이원영 기자
사업자 활동과 성과를 모니터링하기 위해 과도한 침입 시스템을 설정했다며 아마존이 프랑스 데이터보호기관인 CNIL로부터 3,200만 유로 벌금을 부과 받았다.
아마존 창고에서 작업은 비슷한 창고 업무가 있는 타사와 비교해도 가혹하다고 종종 지적되어 왔다. 수많은 보고를 바탕으로 CNIL은 프랑스 아마존 창고에서의 업무 실태를 조사했다. 결과적으로 직원 활동과 성능을 모니터링하는 시스템에서 여러 GDPR 위반을 지적했다. 지적은 크게 나눠 보면 스캐너를 이용한 직원 감시에 관한 침해, 비디오 감시 처리에 관련하는 침해 2가지다.
스캐너란 아마존 창고에서 일하는 직원에게 지급되고 있는 상품 보관 등 작업에 사용되는 단말이다. 모든 작업이 기록되어 있으며 직원 노동성과를 실시간으로 모니터링할 수 있다. 첫째 이 스캐너에서 수집한 임시고용인을 포함한 모든 직원에 대한 데이터와 생산성 지표가 31일간 유지됨에 따라 CNIL은 감독자가 직원이 겪는 문제를 지적하거나 작업 재할당을 실시하는데 있어 리얼타임 데이터와 주 단위 데이터가 있으면 충분할 것이라고 판단했다. 그 이상 데이터를 유지하는 건 GDPR 제5.1.c조 데이터 최소화 원칙 준수 불이행이라는 지적하고 있다.
또 이전 항목을 스캔한 뒤 1.25초 이내에 다음 항목을 스캔할 때 오류를 알리는 스토우머신건(Stow Machine Gun), 스캐너를 사용하지 않는 시간이 10분 이상 지속될 때 다운타임을 나타내는 아이들 타임, 스캐너를 사용하지 않는 시간이 1∼10분이었을 때 작업 중단 시간(latency under ten minutes) 3가지 지표에 대해 과도한 감시에 연결된다며 합법적인 처리를 보증하라는 GDPR 제6조를 위반하는 행위라고 지적했다. 이 중 후자 2가지 요소에 대해선 직원이 아무리 짧은 시간이라도 스캐너 사용을 중단하기에 있어 정당화할 만큼 이유가 요구되는 상태가 되고 있다고 지적하고 있다.
스캐너 사용에 대해선 2020년 4월까지 임시 직원에 대해선 개인 데이터를 수집하는 것이라는 프라이버시 정책 제공이 이뤄지지 않았다고 해 정보 제공과 투명성 의무 불이행에서 GDPR 제12조와 제13조에 반하는 게 인정됐다.
그 밖에 직원도 외부 방문자도 영상 감시 시스템에 대해 적절한 소식을 받지 못한 것에 대해선 마찬가지로 GDPR 제12조와 제13조를 위반, 해당 영상 감시 시스템 게정이 여러 사용자와 공유되어 액세스가 안전하지 않은 상태에 있고 누가 소프트웨어를 만져 액션을 수행했는지 식별할 수 없게 됐다며 개인 데이터 보안을 확보할 의무 불이행에서 GDPR 제32조 위반이 인정되고 있다.
CNIL은 스캐너 시스템 자체가 아마존이 비즈니스를 수행하는데 필요한 것이라고 문제시하지는 않지만 이런 결과를 근거로 프랑스 아마존 창고 업무를 다루는 곳(Amazon France Logistique)에 대해 3,200만 유로 벌금을 부과하기로 결정했다. 덧붙여 아마존은 이 결론에 동의하지 않고 항소할 가능성을 시사하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
