[코스인코리아닷컴 김대환 기자] 유럽연합(EU)의 일반개인정보보호법(GDPR)이 시행 2년을 지나면서 위반 기업 제재도 급증하고 있어 국내 기업들의 주의가 요구된다.

한국무역협회(회장 김영주) 브뤼셀지부가 지난 12일 발표한 ‘EU GDPR 위반 사례와 기업 유의사항’에 따르면, 2018년 5월 GDPR 시행 이후 지난 5월까지 2년간 GDPR 위반 기업에 대한 EU 국가들의 과징금 부과 건수와 누적 금액은 273건, 1억 5,000만 유로에 달했다.

국가별로는 스페인(81건), 루마니아(26건), 독일(25건) 순으로 부과 사례가 많았고 금액별로는 프랑스(5,110만 유로), 이탈리아(3,940만 유로), 독일(2,510만 유로) 순이었다. 과징금 부과 사유는 개인정보 처리의 적법성 미비(105건), 기술적·관리적 보호조치 미비(63건), 개인정보 처리 원칙 미비(41건) 등이었다.

프랑스는 개인정보 처리 투명성 부족, 정보주체의 정보열람 권리의무 위반 등을 이유로 구글에 5,000만 유로의 과징금을 부과했다. 구글은 개인정보 처리의 투명성 부족과 정보주체의 정보 제공받을 권리 의무를 위반했고 개인맞춤 광고 목적으로 데이터를 수집할 때 개인맞춤 광고에 활용한다는 명확한 설명을 해 주지 않는 등 법적 근거 마련 의무를 위반했다. 또 서비스 가입을 전제로 동의를 강요하거나 포괄적 동의를 요구하고 있다고 적시했다. 특히 조사 진행 이후에도 위반사항을 개선하지 않고 있어 경고까지 받았다.

이탈리아는 소비자 동의 없이 텔레마케팅을 전개하고 데이터 활용 목적별 동의를 받지 않은 자국 통신기업 팀(TIM)에 2,780만 유로의 과징금을 부과했다. 팀(TIM)의 위반내용은 마케팅 활용에 동의하지 않은 소비자에게 20만 건의 홍보전화를 하고 비TIM 소비자에게도 수백만 건의 홍보전화를 실시해 문제시됐다. 또 데이터 활용 목적별 소비자 동의를 받지 않고 활용한 사항과 개인정보 보유기간 제한 원칙을 위반해 과징금 처분을 받았다.

오스트리아 우체국은 300만 명의 오스트리아 국민의 데이터를 수집해 선거 운동에 활용할 수 있도록 정당에 판매하고 직접 마케팅 목족으로 택배 배송 빈도와 소비자의 주소 이전 횟수에 대한 데이터를 수집해 1,800만 유로의 과징금을 부과받았다. 영국항공은 홈페이지와 모바일 앱의 데이터 보안기술 미비로 50만 명의 고객 개인정보가 해커 집단에 유출되어 1억 8,340만 파운드의 과징금을 부과받았다.

영국 메리어트는 지난 2016년 스타우드를 인수했는데 당시 IT 시스템 보완과 관리에 대한 검토가 제대로 이루어지지 않아 전 세계 약 3억 3,900만 고객의 암호화된 신용카드 번호와 여권번호, 전화번호, 이름, 주소 등의 중요한 개인정보 유출을 인지하지 못하는 등 인수기업의 과실이 인정돼 2017년 매출액의 0.5%인 9,920만 파운드의 과징금을 부과받았다.

유럽연합(EU) 일반개인정보보호법(GDPR) 부징금 부과 원칙

보고서는 “GDPR 위반 시 과징금 뿐 아니라 사업관행 변경, 고객 신뢰 훼손 등의 막대한 피해가 발생하므로 주요 위반조항을 숙지하고 충분한 예산과 인력을 배치하고 준수에 힘써야 한다”면서 “혹시라도 위반 의심사례가 발생했다면 감독기구에 신속히 신고하고 조사에 적극 협조하는 것이 과징금 부과 여부와 가액 결정에 도움이 된다”고 밝혔다.

한국무역협회 브뤼셀지부 강노경 대리는 “과징금을 받은 기업들은 연간 보고서에서 EU의 GDPR을 주요 비즈니스 리스크로 다루면서 준법감시 의무를 한층 강화하고 있다”면서 “국내 기업도 예외가 아닌 만큼 GDPR 준수를 위한 체계적이고 지속 가능한 대응이 필요하다”고 강조했다.