개인 정보 보호 준수 A/B 테스트 도구를 선택하는 방법(독일 최적화 프로그램 가이드)

개인 정보 보호법이 전 세계적으로 시행됨에 따라 소비자는 자신의 개인 정보에 대한 인식과 통제력을 높이고 있습니다. 예를 들어 EU는 2018년 GDPR(일반 데이터 보호 규정)을 통과하여 데이터 개인 정보 보호 규정을 강화했으며 캘리포니아는 2020년에 캘리포니아 소비자 개인 정보 보호법(CCPA)을 시행했습니다.

A/B 테스트 회사는 이제 이러한 새로운 규칙을 준수하기 위해 추가 조치를 취하고 있습니다. 예를 들어, 많은 사람들이 메일링 리스트에 추가하기 전에 사용자에게 동의를 구하고, 쉽게 액세스할 수 있는 개인 정보 보호 정책 및 공개를 제공하고, 사용자에게 개인 정보에 액세스, 수정 또는 삭제할 수 있는 권한을 부여합니다.

오늘날의 세계에서 디지털 개인 정보 보호가 부족함에도 불구하고 독일은 전 독일 연방 데이터 보호법(BDSG)과 같은 법률이 세계에서 가장 엄격한 법률 중 하나로 간주되어 시민의 개인 데이터 보호에 전념하고 있습니다.

다음 가이드는 독일의 각 데이터 개인 정보 보호법을 안내하므로 A/B 테스트 도구를 선택할 때 가장 정보에 입각한 결정을 내릴 수 있습니다.

개인정보 보호를 위한 선택 기준

1970년 독일에서 처음 채택된 데이터 보호법은 이후 독일 16개 주 및 연방의 데이터 보호 당국이 지원하는 핵심 인권으로 성장했습니다. A/B 테스트 플랫폼을 선택할 때 다음 법률을 준수하는 것이 중요합니다.

• EU 일반 데이터 보호 규정(GDPR)(2018)
  
  
  • EU 시민의 데이터를 보호하기 위해 배치합니다.
• 연방 데이터 보호법(BDSG)(2018)
  
  
  • GDPR을 수정하여 직원 개인 데이터를 처리할 때 개인 권리에 대한 예외를 허용합니다.
• 통신 및 텔레미디어(TTDSG)의 데이터 보호 및 개인 정보 보호 규정에 관한 연방법(2021)
  
  
  • 통신법(1996)과 통신법(2007)을 결합하여 통신 데이터(예: 비즈니스 이메일 계정, 비즈니스 전화 또는 인터넷 브라우저 기록)에 대한 액세스를 금지하고 제5(3)조에 따라 쿠키 동의 요구 사항을 설정합니다. ePrivacy의.
• ePrivacy(쿠키법) (2002)
  
  
  • "전자 통신 부문의 개인 데이터 처리와 관련된 개인 정보 보호 및 기밀 유지"를 보장합니다.

다음 기준은 독일 내에서 준수하는 A/B 테스트 플랫폼을 선택할 때 가이드 역할을 합니다.

1. A/B 테스팅 회사는 데이터 규정 준수를 위해 어떻게 준비했습니까?

GDPR, BDSG 및 TTDSG 법률에 대해 어떻게 준비했습니까?

상위 선택 항목의 범위를 좁힌 후에는 절차, 관련된 영역 및 시작된 조치를 간략하게 설명할 수 있는지 확인하십시오. 계획된 모든 조치가 완전히 구현되지 않은 경우 구현 상태를 설명할 수 있어야 합니다.

이것은 사용된 접근 방식에 대한 개요와 다양한 법률을 구현하는 방법에 대한 입장에 대한 자체 평가를 제공합니다.

답변해야 하는 일반적인 질문은 다음과 같습니다.

1. 개인 데이터(예: 인사, IT, 영업/고객 지원, 마케팅)를 다루는 회사의 모든 필수 부서가 관련되었습니까?
2. 이러한 법률에 대한 교육이 수행되었다는 증거가 있습니까?
3. 회사에서 계획한 모든 조치가 구현되었습니까?

예를 들어, Convert는 GDPR을 준수하기 위해 취한 조치를 명확하게 명시하는 공개 로드맵을 게시했습니다(필요한 각 문서에 따라).

고려 중인 각 A/B 테스트 플랫폼에 대해 유사한 로드맵이 있어야 합니다.

2. A/B 테스트 도구에 처리 활동 기록이 있습니까?

선택한 도구가 처리 활동 등록부에 모든 개인 데이터 처리 비즈니스 작업을 포함하는 것이 중요합니다.

다음과 같이 자문해 보십시오.

1. 처리 활동 기록이 정기적으로 검토되고 필요한 경우 업데이트된다는 것이 분명한가?
2. 이 기록이 GDPR 30조의 법적 요건에 부합합니까?
   
   
   1. 담당자의 이름과 연락처를 제공합니까?
   2. 처리 목적이 명시되어 있습니까?
   3. 관련된 사람의 범주(예: 직원, 고객 등)와 개인 데이터의 범주(예: 직원 마스터 데이터, 지원자 데이터, 고객 연락처 데이터, 신용도 데이터 등)가 설명되어 있습니까?
   4. 개인 데이터를 제3국 또는 내부 조직으로 이전하는 것에 대한 진술이 있습니까?
   5. 다양한 범주의 데이터 삭제에 대한 예상 기한이 표시되어 있습니까?

다음은 각 데이터 처리 활동에 대해 Convert가 보관하는 기록의 예입니다.

3. A/B 테스트 도구는 어떤 법적 근거로 개인 데이터를 처리합니까?

GDPR 6조에 따르면 회사가 개인 데이터를 처리하는 데 의존하는 합법적인 기반이 있어야 합니다.

다음 질문을 하십시오.

1. 개인 정보 보호 정책에 법적 근거가 언급되어 있습니까?
2. 동의 선언은 이해하기 쉽습니까(즉, 동의 부여를 설명할 때 정보 주체의 내용이 명확하고 간단하게 설명되어 있습니까?)?

우리의 개인 정보 보호 정책에 게시된 Convert가 의존하는 몇 가지 합법적인 기반이 있습니다. GDPR을 중심으로 하며 다음을 포함합니다.

• 계약 : 당사는 귀하에 대한 계약상의 책임을 이행합니다(예: 고객으로 등록하거나 당사로부터 구매하거나 당사 서비스를 사용할 때).
• 동의 : 고객은 당사가 특정 방식으로 개인 정보를 사용하기 전에 동의해야 합니다(예: 교차 도메인 추적 활성화, 프로젝트에 여러 도메인 추가, 잠재고객 세분화 켜기 또는 추가 로깅 요청 시).
• 법적 의무 : 당사는 법적으로 특정 문서(예: 인보이스 사본 및 지불 관련 정보)를 제공해야 합니다.
• 정당한 이익: 당사는 최소한의 개인 정보 보호 영향을 미치거나 설득력 있는 정당성이 있는 경우에만 귀하가 공정하게 기대하는 방식으로 귀하의 개인 데이터를 사용합니다.

4. A/B 테스트 도구에 데이터 보호 영향 평가 가 있습니까?

DPIA(데이터 보호 영향 평가)는 조직이 데이터 처리와 관련된 개인 정보 위험을 식별, 평가, 완화 또는 최소화하도록 지원합니다. 새로운 데이터 처리 기술, 시스템 또는 기술을 도입할 때 특히 중요합니다.

DPIA는 또한 조직이 GDPR 표준을 준수하고 준수를 보장하기 위해 충분한 조치를 취했음을 보여주기 때문에 책무성 원칙을 장려합니다.

필요할 때 DPIA를 수행하지 않으면 조직의 연간 글로벌 매출의 최대 2% 또는 1천만 유로 중 더 높은 금액의 벌금이 부과될 수 있는 GDPR 위반이라는 사실을 알고 계셨습니까?

Convert의 GDPR 프로젝트의 일환으로 Convert는 직원을 위한 지침과 DPIA를 수행하는 데 사용할 템플릿을 개발했습니다. 이는 영향을 받는 사람들의 권리와 자유에 대해 높은 위험이 예상되는 처리 작업을 식별하는 데 도움이 됩니다.

5. 데이터 보호 담당자가 임명됩니까?

데이터 보호 책임자(DPO)의 주요 책임은 조직의 직원, 고객, 공급자 또는 기타 개인(데이터 주체라고도 함)의 개인 데이터가 해당 데이터 보호 규칙에 따라 처리되도록 하는 것입니다. GDPR은 각 EU 조직과 기관이 DPO를 설정하도록 요구합니다.

회사의 데이터 보호 책임자의 자격과 이들이 조직에 통합되는 방식을 명확히 하려면 다음과 같이 자문해 보십시오.

1. 문서에서 DPO에 대한 현재의 충분한 전문 지식을 추론할 수 있습니까? (데이터 보호에 대한 교육 및 추가 교육, 데이터 보호 경험의 범위/기간, 전문 교육(예: 변호사, 컴퓨터 과학자) 및 확립된 데이터 보호 네트워크에 대한 참여를 평가합니다.
2. DPO의 연락처 정보가 게시되어 있습니까? 회사 웹사이트에서? DPO의 연락처 정보를 쉽게 찾을 수 있습니까?

6. A/B 테스트 회사는 데이터 보호 위반을 적시에 감독 기관에 보고하도록 합니까?

모든 독일 조직은 GDPR 33조에 따라 개인 데이터를 안전하게 보호하고 데이터 보안 위반(경우에 따라 데이터 보호 책임자에게 위반 보고를 포함할 수 있음)에 72시간 이내에 적절하게 대응할 의무가 있습니다.

개인 부상, 운영 비즈니스 손상, 심각한 재정적, 법적, 평판적 비용의 위험을 방지하려면 데이터 보안 또는 기밀성 위반이 실제로 발생할 수 있거나 의심되는 경우 신속하게 조치를 취하는 것이 중요합니다.

개인 정보를 준수하는 A/B 테스트 도구를 찾을 때 다음 질문을 하십시오.

1. 데이터 보호 위반 보고 프로세스가 이해하기 쉬운 방식으로 제시되었습니까?
2. 보고 과정에서 책임(누가 무엇을 하는지)이 명확하게 규정되어 있습니까?
3. Ι 72시간이라는 기간이 눈에 띄게 고려되었습니까?
4. 직원들이 이 과정을 인지하고 있다는 것이 분명한가?

Convert에는 [email protected]에서 요청할 수 있는 자체 개인 데이터 침해 에스컬레이션 정책이 있습니다.

7. A/B 테스팅 도구는 데이터를 어디에 저장합니까?

오스트리아는 개인정보 보호가 더 제한적인 미국에 데이터가 저장되어 있기 때문에 최근 Google Analytics 사용을 금지했습니다. EU에서 합법적으로 데이터를 저장하는 A/B 테스트 플랫폼을 찾는 것이 가장 안전한 방법입니다.

조직의 개인 정보 보호 정책에서 데이터가 보관되는 위치를 찾을 수 있어야 합니다. 일반적으로 데이터 저장 정보는 "하위 처리자" 및 "제3자 서비스" 섹션에 있습니다. 이 정보를 쉽게 찾을 수 없거나 명확하지 않은 경우 해당 기관에 문의하십시오.

8. A/B 테스트 도구는 DNT(추적 안 함) 설정을 존중합니까?

개인 정보가 염려되는 사용자를 위해 여러 브라우저에는 "추적 안 함" 기능이 있습니다. 이 기능을 켜면 웹사이트와 분석 도구에 사용자 행동 추적을 중지하도록 지시할 수 있습니다.

원칙적으로 이 설정은 방문자의 브라우저가 온라인 습관 및 관심사에 대해 마케팅 담당자 및 기타 비즈니스에 알리는 "쿠키"를 허용하지 않도록 해야 합니다. 그러나 웹 사이트는 이러한 제한 사항에 기술적으로 구속되지 않습니다. 따라서 사용자 개인 정보를 보호하고 시스템이 이러한 요구 사항을 준수하는지 확인하는 A/B 테스트 도구를 찾는 것이 중요합니다.

Convert는 최종 사용자 정보가 활용되는 방식을 제어하는 ​​간단한 방법이 중요하다고 생각하기 때문에 Do Not Track을 지원합니다. 우리는 DNT를 귀하와 귀하의 최종 사용자가 데이터를 어떻게 사용해야 하는지에 대한 신호로 진지하게 생각합니다.

변환은 사용자에게 다음 옵션을 제공합니다.

1. 추적 금지(추적 거부)
2. 추적(추적 선택)
3. Null(기본 설정 없음)

기본적으로 웹 브라우저는 최종 사용자가 추적 여부를 표시하지 않았음을 나타내는 "Null"을 사용합니다. "추적 안 함"을 선택하면 변환이 스크립트/경험을 로드하지 않고 대신 다른 두 옵션을 로드합니다.

프로젝트 구성에 "Respect Do Not Track Browser Settings"라는 행이 있습니다. 이 행은 기본적으로 꺼져 있지만 드롭다운 메뉴를 사용하여 변경할 수 있습니다.

9. A/B 테스트 도구는 익명 추적을 허용합니까?

익명화를 통해 A/B 테스트 도구는 보고용 데이터를 계속 추적하면서 GDPR을 준수할 수 있습니다. GDPR 지침에 따르면 A/B 테스트 도구는 "데이터 주체를 식별할 수 없거나 더 이상 식별할 수 없는 방식으로 익명으로 렌더링"되는 한 특정 데이터를 수집할 수 있습니다. 이는 개인 식별이 불가능한 인구 통계 데이터를 추적하려는 회사에 중요합니다.

Convert Experiences의 데이터 익명화 옵션을 사용하면 웹사이트에서 방문자의 버킷 경험/변형 이름에 대한 모든 수신 및 과거 데이터를 정리할 수 있으므로 마케팅 및 IT 팀이 개인 정보를 위험에 빠뜨리지 않고 필수 추적 데이터를 유지할 수 있습니다.

10. A/B 테스팅 도구는 서버 로그에 무엇을 보관합니까?

GDPR에 따르면 IP 주소는 개인 데이터로 간주됩니다. A/B 테스트 도구의 서버 로그에 방문자의 IP 주소가 포함되어 있으면 개인 데이터가 포함됩니다.

GDPR 준수 서버 로그에 대한 기본 지침은 다음과 같습니다.

1. GDPR 준수 로그를 유지하는 가장 간단한 솔루션은 로그를 전혀 유지하지 않는 것입니다.
2. 서버 로그가 필요한 경우 가능한 한 짧은 시간 동안 보관하십시오. 오래된 로그를 자동으로 삭제하는 서버 로그 순환 정책을 만듭니다.
3. IP 주소 또는 기타 개인 데이터 없이 로그를 수집하는 경우 GDPR을 준수합니다.
4. 특정 조건에서 동의 없이 로그를 수집할 수 있지만 개인 정보 보호 정책에서 이를 알려야 합니다.

Convert Experience의 라이브 로그는 최종 사용자가 웹 페이지와 실시간으로 상호 작용하는 방식을 추적합니다. 목표가 트리거된 타임스탬프, 트리거된 이벤트 유형, 최종 사용자에게 표시되는 변형 등과 같은 정보를 캡처합니다. 라이브 로그는 IP 주소나 기타 PII 데이터를 저장하지 않기 때문에 GDPR을 준수하는 것으로 간주됩니다.

11. 누가 데이터를 소유합니까?

GDPR의 주요 요구 사항 중 하나는 개인 데이터 처리를 위한 적절한 측정이 마련되어 있다는 것입니다. EU의 소비자 거래와 연결된 데이터는 GDPR이 적절하다고 간주하는 데이터 보호 조치를 통해 EU 또는 국가에 물리적으로 저장되어야 합니다(사용자가 데이터를 다른 곳에 보관하는 데 동의하지 않는 한).

이 규칙은 EU에 기반을 두지 않은 회사에 몇 가지 문제를 제기하지만 이러한 문제 중 일부는 명확한 데이터 소유권 정책이 포함된 분석 패키지를 사용하여 완화할 수 있습니다.

Convert는 소유권을 명시적으로 명시함으로써 사용자가 안심할 수 있도록 합니다. 여기에는 "고객의 명시적인 서면 승인 없이는 데이터를 제3자와 공유하지 않을 것"이며 "요청 시 서비스 구독을 취소하는 고객과 관련된 모든 데이터를 삭제할 것"이 요약되어 있습니다.

12. A/B 테스팅 도구가 현재 기술 스택과 통합될 수 있습니까?

새로운 A/B 테스트 도구가 CMS(콘텐츠 관리 시스템) 및 전자 상거래 플랫폼과 같은 나머지 기술 스택과 잘 작동하는지 확인하고 싶을 것입니다. 현재 기술 스택을 새 솔루션에 연결하는 것은 비용이 많이 들 수 있으므로 현재 사용하는 모든 도구 목록을 작성하고 통합 또는 API를 통해 새 도구와 동일한 통합을 다시 만들 수 있는지 확인하십시오.

연구를 수행할 때 다음 질문을 염두에 두십시오.

1. 선택한 도구가 CRM과 같은 나머지 시스템과 얼마나 잘 그리고 얼마나 빨리 통합됩니까?
2. 그러한 연결을 가능하게 하는 승인된 통합이 있습니까? 그렇지 않은 경우 코드를 수정하여 작동하도록 할 수 있습니까?
3. 필요한 경우 데이터를 다른 도구로 손쉽게 변환할 수 있습니까?
4. 공급업체 종속 또는 데이터를 다른 제공업체로 이동하는 데 문제가 있다는 증거가 있습니까?

13. A/B 테스트 스크립트를 자체 호스팅하는 옵션이 있습니까?

SaaS(Software-as-a-Service)와 셀프 호스팅 중에서 선택하는 것은 어려울 수 있습니다. 비용, 용이성 및 편의성을 고려할 때 대부분의 소프트웨어를 클라우드를 통해 제공하는 것이 합리적입니다. 그러나 SaaS는 정부 및 은행과 같은 일부 비즈니스 및 조직에 최선의 선택이 아닐 수 있습니다.

온프레미스 A/B 테스트 솔루션은 데이터 및 저장 위치에 대한 완전한 제어를 원하는 기업에게 가장 선호되는 옵션이 될 것입니다. 또한 GDPR 준수 측면에서 가장 간단합니다.

다음과 같은 명확한 질문을 스스로에게 해보십시오.

1. A/B 테스트 도구에서 클라우드 호스팅 솔루션을 사용할 수 있습니까?
2. 인프라에서 도구를 호스팅할 리소스가 있습니까?
3. 요금제와 함께 제공되는 데이터 한도를 알고 있습니까?

14. 국제 데이터 전송이 허용됩니까?

데이터 전송은 이제 너무 일반적이어서 대부분의 사람들은 이러한 일이 일어나고 있다는 사실조차 인지하지 못합니다. 그럼에도 불구하고 처리하기가 번거로울 수 있으며 원래 데이터 수집 계약(데이터 위치와 유사)에서 동의해야 합니다.

최근까지 기업에서는 사전 승인 없이 Privacy Shield 프레임워크를 사용하여 EU 및 스위스에서 미국으로 데이터를 전송했습니다. 그러나 2020년에 유럽 판사는 이러한 위험한 데이터 전송이 여전히 다른 법적 근거에서 발생하지만 미국 데이터 보호가 불충분하여 프레임워크가 무효화된다고 판결했습니다.

잠재적인 위협을 피하기 위해 A/B 테스트 회사는 설계에 따른 데이터 보호 전략을 사용할 수 있습니다(다음 섹션에서 논의함). 그렇지 않으면 단순히 동의를 요청하고 데이터가 저장되고 이동할 위치를 지정할 수 있습니다.

15. 설계 및 기본적으로 데이터 보호가 존중됩니까?

디자인에 의한 프라이버시 개념은 프라이버시 친화적인 A/B 테스트 도구의 핵심입니다.

우리는 사후 처리보다 개인 정보 침해를 방지 하는 것을 선호하며 사전 예방을 위해 데이터 최소화 및 목적 제한을 사용합니다.

데이터 최소화 는 특정 목적을 달성하기 위해 필요한 데이터만을 처리하는 것을 의미하고, 목적 제한 은 데이터를 처리하기 전에 데이터를 처리하는 목적을 식별하여 기록하고 사람에게 알리는 것을 의미합니다.

데이터를 수집하고 처리한 후에는 데이터를 얻은 작업 기간 동안만 유지해야 합니다.

설계에 의한 데이터 보호를 위해서는 처리 계획 단계에서 기술 및 조직적 보호 장치를 사용해야 합니다. 이를 통해 조직은 처음부터 개인 정보 보호 및 보안 메커니즘이 제대로 갖춰져 있는지 확인할 수 있습니다. 구체적인 절차는 사용 사례에 따라 다르지만 데이터 익명화, 데이터 모니터링 또는 A/B 테스트 소프트웨어에 새로운 개인 정보 보호 기능 추가가 포함될 수 있습니다.

그렇다면 어떤 A/B 테스팅 플랫폼이 프라이버시 친화적일까요?

독일 내에서 웹사이트, 디지털 제품 또는 모바일 앱에서 데이터를 수집하고 분석하는 방법을 찾고 있다면 선택한 플랫폼이 매우 중요합니다.

대부분의 A/B 테스트 솔루션은 개인 정보 보호를 염두에 두고 구축되지 않았으며, 주요 플랫폼은 특정 사항(데이터 익명화 및 소유권 등)을 제대로 처리하지만 다른 영역(예: 데이터 위치)에서는 부족합니다.

운 좋게도 요즘에는 데이터 개인 정보를 유지하면서 웹 사이트에서 경험을 실행할 수 있는 A/B 테스트 소프트웨어에 대한 수요가 높습니다. 이것은 오늘날 그 어느 때보다 개인 정보 보호 친화적 A/B 테스트 도구를 사용할 수 있음을 의미합니다. 간략한 요약은 가장 중요한 측정항목이 포함된 아래 표를 참조하세요.