국가정보_독일

  •  유럽
  •  미국
  •  일본
  •  중국
  •  영국
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남
  •  러시아
  •  프랑스

Cases

1독일 베를린 지방법원의 페이스북에 대한 연방 개인정보 보호법 위반 판결

가. 주요 내용

독일 베를린 지방법원 제16 민사부는 독일 연방 소비자연합(vzbv)이 페이스북(Facebook)을 상대로 제기한 소송에서 페이스북이 독일 연방 개인정보 보호법을 위반했다고 판결하였다(2018.1.16.). 원고인 독일 연방 소비자연합(vzbv)은 페이스북의 프라이버시 기본 설정과 프라이버시 서비스 약관 및 개인정보 처리방침은 연방 개인정보 보호법에 따른 유효한 동의 요건 및 고지 요건에 부합하지 않는다고 주장하였다. 이에 2017년 12월 19일 법원의 구술 심리가 진행되었으며, 판결에서는 총 26개의 원고 측 중지 청구와 관련하여 14개의 청구가 인용되었다. 법원은 페이스북의 기본 설정(Privacy Default Setting)과 일부 서비스 약관이 연방 개인정보 보호법, 부정경쟁방지법, 텔레미디어법을 위반했으며 데이터 사용에 대한 동의의 일부가 무효임을 확인하였다. 법원은 페이스북에 대하여 인용된 사항에 대한 행위를 중단할 것을 선고하고, 이행하지 않을 경우 과태료 25만 유로를 부과하거나 6개월까지 구금할 수 있다고 판결하였다.

나. 사건 배경

베를린 지방법원의 이번 판결은 독일에서 거대 기술업체들이 정밀한 온라인 표적 광고를 위해 민감한 개인정보를 처리하고 데이터를 독점하는 것에 대한 감시가 증가하고 있는 가운데 나온 것으로, 독일 소비자단체연맹은 2010년 페이스북의 '친구 찾기' 기능이 연방 개인정보 보호법 위반이라며 소송을 제기하였으며, 2016년 독일 연방대법원으로부터 위반 판결을 확보하였다. 독일 반독점기관인 연방카르텔청(Bundeskartellamt)은 2017년 12월 페이스북이 제3자 웹 사이트에서 생성된 모든 종류의 데이터를 무제한으로 수집하여 이용자의 페이스북 계정과 병합하여 자사의 시장 지배적인 위치를 악용하고 있다는 견해를 제시하였다. 연방카르텔청 청장은 현재 상황에서 이용자들이 페이스북의 데이터 추적 및 데이터 병합에 대해 효과적으로 동의했는지 확신할 수 없다고 지적하였다.

다. 베를린 지방법원 판결의 주요 내용

첫째, 일상적인 거소를 독일에 두고 있는 이용자에 대한 영업적 행위와 관련하여 페이스북은 개인정보 유출을 유발하는 행위를 중지해야 하며, 그 불이행에 대하여 과태료 250,000 유로를 부과 또는 이에 대신하여 6개월까지 구금하거나 또는 (과태료 대신) 6개월까지 구금 가능하도록 판결하였다.

둘째, 거주지를 독일에 두고 있는 이용자가 소셜 미디어 사용 시 계약 내용에 거부가 어려운 동의 조건을 포함하지 않도록 판결하였다.

2바덴-뷔르템베르크(Baden-Würtemberg)의 개인정보보호기관, GDPR에 따른 최초의 벌금 부과

가. 주요 내용

독일 바덴-뷔르템베르크의 LfDI(Landesbeauftragte für den Datenschutz und die Informationsfreih)는 GDPR 제32조에 따른 개인정보보호 의무를 위반한 소셜 미디어 제공 업체에 2만 유로의 벌금을 부과했다.

나. 사건 배경

LfDI에 따르면, 해당 기업은 2018년 여름 해커의 공격 이후 정보 침해 통보를 받고 LfDI에 연락했다. 이 공격으로 인해 비밀번호와 이메일 주소를 포함한 약 33만 명의 개인정보에 대한 무단 접근과 공개가 이루어졌다. 이 사건을 알게 된 후, 해당 기업은 즉시 GDPR 제34조에 따라 포괄적이고 완전히 투명한 방법으로 그 공격에 대해 사용자들에게 알렸다. 조사 기간 동안 LfDI는 해당 기업이 비밀번호를 암호화되지 않은 형식으로 저장하여 공격을 용이하게 했다는 것을 알게 되었다.

조사 진행 중에 해당 기업은 IT 보안 아키텍처를 개선하기 위해 종합적인 대책을 구현하고 최신 기술을 적용함으로써 정보주체에 대한 보안 수준을 높이도록 하였다. 또한 LfDI와 협력하여 개인정보보호 수준을 개선하기 위한 조치를 취할 것을 약속했다.

다. LfDI 결정의 주요 내용

LfDI는 비밀번호를 일반 텍스트로 저장함으로써, 해당 기업이 GDPR 제32조(1)(a)에 따라 개인정보를 적절히 암호화할 의무를 고의로 위반했음을 발견했다. GDPR 제83조 제4항에 따르면, 제32조 위반 시 1,000만 유로 이하 혹은 전 세계 연간 총 매출액의 2%까지 벌금을 부과할 수 있다. LfDI는 해당 기업이 LfDI의 권고를 수용하여 IT 보안 아키텍처를 개선하고, 사용자들에게 공격 사실을 고지한 사실 등을 고려하여, 2만 유로의 벌금을 결정하였다.

top