Home > 전체기사

[개인정보보호 연차보고서 톺아보기-27] 해외동향-유럽: EU

  |  입력 : 2020-11-26 13:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유럽연합(EU)의 2019년 개인정보보호 현황과 주요 결정 사례 분석

2020 개인정보보호 연차보고서에서는 유럽의 개인정보보호 동향도 소개하고 있다. 유럽의 △유럽연합(EU) △영국 △프랑스 중 EU의 개인정보보호 동향을 먼저 살펴본다.

[이미지=utoimage]


유럽연합(EU)
1. 개인정보보호 지침 및 가이드라인 채택

2018년 5월 25일부터 발효된 EU 개인정보보호법(GDPR) 시행 2년차를 맞아 2019년에는 각국의 감독기구는 물론 유럽데이터보호이사회(European Data Protection Board, 이하 EDPB)의 다양한 지침과 가이드라인이 채택됐다.

가. 인증 관련 가이드라인
2019년 1월 EDPB는 공개 협의 후 인증에 관한 가이드라인의 최종 버전을 채택했다. EDPB의 2018년 5월 첫 총회에서 가이드라인의 최초 초안이 채택된 바 있다. 해당 가이드라인의 기본 목표는 GDPR 제42조와 제43조에 따라 발행된 모든 종류의 인증 메커니즘과 관련해 중요한 기준을 마련하는 것이다. 가이드라인은 GDPR 준수 이행 책임의 수단으로 활용될 수 있는 인증의 근거와 GDPR 제42조와 제43조 인증 조항의 핵심 개념, 인증 대상의 범위, 인증의 목적 등에 대한 설명을 제공한다.

나. e-프라이버시 지침
2019년 3월 EDPB는 e-프라이버시 지침과 GDPR 간 상호작용에 대한 의견을 채택했다. 이 의견은 개인정보 처리가 GDPR과 e-프라이버시 지침의 물적 범위가 중첩되는 경우 GDPR하에서 개인정보보호 감독기구의 관할, 업무와 권한이 제한될 수 있는가 하는 질문에 대한 답변을 제공한다. EDPB는 개인정보의 처리가 e-프라이버시 지침의 적용 범위에 포함된다는 사정만으로 GDPR하에서의 개인정보보호 감독기구의 관할이 제한되는 것은 아니라고 보고 있다.

다. 행동규약에 대한 가이드라인
2019년 6월 EDPB는 공개 협의를 통해 행동규약에 대한 최종 가이드라인을 채택했고, 이 가이드라인의 목적은 GDPR 제40조 및 제41조의 적용과 관련해 실무적인 지침과 해석 지원을 제공하는 것이다. 이 가이드라인은 국가 및 유럽 차원에서 행동규약의 제출, 승인 및 공표와 관련된 절차와 규칙을 명확히 하고 있다.

라. 비디오 감시에 대한 가이드라인
EDPB는 2019년 7월 비디오 감시에 관한 가이드라인을 채택했다. 이 가이드라인은 비디오 장치를 사용할 때 GDPR이 개인정보 처리에 어떻게 적용되는지 명확히 하고, 지속적인 GDPR의 준수를 보장하기 위해 마련됐다. 이 가이드라인에는 기존의 비디오 장치와 스마트 비디오 장치가 모두 포함된다. 후자의 경우 가이드라인은 특수한 범주의 개인정보 처리와 관련된 원칙에 중점을 뒀다.

마. 정보사회 서비스 측면에서의 개인정보 처리에 관한 가이드라인
2019년 10월 EDPB는 정보사회 서비스 측면에서 GDPR 제6 (1) (b)조의 범위와 적용에 관한 가이드라인을 공개 협의를 거쳐 최종 채택했다. EDPB는 개인정보보호 원칙과 GDPR 제6 (1) (b)조(계약 이행을 위해 또는 계약 체결 전 정보주체 요청에 따른 조치를 취하기 위해 필요한 처리)의 적법성 근거에 관해 검토했으며, 별도 서비스와의 결합 및 계약 종료 시 GDPR 제6 (1) (b)조의 적용 가능성에 대해서도 다루고 있다.

바. 영토적 범위에 대한 가이드라인
EDPB는 2019년 11월 공개 협의를 거쳐 영토적 범위에 대한 가이드라인의 최종 버전을 채택했다. 이 가이드라인은 데이터 컨트롤러 또는 데이터 프로세서에 의한 특정 개인정보 처리가 GDPR 제3조에 따른 영토적 범위에 속하는지 판단할 때 유럽경제지역(EEA, European Economic Area) 개인정보보호 감독기구에게 공통적인 해석을 제공하는 것을 목표로 한다. 이 지침은 다양한 상황에서 GDPR 적용에 대한 구체적 예시를 제공한다. 예를 들어 데이터 컨트롤러 또는 데이터 프로세서가 GDPR 제27조에 따른 대리인을 지정한 경우를 포함해 EEA 외부에 설립된 경우 GDPR의 적용에 관한 명확한 가이드라인을 제시한다.

사. 개인정보보호 중심 디자인 및 기본 설정 가이드라인
EDPB는 2019년 11월 개인정보보호 중심 디자인 및 기본 설정 가이드라인을 채택했다(공개 협의 필요). 여기서 핵심 의무는 디자인 및 기본 설정 시 개인정보보호 원칙과 정보주체의 권리와 자유를 효과적으로 구현하는 것이다. 이를 위해 데이터 컨트롤러로 하여금 적절한 기술적·관리적 보호 조치와 필요한 보호 장치를 마련할 것을 요구한다. 컨트롤러는 구현된 조치들이 효과적이라는 점을 입증할 수 있어야 한다.

아. GDPR에 따른 검색 엔진 사례에서의 잊힐 권리 기준에 대한 가이드라인
EDPB는 2019년 12월 GDPR에 따른 검색 엔진 사례에서의 잊힐 권리 기준에 대한 가이드라인 초안을 채택했다. 이 가이드라인은 GDPR 제16조에 대한 해석을 제공한다. 검색 엔진 제공 업체에 대한 검색 목록 삭제 요청의 근거와 예외에 관해 다루고 있다. 제29조 작업반이 발행한 2014년 가이드라인을 업데이트했으며, 향후 공개 협의를 거쳐 확정될 방침이다. 이러한 삭제 요청을 거부하는 경우의 권리구제신청에 대한 처리 기준도 추가로 보완될 예정이다.

2. 유럽사법재판소 개인정보 관련 주요 결정 사례
2019년 유럽사법재판소(CJEU, Court of Justice of the European Union)에서 개인정보와 관련된 주요 결정 사례 중 대표적인 것은 다음과 같다.

첫째, Fashion ID GmbH & Co.KG 사건으로 페이스북(Facebook)의 ‘좋아요(Like)’ 소셜플러그인을 설치한 웹사이트 운영자(온라인 의류 판매 사이트)는 자신의 사이트 방문자가 좋아요(Like) 버튼을 클릭하면 그 정보가 Facebook에 전송되므로 데이터 컨트롤러로서 처리의 적법성(방문자의 동의)을 구비해야 함을 명확히 했다(2019년 7월 29일 CJEU 결정).

둘째, Google LLC 사건으로 잊힐 권리와 관련해(검색 결과 화면에서 링크 삭제) Google의 전 세계 검색엔진 도메인에서 삭제를 해야 하는지, 아니면 EU 회원국 내 검색엔진 도메인에서만 삭제를 하면 되는지 여부가 쟁점이 됐다. 이에 대해 유럽사법재판소는 해당 특정 회원국 내 검색 엔진 도메인에 한정되는 것은 아니지만, EU 회원국 내 검색엔진 도메인에서 삭제하면 된다고 판시했다(2019년 9월 24일 CJEU 결정).

셋째, Planet 49 GmbH 사건으로 프로모션용 로터리(Lottery) 참가자의 이름과 주소와 연결돼 사용되는 쿠키와 관련해 미리 표시된 체크박스 형태로 쿠키에 대한 동의를 받는 것(즉, 동의 철회를 위해서는 반드시 표시 해제를 해야 하는 경우)은 유효한 동의에 해당하지 않는다고 판시한 바 있다(2019년 10월 1일 CJEU 결정).

3. GDPR 개인정보 관련 주요 집행 사례
GDPR이 시행된 이후 2020년 1월까지의 GDPR 집행 사례를 살펴보면 개인정보보호 감독기구는 개인정보 유출사고뿐만 아니라 다양한 형태의 GDPR 위반에 대해 GDPR에 따른 벌금을 부과했으며, 그 총 규모는 약 1억 5,352만유로에 이른다. 국가별 벌금 부과 순위는 프랑스, 독일 및 오스트리아 순으로 각 5,100만유로, 2,450만유로, 1,800만유로에 달한다. 현재까지 최고 벌금이 부과된 사례는 프랑스 개인정보보호 감독기구인 프랑스 개인정보보호위원회(Commission Nationale de I’informatique et des Libertés, 이하 CNIL)가 구글(Google)에 대해 투명성 원칙 위반 및 유효한 동의 미비 등을 이유로 5,000만유로의 벌금을 부과한 사건이다. 2019년에 최고 벌금이 부과된 상위 4개 사건은 다음과 같다.

△Google LLC: 2019년 1월 21일 프랑스 개인정보보호 감독기구(CNIL)는 Google에 대해 5,000만유로의 벌금을 부과했다. GDPR 제13조·제14조(개인정보 주체에게 제공돼야 하는 정보)·제6조(처리 적법성)·제5조(개인정보 처리 원칙) 위반이 문제가 됐고, 정보주체로부터 개인정보를 수집해 맞춤형 광고 제공 시 사용한 부분에 대해 투명성 원칙 위반, 사용자로부터의 유효한 동의 획득 미비, 충분한 정보 미제공 등을 이유로 벌금이 부과됐다.

△오스트리아 우편 서비스 Austrian Post: 오스트리아 개인정보보호 감독기구는 2019년 10월 23일경 오스트리아 국가 우편 서비스에 대해 1,800만유로의 벌금을 부과했다. Austrian Post는 오스트리아 전체 인구의 3분의 1을 차지하는 300만명 이상의 오스트리아 시민의 프로필을 생성했으며, 이를 통해 개인 선호, 정치적 성향, 주소 및 기타 정보가 수집돼 제3자에게 판매됐다.

△독일 부동산 회사 Deutsche Wohnen: 베를린 개인정보보호 감독기구(Berlin Commissioner for Data Protection and Freedom of Information)는 2019년 10월 30일, 부동산 회사인 Deutsche Wohnen에게 1,450만유로의 벌금을 부과했다. Deutsche Wohnen은 더 이상 필요하지 않은 개인정보라도 이를 삭제할 수 없는 개인정보 보관 아카이브 시스템을 사용함으로써 세입자의 개인정보에 대해 GDPR을 준수하는 개인정보 보유기간 및 삭제 절차를 운영하지 않았다는 점이 문제됐다.

△1&1 Telecom GmbH: 독일 연방 개인정보보호 감독기구 연방정보보호감독관(BFDI, Bundesbeauftragter für den Datenschutz)은 2019년 12월 9일, 독일 회사인 1&1 Telecom에 대해 955만유로의 벌금을 부과했다. 권한 없는 자의 콜센터 내 고객 정보 접근을 방지하기 위한 적절한 조치를 취하지 않은 점이 문제됐으며, BFDI는 누구든지 1&1 Telecom의 고객에 대한 분류된 개인정보에 접근할 수 있었다고 지적했다. 즉, 고객 서비스 부서에 전화해 이름과 생년월일만 알려주면 고객 정보에 쉽게 접근할 수 있었다. 이는 GDPR 제32조에 따라 개인정보보호를 위해 취해야 할 적절한 기술적·관리적 보호조치가 미비한 것으로 판단됐다.

한편, 영국 정보보호위원회(ICO)의 경우 2019년 7월 두 건의 대규모 개인정보 유출 사건에 대해 각각 약 3억2,900만유로와 약 3억6,600만유로의 벌금 부과 통지 사실을 공표한 바 있다. 가장 적은 금액의 벌금이 부과된 사례는 헝가리 개인정보보호 감독기구가 병원에 대해 부과한 90유로로 확인된다. 개인정보 유출 통지 신고 누적 건수는 총 16만건을 상회했으며, 국가별 건수는 네덜란드(4만647건)·독일(3만7,636건) 및 영국(2만2,181건) 순으로 나타났다. 인구 대비(10만명 대비) 기준 비율로 계산하면 네덜란드(147.2건), 아일랜드(132.52건), 덴마크(115.43건), 아이슬란드(91.15건), 핀란드(71.11건) 순이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협