정용환 기자
링크드인(LinkedIn)이 타깃 광고를 목적으로 사용자 동의를 받아 정보를 제3자에게 전송했다는 행위가 EU 일반 데이터 보호 규정(GDPR)을 충족하지 못한 불충분한 동의였다는 이유로 아일랜드 데이터 보호 위원회(DPC)는 링크드인에 3억 1,000만 유로 벌금을 부과하기로 결정했다.
이 문제는 2018년 프랑스 디지털 저작권 보호 단체(La Quadrature Du Net)가 프랑스에서 제기한 소송에서 시작됐다. 이 소송은 프랑스 데이터 보호 당국에서 마이크로소프트의 GDPR 준수 여부를 감독하는 DPC로 전달됐고 2018년 8월부터 DPC 조사가 진행됐다.
링크드인은 사용자 정보를 타깃 광고 목적으로 제3자에게 전송했지만 이를 사용자 동의를 받은 뒤 진행했다고 주장했다. 하지만 GDPR은 개인 정보 사용에 대해 적절한 법적 근거가 필요하다고 명시하고 있으며 DPC는 링크드인이 이런 법적 근거를 충족하지 못했다고 판단했다. 또 사용자 정보를 이용하는 것에 대해 사용자에게 충분히 알리지 않았다는 점도 문제로 지적됐다.
이런 이유로 DPC는 링크드인에 EU에서 GDPR 위반으로 부과된 벌금 중 6번째로 큰 규모인 3억 1,000만 유로 벌금을 부과하기로 결정했다. 링크드인에는 30일간 항소 기간이 주어졌다.
이에 대해 링크드인은 자사는 GDPR을 준수하고 있다고 확신하지만 DPC의 지정된 기한 그러니까 3개월 내에 광고 관행이 이번 결정 내용을 완전히 충족할 수 있도록 조치를 취할 것이라는 성명을 발표했다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
