스웨덴 데이터보호당국이 EU권 사용자 데이터를 미국에 있는 서버로 옮기는 건 불법이라는 EU 일반 데이터 보호 규칙 GDPR 방침에 근거해 구글 애널리틱스(Google Analytics)를 이용해 데이터를 미국에 전송하고 있던 통신 사업자에 대해 1,200만 크로나, 소매업자에 대해 30만 크로나 벌금을 부과했다. 구글 애널리틱스를 이용한 기업이 GDPR에 의해 벌금 판결을 받은 건 처음이다.
유럽 사법 법원이 2020년 EU와 미국간 데이터 전송은 기본적으로 불법이라고 판단했음에도 불구하고 많은 EU 기업은 판결을 무시하고 보충 조치나 표준 계약 조항을 둘러싼 주장에 의존하는 형태로 계속 구글, 메타, 마이크로소프트, 아마존 등 서비스를 계속 사용하고 있다.
오스트리아 비엔나에 본사를 둔 소비자 권리 단체 noyb 측은 구글에 데이터를 보내고 있는 게 특정된 EU 회원국 101개 웹사이트에 소송을 걸었다. 2022년 1월 오스트리아 데이터 보호 당국(Datenschutzbehörde)은 독일 익명 기업에 의한 데이터 전송이 GDPR 위반이라는 판결을 내렸다. 이 때 문제의 독일 기업에 대한 처벌은 없엇다.
2022년 2월에는 프랑스 당국도 구글 웹로그 분석을 통한 데이터 전송이 불법이라고 판단했다. 이번에 스웨덴 데이터 보호 당국 IMY(Integritetsskyddsmyndigheten)는 4개사(Tele2, CDON, Coop, Dagens Industri)에 대한 감사를 실시해 이들 모두 구글 애널리틱스를 이용한 개인 데이터 전송은 표준 계약 조항에 따라 실시하고 있었다고 밝혔다.
IMY는 기술적 보안 대책이 불충분하다고 판단해 Tele2에는 1,200만 크로나, CDIN에는 30만 크로나 행적 벌금 부과를 결정했다. 또 이미 구글 웹로그 분석 사용을 중단한 Tele2 를 뺀 3개사에 구글 웹로그 분석 사용 중단을 명령했다.
구글 애널리틱스를 이용해 GDPR 위반으로 기업이 벌금을 받는 건 첫 사례다. GDPR은 유럽위원회가 개인 데이터의 적절한 보호 수준을 가진 국가라고 판단한 국가간 데이터를 전송하는 걸 인정한다. 하지만 오스트리아에서 페이스북을 상대로 일으킨 재판 결과 Schrems II 판결에 의해 EU에서 미국으로의 데이터 전송 근거로 여겨져온 2000년 세이프하버 협정은 무효화되어 미국은 EU로부터의 데이터 전송 상대로 필요한 보호 레벨을 충족시키지 않는다고 결론지어지고 있다. 이번 결정은 다시 한 번 EU에서 미국으로의 데이터 전송 거부를 막는 것이다. 덧붙여 noyb는 2023년 7월 EU와 미국간 새로운 협정이 발행된다고 밝히고 있다. 다만 협정 내용은 이전 것과 같기 때문에 유럽사법재판소에 의해 파기될 가능성이 높다고 한다. 관련 내용은 이곳에서 확인할 수 있다.