글로벌 로펌 DLA파이퍼(DLA Piper)의 GDPR 과징금 및 데이터 유출 조사 보고서에 따르면 유럽 데이터 보호 당국은 지난해 12억 유로(한화 약 1조 8,074억 원)에 달하는 벌금을 부과한 것으로 나타났다.
GDPR 벌금은 지난해 1월 28일 이후 기간 동안 전년 대비 33% 감소해 과징금 부과액의 첫 연간 감소를 기록했다. 2023년에는 아일랜드가 메타(Meta)에 12억 유로 과징금을 부과하는 등 이례적인 사례가 있었지만, 2024년에는 이에 비견될 만한 과징금이 없었기 때문이다.
2018년 5월 GDPR 시행 이후 부과된 총 과징금은 58억 8,000만 유로(약 8조 7,379억 원)에 달한다. 이는 특히 기술 대기업과 소셜미디어 기업이 주요 대상이었으며, 2018년 이후 최고액 10건 중 대부분이 기술 업계와 관련됐다. 대표적으로 아일랜드 데이터 보호당국이 링크드인(LinkedIn)에 부과한 3억 1,000만 유로와 메타에 부과한 2억 5,100만 유로 과징금이 있다.
아일랜드는 GDPR 시행 이후 현재까지 35억 유로에 달하는, 압도적으로 많은 과징금을 부과하고 있다. 반면 독일은 2018년 5월 이후 총 8,910만 유로의 과징금을 부과하는 데 그쳤다. DLA파이퍼에 따르면 독일 데이터 보호당국은 데이터 처리의 무결성, 기밀성, 보안 위반에 초점을 맞추고 있다.
GDPR 영향력
DLA파이퍼의 독일 지적재산권 및 기술(IPT) 실무그룹 파트너인 얀 게르트 멘츠는 “올해 결과는 유럽의 데이터 보호당국이 명확한 기조를 유지하고 있음을 보여준다”라고 설명했다. 과징금 총액의 감소는 전년도의 특별한 사건 때문이며, 규제 활동의 둔화를 의미하지는 않는다고 그는 설명했다. 멘츠는 “GDPR은 여전히 데이터 보호를 보장하고 규정 준수를 촉진하는 강력한 도구다. 특히 독일에서는 더욱 그렇다”라고 말했다.
반면 데이터 보호 활동가들은 현재 절차와 과징금 상황을 훨씬 더 냉정하게 바라보고 있다. CEO 막스 슈렘스가 이끄는 노이비(noyb) 협회는 “각국 데이터 보호당국의 비활동“을 지적했다. 유럽 데이터보호이사회(EDPB) 통계에 따르면, 데이터 보호당국에 접수된 모든 사례 중 평균 1.3%만이 과징금으로 이어졌다는 것이다.
긴 시간이 소요되는 절차
노이비는 GDPR이 데이터 보호에 진지하게 접근할 수 있는 계기가 됐다는 생각이 대체로 희망사항에 불과하다고 지적했다. 슈렘스는 “유럽 데이터 보호당국은 GDPR 위반을 적절히 제재하고 향후 유사한 위반을 방지할 수 있는 과징금을 부과하는 데 필요한 모든 수단을 보유하고 있다. 하지만 그들은 수년 동안 협상을 끌다가 민원인의 이익에 반하는 결정을 내리는 경우가 많다”라고 지적했다.
예를 들어 2022년 스페인 데이터 보호당국은 1만 5,128건의 민원을 접수했지만, 단 378건의 과징금만 부과했다. 이는 정보 요청에 대한 무응답이나 불법 쿠키 배너와 같이 신속하고 표준화된 방식으로 처리할 수 있는 명백한 위반 사례를 포함한 수치다. 비교를 위해 노이비는 2022년 스페인에서 370만 건의 과속 과태료가 발부됐다고 언급했다. 다른 EU 회원국에서도 비율은 유사했다.
David Bohmann PID
슈렘스는 “유독 데이터 보호당국만 자신들의 임무인 법 집행에 소극적”이라고 지적했다. 그는 “다른 모든 분야에서는 법률 위반이 곧바로 금전적 과징금과 제재로 이어진다”라고 지적하면서, 데이터 보호당국이 개인의 권리보다는 기업의 이익을 위해 행동하는 경향이 있다고 우려했다.
과징금의 규제 준수 효과
노이비의 자체 설문조사에 따르면, 과징금은 기업이 법을 준수하도록 동기를 부여하는 것으로 나타났다. 응답자의 3분의 2는 자사에 영향을 미치는 데이터 보호당국의 결정과 과징금으로 인해 규제 준수가 강화된다고 답했다. 응답자의 60%는 다른 조직에 부과된 과징금도 자사에 영향을 미친다고 인정했다.
현재 데이터 보호당국의 규제 방향이 변화하면서 과징금 부과가 늘어날 수 있다는 전망도 나오고 있다. DLA파이퍼는 네덜란드 데이터 보호당국의 최근 발표를 주목했다. 네덜란드 당국은 클리어뷰AI(Clearview AI)에 3,050만 유로의 과징금을 부과한 후, 해당 기업의 임원진에게 GDPR 위반에 대한 개인적 책임을 물을 수 있는지 조사하겠다고 밝혔다. 법률 전문가들은 “이번 조사는 규제 기관이 개인의 책임과 의무를 더욱 엄격히 묻는 방향으로 전환하고 있다는 신호”라고 해석했다.
GDPR의 전환점이 되는 ‘개인 책임’
DLA파이퍼의 독일 IPT 실무그룹 파트너이자 데이터 보호 전문가인 베레나 그렌첸베르그는 “경영진의 개인 책임에 대한 관심이 높아지면서 GDPR 시행이 새로운 국면에 접어들었다”라고 말했다. 그는 “이는 데이터 보호 위반이 관련 개인 수준에서도 영향이 없지 않을 것이라는 분명한 신호를 기업에 보내는 것”이라고 진단했다.
[email protected]
Read More from This Article: 지난해 GDPR 과징금 12억 유로··· 활동가 “접수 사례 중 1.3%에 불과” 지적
Source: News