제 7회: 시행 5년, GDPR 위반처분 사례 분석의 주요 내용

“어리석은 자는 경험을 통해 배우고, 현명한 자는 역사를 통해 배운다.”

독일의 통일을 이끌어 오늘날 독일의 모태가 된 독일제국을 수립한 오토 폰 비스마르크(Otto Eduard Leopold von Bismarck)가 한 말이다.

우리의 삶은 유한하기에 모든 경험을 다 할 수 없다. 그래서 우리는 나보다 앞서 걸어간 사람들이 남겨놓은 자취, 즉 역사로부터 배움을 얻는다. EU의 개인정보처리자에게 가장 유용하고 확실한 가르침을 줄 수 있는 GDPR의 역사는 무엇일까? 그건 아마도 시행 이후 지금까지 공개된 GDPR 위반처분 사례일 것이다.

위반처분 사례에는 개인정보처리자가 어떤 개인정보를 무슨 법적 근거로 처리했는지, 감독기관은 어떠한 기준과 근거를 바탕으로 개인정보처리자가 어느 조항을 위반했다고 판단했는지, 그에 따라 얼마의 과징금을 부과했는지 등을 상세하게 공개하고 있기 때문이다. 즉 GDPR 위반처분은 개인정보처리자에게 가장 직접적이고 확실한 NOT-TO-DO를 알려주는 교재인 것이다.

이번 기고에서는 개인정보보호위원회 주관으로 KISA와 KBA Europe가 공동 주최한 GDPR 세미나(2023.11.9.)에서 발표한 ‘시행 5년, GDPR 위반처분 사례 분석의 주요 내용’을 공유해 보려 한다.

현재 기준, 지난 5년간 GDPR 위반처분 사례는 총 1,878건으로 누적 과징금은 약 44억 1,485만 유로(약 6조 184억 원)에 이른다.

가장 많은 위반처분을 발표한 개인정보 감독기관은 스페인, 이탈리아, 독일, 루마니아 순으로 집계됐다. 특히, 스페인 감독기관은 4년 연속 1위 자리를 지키고 있다. 가장 많은 과징금을 부과한 감독기관은 아일랜드, 룩셈부르크, 프랑스, 이탈리아 순으로 확인됐다. 아일랜드 감독기관이 부과한 과징금은 약 28억 5,500만 유로(약 4조 원)로 현재까지 집계된 전체 과징금의 66%에 해당한다. 특히 지난 5월 메타 아일랜드에 부과한 12억 유로(약 1조 6,809억 원)는 역대 부과된 과징금 중 가장 높은 금액이다.

개인정보처리자가 가장 많이 위반한 조항은 제6조 개인정보 처리 적법 근거(Lawfulness of processing)이며 전체 처분사례의 1/3이 해당 조항 위반으로 과징금을 부과받았다. 그다음으로는 제5조 개인정보 처리 원칙(Principles relating to processing of personal data), 제32조 처리 보안(Security of Processing) 순으로 확인됐다.

가장 많은 위반사례가 발표된 업종은 제조·커머스(425건)이며, 미디어·통신·방송(282건)이 그 뒤를 이었다. 하지만 과징금 순에서는 미디어·통신·방송 부분이 더 높은 누적 과징금(약 33억 1,223만 유로, 약 4조 6,398억 원)을 기록했으며, 뒤는 제조·커머스(약 8억 7000만 유로, 약 1조 2187억 원)가 차지했다.

감독기관이 개인정보처리자의 GDPR 위반에 관해 관심을 기울이고, 조사를 착수하게 만드는 계기의 대부분은 정보주체가 감독기관에 제기하는 민원에 의한 것으로 확인했다. 감독기관이 개인정보처리자의 GDPR 위반에 대한 조사를 진행할 때에도 업종별로 집중적으로 검토하는 부분이 다른 것으로 나타났다.

제조·커머스의 경우 개인정보 처리의 필요성과 보관 기간에 대해 검토하는 데 비해 고용, 금융·보험·컨설팅 분야에서는 정보주체의 동의 획득 부분에 대해 면밀한 검토를 진행하는 것으로 파악됐다.

시간이 흐르고 위반처분 사례가 쌓이면서 개인정보에 대한 정보주체의 인식이 높아지고, 감독기관의 조사 집행 노하우도 축적되며 더 많은 민원이 감독기관에 접수되고, 감독기관은 시행 초기에 비해 빠른 속도로 조사를 진행하고 위반에 따른 처분도 신속하게 집행하고 있다.

개인정보 처리는 산업 전 분야로 확산하고 있고, 관련 기술은 끊임없이 발전하는 이러한 변화 속에서 개인정보처리자는 어떻게 대응해야 할까? 환경은 꾸준히 변화하고 있지만, 다행히도 GDPR 준수를 위한 대응 방안은 변화하지 않은 것 같다.

먼저, 개인정보처리자는 GDPR 준수를 위한 대응 전략을 마련하고 이를 정기적이고 지속해서 관리·감독해야 한다. 개인정보 처리의 필요성을 검토하고 개인정보를 처리하는 법적 근거를 확인하고 원칙을 바탕으로 대응 전략을 수립한 후 관련 내부 정책과 시스템 등을 구축해야 한다. 만약 개인정보 처리를 외부에 위탁하는 경우 서면 계약을 통해 명확히 해야 하며 이에 대한 지속적인 관리 감독은 반드시 병행되어야 한다.

둘째, 개인정보에 접근 및 처리하는 모든 이가 책임감을 느끼고 개인정보를 처리할 수 있도록 꾸준한 교육과 지원이 제공되어야 한다. 개인정보의 유출 사고는 이메일 오발송, 신뢰할 수 없는 발신인의 URL 혹은 첨부파일 확인 등 사소한 실수에서 시작되는 경우가 많다. 진화하는 개인정보 처리 환경에서 경각심을 늦추지 않고, GDPR 준수를 위해 함께 노력할 수 있도록 정기적인 교육과 투자는 반드시 지속하여야 한다.

마지막으로 개인정보처리자는 정보주체와 감독기관과 적극적으로 소통해야 한다. 개인정보에 대한 정보주체의 권리 행사를 지원하고 신속한 대응은 정보주체의 신뢰를 얻을 뿐만 아니라 기업의 이미지 제고에도 크게 기여할 수 있다. 감독기관과의 소통은 다소 부담스러울 수 있으나, 감독기관의 요청에 적극적으로 협조하는 것은 GDPR 위반 과징금 부과 기준에도 반영되어 있을 만큼 중요한 부분을 차지하고 있다. 따라서 개인정보처리자는 자신이 위치한 지역의 감독기관을 확인하고 DPO가 임명되어 있다면 감독기관에 신고하고, 사전에 개인정보 침해 발생 시 감독기관에 신고 접수하는 방법과 관련 양식을 파악해 놓을 필요가 있다.

GDPR 위반처분 사례는 쉼 없이 변화하는 개인정보 처리 환경에서 길을 잃지 않고 각각의 상황에 맞는 최선의 길을 찾을 수 있도록 쉬지 않고 방향을 제시해 주는 나침반과 같은 존재인 것 같다.

개인정보보호위원회와 한국인터넷진흥원은 EU에 진출한 우리 기업을 위한 다양한 나침반을 제공하기 위해 100여 건이 넘는 GDPR 위반사례를 분석하여 GDPR 대응지원센터 홈페이지에 게시하고 있다. 최근에는 미국, 영국 등의 주요국의 개인정보 위반처분 사례 역시 분석하여 게시하고 있다.

이번 기고에서 언급한 GDPR 위반처분 사례 분석 결과와 GDPR 위반사례 분석 보고서는 GDPR 대응지원센터에서 확인할 수 있다.

앞으로도 EU 진출 한국기업의 GDPR 준수 부담을 덜 수 있도록 더 많은 사례 연구와 관련 자료를 제공하기 위해 더욱 노력하겠다.

개인정보보호위원회와 한국인터넷진흥원은 독일 에쉬본에 EU 개인정보보호 협력센터를 설립(‘21.11.10.)하여, 우리 기업의 개인정보보호 활동을 지원하고 있습니다. 이번 기고에서 언급된 ‘GDPR 위반처분 사례 분석’에 대한 발표자료와 ‘EU GDPR 위반 및 과징금 부과사례’는 GDPR 대응지원센터 홈페이지(https://gdpr.kisa.or.kr/)에서 확인하실 수 있습니다. o GDPR 대응지원센터 홈페이지 → 자료실 → 발표자료 → KISA·KBA Europe GDPR 세미나 발표자료 o GDPR 대응지원센터 홈페이지 → 신고 및 위반사례 → EU GDPR 위반 및 과징금 부과사례   해외 개인정보보호와 관련한 자료를 이용하시는 분들의 편의를 위해 그간 분산되어 있던 해외 개인정보보호 관련 자료를 통합하여 개인정보보호위원회 홈페이지에서 한 번에 제공해 드리기 위해 개편 중입니다. 현재 운영 중인 GDPR 대응지원센터 홈페이지는 올 연말까지 운영예정임을 안내해 드립니다. 개편되는 개인정보보호위원회 홈페이지에도 많은 관심과 성원을 부탁드립니다. 감사합니다.

정수연 (EU 개인정보보호 협력센터장)

1340호 16면, 2023년 11월 24일