유럽연합(EU) 개인정보 보호규정(GDPR)이 시행된지 1년6개월이 흐른 가운데 이를 위반한 건수는 16만건, 누적 벌금은 1억1천400만유로(1천473억원)에 달하는 것으로 집계됐다.
20일(현지시간) 미국 IT 매체 지디넷에 따르면 GDPR 발효 후 첫 8개월 동안 하루 평균 247건의 위반 통지가 접수됐다. 해당 기간 이후엔 전보다 증가한 하루 평균 278건의 위반 통지가 내려졌다. 해당 통계는 법무법인 DLA파이퍼 분석 결과다.
역대 가장 큰 벌금은 구글에 대한 프랑스 데이터 보호 당국(CNIL)이 구글에 부과한 5천만유로(646억원)다. 구글에는 데이터 관리 투명성과 이용자 동의 의무 위반 혐의가 적용됐다.
DLA파이퍼 사이버 데이터 보호 전문가 로스 매킨은 "GDPR 위반 비율은 작년에 비해 올해 12% 늘었다"며 "규제당국은 GDPR과 관련해 새롭게 얻은 제재 및 벌금 부과에 관한 힘을 시험하느라 분주하다"고 설명했다.
이어 "현재까지 부과된 총 1억1천400만 유로의 벌금을 GDPR 위반 행위 때 부과될 수 있는 최대치에 비해선 적은 편이다"면서 "아직 GDPR 시행 초기 단계임을 알 수 있다"고 덧붙였다.
또한 그는 "우리는 규제당국이 규제 활동을 강화함에 따라 앞으로 몇백만 유로 이상을 부과하게 될 동력을 얻을 것으로 전망한다"고 말했다.
구글 적발 건보다 높은 벌금이 책정된 사건도 있었으나, 영국 정보위원회는 아직까지 최종 벌금액을 확정하지 못했다.
작년 7월 영국항공은 자사 시스템에 들어온 해킹 공격으로 50만명의 회원 정보를 탈취당했다. 이에 정보위원회는 벌금 1억8천300만파운드(2천773억원)를 부과했다.
또한 위원회는 전 세계 3억3천900만명 소비자의 개인정보 침해 사고를 일으킨 스타우드 호텔 측에 9천900만파운드(1천500억원)의 벌금을 내렸다. 이 해킹 사건은 2014년에 발생했으나 2018년에서야 알려졌다. 그사이 2016년 메리어트호텔이 스타우드호텔을 인수했다.
메리어트호텔과 영국항공은 모두 벌금이 과대하다고 호소하고 있다.
관련기사
- 스타트업얼라이언스, GDPR 韓 적정성평가 탈락이유 논의2020.01.21
- GDPR 적정성 평가 통과 위해 행안부-EU 집행위 만난다2020.01.21
- 韓, 아태 국가 포럼서 EU에 GDPR 적정성 결정 협조 요청2020.01.21
- "GDPR 대응 혼선 막는 개인정보 법제 개정 시급"2020.01.21
EU는 지난 2018년 5월 미국의 거대 IT기업이 유럽인의 개인정보를 활용하고 정보를 해외로 이전하는 것을 막고자 GDPR을 도입했다. 이에 개인정보의 역외 이전을 원칙적으로 금지하고 EU집행위원회가 적정하다고 인정하는 경우에만 역외 이전을 허용한다.
GDPR에 따르면 데이터 탈취로 인해 치명적인 보안 사고를 일으킬 경우 회사는 연간 매출액의 최대 4%의 벌금을 부과받는다. 그러나 GDPR을 완전히 준수율은 전체 조직들의 3분의 1 수준으로 알려졌다.