개인정보 보호위원회

CNIL, 불법 직원 모니터링 관련 Amazon France에 과징금 456억 부과

▶ 프랑스 개인정보 감독기관(CNIL)이 불법 직원 모니터링에 따른 EU 일반개인정보보호법(GDPR) 위반으로 Amazon France에 과징금 3,200만 유로(465억 4,016만 원)를 부과

  • 프랑스 내 Amazon 물류 창고를 관리하는 업무를 담당하고 있는 Amazon France는 창고 직원들에게 특정 작업의 실행 내역을 문서화할 수 있는 스캐너를 장착하여, 직원이 스캔을 할 때마다 기록된 데이터를 직원의 업무 품질, 생산성, 비활동 시간에 대한 지표를 계산하는 데 사용

  • CNIL은 Amazon France의 직원 모니터링 관행에 대해 우려를 제기하는 언론 보도와 다수 직원들의 민원 제기에 따라 조사를 진행

- 조사 결과, CNIL은 스캔을 통해 데이터가 실시간으로 수집되었으며 보고된 모든 데이터가 31일 동안 보관되었다는 사실을 발견

- 해당 관행이 명목상으로는 직원의 업무 지원을 위해 각 직원을 실시간으로 관리하는 것이지만, 아주 미세한 세부 정보까지 접근할 필요는 없다고 지적

- CNIL은 주별 집계 데이터(aggregated data) 등을 통해 충분히 직원들의 어려움을 파악하고 코칭을 제공하거나 업무를 재할당할 수 있다고 판단

- 이에 따라 CNIL은 Amazon France가 개인정보를 적절하고 관련성이 있으며 처리 목적과 관련하여 필요한 범위로 제한하여 처리하지 않아 EU 일반개인정보보호법(GDPR) 제5조 제1항(c)를 위반한 것으로 판단

  • CNIL은 Amazon France의 세 가지 직원 모니터링 지표가 GDPR 제6조를 위반했다고 간주

- (스토우 머신건 지표) 직원이 수행하는 모든 업무의 가장 최소 단위까지 지속적으로 모니터링하며, 직원이 상품을 너무 빨리 스캔할 경우 오류 발생 가능성을 알림 

- (유휴 시간 지표) 10분 이상의 스캐너 사용 중단에 대해 알림 

- (10분 미만 대기 시간 지표) 1분에서 10분 사이의 스캐너 사용 중단 시간을 표시

- CNIL은 위 세 가지 모니터링 방식이 직원에 대한 과도한 모니터링으로 이어지기 때문에 ‘정당한 이익(legitimate interest)’에 기반하지 않는다고 강조

  • 또한, CNIL은 Amazon France가 임시직 근로자에게 스캐너 사용에 따른 개인정보 수집과 직원 및 외부 방문객에게 영상 감시 처리에 대한 정보를 제공하지 않음으로써 정보 및 투명성 제공 의무를 준수하지 않아 GDPR 제12조 및 제13조를 위반했다고 지적

  • 이와 더불어 CNIL은 영상 감시 소프트웨어의 계정 비밀번호가 충분히 강력하지 않고, 해당 계정을 여러 사용자가 공유하는 등 계정 접근에 대한 보안이 충분히 안전하게 보장되지 않은 점에 대해 Amazon France가 개인정보 보안 보장 의무를 준수하지 않아 GDPR 제32조를 위반했다고 지적

[출처]

  • CNIL, “Employee monitoring: CNIL fined AMAZON FRANCE LOGISTIQUE €32 million”, 2024.01.23.

※ 본 번역 요약본의 저작권은 개인정보보호위원회 및 한국인터넷진흥원에 있으며, 본 요약본을 활용하실 경우에는 출처를 반드시 밝혀주시기 바랍니다.