GDPR + 이메일 마케팅 가이드

(참조 자료: Your GDPR + Email Marketing Playbook: How to Prepare for the New EU Data Law)

오는 5월 25일부터 발효하게 되는 EU의 GDPR(General Data Protection Regulation)은 전 세계에 있는 이메일 마케팅 담당자에게도 영향을 미칠 것입니다.

이전 글: GDPR이 마케팅에 끼치는 영향: 디지털 마케터가 알아야 할 팁

오늘은 GDPR에 대해서 둘러보고 이메일 마케팅 담당자들이 어떻게 대응을 해야 하는지에 대해서 소개하려고 합니다.

GDPR 이란?

오는 2018년 5월 25일부터 발효되는 유럽 일반개인정보보호법(GDPR: General Data Protection Regulation)의 목적은 나날이 증가하고 있는 데이터 세상에서 유럽 시민들의 개인 정보와 데이터를 보호하고 여러 지역에 걸쳐 기업들의 데이터 보호 정책을 재편하는 것입니다. 2016년 5월 EU가 이 법안을 발효함에 따라 2018년 5월 25일부터 적용되는 일반 개인정보 보호법입니다.

GDPR은 기업들이 데이터 유출에 대해 보다 더 넓은 범위의 책임을 지게 하고, 개인 정보 공개에 대한 동의 기록을 보관하게 할 뿐만 아니라 데이터가 어떻게 저장되고 사용될지에 대해서 구체적이고 명확하게 명시하도록 하고 있습니다.

 GDPR이 이메일 마케팅에 가져다 줄 혜택?

언뜻 생각하면 GDPR의 발효는 이메일 마케팅 캠페인을 주춤하게 만들 것이라 생각될 수 있지만, 어느 정도 조금의 노력만 더한다면 오히려 몇 가지 중요한 혜택을 볼 수 있을 것입니다.

GDPR의 가장 중요한 목표는 점점 더 데이터 중심적으로 되어가고 있는 세상에서 모든 EU 시민들을 개인 정보 혹은 데이터 침해로부터 보호하는 것이라고 앞서 설명하였는데요, 뉴스레터 구독 리스트를 올바르게 보관하고 사용하기 위해 적절한 조치를 취한다면 구독자들에게 좀 더 관련성 높고 타깃팅되어 사전 수신 승인을 기반으로 한 효과적인 이메일 마케팅 캠페인을 진행할 수있을 것입니다.

뿐만 아니라 구독자와의 신뢰, 스팸 메일 신고나 수신 거부의 감소, 그리고 이메일 발송률 향상 등의 효과를 누릴 수 있습니다.

GDPR은 누구에게 영향을 미치는가?

GDPR은 여러분의 기업이 비록 유럽에 있는 기업이 아닐지라도 EU 회원국에 거주하는 사람들의 개인 데이터를 수집, 기록, 저장, 혹은 활용하는 모든 데이터 컨트롤러, 혹은 프로세서에 적용됩니다.

개인식별정보(Personally identifiable information, PII)라 불리는 개인 데이터에는 이메일 주소를 포함하여 개인을 식별하는 데 사용할 수 있는 모든 데이터를 포함합니다.

그렇다면 데이터 컨트롤러? 프로세서는 무엇일까요?

• 데이터 컨트롤러(Data Controller): 개인의 데이터가 어떻게 처리되는지를 결정하는 개인 혹은 비즈니스
• 데이터 프로세서(Data Processor): 컨트롤러를 대신하여 개인 데이터를 처리하는 개인 혹은 비즈니스

즉, EU 거주자들의 개인 데이터를 수집하는 기업은 데이터 컨트롤러라 하고, 그 기업이 사용하고 있는 서드파티 클라이언트는 데이터 프로세서라 말할 수 있을 것입니다.

GDPR은 어떤 영향을 미치나요?

GDPR이 여러분의 비즈니스에 어떤 영향을 미치는지 이해하려면 새로운 법률이 보호하는 주요 권리와 이러한 권리가 기업에게 어떻게 적용되는지 이해하는 것도 중요합니다.

• 알릴 권리:  기업의 EU 고객(혹은 구독자)는 자신의 개인 데이터가 사용되는 방법과 그 이유에 대해서 언제든지 질문할 수 있습니다.
• 액세스 권리: 기업의 EU 고객(혹은 구독자)는 기업이 보관하고 있는 자신의 개인 데이터의 사본을 언제든지 요청할 수 있습니다.
• 수정 권리: 기업의 EU 고객(혹은 구독자)는 자신의 개인 데이터를 언제든지 업데이트(혹은 수정 요청)할 수 있습니다.
• 삭제 권리: 기업의 EU 고객(혹은 구독자)는 기업과 혹은 그 기업이 사용하고 있는 서드파티 클라이언트가 보관하고 있는 자신의 개인 데이터를 삭제하고, 사용을 중단할 것을 언제든지 요청할 수 있습니다.
• 반대할 권리: 기업의 EU 고객(혹은 구독자)는 언제든지 이메일 수신을 거부할 수 있습니다.

이러한 데이터 주체의 권리를 알고 있다면 데이터 보호 책임에 대해서 좀 더 잘 이해할 수 있을 것입니다.

GDPR을 준비하는 방법

GDPR에 대해서는 생각해 볼 점들이 많습니다. 오늘은 이메일 마케터가 알고 있어야 할 4가지 단계에 대해서 소개하고자 합니다.

1. 서드파티 이메일 마케팅 서비스 제공 업체의 GDPR  준수 여부를 확인하십시오.

비단 이메일 마케팅 솔루션 뿐만 아니라 현재 회사가 고객 데이터를 획득하고, 저장하고, 사용함에 있어서 관련된 모든 서드파티 클라이언트를 확인하고 GDPR에 잘 대처하고 준수하고 있는지 확인하십시오.

2. 뉴스레터 구독자로부터 명시적인 동의를 얻으십시오.

GDPR은 기본적으로 개인 정보 제공에 대한 동의를 아주 구체적이고 명확하게 받는 것을 원칙으로 하고 있습니다. 데이터의 목적과 어떻게 사용하는지에 대해서 명확하게 모두 공개하여야 하고, 각각의 목적에 따라서 명시적인 동의를 받아야 합니다.

예를 들어, 주 단위로 나가는 위클리 뉴스레터가 있다고 가정해보세요. 어떤 한 사람이 이 뉴스레터를 구독하게 되면 지금까지는 이 위클리 뉴스레터 뿐만 아니라 제품 홍보용 뉴스레터를 모두 발송 했을 것입니다. 여기에 GDPR을 적용하게 되면 뉴스레터 구독 양식에 이 위클리 뉴스레터와 제품 홍보용 뉴스레터 각각의 명시적인 동의를 각각 따로 받아야 할 것입니다.

GDPR 준수를 위해 보통 이러한 구독 양식에 체크 박스를 사용해야 한다는 이야기가 많은데, 이 체크박스는 단순히 동의를 증명하는 여러가지 방법 중 하나일 뿐입니다.

명시적인 동의를 증명하는 또 다른 방법 중 하나는 구독 양식에 간단한 문구를 추가하여 구독자의 개인 데이터 사용 방법, 앞으로 발송할 콘텐츠, 그리고 발송 빈도 등을 명확하게 표기하는 것입니다.

그리고 무엇보다 구독 양식에서 체크 박스를 사용하고 싶다면, 이 체크박스가 사전에 미리 체크 표시가 되어 있지 않도록 주의하여 확인하십시오. 명시적인 동의를 위해 구독자가 직접 체크박스에 체크 표시를 해야 하는 것이 GDPR의 원칙입니다.

아래 이미지는 제공되는 개인 데이터가 어떻게 사용되는지 구독 양식에서 명확히 알려주는 예시입니다.

구독 양식을 검토할 때 아래와 같은 질문들을 던지십시오.

• 기업이 어떤 정보를 수집하는지 구독자에게 정확히 안내를 하였습니까?
• 그 정보를 왜 어떤 목적으로 수집하는지 구독자에게 정확히 안내를 하였습니까?
• 기업이 구독자들에게 앞으로 어떤 내용을 발송할지를 정확히 안내를 하였습니까?
• 기업이 구독자들에게 얼마나 자주 메일을 발송하는지 정확히 안내를 하였습니까?

대부분의 마케터들이 가지고 있는 또 다른 공통된 질문을 다음과 같습니다. 명시적인 동의를 받기 위해 각각의 목적에 따라 동의를 얻어야 한다면 옵트인을 이중으로 해야하는가? 입니다.

우선 정답을 이야기 하자면, GDPR을 준수하기 위해 옵트인을 반드시 두 번 할 필요는 없습니다. 단일 선택 동의를 유지하되 다른 방법으로 동의를 증명할 수 있는 경우에도 GDPR을 준수하고 있다고 정리할 수 있을 것입니다. 하지만 분명 이중으로 옵트인을 하게 된다면 구독자들의 높은 참여도와 발송률을 끌어올 수 있다는 이점을 보여줍니다.

GDPR 발효 전에 이미 여러분의 뉴스레터 수신자 리스트에 있는 고객일 경우, GDPR이 발효하기 전에 다시 한번 뉴스 레터 구독 수신에 대한 메일을 보내어 구독자들의 뉴스레터 수신 여부를 계속 확인할 수 있을 것입니다.

3. 공개된 개인정보 보호 정책의 생성 혹은 업데이트

명시적인 동의를 얻는 것과 같은 방법으로 데이터 수집 및 활용에 대한 개인 정보 보호 정책을 새롭게 작성 혹은 기존의 것을 업데이트하는 것이 좋습니다.

위에서 언급한 바와 같이, 구독자는 자신의 개인 데이터가 사용되는 방식에 대해서 알 권리가 있으므로 해당 정책을 명확하게 이해하기 쉽게 만들어야 합니다.

또한 해당 정책 내용을 홈페이지에서 쉽게 찾아 볼 수 있는지도 확인하세요. 구독 양식, 이메일, 웹사이트 하단 등에 해당 개인 정보 보호 정책에 대한 링크를 추가하면 위 작업을 수행할 수 있을 것입니다.

4. 구독자로부터의 데이터 요청 프로세스를 문서화하고 전달하십시오.

GDPR에서는 구독자가 수신 거부하거나 개인 데이터를 수정하거나 혹은 그 데이터의 사본을 요청하거나, 그리고 자신의 데이터를 삭제하도록 요청하는 프로세스를 문서화하여 전달해야 합니다.

구독자들이 위와 같은 요청을 하는 프로세스를 문서화할 필요가 있습니다.

이 프로세스가 문서화되면 공개된 개인정보 보호정책과 이메일을 통해 해당 정보를 전달할 수 있을 것입니다.

아래는 이러한 프로세스를 문서화하고, 이를 전달할 요청 유형 혹은 이를 수행하는 방법들입니다.

뉴스레터 구독자 리스트에서 탈퇴

GDPR 안에서 이메일 구독자들은 언제든지 기업과의 소통을 끊고 자신의 뉴스레터 구독을 취소할 수 있습니다.

구독자는 이미 이메일 하단에 있는 ‘수신 거부’ 링크를 사용하여 일단 자체적으로 수신 거부할 수도 있습니다.

혹은 아니면 구독자들이 리스트 별로 혹은 전체 리스트에 대해서 구독 취소를 요청할 때마다 일일히 그들을 삭제할 수도 있습니다.

이메일 메시지에 옵션을 추가하여 이 옵션을 보다 분명하게 만들 수 있습니다. 여기 격주로 발행되는 뉴스레터 이미지가 있습니다. 이 이메일을 받는 이는 문구 아래에 장난스런 말투로 수신 거부 링크도 포함된 것을 본문에서 확인할 수 있습니다.

개인 데이터 업데이트

또한 구독자는 언제든지 자신의 개인 데이터를 수정하거나 업데이트할 수 있는 권리가 있습니다.

이메일의 수신 거부 링크와 마찬가지로 구독자는 이미 이메일의 하단 부분에 위치한 ‘구독 옵션 변경(Change subscriber options)’을 통해서 개인 데이터를 직접 변경할 수 있습니다. 혹은 기업에 요청하여 기업이 직접 정보를 수정하도록 할 수도 있어야 합니다.

유지 및 관리하는 개인 데이터의 사본 요청

GDPR 에서 구독자는 기업이 보유하고 있는 자신의 데이터에 대해서 액세스할 수 있는 권리를 지닙니다.

개인 정보 수신 거부 및 업데이트와 달리 구독자는 직접 이 정보에 액세스할 수는 없지만, 기업에게 그 사본을 요청할 권리를 가지게 됩니다. 기업은 구독자의 요청에 따라 보유한 개인 데이터를 하나의 패키지(One package)에 담아 전달해야 합니다.

구독자 데이터 완전히 삭제하기

GDPR에서 구독자는 자신의 데이터를 삭제할 수 있는 권리 또한 가지게 됩니다. 즉 구독자의 요청에 따라 기업의 해당 개인 데이터를 완전히 삭제해야 합니다. 여기에는 위에서 언급한 것처럼 개인을 식별할 수 있는 모든 PII 데이터가 포함됩니다.

5. 개인 데이터를 수집하는 방법에 대한 기록들을 모두 보관하십시오. 

GDPR에서 가장 중요한 것 중의 하나는 바로 구독자가 기업에 보낸 명시적인 동의에 대한 본질을 언제든 증명할 수 있어야 한다는 것입니다. 그러기 때문에 항상 이 개인 데이터 제공에 대한 동의 기록은 항상 보관하고 있어야 하며, 여기에는 첫째, 구독자 데이터가 들어간 구독 양식의 복사본과 함께 어떤 리스트로 구독하였는지 확인할 수 있어야 하고, 둘째, 구독자들이 명시적인 동의를 한 데이터 수집 매커니즘에 대해서 보여주어야 합니다.

기본 코드, 스크린샷, PDF 등을 활용하여 위와 같은 기록들을 모두 보관할 수 있을 것입니다.

GDPR을 위한 이메일 마케팅 체크리스트

GDPR을 대비하면서 간단히 이메일 마케팅 체크리스트를 확인하고 싶다면 여기를 클릭하세요.

 

*마케팅 자료 및 기타 상담 문의: parkmg85@hanmail.net 

*취업 준비생 및 사회 초년생을 위한 소규모 그룹의 원데이 마케팅 코칭 수업을 진행하고 있습니다. 수강 신청 및 자세한 사항은 여기를 클릭하고 확인해주세요.