Home > 전체기사
EU 개인정보보호법 GDPR 시행 1년, 제재 기업은 어디?
  |  입력 : 2019-06-12 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시행 9개월, 11개국 5,600만유로 과징금 부과
신고 건수 약 20만건 달해


[보안뉴스 엄호식 기자] 지난 2018년 5월 25일, 개인정보 처리와 이동에 관한 유럽연합(EU)의 일반 개인정보보호법(GDPR : General Data Protection Regulation)이 시행됐다. GDPR은 현재까지 존재해왔던 개인정보보호 관련법 중 가장 광범위하고 포괄적인 것으로 알려져 있다. 소비자 보호를 위한 사이버 보안 기술 및 정책과, 기술 기업들의 역할은 물론 대서양 연안 국가들(미국과 유럽국가들)의 미래까지도 담아내고 있다. 그렇다면 유럽연합 탈퇴(브렉시트)를 선언한 영국의 상황은 어떨까?

[이미지=iclickart]


EU 개인정보보호위원회(EDPB : European Data Production Board)가 2019년 2월에 발표한 GDPR 시행 1차 리뷰 보고서에 따르면, GDPR이 시행된 9개월 동안 유럽경제지역(EEA) 국가 중 11개국의 감독기관이 GDPR 위반 혐의로 기업에 부과한 과징금은 약 5,600만유로(한화 약 750억원)으로 집계됐다. 같은 기간 접수된 신고 건수는 약 20만건으로 이중 불만 접수가 9만 4,622건, 자진신고가 6만 4,684건이며 전체 신고건 중 52%의 조사가 종결됐다.

EDPB는 EU 회원국 간 상호협력체계와 일관성 있는 개인정보보호체제를 확립하는 데 있어서 GDPR 시행이 상당히 성공적이었다고 평가하는 한편, 회원국 간 긴밀한 협력을 위해 매일 수많은 연락이 오가고 있다고 밝혔다.

영국의 GDPR 적용
영국은 EU 회원국으로서 2019년 5월에 시행된 GDPR을 직접 적용받고 있다. 하지만 영국은 자국의 개인정보보호법 격인 DPA(Data Protection Act)와 마케팅 방식을 중점적으로 다루고 있는 영국의 PECR(The Privacy and Electronic Communications Regulations) 규정을 동시에 적용받고 있다.

PECR은 ‘The E-privacy Directive’라고도 불리는 유럽연합지침 2002/58/EC를 영국에서 시행·적용하는 자체 규정이다. B2B 마케팅 목적을 위해서라면 상대방이 TPS, CTPS 사이트의 ‘마케팅 연락 수신 거부 기업목록’에 등록돼 있지 않은 이상 사전 동의 없이도 전화 연락을 할 수 있도록 허용하고 있다. 이메일의 경우 회사 업무 담당자의 회사 메일만 B2B 마케팅 예외로 하며, 개인 메일로의 연락은 명시적인 수신 동의 없이 허용되지 않는다.

아직 영국에서 GDPR을 위반한 혐의로 과징금이 부과된 기업이나 단체는 없지만 최근 영국 개인정보보호 감독기관(ICO : Information Commissioner’s Office)이 EU 역외 기업에 대해 행정처분을 내린 사례가 있다.

[이미지=iclickart]


영국 현지 로펌에서 개인정보보호를 담당하는 변호사는 GDPR 시행 이후 전반적으로 정보 주체의 불만 접수 사례가 늘고 있으며, 일반 시민과 소비자, 직원들의 정보보호 권리에 대한 인식이 높아지고 있다고 전했다. 기업들 역시 개인정보보호가 언론의 조명을 받기 시작하면서 개인정보보호법 위반 사실이 밝혀질 경우 금전적 손해뿐만 아니라 기업 이미지에도 타격을 줄 수 있어 관심이 높아지고 있다고 덧붙였다.

영국에서의 GDPR 위반
영국 ICO는 현재까지 캐나다 소재 정치 컨설팅 테크 회사인 AggregateIQ Data Services Ltd.(이하 AIQ) 1개 기업에만 GDPR 위반 혐의로 공식 행정처분을 내렸다. 위반내용은 영국의 정치 관련 단체(Vote Leave, Beleave 등)로부터 적법한 절차 없이 영국 및 EU 시민의 이름과 이메일 주소 등 개인정보를 받아 소셜미디어를 통해 정치 광고 캠페인을 시행했다는 것이다. 이는 GDPR 5조(개인정보처리 원칙), 6조(개인정보처리의 적법성), 14조(정보주체로부터 정보를 획득하지 않았을 경우 개인정보처리자의 고지 의무) 위반에 해당한다.

이에 2018년 7월 6일 1차 행정처분으로 영국정치단체로부터 획득한 영국 및 EU 시민의 정보처리 중단을 요구했으나 AIQ에서 항소를 했다. 그리고 2018년 10월 24일 조치범위를 영국 시민으로 축소하는 2차 행정처분이 내려졌다. 2차 행정처분을 30일 내 미 이행 시, 2,000만유로 혹은 전 세계 매출액의 4% 중 더 높은 금액만큼 과징금으로 부과할 수 있다.

참고로 프랑스는 글로벌 기업 구글에 GDPR의 투명성(제5조 개인정보 처리원칙) 정책을 위반했다는 이유로 5,000만유로(약 653억원)의 과징금을 선고했으며, 포르투갈에서는 의료기관 ‘바리에로 몽티조’에 의사 이외 직원들에게 환자의 개인정보 접근 권한 부여 등을 이유로 40만유로(약 5억원)의 과징금을 부과했다.

▲2018~2019년 ICO 과징금 부과 기업[자료=Computer World UK]


덴마크 택시업체 ‘택사 4x35’는 보유 기간이 경과한 고객의 승차 정보를 보관했다는 이유로 과징금 16만유로(약 2억원)을, 독일의 채팅 애플리케이션 ‘크누델스’는 사용자 비밀번호 등 개인정보 암호화 미준수로 약 2만유로(약 2,600만원)의 과징금을 선고받았다.

올해 3월 런던에서 열린 개인정보보호 콘퍼런스에서 ICO의 책임자인 스테판 에커슬리는 “GDPR 시행 후 첫 달에만 약 1,700건의 신고가 들어왔지만, 현재는 매달 380~400건씩 접수되고 있다”고 전했다.

아직 영국에서 GDPR 위반을 근거로 부과된 벌금 조치 사례는 없지만, 최근 ICO는 GDPR 시행 이전에 적발된 페이스북과 에퀴팩스에 부과할 수 있는 최대 수준(50만유로)의 과징금을 부과한 전례가 있다. 50만유로는 DPA가 2018년에 개정되기 전까지 적용법령이었던 DPA 1998 하에서 부과할 수 있는 벌금의 최대 액수였다.

GDPR, 개인정보보호체제 확립 기여
GDPR은 정보처리자가 EU에 사업장을 가지고 있지 않더라도 EU 내에 있는 정보 주체에게 재화나 서비스를 제공하는 경우 강제 적용된다. 영국 ICO는 첫 제재로 EU 역외기업을 타깃으로 함으로써 영국 또는 EU 내에 거점이 있는지와 관계없이 GDPR을 위반하면 제재를 가하겠다는 입장을 분명히 했다.

이에 코트라 런던무역관은 영국은 지난 1년간 GDPR 위반으로 과징금을 부과한 프랑스와 독일, 포르투갈 등과 달리 아직 벌금 처분을 내린 기업이나 단체는 없다. 하지만 최근 들어 GDPR 시행 이전에 적발됐던 페이스북, 에퀴팩스 등에 기존 법을 기초로 부과할 수 있는 최대 수준의 과징금을 부과한 사실을 통해 개인정보보호법 위반에 대한 ICO의 권한 행사 의지를 확인할 수 있다고 전했다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향