네덜란드 개인정보보호국(DPA)이 8월 26일 우버에 대해 2억 9,000만 유로 제재금을 부과한다고 발표했다. DPA는 유럽에서 우버 운전자 개인정보를 미국으로 전송할 때 우버가 적절한 보호 조치를 취하지 않았다고 주장하고 있다.
이번 사건의 발단은 170명 이상 프랑스 운전자가 프랑스 인권단체인 LDH(Ligue des droits de l’Homme)에 불만을 제기한 것. 우버 유럽 본사가 네덜란드에 위치해 있어 DPA가 조사를 실시하게 됐다.
DPA에 따르면 우버는 유럽 운전자 계정 세부 정보, 위치 데이터, 사진, 지불 내역, 신분증, 운전자 범죄 데이터 및 의료 데이터와 같은 기밀 정보를 수집해 미국 우버 본사 서버에 저장하고 있었다고 한다.
네덜란드 국내에서 유럽경제지역(EEA) 외 국가로 데이터를 전송할 때는 개인정보 보호를 목적으로 한 데이터 전송 도구의 사용 등이 의무화되어 있다. 하지만 조사기관(Autoriteit Persoonsgegevens) 조사 결과 우버가 이런 적절한 보호 조치를 2년 이상 취하지 않은 것으로 밝혀졌다.
이에 DPA는 우버에 대해 일반 데이터 보호 규정(GDPR)에 근거해 2억 9,000만 유로 제재금을 부과하기로 결정했다. 이 금액은 DPA가 기업에 부과한 제재금 중 최고액이며 우버가 받은 제재금으로도 역대 최고액이다.
DPA 알레이드 볼프센 회장은 유럽에서는 GDPR로 기업과 정부에 개인 데이터의 적절한 취급을 의무화하고 있으며 이를 통해 기본 권리를 보호하고 있지만 우버는 미국으로의 전송에 관한 데이터 보호 수준을 확보하기 위한 GDPR 요건을 충족하지 않았다며 이는 심각한 사태라고 지적했다.
한편 우버는 2021년 DPA에 연락을 취해 유럽에서의 사용자 데이터 전송에 대해 GDPR을 준수하고 있음을 확인했다고 한다. 또 EU에서는 2020년 7월 EU와 미국 간 데이터 전송에 관한 규제인 프라이버시 실드를 무효화한다고 선언했고 이후 2023년 7월 프라이버시 실드를 대체하는 EU-U.S. 데이터 프라이버시 프레임워크가 발효됐지만 우버는 새로운 EU-U.S. 데이터 프라이버시 프레임워크 채택 이후에도 우버의 데이터 전송 프로세스에 변경을 가할 필요가 없었다고 주장했다.
우버는 이번 결함이 있는 결정과 비정상적으로 높은 금액 제재금은 완전히 부당한 것이라고 비판하며 우버의 국경을 넘는 데이터 전송 프로세스는 오랫동안 GDPR을 준수해 왔다며 자사는 이번 결정에 대해 이의를 제기할 예정이며 자사 상식이 옳다고 확신한다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.