정수연(EU 개인정보보호 협력센터장)
독일의 개인정보 감독기관에 대한 이해가 필요하다. 대부분의 EU 회원국에서는 국가별로 1개의 감독기관이 운영되고 있지만, 독일에는 연방 감독기관과 16개 주별 개인정보 감독기관이 있다. 이중 바이에른주는 민간과 공공을 구분하여 감독기관을 운영하고 있어, 독일에는 총 18개의 개인정보 감독기관이 있다.
독일은 18개의 감독기관이 합의된 하나의 의견과 결정, 참고자료 등을 발표할 수 있도록 감독기관 모두가 참여하는 DSK(Daten Schutz Konferenz)를 조직하여 운영하고 있다.
GDPR 시행 후, 독일 감독기관이 부과한 가장 큰 과징금은 함부르크 개인정보 감독기관(Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 이하 HmbBfDI)이 H&M 서비스센터(이하, 센터)에 부과한 약 3,526만 유로(약 500억 원)이다.
사건은 ’19년 10월 센터 내 시스템 오류로 인해 보관 중인 데이터가 회사 전체에 공개되면서 시작됐다. 이때 직원의 민감한 정보까지 포함된 대량의 파일이 발견됐다. 이를 내부고발자가 프랑크푸르트 알게마이네 차이퉁(Frankfurter Allgemeine Zeitung)에 제보하며 해당 사건이 세상에 공개(’19. 10. 25.)됐다.
언론 보도 이후, 감독기관은 해당 사건에 대한 조사를 착수했다. 센터는 뉘른베르크에 있으나, H&M의 독일 법인이 함부르크에 있어, 함부르크 감독기관(이하, HmbBfDI)이 담당하게 됐다.
HmbBfDI의 조사에 따르면 수집된 개인정보는 약 60GB 분량으로 센터 직원 700여 명의 개인정보인 것으로 확인됐다.
저장된 파일에는 고용 계약서 및 지원서뿐만 아니라, 질병을 포함한 직원의 건강 상태, 가족 문제, 파트너와의 관계, 종교적 신념과 정치적 견해 등 지극히 사적이고 민감한 정보가 담겨 있었으며 사적 대화에 대한 메모까지 포함되어 있었던 것으로 파악됐다.
대략 ’14년부터 센터는 복직 환영 면담(Welcome Back Talk)을 만들어, 휴가·병가 등 이유로 일정 기간 자리를 비웠다 복귀하는 직원과 매니저 간 대화 시간을 갖도록 했다. 이때 매니저는 직원의 사적인 부분에 대한 정보까지 습득하여 기록해 왔던 것으로 확인됐다.
수집된 정보는 최대 50명의 매니저가 접근할 수 있도록 센터 내 시스템에 저장됐다. 해당 정보는 지속해서 업데이트됐으며, 수집된 정보는 직원의 평가, 승진 및 인사고과 등에 활용됐다.
HmbBfDI는 센터가 GDPR 제5조와 제6조를 위반했다고 판단했다. 보다 구체적으로는 ‘목적 제한 원칙’(제5조 제1항 제 b 호), ‘최소화 원칙’(제5조 제1항 제 c 호), ’무결성과 기밀성 원칙’(제5조 제1항 제 f 호)을 위반했을 뿐만 아니라, 명확한 법적 근거 없이 직원의 개인정보를 처리(제6조)했다고 봤다.
HmbBfDI의 조사 결과에 대해 H&M은 “이번 사건은 뉘른베르크만의 독자적인 문제”라고 선을 그으면서도 “이번 사건에 대한 책임감을 느끼며, 본사 차원에서 대응하겠다”고 발표했다.
이후 H&M은 뉘른베르크 서비스센터 직원들에게 공식적으로 사과했으며, 센터의 임원진과 DPO(Data Protection Officer) 교체, 경영진에 대한 노동법·개인정보보호법 추가 교육, 매니저를 위한 관련 지침 수정, 개인정보보호 시스템 체계 보완, 내부고발자 보호 체계 구축 등을 약속했다.
이후 HmbBfDI는 H&M에 약 3,526만 유로(약 500억 원)의 과징금을 부과했고, H&M이 이를 수용하며 사건은 마무리됐다(’20. 10. 1.). 해당 과징금은 독일 감독기관이 부과한 최고 금액이긴 하나, ’19년 H&M의 글로벌 매출액이 약 200억 유로(약 28조3,400억 원)이었던 것을 고려했을 때 GDPR이 정한 과징금 상한에 비해서는 매우 낮은 금액으로 책정됐다. 이는 사건 초기부터 H&M이 HmbBfDI의 조사에 적극적으로 협조하고, 피해를 최소화하기 위해 노력한 덕분이다.
이번 사례 분석을 통해 우리는 중요한 3가지 사항을 확인할 수 있다.
첫째, 다수의 회사에서 고객이 아닌 직원의 개인정보를 처리할 때 GDPR 준수에 소홀하다는 것이다. 실제로 GDPR 시행 후, 전체 감독기관의 위반 처분 결과(누적 1,653건) 중 고용과 관련된 사례는 6%(113건)에 달하며, 부과된 누적 과징금의 규모 역시 통신·미디어, 전자상거래, 교통·에너지에 이어 상위 4번째인 것으로 집계됐다. GDPR 제4조에서 정의하고 있는 바와 같이 개인정보는 직· 간접적으로 개인을 식별할 수 있는 정보 일체를 말한다. 개인정보처리자는 고객과 직원의 구분 없이, 개인을 식별할 수 있는 모든 정보에 GDPR을 적용, 보호해야 한다는 사실을 잊어선 안 된다.
둘째, GDPR 위반에 대한 과징금은 기업의 규모와 역량 등에 비례하여 책정되며, 기업의 적극적인 GDPR 준수 노력은 과징금 부과에 영향을 미칠 수 있다.
GDPR 위반에 따른 과징금은 일반적인 위반일 때 전 세계 연간 매출액 2% 또는 1천만 유로 중 높은 금액으로, 심각한 위반일 때 전 세계 연간 매출액 4% 또는 2천만 유로 중 높은 금액까지 과징금을 부과할 수 있다.
감독기관은 GDPR 위반에 따른 과징금 책정 시 유럽개인정보보호이사회(EDPB)의 과징금 책정 기준(11가지)을 따르는데, 기준에는 위반의 의도성 또는 태만 여부, 정보주체의 피해를 최소화하기 위한 개인정보처리자의 조치 및 노력, 위반 행위 개선을 위한 감독기관과의 협조 여부 등이 포함되어 있다.
즉 정보주체를 보호하고 GDPR 준수를 위한 개인정보처리자의 적극적인 노력 여부 등이 부과되는 과징금을 낮출 수 있음을 기억해야 한다.
마지막으로, 유럽은 능동적인 내부고발 문화가 보편화되어 있다. 지난달 한델스블라트지(Handelsblatt)는 ‘익명의 제보자를 통해 브란덴부르크 감독기관이 테슬라가 2만 3천여 명 이상의 직원 정보를 포함한 개인정보에 대해 GDPR에 따른 적절한 보호조치를 취하지 않고 있다는 제보’를 받았다고 보도했다.
이처럼 유럽에서 내부고발은 법과 질서를 지키는 주요한 역할을 하며, 조직과 사회를 보다 투명하고 건전한 성장을 견인한다고 평가받고 있다. 또한, 유럽연합 차원에서 내부고발자를 보호하기 위해 ‘내부고발자 보호지침(Whistleblowing Directive, ’19. 12.)’을 채택하는 등 내부고발 활성화를 위한 기반을 구축하고 있다. 이러한 노력들을 통해 적극적인 내부고발 문화를 조성하고 자정 능력을 키울 수 있다.
데이터를 매개로 한 디지털 기술의 발전은 성역 없이 산업 전반으로 확산하고 있으며 그 속도는 더욱 빨라지고 있다. 따라서 현재 데이터 처리와는 다소 거리가 있는 분야 역시 어느 순간 데이터 처리를 접목한 제품·서비스 개발을 하는 분야로 변화할 수 있다는 말이다. 또한, 데이터가 축적되고 처리되는 과정을 반복 진행하다 보면, 개인을 식별할 수 있는 데이터가 처리될 수도 있다. 이러한 의미에서 개인정보 처리는 특정 분야에 한정된 것이 아닌 사회 전 분야에 해당한다는 사실을 명심해야 한다.
개인정보보호위원회와 한국인터넷진흥원은 독일 에쉬본에 EU 개인정보보호 협력센터를 설립(’21. 11.)하여, 우리 기업의 개인정보보호 활동을 지원하고 있습니다. 이번 기고에서 언급된 H&M 사례와 GDPR 과징금 책정 기준은 GDPR 대응지원센터 홈페이지(https://gdpr.kisa.or.kr/)에서 확인하실 수 있습니다. ① H&M사례: 신고 및 위반사례→EU GDPR 위반 및 과징금 부과사례 ② 과징금 부과기준: 신고 및 위반사례→과징금 부과기준 |
1319호 17면, 2023년 6월 16일