미국 기반 사이트에서 GDPR 사용자를 어떻게 차단할 수 있습니까?
(원래 GDPR 태그를 사용하여 Server Fault에 대해이 질문을했지만 최소한의 응답으로 인해 여기에서 물어 보는 것이 좋습니다)
내가 이해하는 바와 같이 GDPR은 EU 시민의 개인 정보를 보호하고 EU 시민에게 웹 사이트가 데이터를 사용하는 방법 / 웹 사이트가 해당 데이터를 저장할 수 있는지 여부를 제어 할 수있는 권한을 부여하는 것으로 장려 된 유럽 법률입니다.
GDPR에 대한 저의 첫 인상은 EU 시민이 GDPR 권리를 원하는 경우 GDPR 법률이 적용되는 EU에 거주하는 서버 만 사용해야한다는 것입니다.
그러나 EU 법률이 어떻게 든 EU 외부의 서버에 영향을 미칠 수 있다는 개념이 있습니까? 저는 변호사는 아니지만 각 국가가 다른 국가의 법률과 일치하거나 일치하지 않을 수있는 자체 법률을 정의하고 시행 할 것으로 기대합니다. GDPR은 미국 (또는 기타 비 EU 국가)에있는 서버에도 어떻게 적용됩니까?
내가 온라인에서 읽은 여러 기사에 따르면 미국은 어떻게 든 EU의 GDPR 법안이 미국 땅에 시행되도록 허용하는 것 같습니다.
GDPR 문제를 다루고 싶지 않기 때문에 모든 EU 시민 (및 EU 내에서 내 사이트 / 서비스에 액세스하는 다른 사람)이 내 웹 사이트와 서비스를 사용하지 못하도록 차단할 수밖에없는 것 같습니다. 전체 EU IP 주소 공간을 방화벽으로 차단하여 대부분의 EU 사용자를 포착 할 수 있지만, VPN을 사용하거나 EU가 아닌 ISP에서 내 사이트에 액세스 할 수있는 EU 시민이 있습니다.
EU 시민을 차단하는 데 사용할 수있는 법적 접근 방식이 있습니까? 예 : "EU 거주자로서이 사이트 또는 서비스에 액세스하는 것은 불법입니다."법적 지침을 위반하면 GDPR 기대치가 무효화됩니까? 그들이 내가 GDPR 게임을하고 있지 않다는 것을 이해하고 그들이 내 서버에 제출하는 모든 것이 그것에 적용되지 않는다는 것을 이해하는 한 그들이 내 웹 사이트와 서비스를 사용하는지 상관하지 않습니다.
답변
이는 GDPR에 대한 오해에 근거한 것일 수 있습니다. GDPR은 다음 세 가지 상황에서 적용됩니다.
- Art 3 (1) : 귀하 (데이터 컨트롤러)는 EU에서 설립 / 살아 있습니다.
- Art 3 (2) (a) : 귀하는 EU에있는 사람들에게 상품이나 서비스를 제공합니다.
- Art 3 (2) (b) : 귀하는 EU에 실제로 거주하는 사람들의 행동을 모니터링합니다.
요인이 아닌 것 :
- 사이트 방문자가 가진 시민권 (Recital 14 참조).
- EU에서 귀하의 사이트에 액세스 할 수 있는지 여부 (Recital 23 참조).
중요한 부분은 "상품 또는 서비스 제공"의 의미입니다. EDPB는이 타겟팅 기준 의 해석에 대한 공식 지침을 발표했습니다 ( GDPR의 영토 범위에 대한 지침 2018 년 3 월 ). 몇 가지 중요한 참고 사항 :
- 상품이나 서비스의 제공에는 보상이 필요하지 않습니다. 웹 사이트에 대한 무료 액세스도 서비스가 될 수 있습니다.
- GDPR은 현재 EU에있는 사람들을 대상으로 할 때 적용됩니다. EU의 미국 관광객은 보호를 받지만 미국의 EU 관광객은 보호되지 않습니다.
- 서비스를 제공하는 순간이 중요합니다. 예를 들어 미국 서비스를 사용하는 미국 사람은 EU로 여행하는 동안 미국 서비스에 대해 GDPR 보호를 요청할 수 없습니다.
- 서비스 사용자를 보는 대신 서비스의 목표 시장을 살펴보아야합니다. 서비스가 EU 사람들에게 적합하지 않으면 GDPR이 적용되지 않습니다.
- 필수적인 질문은 서비스 제공자가 EU 사람들에게 서비스를 제공하는 것을“예상”하는지 여부입니다. 서비스 제공 업체가 EU 데이터 주체가 서비스를 사용하도록 의도합니까?
- 가이드 라인은 판례법, 특히 Pammer 및 Alpenhof 사건 의 표시에 대한 비 포괄적 목록을 구성합니다 . GDPR이 적용될 수있는 징후 발췌 :
- EU 또는 회원국이 서비스 제공에 언급 됨
- 웹 사이트에 EU 고객을 대상으로 한 마케팅이 있습니다.
- 문제가되는 활동은 국제적 성격입니다 (예 : 관광)
- EU 시장에 대한 특별 연락처 정보 언급
- EU 또는 회원국과 관련된 최상위 도메인 이름 사용
- EU에서 방문시 여행 지침
- EU의 사람 / 회사를 포함한 국제 고객에 대한 언급
- 귀하의 언어가 아닌 다른 언어 또는 통화 사용
- EU로 상품 배송 제공
따라서 GDPR 적용 여부는 웹 사이트의 주제와 EU 시장에 참여할 의사가 있는지 여부에 따라 달라집니다 (온라인에서만 서비스가 제공 되더라도).
GDPR이 적용된다면 EU 사람들을 차단하는 것은 의문의 여지가 있습니다. 불법 일 수도 있지만 GDPR 근거가 아닙니다.
GDPR이 적용되지 않는 경우 EU에서 사람들을 차단하는 것은 이미 불필요합니다.
그러나 지역 차단은 EU 사람들에게 서비스를 제공 할 의도가 없다는 매우 강력한 표시입니다. 지리적 차단이 필요한지 또는 충분한 지에 대한 좋은 판례법은 없습니다. 저는 지리적 차단이 충분하다고 가정합니다 (예 : VPN으로 쉽게 우회 할 수 있더라도).하지만 처음에는 필요하지 않습니다.
또한 위의 징후를 고려할 때 EU 시장을 목표로하지 않는다는 것을 다시 강조 할 수 있습니다. 예를 들어 웹 상점에서 북미로만 배송되지만 국제적으로는 배송되지 않는다고 명시 할 수 있습니다.
다시 말하지만, 웹 사이트 타겟팅은 방문자의 출처가 아니라 중요한 요소입니다. 따라서 비정기적인 EU 방문자가 있다고해서 GDPR을 준수해야하는 것은 아닙니다.
당신은 할 수 없습니다
첫째, 캘리포니아에는 거주자가 어디에 있든 해당 거주자에게 적용되는 GDPR과 매우 유사한 법이 있습니다. 이는 거주지에 관계없이 EU의 모든 사람에게 적용되는 GDPR과 다릅니다. 따라서 유럽에 거주하는 캘리포니아 거주자는 두 법의 적용을 받고 네브래스카에 거주하는 독일인은 둘 다 적용되지 않습니다.
둘째, 일부 법률은 당사자가 다른 규칙을 준수하는 데 동의하도록 허용합니다. 예를 들어 중재법은 당사자가 법원을 사용할 권리를 포기하도록 허용합니다. 예를 들어 다른 사람들은 빨간 신호등을 통과하는 것이 괜찮다는 계약에 동의 할 수 없습니다. GDPR (및 캘리포니아 법률)은 계약을 체결 할 수 없음을 명시하고 있으며, 계약을 체결하려는 모든 시도는 무효이며 그 자체가 범죄입니다.
셋째, 법이 적용되는 모든 사람을 확실하게 차단할 수 있다고하더라도 사용자의 상황이 변경되도록 허용 한 경우 어떻게합니까? 저는 호주에서 호주인이므로 어느 법도 적용되지 않습니다 (나에게 적용되는 호주 개인 정보 보호법이 있음에도 불구하고). 귀하가 제 개인 데이터를 수집하고 5 년 후 오스트리아로 이사하면 GDPR이 적용됩니다. 데이터.
"기술이 크게 향상되었습니다"라고 말했듯이 법적 개인 정보 보호도 마찬가지입니다.