유럽 GDPR 위반 유형 정리 – 실제 사례로 보는 법적 리스크

GDPR은 세계에서 가장 강력한 개인정보 보호법으로 평가받는다. 이 법은 단순히 개인정보 유출을 막는 차원을 넘어서, 개인의 정보가 언제, 어떻게, 왜 수집되고 처리되는지를 전방위적으로 통제한다. 그러나 실제 GDPR 위반 사례를 들여다보면, 위법 행위는 대부분 명백한 악의적 침해보다는 설계 미비, 절차 누락, 사용자 권리 무시 등에서 비롯된다. 즉, 플랫폼 운영자나 기업이 특정 행위를 의도적으로 하지 않더라도, 사용자 권리를 침해하는 구조나 기술이 존재할 경우, 그 자체로 법적 문제가 될 수 있다는 것이다. 본 글에서는 유럽에서 실제로 제재받은 GDPR 위반 사례를 유형별로 정리하고, 그 행동들이 왜 위법이었는지, 어떻게 예방할 수 있었는지, 한국 서비스에 주는 시사점은 무엇인지를 분석한다.

사용자 동의 없는 개인정보 처리 – ‘동의’를 둘러싼 모든 문제

GDPR 제6조는 개인정보 처리를 위한 6가지 적법한 근거 중 하나로 ‘명시적 동의(explicit consent)’를 규정한다. 많은 위반 사례는 이 ‘동의’가 형식적이거나, 실질적 선택권 없이 구성된 경우에 발생했다. 프랑스 CNIL은 2022년, 구글과 메타가 제공하는 쿠키 배너가 “모두 허용”만 강조하고 “거부”는 숨겨놓은 UI 구조를 문제 삼아 각각 1억 5천만 유로와 6천만 유로의 과징금을 부과했다. 이들은 사용자로부터 진정한 선택권을 확보하지 않았다고 판단된 것이다.

또한 동의받았다고 주장하더라도, 사용자가 언제 어떤 항목에 어떤 의도로 동의했는지를 입증할 책임은 기업에 있다. 이를 ‘입증 책임의 원칙(accountability)’이라 부른다. 한 스페인 전자상거래 기업은 광고 타기팅을 위한 데이터 처리에 대해 동의받았다고 주장했지만, 그 근거 문서를 제출하지 못해 25만 유로의 벌금을 받았다. 사용자가 모호하게 체크한 “서비스 품질 향상에 동의합니다” 문구로는 개별 데이터 활용에 대한 동의로 인정되지 않는 것이다.

한국에서도 이 문제는 동일하게 적용된다. 서비스 제공 중 “광고 수신 동의”를 받았다 하더라도, 해당 동의가 마케팅, 타사 제공, 프로파일링 등 목적 별로 분리되지 않았다면, GDPR 기준에서는 위법이다. 즉, ‘광의의 동의’는 동의가 아니라는 것이다. 이러한 사례들은 플랫폼 설계자가 사용자 인터페이스를 구성할 때 법적 동의의 실질적 의미와 사용자의 행동 유도 간의 균형을 반드시 고려해야 한다는 점을 시사한다.

 

자동화된 판단에 대한 사용자 권리 무시 – ‘프로파일링’의 그림자

GDPR 제22조는 사용자의 데이터를 기반으로 자동화된 판단을 내리는 프로파일링 행위에 대해, 사용자가 이를 거부하거나 인간의 개입을 요구할 수 있는 권리를 보장한다. 이 조항은 추천 알고리즘, 광고 개인화, 자동 가격 책정, 신용 평가 등 광범위한 디지털 기능에 적용된다. 위반 사례는 대부분 이 기능 자체보다, 사용자에게 이를 알리지 않거나, 선택권을 제공하지 않은 점에서 발생한다.

예컨대 이탈리아 데이터보호 당국(Garante)은 한 보험사가 온라인 견적 시 입력된 정보를 자동 분석해 개인별 보험료를 산출하면서, 그 기준과 작동 원리를 사용자에게 설명하지 않고, 거부 옵션도 제공하지 않은 점을 문제 삼아 약 100만 유로의 과징금을 부과했다. 이 경우 사용자는 본인의 나이, 지역, 과거 이력 등으로 인해 불리한 견적을 받았지만, 이를 판단한 근거를 알 수 없었고, 항의할 수단도 없었다. 이는 GDPR이 보장하는 ‘알 권리’와 ‘거부권’을 동시에 침해한 것이다.

프로파일링 기반 서비스는 한국에서도 널리 사용되며, 특히 전자상거래, 핀테크, OTT 분야에서 활성화되어 있다. 하지만 이러한 기능에 대해 사용자에게 설명하거나, 끌 수 있는 구조를 제공하는 경우는 매우 드물다. GDPR은 단지 동의가 있었느냐가 아니라, 자동화된 결정의 구조가 사용자에게 어떤 영향을 주며, 이에 대한 통제권이 있었느냐를 기준으로 판단한다. 따라서 국내 플랫폼들도 추천 기능, 맞춤형 광고, 가격 차등 기능 등을 제공할 때, 사용자에게 직접적인 제어 권한과 명확한 설명을 제공해야 한다.

 

데이터 보유 기간 초과 및 목적 외 사용 – 침묵이 부른 위법

GDPR 제5조는 개인정보 처리의 기본 원칙으로 ‘목적 제한성’과 ‘보유 기간 최소화’를 명시하고 있다. 즉, 정보를 수집한 목적이 끝나면 지체 없이 삭제하거나, 식별 불가능한 형태로 비식별화 처리해야 한다. 유럽의 많은 기업이 이 조항을 위반한 이유는 대부분 명확한 데이터 삭제 정책이 없었거나, 데이터를 자동으로 삭제하는 시스템을 구축하지 않았기 때문이다.

벨기에의 한 상거래 기업은 주문 이력이 있는 고객의 정보를 최대 5년까지 보관하면서, 이를 재마케팅 목적으로 활용했다. 그러나 GDPR은 구매 이력 보관 목적은 회계상 필요를 넘어서면 안 되며, 광고 목적으로 재이용할 경우 별도의 동의가 필요하다고 명시한다. 해당 기업은 “재방문 시 편리한 쇼핑 제공”이라는 이유로 보관했다고 주장했지만, 사용자의 명시적 동의 없이 마케팅에 활용된 점이 문제 되었다.

한국에서도 많은 기업이 유사한 방식으로 개인정보를 ‘자동 보관’하고 있으며, 탈퇴 후 일정 기간이 지나도 정보가 완전히 삭제되지 않는 경우가 흔하다. 또한 수집 목적을 “서비스 개선”, “고객 편의”, “내부 분석” 등으로 모호하게 기재하고, 이를 광고 타팅이나 제휴사 추천에 사용하는 경우도 많다. 이런 구조는 명확한 동의·목적 설정 없이 데이터를 범용 자산처럼 취급한 사례로, GDPR 기준에서는 고위험 위반에 해당한다.

 

정보 유출 후 부실 대응 – 사후 조치의 실패도 위반이다

GDPR 제33조와 제34조는 개인정보 유출 사고 발생 시, 기업은 72시간 이내에 감독기관에 신고하고, 피해 가능성이 클 경우 사용자에게도 지체 없이 알릴 의무가 있다고 규정한다. 그러나 많은 기업이 유출을 축소하거나 은폐하거나, 사용자 고지를 지연시키는 방식으로 대응하면서 추가 제재를 받는다.

2021년, 노르웨이의 한 의료 데이터 관리 업체는 해킹으로 수십만 건의 진료 정보가 유출됐음에도, 사용자 고지를 3주간 미루고, 초기 발표에서는 피해 규모를 대폭 축소했다. 노르웨이 DPA는 이 점을 심각하게 보고, 유출 자체보다 사후 대응의 불투명성과 고지 지연을 중심으로 약 250만 유로의 벌금을 부과했다. 이 사례는 GDPR이 데이터 보호 아니라, 사고 발생 시 기업의 책임 있는 행동과 투명한 커뮤니케이션까지 포함하고 있다는 점을 보여준다.

한국에서도 유사 사례가 발생하고 있으며, 특히 보안 사고 발생 시 피해 규모를 정확히 밝히지 않거나, “해당 정보는 중요하지 않다”라고 해석해 사용자의 고지를 회피하는 행위가 반복된다. 그러나 이런 대응은 GDPR 기준에서는 명백한 위법이며, 데이터 주체의 신뢰를 심각하게 훼손한다. 사용자 알림은 단지 의무가 아니라, 브랜드 신뢰를 회복하는 최소한의 조치라는 점을 인식해야 한다.

 

GDPR 위반은 단지 ‘법을 몰라서’가 아니라, 사용자의 권리를 존중하지 않는 기술과 경영 관행에서 비롯된 경우가 대부분이다. 위법 행위는 개인 데이터를 탈취하거나 악용하는 것이 아니라, 고지하지 않고 수집하거나, 동의 없이 분석하고, 설명 없이 판단하며, 침묵으로 대응하는 것만으로도 성립된다. 그리고 그 결과는 수십억 원대 과징금과 서비스 구조의 전면 개편이라는 큰 대가로 이어진다.

이러한 사례들을 통해 우리는 GDPR이 단순히 개인정보보호법이 아니라, 디지털 사회에서 인간 중심 설계의 기준이자 윤리적 판단의 프레임워크라는 점을 이해하게 된다. 한국 기업 역시 이런 국제 규범을 단지 해외 진출을 위한 규제로만 보지 말고, 자사의 서비스가 사용자 권리를 어떻게 존중하고 있는지 점검하는 기회로 삼아야 한다. GDPR 위반을 막는 가장 강력한 방법은, 기술보다 먼저 사람을 중심에 두는 서비스 설계 철학을 갖는 것이다.