GDPR 준수 A/B 테스트 소프트웨어 구매 방법

업데이트 : 이제 Convert가 GDPR을 완전히 준수합니다. 여기에서 GDPR 준수를 달성하기 위한 여정을 확인할 수 있습니다.

또한 고객이 GDPR을 준수하도록 돕기 위해 노력하고 있습니다. 이를 쉽게 하기 위해 모든 사용자에게 서명된 DPA(데이터 처리 계약) 사본을 발급합니다.

또한 ePrivacy 규정에 대한 향후 업데이트와 관련된 개발 사항을 면밀히 추적하고 있습니다. 언제나처럼 우리는 우리 자신과 고객 모두를 위해 규정 준수를 보장하기 위해 가능한 한 사전에 예방할 것입니다.

스포일러 경고: 잊어버리세요.

호환되는 A/B 테스트 도구가 없습니다.

즉, A/B 테스트 도구의 "인증서"가 유럽 개인 정보 보호 당국의 2천만 유로 소송을 피할 수 있다는 보장 이 없습니다. 그러나 가능한 것은 개인 정보 보호를 염두에 두고 설계된 테스트 도구를 선택하는 것입니다. 기본 구성을 사용할 때 문제가 발생하지 않을 것입니다.

이 문서는 GDPR 시행일(2018년 5월 25일) 전에 A/B 테스트 도구 공급업체에 대해 올바른 질문을 하는 데 도움이 됩니다. GDPR 및 향후 ePrivacy Regulation(초안 15333)에서 중요한 각 요소를 분해하고 마지막에 체크리스트를 제공합니다.

(여기를 클릭하시면 체크리스트로 바로 이동합니다)

이 기사에서…

데이터 최소화

데이터 최소화의 원칙은 본질적으로 제한된 예외를 제외하고 조직이 처리 목적을 달성하는 데 실제로 필요한 (개인) 데이터만 처리해야 한다는 아이디어입니다.

GDPR 발표 39; 제5조(1)(c)
개인 데이터는 적절하고 관련성이 있어야 하며 해당 데이터가 처리되는 목적과 관련하여 필요한 것으로 제한되어야 합니다.

실험을 실행하는 데 필요한 최소 데이터는 무엇입니까? A/B 테스트 결과를 얻으려면 IP, 브라우저 및 장치 ID의 모든 세부 정보를 수집해야 합니까? 아니요. 도구가 수집할 수 있기 때문에 수집하는 것입니다. 프라이버시를 염두에 두고 수집해야 하는 요소에만 집중하고 나머지는 저장하지 마십시오. 실험을 실행하는 데 필수적인 것은 다음과 같습니다.

• 본 변형
• 목표 달성: 예/아니요(수익 목표, 제품 수 및 수익)

예를 들어 다음과 같이 필요한 하위 세그먼트별로 다른 결과에 대해 더 자세히 알아보려면 다음과 같이 하십시오.

• 하위 세그먼트: 예/아니오

A/B 테스트 도구는 실제로 각 최종 사용자에 대해 한 행의 데이터를 저장할 필요가 없습니다. 통찰력을 얻기 위해 저장해야 하는 것은 다음과 같습니다.

• 특정 변형을 본 총 최종 사용자(전체 및 하위 세그먼트당)
• 목표를 촉발한 변형의 총 최종 사용자

그리고 전자 상거래 환경에서:

• 변형당 평균 제품 및
• 변형당 평균 주문 금액…

...각각의 새 주문에 대해 다시 계산할 수 있습니다(개별 주문을 저장하지 않고).

나머지 통계 데이터는 최종 사용자 데이터의 개별 행을 저장하지 않고 즉석에서 다시 계산할 수 있습니다. 이를 통해 A/B 테스트 도구가 데이터 최소화 지침을 준수하고 개인 정보 및 보안 위반 위험을 크게 낮출 수 있습니다.

그것에 대해 생각해보십시오. 누군가가 실험의 총계로 무엇을 하시겠습니까? A/B 테스트 도구에 저장된 최종 사용자 데이터가 없고 가명/해시 데이터도 없다면 최종 사용자를 재식별할 수 있는 방법이 없습니다.

개인 데이터에는 IP 주소가 포함됩니다.

개인 식별 정보(PII)의 이전 정의와 다른 경우 GDPR에 정의된 개인 데이터. 이제 IP 주소, 쿠키 및 사용자 ID는 모두 개인 데이터입니다.

당신이 그 정의에 대해 어떻게 느끼든 상관없이 그것은 법입니다. 2016년 10월 19일, 유럽 연합 사법 재판소("CJEU")는 사건 582/14 – Patrick Breyer 대 독일에 대한 판결을 발표했습니다. 특정 상황에서 IP 주소는 개인 데이터라고 주장했습니다. 이번 판결은 2016년 5월 이 사건 대검찰청의 의견과 대체로 일치한다.

개인 데이터는 지침의 2(a)조에서 "식별되거나 식별 가능한 자연인('데이터 주체')과 관련된 모든 정보로 정의됩니다. 식별 가능한 사람은 "직접적으로 또는 간접적으로 […] 식별될 수 있는" 사람입니다(강조 추가됨). 식별 가능성 문제에 대한 추가 분석은 EU의 29조 작업반(Opinion 4/2007)에서 제공합니다.

따라서 IP 주소는 개인 데이터입니다. 기간. 방문자로부터 명시적인 동의를 받지 않는 한 익명화하도록 선택할 수 있습니다(피하고 싶을 수 있음). 그러나 그렇게 하는 경우에도 이것은 항상 동의의 경계에 있을 것이며 재식별의 위험이 있습니다.

이 새로운 법률의 안전한 면을 100% 유지하기 위해 A/B 테스트 도구에 IP를 저장하지 않는 것이 좋습니다.

이제 다음과 같이 질문할 수 있습니다. IP 주소를 저장할 수 없는 경우 국가 타겟팅을 어떻게 실행합니까?

가장 쉬운 솔루션은 최종 사용자의 호출을 사용하여 추적 스크립트를 호출하고 국가를 식별하는 것입니다. 변형/국가 조합을 하나의 하위 세그먼트에 저장하지만 사용자와 연결되지는 않습니다. 해당 하위 세그먼트에 추가 보기를 추가하기만 하면 해당 세그먼트에 있는 수백 개의 다른 뷰와 혼합되고 기본적으로는 +1입니다. 다시 말하지만 데이터베이스에서 개별 최종 사용자를 분해할 방법이 없습니다.

지리적 위치에 대한 추가 참고 사항은 국가 데이터 자체가 너무 광범위하지만 지역, 도시 또는 우편 번호의 하위 세그먼트에는 최종 사용자의 동의가 필요하다는 것입니다. 다른 요소와 결합하면 정말 작은 하위 세그먼트가 될 수 있습니다(단 한 사람이라도!). 다시 말하지만 개인 데이터를 저장할 수 있으며 이를 위해서는 사용자의 동의가 필요합니다.

쿠키 및 개인 데이터

GDPR에 따르면 쿠키도 개인 데이터입니다. 그러나 모든 쿠키가 동일하게 생성되는 것은 아닙니다. 일부는 사용자 동의가 필요한 반면 다른 일부는 그렇지 않을 수 있습니다. 세부 사항은 승인되면 새로운 ePrivacy Regulations에 의해 결정됩니다. 현재로서는 A/B 테스트 도구와 같은 웹 분석 소프트웨어에 대한 예외가 있는 초안 15333이 있습니다.

A/B 테스트 도구는 "전달된 정보 사회 서비스의 효과를 평가"하는 한 동의 요구 사항이 없습니다. 그러나 최종 사용자를 매우 구체적으로 타겟팅하거나 웹사이트를 사용하는 사람의 특성을 파악하는 즉시 동의가 필요한 영역으로 이동하게 됩니다.

A/B 테스트 도구에서 사용하는 쿠키에 고유 식별자가 없는지 다시 확인해야 합니다. 고유 식별자는 쿠키를 개인 데이터로 간주할 수 있습니다.

ePrivacy Regulation(초안 15333)은 아직 법률이 아니며 GDPR을 보완하기 위한 것이지만 GDPR 자체는 성격상 개인 데이터 처리와 관련된 쿠키 유형에 대한 지침을 제공합니다. 이것에 핵심이 되는 1개의 리사이틀이 있습니다:

이는 장치 및/또는 장치 사용과 관련된 개인에 대한 고유 식별자를 포함하는 쿠키를 개인 데이터로 취급해야 함을 알려줍니다. 이 아이디어는 또한 개인 데이터가 개인을 식별하기 위해 단독으로 또는 다른 데이터와 함께 합리적으로 사용될 수 있는 데이터로 정의된다는 Recital 26에 의해 강화됩니다.

따라서 A/B 테스트 도구는 GDPR을 준수하기 위해 모든 고유 식별자를 제거해야 합니다. 또한, 하나의 쿠키에 연결된 개별 기록을 서버측에 절대 저장하지 마십시오. 이는 ePrivacy Regulations의 예외에 해당하지 않습니다.

쿠키에 자주 포함되는 가명 식별자(예: 숫자 또는 문자 문자열)도 개인 데이터로 간주됩니다. 따라서 GDPR에 따라 사용자에게 고유하게 부여되어 개인을 식별할 수 있는 쿠키 또는 기타 식별자는 이 식별자가 서버 측에 저장되면 개인 데이터 처리로 간주됩니다.

사용자 ID 및 개인 데이터

개인에 특정한 사용자 ID 또는 개별 개인 데이터에 교차 링크할 수 있는 기타 식별자를 저장하는 것은 ... 짐작하셨겠지만... 개인 데이터입니다. 따라서 이는 동의가 필요하며 피해야 합니다(아래 Recital 50과 마찬가지로 Recital 30도 여기에 적용됨).

변환에는 범용 사용자 ID라는 기능이 있습니다. 예를 들어, 사용자가 구매한 후 전자 상거래 시스템에서 세션을 다시 연결하는 데 사용되는 경우 동의는 고객 관계에서 동의한 조건에 통합될 수 있습니다. 그러나 GDPR을 가정하지 않고 절대적인 투명성을 제공하는 것이 가장 좋기 때문에 장치, 세션 및 브라우저의 통합에 대해 별도의 동의를 제안합니다.

여전히 개인 데이터를 저장할 계획입니까?

그래서 A/B 테스트 도구에 모든 것을 저장하기로 결정했습니까? 세션 ID, 사용자 ID 또는 기타 식별자를 잘 저장하면

• 보호됨
• 정확한
• 요청 시 업데이트됨
• 필요할 때 삭제됨

개인 데이터의 저장과 함께 제공되는 모든 재미와 관련하여 GDPR 법률의 몇 가지 항목을 드리겠습니다.

GDPR 및 최종 사용자 데이터 정확도

따라서 개인 데이터를 저장하는 A/B 테스트 도구가 있고 테스트가 중요도에 도달하면 최종 사용자가 웹사이트에 있어야 할 양식을 작성하면 해당 결과를 동결하는 도구가 필요합니다. 이전 단락에서 분석 도구에 개인 데이터가 저장되어 있다고 확신하지 못했다면 GDPR 법률의 이 부분은 그렇게 할 것입니다. 나는 그것을 철자하는 전체 기사를 여기에 붙여 넣을 것입니다.

그래서… 잠시 생각해 보도록 할게요…
…
…

네 그렇게 생각했습니다. 이제 저와 함께… 큰 소리로 말해 보세요.

• 내 A/B 테스트 도구에 개인 데이터를 저장하지 않을 것을 약속합니다.
• 내 A/B 테스트 도구에 개인 데이터를 저장하지 않을 것을 약속합니다.
• 내 A/B 테스트 도구에 개인 데이터를 저장하지 않을 것을 약속합니다.

따라서 A/B 테스트 제공업체를 다시 확인하고 고유 방문자의 개별 기록을 기록할 방법이 없는지 확인하십시오.

내 말은, 우리 모두는 고객과 상사에게 더 나은 통찰력과 좋은 소식을 전하기를 원합니다. 그리고 손실된 A/B 테스트를 자세히 살펴보고 일부 하위 세그먼트가 이겼는지 확인하는 것도 좋습니다.

하지만 정말... 프레젠테이션 스크린샷에서 전체 방문자를 숨기고 스웨덴의 Chrome에서 1460% 승률로 사람들을 놀라게 하는 사람 중 하나가 되길 원하십니까?

다음을 수락하기만 하면 됩니다. 명확한 가설로 테스트를 설정하고, 실험을 실행하고, 충분한 트래픽이 도착하면(피킹 없음) 중지합니다. 작은 하위 부문에서 승자를 찾는다고 해서 더 나은 마케팅 담당자가 되는 것은 아닙니다.

GDPR을 사용하면 더 많이 저장할수록 더 많이 알게 되고 트래픽 세그먼트가 실제 최종 사용자가 될 가능성이 높아집니다. 이와 함께 데이터를 보호하고, 데이터를 요청하고(주체 액세스 요청을 사용하여) 데이터를 지우고, 데이터를 업데이트해야 한다는 요구가 높아졌습니다.
저장하지 말고 A/B 테스트 도구가 저장하지 않는지 확인하십시오. 그러면 걱정할 일이 한 가지 줄어듭니다.

그래도 동의를 구하고 모든 개인 데이터를 A/B 테스트 도구에 저장하는 것을 꺼리지 않는다면 A/B 테스트 도구를 사용하여 순 방문자를 기반으로 원시 데이터를 쉽게 내보낼 수 있는지 확인하십시오. 잠겨 있는지 확인하십시오. 사용자에 대해 저장된 관심, 카테고리 및 기타 세분화를 수정할 수 있으며 A/B 테스트의 기록 결과를 수정하지 않고 데이터를 지울 수 있습니다.

개인 데이터를 수집함으로써 귀하는 귀하의 웹사이트를 방문할 당시 유럽연합 시민과 유럽 사람들의 권리를 존중해야 합니다. 여기에는 다음이 포함됩니다.

• 실험, 대상 및 세그먼트(및 목표) 내에서 수집한 데이터를 볼 수 있는 가능성.
• 그들과 관련된 일부 또는 모든 데이터를 업데이트/정정할 가능성.
• 요청 시 데이터를 삭제할 수 있습니다.
• 모든 데이터를 내보낼 수 있습니다. 따라서 사용자가 요청하는 경우 해당 IP 주소 또는 고유 식별자에 연결된 데이터를 내보내야 합니다. 예를 들어 .csv 파일로 쉽게 내보낼 수 있습니다.

따라서 개인 데이터를 저장하기로 결정할 때 데이터 액세스, 수정 및 삭제와 관련된 주제 액세스 요청을 제공해야 합니다.

• 접근할 수 있는 권리
• 처리를 제한할 권리
• 시정할 권리
• 잊혀질 권리
• 데이터 이식성에 대한 권리

모든 주제 액세스 요청은 GDPR 텍스트에 설명된 대로 접수 후 늦어도 1개월 이내에 처리 및 해결되어야 합니다.

묻기 두렵지만 유사 콘텐츠에 대한 하위 세분화는 어떻습니까?

맞춤 측정기준, 맞춤 변수 등을 사용하여 이러한 데이터를 수집할 수 있습니다.

이제 다시 시작하지 맙시다. GDPR 15조에서 해당 데이터에 대한 최종 사용자의 권리를 기반으로 한 어떤 것도 저장하지 않겠다고 방금 약속하셨습니다. 그러나 해당 정보를 연결할 식별자가 없더라도 여전히 개인 데이터를 저장하고 있을 수 있습니다. 이 예에서는 그 이유를 설명합니다.

모바일, 테이블 또는 데스크탑 장치를 가능하게 하는 기술은 현재 위치에 연결할 수 있습니다. 다른 조직에서도 이러한 유형의 정보를 사용하여 위치별 콘텐츠 또는 광고를 제공할 수 있지만 위치 데이터, 특히 시간 경과에 따른 개인의 정확한 움직임 패턴에 대한 데이터는 해당 개인의 개인 생활에 대한 매우 친밀한 세부 정보를 드러낼 수 있습니다. 이것은 개인 데이터입니다.

따라서 A/B 테스트 도구의 경우 이는 개별 사용자를 여러 세그먼트에 저장할 수 있고 이 개인을 한 사람으로 식별할 수 있음을 의미합니다. 따라서 조언은 개별 레코드를 절대 저장하지 말고 데이터베이스에 세그먼트 그룹만 저장하는 것입니다. 국가보다 더 구체적인 위치에 대한 위치 데이터를 포함하는 여러 하위 세그먼트를 수집하기 시작할 때 동의를 구하십시오. A/B 테스트 도구는 너무 많은 세그먼트를 수집할 때 조언을 줄 수 있지만 제 생각에는 개별 레코드를 저장하는 것은 문제를 일으킬 뿐입니다.

타사 데이터를 연결하시겠습니까? 블루카이처럼?

최종 사용자 동의가 필요합니다. 또는 BlueKai와 공동 컨트롤러가 될 수 있습니다. 즉, 최종 사용자 데이터 수집 순간 BlueKai가 귀하의 이름으로 동의를 요청했습니다. 그럴 가능성은 없지만 이 글을 쓰는 시점에서 데이터에 대한 동의 형식으로 A/B 테스트 도구에서 청중을 풍부하게 하려면 동의가 필요합니다. 데이터 제공업체(예: BlueKai)에 문의하십시오.

유럽에서만 추적하지 않습니까? 확실합니까?

추적 금지(또는 DNT만)는 최종 사용자가 대부분의 브라우저에서 설정할 수 있는 개인 정보 설정입니다. 귀하와 귀하의 최종 사용자가 당사가 데이터를 사용하기를 원하는 방식에 대한 신호로 DNT를 존중해야 합니다 . 지난 몇 년 동안 많은 최종 사용자가 브랜드와 소통하는 새로운 방법을 원한다는 신호를 보냈습니다. 예를 들어, 캐나다의 경우 캐나다 연방법이 개인정보 보호법을 변경합니다. 또는 프라이버시 실드의 새로운 단계와 함께 미국 의회에서. 또는 회원국이 최종 사용자와의 보다 정중한 상호 작용에 대한 지지를 표명하는 유럽 연합(EU)에서. 그들의 말을 듣고 존중해야 합니다.

DNT에는 세 가지 가능한 값이 있습니다.

1. 추적 금지(추적 거부)
2. 추적(추적 선택)
3. Null – 기본 설정 없음

기본적으로 웹 브라우저는 null 값(기본 설정 없음)을 사용하여 최종 사용자가 추적 여부에 대한 의사를 표시하지 않았음을 나타냅니다. A/B 테스트 도구에는 옵션 1인 브라우저에서 추적 안 함(추적 거부)이 설정되어 있는 경우 스크립트를 로드하지 않도록 설정되어 있어야 합니다.
조나단 메이어(Jonathan Mayer)와 아르빈드 나라야난(Arvind Narayanan)은 추적 금지(Do Not Track) 기술을 연구해온 스탠포드 대학의 두 주요 연구원입니다. 그들의 모델은 HTTP 헤더의 정보를 사용하여 모든 온라인 추적을 보편적으로 선택 해제합니다.

Mayer는 "기술 모델로서 Do Not Track은 옵트아웃 메커니즘보다 분명히 우수합니다.

"따라서 기술 문제는 이제 해결되었습니다. Do Not Track입니다."

A/B 테스트 도구에는 다음과 같은 옵션이 있습니다.

• Do Not Track은 충분히 중요하며 고객이 설정하거나 해제할 필요 없이 도구에서 존중합니다. 그것은 작동합니다(전체 공개: Convert에서 우리는 이것을 선택했습니다...).
• Do Not Track은 모든 플랫폼에 대해 사용자가 켜거나 끌 수 있습니다(관리자로 모든 프로젝트의 기본값을 확인하십시오).
• Do Not Track은 플랫폼 사용자가 프로젝트별, 지역(유럽)별로 켤 수 있으며 각 프로젝트의 관리자가 확인해야 합니다.

그런 다음 실제로 켜져 있을 때 어떤 일이 발생하는지 중요합니다.

쿠키를 넣을 것인가(추천하지 않음), 아니면 도구가 전혀 로드되지 않을 것인가(선택함). 첫 번째(쿠키 배치)의 단점은 쿠키가 최종 사용자에게 경고를 유발할 수 있고 웹사이트 소유자가 사용자로부터 더 많은 데이터 요청을 받을 수 있다는 것입니다. 스크립트를 전혀 로드하지 않는 단점은 브라우저 확장 프로그램과 사용자가 실제로 어떤 식으로든 추적되지 않는다는 것입니다(따라서 변형 또는 경험에 대해 추적된 방문자가 분석 도구와 다를 수 있음). 제 생각에는 두 번째 문제가 더 합리적입니다. 다른 도구가 동의를 얻거나 얻지 못하기 때문에 GDPR은 어쨌든 숫자를 엉망으로 만들 것입니다. 따라서 하나의 "진정한"결과를 확인하기 위해 모두 일치시키는 것은 어쨌든 거의 불가능합니다.

책임

예, 사용 약관, 개인 정보 보호 정책 및 쿠키 정책을 변경해야 합니다(또는 이를 개인 정보 보호 정책에 포함). 또한 웹사이트에 동의 관리자가 있어야 하며 …

프로세서와 컨트롤러를 새로 고치면 됩니다(혼란스럽죠?).

귀하는 웹사이트 방문자(최종 사용자) 간의 관계에서 컨트롤러입니다. A/B 테스트 도구는 프로세서입니다.

즉, GDPR 준수에 대한 책임은 귀하에게 있으며 A/B 테스트 도구 공급업체를 가리킬 수 없습니다. 이를 수행하는 가장 현명한 방법은 A/B 테스트 도구 공급업체가 이 문서에 설명된 대로 준수하기 위해 모든 작업을 수행하고 있는지 확인하는 것입니다.

수익 추적? 주문 번호를 개인 데이터로 사용하시겠습니까?

여기서 저는 의문이 듭니다. 주문 ID(주문 번호 또는 거래 ID)가 개인 데이터입니까?

그렇게 생각하지 않지만 개인 데이터를 비식별 정보(예: 고객 이름 및 주소의 주문 번호)와 분리하는 것은 좋은 습관입니다.

고객이 ePrivacy Regulations의 수정 가능성에 대해 걱정하는 것을 원하지 않기 때문에 회사는 도구의 수익 추적 섹션에 이 정보를 저장하지 않기로 결정했습니다.

평균 주문 금액, 구매한 제품, 수익 및 주문 ID의 조합은 데이터베이스에 저장하기에는 너무 많은 비식별 정보입니다. 그러나 이것은 당신과 당신의 A/B 테스팅 벤더가 당신이 이 문제를 어떻게 다루고 싶은지에 대해 논의할 몫입니다. 데이터 최소화는 기본적으로 가능한 한 적게 저장하도록 요구합니다. 수익 추적에는 필요하지 않으므로 개별 수익, 제품 수 및 개별(최종 사용자) 수준의 기타 주문 데이터와 함께 데이터 세트에서 삭제합니다.

통합?

최종 사용자가 참여한 변형 및 경험에 대한 정보를 보내는 경우 이에 대한 동의를 제안합니다.

젠장, 좋은 소식 있어?

응…

콘텐츠를 읽을 수 있도록 쿠키를 수락해야 했던 쿠키 벽을 기억하십니까? 글쎄, 그것들은 사라졌다. 더 이상 올릴 수 없으므로 모든 방문자에게 콘텐츠를 표시하거나 특정 트래커에 대한 동의를 요청하거나 페이월 뒤로 이동합니다.

그게 다야?

더 이상은 없어…

GDPR에 따르면 쿠키는 사용자의 인터넷 경험(예: 장바구니 기록 기억)을 향상시킵니다. 또는 여러 페이지에 걸쳐 양식을 작성할 때.

GDPR의 분석은 수집된 개인 데이터가 당사자에 의해서만 처리되는 한 가능합니다. ePrivacy는 GDPR이 아닌 쿠키와 관련하여 구체적입니다. ePrivacy Regulation 초안 15333, 21조를 읽으십시오.

아 마지막으로... 미국 대 EU 기반 서버

웹 사이트를 호스팅하는 위치가 중요합니까? 또는 A/B 테스트 추적기 스크립트가 로드되는 위치는 어디입니까? 아니면 실제 데이터 세트가 어디에 있습니까? 예, 그렇지 않으면이 기사에 없을 것입니다.

서버 위치는 주로 데이터 전송에 관한 것입니다. 개인 데이터와 관련된 경우에만 동의가 필요합니다. 제3국 또는 국제 기구로의 개인 데이터 전송에 관한 GDPR의 5장을 살펴봐야 합니다. 이를 통해 데이터가 유럽 연합 외부에 저장되는 경우 수행할 작업에 대한 통찰력을 얻을 수 있습니다.

제3국의 개인 데이터 보호 수준은 모든 회원국에 전체적으로 구속력이 있는 '적절성 조사 결과'를 통해 유럽 위원회가 평가합니다. 제3국의 "적절성"이 인정되면 추가 보호 조치를 취하지 않고도 개인 데이터를 이 국가로 전송할 수 있습니다.

이전(제44조) 및 적절성 결정에 따른 이전(제45조)에 대한 일반 원칙은 논의가 주로 EU 외부 국가(및 노르웨이, 리히텐슈타인 및 아이슬란드)로 데이터를 이전하는 것과 관련하여 주로 진행된다고 설명합니다. 옵션만 있습니다:

• Privacy Shield(미국용) 및 적절한 국가(유럽 위원회는 지금까지 안도라, 아르헨티나, 캐나다(상업 조직), 페로 제도, 건지, 이스라엘, 맨 섬, 저지, 뉴질랜드, 스위스, 우루과이 및 미국을 인정했습니다. Privacy Shield 프레임워크로 제한됨) 적절한 보호를 제공합니다.
• 표준 계약 조항(모델 계약 조항이라고도 함)
• 구속력 있는 기업 규칙(GDPR의 47조에서 다룹니다).

A/B 테스트 공급업체가 미국 회사일 가능성이 가장 높으며, 일회성 작업이므로 가장 쉬운 선택은 Privacy Shield 및 SCC인 것 같습니다. 당사의 경우 이는 당사의 모든 고객 데이터(웹사이트 최종 사용자의)가 프랑크푸르트의 탄소 중립 서버에 저장되어 있음을 의미합니다. 독일에 고객 데이터 세트가 있는 모든 서버가 있음).

결론

GDPR은 방대하며 유럽 연합의 회사에만 국한되지 않습니다. 이제 ePrivacy Regulations draft 1533 및 GDPR에서 동의 없이 모든 방문자에 대해 Convert Experiences를 사용하여 A/B 테스트를 할 수 있다고 생각합니다.

기업으로서 Convert가 어떻게 규정을 준수하는지에 대한 전체 페이지 설정과 GDPR을 더 쉽게 준수할 수 있도록 작업 중인 세부 사항에 대한 전체 애플리케이션 로드맵이 있습니다.

공급업체가 규정 준수 측면에서 도구를 어떻게 보는지, 그리고 동의 없이 A/B 테스트를 위해 데이터베이스 구조를 대폭 단순화하는 작업을 언제 하는지 물어보십시오.

도구에 동의가 필요한 경우 마케팅 스택에 막대한 영향을 미치기 때문입니다. 가장 큰 두려움은 동의 기반 A/B 테스트 도구를 사용하면 작업할 트래픽의 80% 이상을 잃게 된다는 것입니다.

A/B 테스트: GDPR 준수 체크리스트

데이터 최소화

공급업체 질문?
로드맵 완료 후 데이터베이스에 순 방문자별로 어떤 필드를 저장합니까?

예시 답변
아무것도 아님

개인 정보

공급업체 질문?
방문자 IP를 저장합니까?

예시 답변
아니

공급업체 질문?
방문자별 국가/지역/도시 또는 기타 위치 데이터를 저장합니까?

예시 답변
아니

공급업체 질문?
쿠키 내용을 설명하거나 지원 문서에 대한 링크를 제공할 수 있습니까?

예시 답변
https://convert.zendesk.com/hc/en-us/articles/204495429-Convert-Experiences-Tracking-Cookies-Structure

공급업체 질문?
쿠키는 얼마나 오래 저장됩니까?

예시 답변
6 개월.

공급업체 질문?
고유한 사용자 ID(세션 ID, 장치 ID, 사용자 ID 또는 이메일)를 저장하고/하거나 이메일 또는 기타 개인 데이터를 저장하도록 허용합니까? 그렇다면 어디에 저장됩니까?

예시 답변
아니요, 정보 저장도 허용하지 않습니다(이용 약관 참조). 단, 유니버셜 ID 기능이 있는 경우는 고객 동의에 의해 켤 때 필요합니다.

공급업체 질문?
귀하의 도구는 최종 사용자의 주제 액세스 요청을 어떻게 지원합니까?

예시 답변
개인정보를 저장하지 않음으로써 지원

공급업체 질문?
도구는 추적 금지를 어떻게 지원합니까?

예시 답변
예, 기본적으로 스크립트가 로드되지 않습니다(GDPR A/B 테스트 앱 로드맵 참조).

데이터 최소화

공급업체 질문?
고유 방문자가 데이터베이스에 어떤 필드를 저장합니까(로드맵 완료 후)?

예시 답변
아무것도 아님

Security

Vendor Question?
What server location (country) is our end-user data stored?

Example answer
독일 프랑크푸르트

Vendor Question?
If end-user or company information is stored outside the EEU what legal base you are using to transfer the information.

Example answer
End-user information is not stored and not transferred outside the EEU, unless customer requests debugging logging (stored max. 6 days). Customer information and debugging logs could be transferred on bases of Privacy Shield to US servers.

Vendor Question?
What security systems you have in place on databases and system where end-user information is stored?

Example answer
C5, DoD SRG, FedRAMP, FIPS, ISO 9001, ISO 27001, ISO 27017, ISO 27018, PCI, DSS Level 1, SEC Rule 17-a-4(f), SOC 1, SOC 2, SOC 3

GDPR compliance

Vendor Question?
How does your company prepare for GDPR compliance?

Example answer
Find all about out company GDPR compliance program, here.

Vendor Question?
How does your company assist us as controller with GDPR compliance of end-user data?

Example answer
The application roadmap is now public.

Disclaimer: Note that this article represents the views of the author solely, and are not intended to constitute legal advice.