최근 행정처분
민원 접수 숫자 및 위반 신고 건수 등 (‘22년 기준) 1)
• (민원 접수) ‘22년 기준 BfDI에 접수된 민원 건수는 총 6,619건으로 전년 6,829건 대비 소폭 감소
- 일반적 요청(4,434건), GDPR 제77조(감독기관에 민원을 제기할 권리)에 따른 민원제기(2,115건)가 대부분을 차지했으며, GDPR 제80조(정보주체를 대리한 민원제기)에 따른 민원제기(3건), BDSG 제60조(연방 커미셔너에 민원을 제기할 권리)에 따른 민원제기(29건), 정보기관 관련 민원제기(38건)도 일부 있었으나 극소수에 해당
• (개인정보 침해 신고건수) ‘22년 기준 BfDI에 총 10,658건의 개인정보 침해 신고가 접수되었으며 전년도 10,157건과 비슷한 수준을 유지
- 개인정보 침해를 신고해 온 컨트롤러로는 세무서, 고용센터, 통신사가 대부분을 차지
[BFDI에 접수된 민원 유형 (‘22년 기준)]
| 구분 | ‘21년 | ‘22년 | 비율 | 증감률 |
| 일반적 요청 | 4,329 | 4,434 | 66.99% | 2.43% |
| GDPR 제77조 기반 | 2,383 | 2,115 | 31.95% | 11.25% |
| GDPR 제80조 기반 | 19 | 3 | 0.05% | -84.21% |
| BDSG 제60조 기반 | 54 | 29 | 0.44% | -46.3% |
| 정보기관 관련 | 44 | 38 | 0.57% | -13.64% |
| 합계 | 6,829 | 6,619 | 100% | -3.08% |
출처 : BfDI, 넥스텔리전스 재구성(‘23.11.)
• (행정처분 건수) BfDI는 행정처분과 관련한 통계 및 자료를 공개하고 있지 않음
개인정보보호 위반 사안에 대한 최근 처분 사례는 다음과 같음
| 대상 | 처분일시 | 위반사항 개요 | 처분내역 |
| 익명의 은행 2) | ‘23.5.31. | 자동화된 신용카드 신청 거부 결정에 대한 정보 미제공 | 과징금 30만 유로 부과 |
| 익명의 전자상거래사 3) | ’22.9.20. | DPO의 직무 수행에 있어 이해관계 충돌 발생 | 과징금 52만 5,000 유로 부과 |
베를린 개인정보 감독기관, 고객에게 신용카드 신청 자동 거부 사유를 투명하게 제공하지 않은 익명의 은행에 대해 과징금을 부과 (‘23.5.)
• (사건 개요) 익명의 은행은 신용카드 발급시 심사 알고리즘을 사용, 온라인 양식으로 수집한 신청자에 대한 정보와 외부의 추가 데이터를 기반으로 발급 심사를 자동으로 진행
- 신용카드 발급을 거부당한 한 고객이 발급 거부에 대한 이유를 은행에 문의하였으나, 은행 측에서는 개별 사례를 기반으로 한 채점 프로세스에 대한 일반적인 정보만 제공했을 뿐 해당 고객의 신용등급이 좋지 않다고 보는 이유에 대해서는 밝히기를 거부함
- 해당 고객은 어떤 요소가 거부의 근거가 되었는지, 신용카드 신청을 거부하는 데 어떤 기준이 사용되었는지 이해할 수 없었고, 은행 측에 이의를 제기할 수도 없었기 때문에 베를린 개인정보 감독기관에 해당 사안에 대해 민원을 제기함
- 베를린 개인정보 감독기관은 IT 시스템이 사람의 개입 없이 오직 알고리즘만을 기반으로 내리는 의사결정이며, GDPR이 자동화된 의사결정에 대해 투명성 의무를 규정하고 있음을 고려하여 사건을 조사
- GDPR에 근거하여 개인정보는 정보주체가 이해할 수 있는 방식으로 처리되어야 하고, 영향을 받는 사람은 적절한 평가 이후 내려진 결정에 대해 설명을 들을 권리가 있으며, 정보주체가 책임자에게 정보를 요청하는 경우 자동화된 결정 이면에 포함된 논리에 대한 의미 있는 정보를 제공해야 함
- 그러나 베를린 개인정보 감독기관은 해당 은행이 이와 같은 자동화된 의사결정 관련 규정 관련 의무를 충분히 이행하지 못했기에 정보주체의 권리를 침해하였다고 판단함
• (조치 내용) 베를린 개인정보 감독기관은 정보주체에게 투명하게 정보를 공개하지 않은 은행에 대해 GDPR 제22조제3항, 제5조제1항제a호 및 제15조제1항제h호 위반을 근거로 30만 유로의 과징금을 부과
- 다만, 은행이 이러한 위반 사항을 인정하고 이미 프로세스를 변경했으며 추가 개선 사항을 발표한 것을 참작하여 과징금을 30만 유로로 감면
베를린 개인정보 감독기관, DPO의 이해상충을 초래한 익명의 전자상거래 회사에 대해 과징금을 부과 (‘22.9.)
• (사건 개요) 익명의 전자상거래 회사(모회사)는 자사를 대신하여 고객 서비스를 제공하고 주문을 처리하는 자회사의 전무를 DPO로 지정
- 전자상거래 회사는 DPO가 회사의 개인정보 처리 활동을 감독하는 역할을 수행해야 함에도 불구하고, 개인정보 처리를 위탁 수행하고 있는 자회사 2곳의 전무를 맡고 있는 자를 자사의 DPO로 지정
- 해당 DPO는 자신이 관리하는 두 자회사의 고객 주문 처리 및 서비스 제공 과정에서 결정권을 행사해 오면서, 한편에서는 해당 개인정보 처리 활동의 법률 준수 여부를 감독해 옴
- 이는 개인정보 처리에 있어 중요한 결정을 내리는 자와 이를 감독하는 자가 동일인에 해당하는 것으로서 자신의 행위를 자신이 감독하는 것과 같은 이해관계의 충돌이 발생
- DPO는 법률 준수를 감독하는 업무와 개인정보 처리에 관한 중요한 결정을 내리는 업무를 겸임할 수 없고, 이는 결국 회사의 법률 준수를 위해 독립적인 업무를 수행하는 DPO의 취지에 어긋나는 결과
- 베를린 개인정보 감독기관은 이러한 사실을 ‘21년에 발견하고 이미 회사에 경고 조치를 내린 바 있으나 1년 이상 위반이 지속되어 오자 과징금 처분을 내리기로 결정
• (조치 내용) 베를린 개인정보 감독기관은 이해관계의 상충을 야기하는 DPO 지정에 대해 GDPR 제38조제6항 위반을 근거로 52만 5,000 유로의 과징금을 부과
1) https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/31TB_22.pdf?__blob=publicationFile&v=7 111면 이하 참조
2) https://www.datenschutz-berlin.de/pressemitteilung/computer-sagt-nein/
3) https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf
이 누리집은 대한민국 공식 전자정부 누리집입니다.
