GDPR은 쿠키 사용에 대한 동의를 요구하나요?

GDPR의 요구 사항을 분석해 보면 대부분의 쿠키를 사용자 기기에 배치하기 전에 명시적인 동의가 필요하다는 점이 분명해집니다. 여러 권위 있는 출처에서는 GDPR 제4조 1항에 '온라인 식별자'로 정의된 쿠키가 사용자를 직간접적으로 식별할 수 있는 경우 개인 데이터로 간주됨을 확인하고 있습니다(European Parliament, 2016).

주요 결과:

• 동의는 정보를 충분히 제공받고, 구체적이며, 자유롭게 제공되고, 명확해야 합니다(GDPR 제7조).
• Article 29 Working Party 및 후속 European Data Protection Board 가이드라인은 묵시적 동의(예: 명시적 조치 없이 계속 브라우징)는 충분하지 않다고 명확히 합니다.
• 엄격히 필수적인 쿠키(예: 웹사이트 기능 또는 장바구니에 필요한 쿠키)는 동의 요건에서 면제됩니다(WP29 Opinion 04/2012).
• 추적, 분석 또는 광고와 같은 모든 비필수 쿠키의 경우—사전의 적극적인 동의가 필수입니다.

"사용자가 명시적으로 요청한 서비스 제공에 엄격히 필요한 쿠키를 제외하고, 쿠키가 사용자 기기에 배치되거나 액세스되기 전에 동의를 받아야 합니다" (유럽 사법 재판소, Planet49 사건, 2019).

EU 웹사이트 전반의 쿠키 배너 및 규정 준수에 대한 실증적 연구는 동의 메커니즘이 광범위하게 구현되었음을 보여줍니다. 그러나 다크 패턴과 오해의 소지가 있는 디자인은 여전히 규정을 준수하지 않는 관행을 초래합니다(Utz et al., 2019). 효과적인 동의 관리 플랫폼(CMP)은 다음을 제공해야 합니다:

• 쿠키 수락 또는 거부에 대한 명확한 옵션
• 두 선택지에 대한 동등한 가시성
• 다양한 쿠키 카테고리에 대한 세분화된 제어

GDPR의 동의 요건을 준수하지 않아 데이터 보호 당국으로부터 여러 세간의 이목을 끄는 집행 조치와 벌금이 부과되었습니다.

요약하면, GDPR은 웹사이트 운영에 엄격히 필요한 쿠키를 제외한 모든 쿠키에 대해 사전의 긍정적인 사용자 동의를 의무화하며, EU와 영국 전역에서 이러한 의무를 강화하는 규제 지침과 법적 선례가 증가하고 있습니다.