가. 개요

베를린 개인정보 감독기구는 2022년 9월 DPO 지정에 있어 이해상충을 초래한 익명의 전자상거래 회사에 대해 약 52만 유로의 과징금을 부과했다. 이 사례는 이름이 밝혀지지 않은 전자상거래 회사(모회사)가 자사를 대신하여 고객 서비스를 제공하고 주문을 처리하는 자회사의 전무를 DPO로 지정하면서 문제된 사안이다.

나. 개인정보 감독기구의 조사

모회사인 전자상거래 회사는 DPO가 회사의 개인정보 처리 활동을 감독하는 역할을 수행해야 함에도 불구하고, 개인정보 처리를 위탁 수행하고 있는 자회사 2곳의 전무를 맡고 있는 자를 자사의 DPO로 지정했다. 베를린 개인정보 감독기구는 조사 과정에서, 해당 DPO가 자신이 관리하는 두 자회사의 고객 주문 처리 및 서비스 제공 과정에서 결정권을 행사해 오면서, 한편에서는 해당 개인정보 처리 활동의 법률 준수 여부를 감독해 온 것을 확인했다. 이는 개인정보 처리에 있어 중요한 결정을 내리는 자와 이를 감독하는 자가 동일인에 해당하는 것으로서, 자신의 행위를 자신이 감독하는 것과 같은 이해관계의 충돌이 발생하는 것으로 볼 수 있다고 판단했다. DPO는 법률 준수를 감독하는 업무와 개인정보 처리에 관한 중요한 결정을 내리는 업무를 겸할 수 없고, 이는 결국 회사의 법률 준수를 위해 독립적인 업무를 수행하는 DPO의 취지에 어긋나는 결과가 된다.

다. 회사의 대응

회사는 베를린 개인정보 감독기구로부터 위의 사실과 관련해 2021년에 통보를 받으면서 경고를 받은 바 있으나 1년 이상 문제를 해결하지 않았다. 이처럼 위반이 지속되어 베를린 감독기구는 회사에 GDPR 제38조제6항 위반을 근거로 과징금을 부과하기로 결정했다. 다만, 베를린 개인정보 감독기구는 조사 과정에서 회사가 감독기구에 광범위하게 협력하고 위반행위를 중지한 것을 과징금 결정에 참작했으며, 최종적으로 과징금 52만 5,000 유로를 부과하기에 이르렀다.

라. 시사점

이번 사례는 회사 내 DPO 지정 의무의 중요성과 함께, DPO 지정 시 반드시 독립적인 감독업무를 수행할 수 있는 자를 지정하도록 유의해야 함을 시사한다. 베를린 개인정보 감독기구도 이번 사안에 대해, 동일인이 회사 내에서 개인정보 처리와 관련한 중요한 결정을 내리면서, 동시에 그 행위에 대한 감독 업무를 수행할 수는 없다고 언급한 바 있다.

이 사건 회사의 DPO 지정은 DPO의 이해관계의 충돌을 야기하는 것으로 사실상 DPO의 투명한 감독업무를 저해하는 결과가 된다. 따라서 독일 내 사업을 영위하고 있는 우리 진출기업은 이번 사례를 참고로 하여 DPO 지정 시 해당 임직원이 회사 내에서 맡고 있는 다른 업무가 있을 경우 이해관계의 충돌이 발생하지 않는지 여부를 반드시 재검토할 필요가 있다.

가. 개요

함부르크 개인정보 감독기구는 투명한 정보 제공 의무와 관련해 전력사업자 Vattenfall Europe Sales GmbH(이하 Vattenfall사)에 약 90만 유로의 과징금을 부과했다. 이번 사안은 상기 회사가 정보주체의 개인정보를 처리하면서도 정보 제공 의무를 게을리 한 데에서 비롯되었다.

나. 개인정보 감독기구의 조사

Vattenfall사는 2018년 8월부터 2019년 12월 기간 동안 특가 행사를 진행하기 위해 고객들의 내부 계약정보를 비교 및 대조했으며 이러한 행위에 대해 고객에게 제대로 알리지 않은 것으로 드러났다. 해당 내부정보는 독일 조세법 및 상법 관련 조항에 따라 10년 간 보관해야 할 의무를 준수함에 따라 회사가 보유한 것이었다. Vattenfall사는 이처럼 특정 고객의 기존 계약서 정보를 대조해서 해당 고객을 대상으로 특가 행사 판촉활동을 전개했으며, 고객은 이러한 데이터 비교 및 대조행위가 발생하는지에 대해 명확히 인지하지 못했다. 함부르크 개인정보 감독기구는 조사 과정에서 회사가 고객에게 이러한 개인정보 처리 사실에 대해 구체적인 정보를 제공하지 않은 것을 확인했으며, 이는 GDPR 제12조 및 제13조에서 요구하는 투명한 정보를 제공할 의무를 위반한 행위라고 판단했다.

한편, 동 감독기구는 Vattenfall사가 수행한 일련의 활동에 따라 총 50만 명의 고객 개인정보가 영향을 받은 것을 확인했다.

다. Vattenfall사의 대응

정보주체의 권리 침해와 관련, 함부르크 개인정보 감독기구의 통지를 받은 Vattenfall사는 최초 통지를 받은 직후 이용자에게 고지되지 않았던 데이터 비교 활동을 즉각적으로 중단했고 감독기구의 조사에도 적극적으로 협조하였다. 또한 Vattenfall사는 자사와 계약을 체결하고자 하는 고객에게 모두 데이터 비교 여부와 그 목적에 대해 투명하고 이해할 수 있는 방식으로 정보를 제공하기로 했다. 이를 통해 고객은 데이터 비교를 통해 조금 더 할인된 특가 계약을 제공받을 수도 있고, 또는 데이터 비교 없이 할인혜택이 제공되지 않는 일반 계약을 제공받는 것을 선택할 수 있게 된다.

라. 시사점

함부르크 개인정보 감독기구는 Vattenfall사의 광범위한 협력을 과징금 액수 결정에 참작하여 최종적으로 90만 1,388.84유로의 과징금을 부과했다. 이번 사례는 GDPR 제12조 이하의 컨트롤러의 투명한 정보 제공 의무 위반을 바탕으로 하고 있다. 데이터의 비교 및 대조행위 또한 문제될 수 있겠으나 함부르크 개인정보 감독기구는 이를 과징금 검토대상에서 제외했다고 밝혔다. 그 이유는 데이터의 비교 행위 등을 GDPR에서 명시적으로 금지하지 않고 그 법적 요건에 대해서도 특별히 규정하고 있지 않기 때문이다. 그러나 데이터의 비교 및 대조행위를 정보주체에게 제대로 알리지 않은 것은 명시적으로 GDPR에서 금지하고 있는 행위로, 이를 바탕으로 감독기구가 과징금을 부과한 것이라는 점을 유의해야 한다.

Vattenfall사가 함부르크 개인정보 감독기구의 조사 과정에 적극 협조했으나 상당히 큰 규모의 과징금을 부과 받은 것은 해당 행위로부터 영향을 받은 고객의 숫자가 상대적으로 컸기 때문이다. 동 감독기구는 이와 관련해 투명한 정보 제공 의무의 중요성을 간과하지 않도록 하기 위해 경고의 의미를 담아 높은 과징금을 부과하기로 결정했다고 밝힌 바 있다. 실제로, 기업의 경영 활동에서는 고객에게 할인혜택을 제공하기 위해 상당한 규모의 데이터 간 비교 행위가 공공연하게 발생함에도 고객에게 관련 정보를 투명하게 제공하는 경우가 드물다. 이번 사례는 현지에 진출한 우리 기업에 기존 기업 내 문화를 타파하고 고객 개인정보를 보다 투명하게 다루는 문화를 정책시켜야 할 필요성에 대해 중요한 시사점을 제공한다고 볼 수 있다.