테크레시피

GDPR 발효 1년 8개월…총 벌금 1400억

지난 2018년 5월 유럽에서 개인정보보호 규정 GDPR이 발효된 지 1년 8개월 가량이 지났다. 그간 GDPR 위반 제재금을 부과했다는 얘기가 많았지만 글로벌 로펌인 DLA파이퍼(DLA Piper)가 보고서를 통해 벌금 통계를 밝혀 눈길을 끈다.

이에 따르면 GDPR 도입 이후 16만 건이 넘는 데이터 침해가 보고됐다고 한다. 보고 건수로는 네덜란드와 독일, 영국이 상위 TOP3으로 이들 세 국가에서만 10만 건이 넘는다. 또 2019년 1월 27일까지 첫 8개월간 하루 위반 통지는 247건이었지만 2019년 1년 동안 하루 278건으로 증가 추세에 있다고 한다.

또 인구 10만명당 데이터 침해 보고 건수에서도 네덜란드는 147.2건으로 최고를 기록했고 영국과 독일은 각각 13, 11위를 기록했다. 반면 인구 6,200만명인 이탈리아에선 1,886건으로 10만명당 기준으로 3건에 불과해 가장 적었다. 개인 정보에 대해서도 문화적 차이가 나타나고 있다고 할 수 있다.

1년 8개월간 총 벌금은 1억 1,400만 유로를 부과했으며 개별 건으로 최대 액수는 프랑스가 구글에 부과한 5,000만 유로다. 또 영국 규제 당국은 2019년 7월 브리티시에어웨이(British Airways)의 고객 데이터 유출에 대해 1억 8,000만 파운드 벌금을 부과한다고 발표했지만 보고서 발표 시점에선 아직 확정이 아니라 집계에서 빠졌다. 마찬가지로 2019년 12월 프랑스가 구글에 1억 5,000만 유로 벌금을 부과하겠다고 발표했지만 이것도 집계에는 포함되지 않았다.

GDPR 규정은 제재금은 대상 기업의 전세계 매출 중 2%, 경우에 따라선 4%를 부과할 수 있다. 따라서 매출이 많은 기업일수록 제재 금액도 많아진다. 또 DLA파이퍼 측은 벌금 계산 방법이 규제에 따라 다른 불투명한 부분이 있다면서 앞으로 몇 년간 더 많은 벌금과 항소가 예상된다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.