네덜란드 데이터 보호 기관(DPA)은 다음과 같은 벌금을 부과했습니다. 2억 9천만 유로 유럽 내 운전자의 개인정보 보호와 관련된 데이터 보호법을 위반한 혐의로 Uber에 대한 소송이 제기되었습니다.
네덜란드의 데이터 보호 기관은 월요일에 발표한 성명에서 Uber가 유럽 택시 운전사의 개인 데이터를 미국으로 전송했지만 이러한 전송과 관련하여 데이터를 적절하게 보호하지 못했다는 것을 발견했다고 밝혔습니다.
네덜란드 DPA에 따르면 이는 일반 데이터 보호 규정(GDPR)의 심각한 위반을 구성합니다. 그러나 Uber가 위반을 종료했다고 언급했습니다.
최근 발표에 따르면 네덜란드 당국이 우버에 제재를 가한 것은 이번이 세 번째다. DPA는 2018년에 우버에 60만 유로의 벌금을 부과했고, 2024년 1월 1000만 유로의 벌금. 그러나 Uber는 이 마지막 벌금에 반대했습니다.
유럽 외부의 데이터 보안
네덜란드 DPA 위원장인 알레이드 볼프센은 GDPR이 기업과 정부가 개인 데이터를 주의 깊게 처리하도록 요구함으로써 유럽 시민을 계속 보호할 것이라고 강조했지만, 유럽 데이터가 지역 밖으로 전송될 때는 동일한 취급을 받지 못하고 있다고 말했습니다.
“대규모로 데이터를 활용할 수 있는 정부를 생각해 보세요. 그래서 기업은 일반적으로 유럽 연합 외부에 유럽인의 개인 데이터를 저장하는 경우 추가 조치를 취해야 합니다.
“Uber는 미국으로의 전송과 관련하여 데이터 보호 수준을 보장하기 위한 GDPR 요구 사항을 충족하지 못했습니다. 이는 매우 심각한 문제입니다.” 울프슨이 말했다.
DPA 위원장은 규제 기관이 Uber가 유럽 운전자의 민감한 정보를 수집하여 미국 서버에 보관한 사실도 발견했다고 덧붙였습니다. 이는 계좌 정보와 택시 면허증에 관한 것이지만, 위치 데이터, 사진, 결제 정보, 신분증, 어떤 경우에는 운전자의 범죄 및 의료 데이터도 포함됩니다.
벌금
네덜란드 데이터보호청(DPA)에 따르면, 우버에 부과된 과징금은 유럽의 모든 데이터 보호 기관에서 결정했으며, 그 금액은 우버 매출의 4%에 해당합니다.
“유럽의 모든 DPA는 동일한 방식으로 기업에 대한 벌금 금액을 계산합니다. 이러한 벌금은 기업의 전 세계 연간 매출의 최대 4%에 해당합니다. Uber는 2023년에 약 345억 유로의 전 세계 매출을 올렸습니다.” 라고 하더군요.
데이터 전송의 기초
DPA는 법원의 판단에 따라 표준 계약 조항이 여전히 EU 외부 국가로 데이터를 전송하는 유효한 근거를 제공할 수 있지만, 실무적으로 동일한 수준의 보호를 보장할 수 있는 경우에만 가능하다고 언급했습니다.
또한 Uber가 2021년 8월부터 표준 계약 조항을 더 이상 사용하지 않기 때문에 EU 내 운전자의 데이터가 충분히 보호되지 않는다고 덧붙였습니다.
네덜란드 DPA는 170명이 넘는 프랑스 운전자가 프랑스 인권단체인 LDH(Ligue des droits de l’Homme)에 불만을 제기한 후 Uber에 대한 조사를 시작했고, 이후 LDH는 프랑스 DPA에 불만을 제기했습니다.
나이지리아 기업에 대한 의미
우버(Uber)에 대한 최근 벌금은 국제적으로 운영되거나 유럽 시민의 개인 데이터를 처리하는 나이지리아 기업에 대한 엄중한 경고입니다.
GDPR은 영토외에 적용됩니다. 즉, EU 거주자에게 상품이나 서비스를 제공하거나 EU 거주자의 행동을 모니터링하는 경우 EU 외부 기업에도 영향을 미칠 수 있습니다.
- 이는 전 세계 DPA가 시민의 데이터를 보호하기 위해 과감한 조치를 취하고 있는 만큼 강력한 데이터 보호 관행에 대한 글로벌한 필요성을 강조합니다.
- 최근 나이지리아 당국인 연방 경쟁 및 소비자 보호 위원회(FCCPC)와 나이지리아 데이터 보호 위원회(NDPC)도 연방 경쟁 및 소비자 보호법(FCCPA)과 나이지리아 데이터 보호 규정(NDPR)을 위반한 Meta Platforms에 2억 2,000만 달러의 벌금을 부과했습니다.
- 최종 명령에서는 메타가 저지른 침해 혐의를 강조했는데, 여기에는 나이지리아 데이터 주체의 자기결정권 거부, 나이지리아 데이터 주체의 개인 데이터를 허가 없이 전송하고 공유한 것, 당시와 현재의 법을 위반하여 국경을 넘나드는 저장 행위, 차별, 불평등한 대우 및 지배력 남용 등이 포함됩니다.
