여 사용자 프로필 생성(프로파일링)을 위해 익명화된 개인 데이터를 사용할 수 있습니다.

예를 들어 가제트 비교 웹사이트는 사용자의 익명화된 개인 데이터를 사용하여 주요 대상 유형을 식별할 수 있습니다. 그런 다음 각 고객에게 개인화된 제안 및 판촉 캠페인을 제공할 수 있습니다(예: 고급 고객 세그먼트에 고급 모바일을 제안하고 예산 친화적인 세그먼트에 저가형 모바일에 대한 할인 표시).

정당한 이익 사용 지침에 관한 문서는 정당한 이익에 따라 개인 데이터를 처리하기 위한 법적 근거와 같은 근거를 제안할 뿐만 아니라 소셜 미디어 데이터를 사용한 이러한 사용자 프로파일링도 ​​지원합니다. 문서에는 회사에서 다음을 사용할 수 있다고 나와 있습니다.

... [A] 소셜 미디어 제공자가 광고를 '닮은 사람', 즉 해당 비즈니스의 고객과 유사한 특성을 가진 다른 개인에게 더 잘 타겟팅하기 위해 제공하는 알고리즘입니다. 회사는 소셜 미디어 타겟팅을 활성화하기 위해 고객에 대한 최소한의 필수 개인 데이터를 업로드하지만 마케팅에 반대하는 사람은 제외합니다. 프로파일링은 타겟팅을 가능하게 하기 위해 소셜 미디어 플랫폼 내에서 수행되지만 이는 순전히 마케팅 목적을 위한 것이며 비즈니스는 해당 개인에게 법적 또는 유사하게 중대한 영향을 미치지 않는다고 평가했습니다.

6. 제2자 및 제3자 데이터 처리

자사 데이터(예: Google Analytics 계정의 데이터와 같이 회사가 자체적으로 수집하는 데이터) 외에도 많은 회사에서 타사 및 타사 데이터도 사용합니다.

파트너 및 데이터 교환에서 제공되는 이 데이터는 마케터에게 잠재 고객의 심리 통계, 기술 통계 및 인구 통계에 대한 강력한 통찰력을 부여합니다. 일반적으로 자세한 고객 프로필을 작성하는 데 사용됩니다. 이는 차례로 보다 관련성 높은 콘텐츠와 메시지를 만들고 일반 청중의 주요 세그먼트에 전달하는 데 사용됩니다.

예를 들어, B2B 비즈니스는 이러한 데이터를 사용하여 청중의 주요 세그먼트를 식별하고 개인화된 콘텐츠 추천으로 각 세그먼트를 타겟팅할 수 있습니다.

이러한 소스 데이터를 사용해야 하는 경우 공정하고 합법적인 데이터 수집 및 처리 관행을 따르는 데이터 제공업체 및 교환업체와만 파트너 관계를 맺어야 합니다.

7. 구매이력 데이터 처리

전자 상거래 상점은 거래 내역을 기반으로 방문자에게 개인화된 제품 추천을 제공할 수 있습니다.

DPN(데이터 보호 및 개인 정보 보호에 대한 전문적인 조언을 제공하는 영국 기반 기관인 데이터 보호 네트워크)은 합법적 이익 사용에 대한 많은 지침을 제공합니다. 개인화된 제품 추천을 위해 온라인 상점에서 사용자의 구매 내역을 사용하는 것이 개인 데이터 처리의 법적 근거가 될 수 있음을 시사합니다.

광범위한 제품 범위를 가진 소매업체는 고객이 관심을 가질 만한 다른 제품 및 서비스를 예측하기 위해 고객의 거래 내역을 기반으로 하는 자동화된 처리를 수행합니다.

8. 계정 이력 데이터 처리

계정 데이터 처리는 구매 내역 데이터 처리와 동일하지만 B2B 설정용으로 간주할 수 있습니다.

B2B 회사는 사용자의 계정 기록 데이터를 사용하여 보다 풍부한 컨텍스트 콘텐츠 경험을 제공할 수 있습니다. 예를 들어, B2B 회사는 고객 데이터를 사용하여 더 관련성 있고 더 나은 업그레이드 또는 교차 판매 제안을 제공할 수 있습니다.

9. 쿠키 데이터 처리

쿠키 데이터가 방해가 되지 않고 관련성이 있는 개인화된 웹사이트 경험을 제공하는 데 도움이 되는 방법은 많이 있습니다. 효과적인 경험을 제공할 수 있는 대부분의 쿠키 유형은 웹사이트의 개인정보 보호 페이지에서 사용 및 옵트아웃 지침을 설명할 수 있으므로 명시적인 사용자 동의가 필요하지 않습니다.

예를 들어, 비즈니스 웹 사이트는 쿠키 데이터를 사용하여 잠재 고객을 판매 유입경로에서 더 이동시키기 위해 어떤 콘텐츠를 제공할 것인지 결정할 수 있습니다. 개인 정보를 보호하는 방식으로도 쿠키 데이터를 사용할 수 있는 방법은 무궁무진합니다. 실제로 위의 예에서 나온 모든 데이터는 대부분 쿠키의 일부 형태로 수집 및 저장됩니다.

정당한 이익 조항에 따른 데이터 처리에 대한 더 많은 예를 보려면 EU 일반 데이터 보호 규정에 따른 정당한 이익의 사용에 대한 지침을 확인하십시오.

정리 중…

마케팅 목적을 위해 두 가지 옵션(적법한 이익 또는 동의) 중 하나를 선택하는 경우 사례별로 고려해야 합니다. 적법한 이익은 대부분의 마케터에게 개인 데이터를 처리하는 가장 일반적인 합법적 근거가 될 수 있지만 주의해서 사용해야 합니다.

또한 정당한 이익 조항이 많은 웹 사이트 개인화 전술을 다룰 수 있지만, 여전히 정당한 이익 평가를 받고 법적 온라인 개인 정보 보호 전문가의 도움을 구하여 그것에 의지하기 전에 두 번 확신해야 합니다.

Convert Experiences에서 우리는 귀하와 같은 마케터가 GDPR에 안전하고 개인 정보를 보호하는 개인화된 웹 사이트 경험을 사용자에게 제공할 수 있도록 지원합니다. 우리는 또한 그러한 개인화를 지원하기 위해 정당한 이익 조항에 따라 사용하는 모든 데이터에 대해 철저한 LIA를 수행했습니다. 여기에서 확인하세요. 개인 정보를 기본적으로 제공하고 기본적으로 개인 정보를 제공하는 웹 사이트 개인화를 제공하려는 경우 경험 변환을 확인하십시오.