- 시행 9개월 동안 유럽경제지역(EEA) 전역에서 GDPR 위반혐의로 부과된 과징금은 약 5,600만 유로(한화 약 750억 원) -

- 영국에서 GDPR 위반혐의로 제재조치를 받은 유일한 기업은 캐나다 소재 컨설팅 회사 -

- 개인정보보호 권리에 대한 소비자와 직원들의 인식 높아져 -

 

※ GDPR(General Data Protection Regulation)이란? - 2018년 5월 25일부터 시행된 개인정보 처리와 이동에 관한 유럽연합(EU)의 일반 개인정보보호법

□ GDPR 시행 1주년, 그간의 경과

  ㅇ EU개인정보보호위원회(European Data Protection Board, 이하 ‘EDPB’)가 2019년 2월에 발표한 GDPR 시행 1차 리뷰 보고서에 따르면, GDPR이 시행된 9개월 동안 유럽경제지역(EEA) 국가 중 11개국의 감독기관이 GDPR 위반혐의로 기업에 부과한 과징금은 약 5,600만 유로(한화 약 750억 원)로 집계됨. 같은 기간 접수된 신고건수는 약 20만 건으로 이중 불만접수가 94,622건, 자진신고가 64,684건이며, 전체 신고 건의 52%는 조사가 종결됨.

신고건수 분석(GDPR 시행 9개월 통계)   

자료: EDPB

  ㅇ EDPB는 또한 지난 9개월을 돌아볼 때 회원국 간 상호협력체계와 일관성 있는 개인정보보호체제를 확립하는 데 있어서 상당히 성공적이었다고 평가하며, 회원국 간 긴밀한 협력을 위해 매일 수많은 연락이 오가고 있다고 함.

  ㅇ 아직까지 영국에서 GDPR을 위반한 혐의로 과징금이 부과된 기업/단체는 없으나, 최근 영국 개인정보보호 감독기관(Information Commissioner’s Office, 이하 ‘ICO’)이 EU 역외 기업에 대해 행정처분(Enforcement action)을 내린 사례가 있음.

  ㅇ 영국 현지 로펌에서 개인정보보호를 담당하는 변호사는 GDPR 시행 이후 전반적으로 정보주체의 불만접수 사례가 늘고 있으며, 일반 시민, 소비자 및 직원들의 정보보호 권리에 대한 인식이 높아지고 있다고 말함. 아울러 개인정보보호가 언론의 조명을 받기 시작하면서 개인정보보호법 위반사실이 밝혀질 경우 금전적 손해 뿐 아니라 기업 이미지에도 타격을 줄 수 있어, 기업들의 관심이 높아지고 있다고 함.

□ GDPR은 영국에서 어떻게 적용될까?

  ㅇ 영국은 유럽연합의 회원국으로서 2019년 5월에 시행된 GDPR을 직접 적용 받고 있으며, 영국의 개인정보보호법격인 DPA(Data Protection Act)와 마케팅 방식을 중점적으로 다루고 있는 영국의 PECR(The Privacy and Electronic Communications Regulations) 규정을 동시에 적용받고 있음.
    * PECR은 ‘The E-privacy Directive’라고도 불리는 유럽연합지침 2002/58/EC를 영국에서 시행 적용하는 영국의 자체 규정

  ㅇ PECR은 B2B 마케팅 목적을 위해서라면 상대방이 TPS, CTPS 사이트의 ‘마케팅 연락 수신거부 기업목록’에 등록되어 있지 않는 이상 사전 동의 없이도 전화연락을 할 수 있도록 허용하고 있음. 이메일 연락의 경우는 회사 업무 담당자의 회사메일만 B2B 마케팅 예외처리가 되며, 개인메일로 연락은 명시적인 수신 동의 없이 허용되지 않음.

□ 영국에서 GDPR 위반혐의로 제재조치를 받은 유일한 기업은 캐나다 소재 컨설팅 회사

  ㅇ 영국 개인정보보호 감독기관 ICO는 현재까지 캐나다 소재 1개 기업에 GDPR 위반혐의로 공식 행정처분(Enforcement Action)을 내림.

처분 개요

- 대상기업 : AggregateIQ Data Services Ltd. (이하 ‘AIQ’)    * 캐나다에 위치한 정치 컨설팅 테크(Tech) 회사 - 위반내용 : 영국의 정치관련 단체(Vote Leave, Beleave 등)로부터 적법한 절차 없이 영국 및 EU시민의 개인정보(이름, 이메일 주소)를 받아, 소셜미디어를 통해 정치 광고 캠페인을 시행한 혐의    * GPDR 5조(개인정보처리 원칙), 6조(개인정보처리의 적법성), 14조(정보주체로부터 정보를 획득하지 않았을 경우 개인정보처리자의 고지 의무) 위반 - 조치경과   ① 1차 행정처분(2018년 7월 6일) : 영국 정치단체로부터 획득한 영국 및 EU 시민의 정보처리 중단 요구    * AIQ 항소  ② 2차 행정처분(2018년 10월 24일) : 조치범위 영국 시민으로 축소    * 30일 내 미 이행 시, 2천만 유로 혹은 전 세계 매출액의 4% 중 더 높은 금액만큼 과징금으로 부과할 수 있음

□ 영국 GDPR 최신 동향

 

  ㅇ 2019년 3월 런던에서 열린 개인정보보호 컨퍼런스(International Association of Privacy Professionals 주최)에서 ICO의 수사 책임자인 Stephen Eckersley는 GDPR 관련 “현재 조사가 진행 중인 케이스들이 있음(Some cases in progress)”을 언급.

    - 동 포럼에서 Stephen Eckersley는 "GDPR 시행 후 첫 달에만 약 1,700건의 신고가 들어왔다"며, 현재는 접수빈도가 수그러들어 매달 380~400건씩 접수되고 있다고 함. 이에 대해 IT 전문매체 The Register는 기업들의 자진신고 건수가 늘었기 때문이라고 설명.

 

  ㅇ 아직까지 영국에서 GDPR 위반을 근거로 부과된 벌금조치 사례는 없으나, 최근 ICO는 GDPR 시행 이전에 적발된 페이스북(Facebook)과 에퀴팩스(Equifax)에 부과할 수 있는 최대 수준(￡500,000)의 과징금을 부과한 전례가 있음.

     * DPA가 2018년에 개정되기 전까지 적용법령이었던 DPA 1998 프레임 하에서 부과할 수 있는 최대 벌금은 ￡500,000

2018-19년 ICO 과징금 부과 기업   

기업명	과징금 부과 시점	과징금
Bounty UK	2019년 4월	￡400,000
Uber	2018년 11월	￡350,000
Facebook	2018년 10월	￡500,000
Equifax	2018년 9월	￡500,000
The Independent Inquiry into Child Sexual Abuse	2018년 7월	￡200,000
Crown Prosecution Service	2018년 5월	￡325,000
The Carphone Warehouse	2018년 1월	￡400,000
Miss-sold Products UK	2018년 1월	￡350,000
Holmes Financial Solutions	2018년 1월	￡300,000
Newday Limited	2018년 1월	￡230,000

 자료: Computer World UK

 

□ 시사점

 

  ㅇ 국경을 초월한 단일 개인정보보호 법제의 본격 시행

    - GDPR은 정보처리자가 EU에 사업장(Establishment)을 가지고 있지 않더라도 EU 내에 있는 정보주체에게 재화나 서비스를 제공하는 경우 강제 적용 대상이 됨.

    - 영국 ICO는 첫 제재조치로 EU 역외기업을 타깃함으로써 영국 또는 EU 내에 거점이 있는지 여부와 관계없이 GDPR을 위반하면 제재를 가하겠다는 분명한 입장을 나타냄.

 

  ㅇ 영국 ICO의 권한행사 의지 확인

    - 프랑스, 독일, 포르투갈 등 다른 EU국에서는 지난 1년간 GDPR 위반으로 과징금을 부과한 사례가 있으나, 영국에서는 아직까지 벌금 처분까지 받은 기업/단체는 없음.

    - 그러나 최근 들어 GDPR 시행 이전에 적발되었던 페이스북, 에퀴팩스 등에 기존 법 프레임 하에서 부과할 수 있는 최대 수준의 과징금을 부과한 사실을 통해 개인정보보호법 위반에 대한 ICO의 권한행사 의지를 확인할 수 있음.

    

 

 

자료원: ICO, EDPB, Computer World UK, The Register, Stevens&Bolton, Lexology, Moroglu Arseven, Infosecurity Group, Lewis Silkin, ITPRO, 한국인터넷진흥원, KOTRA 런던무역관 자료 종합