# 강제 동의 문제 제기 5년 뒤, Elkjop에 €180만 벌금 부과 > Clean Markdown view of GeekNews topic #30644. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=30644](https://news.hada.io/topic?id=30644) - GeekNews Markdown: [https://news.hada.io/topic/30644.md](https://news.hada.io/topic/30644.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-06-19T22:41:15+09:00 - Updated: 2026-06-19T22:41:15+09:00 - Original source: [thatprivacyguy.com](https://www.thatprivacyguy.com/blog/elkjop-forced-consent-fine/) - Points: 1 - Comments: 1 ## Topic Body - Elkjop 그룹의 Nordic 고객 클럽은 마케팅 이메일을 끄려면 **회원 탈퇴**를 요구했고, 한 회원이 2021년 이를 GDPR·ePrivacy 위반으로 문제 삼음 - 쟁점은 고객 클럽 혜택을 포기해야만 직접 마케팅을 거부할 수 있는 구조가 **자유로운 동의** 요건을 충족하는지였음 - 스웨덴 감독기관 IMY는 사건을 노르웨이 모회사 관할로 넘겼고, Datatilsynet은 2026년 6월 1일 **NOK 2,000만**, 약 €180만이 조금 넘는 벌금을 부과함 - Datatilsynet은 동의가 강제적이고 구체적이지 않으며 충분히 고지되지 않았고, 수집한 개인정보를 광고와 **전환 추적**에 재사용하면서 GDPR Article 6(4)의 호환성 평가도 하지 않았다고 판단함 - 민원인은 감독기관이 결정 통지를 하지 않아 GDPRhub에서 결과를 알게 됐다며, IMY에 설명을 요구하고 EU infringement procedure와 Elkjop 대상 민사소송을 예고함 --- ### 마케팅 수신 거부가 회원 탈퇴로 이어진 구조 - 2021년 여름, 한 Elgiganten Kundklubb 회원은 Elkjop 그룹이 Nordics 전역에서 운영하는 고객 클럽에서 마케팅 이메일을 끄는 방법을 찾음 - 실제로는 **마케팅 중단**을 위해 고객 클럽 멤버십 자체를 취소해야 하는 방식이었음 - 회원은 7월 30일 Data Protection Officer에게 이 방식이 법을 위반한다고 알림 - GDPR Article 21(2)는 모든 사람에게 직접 마케팅에 대한 **절대적 반대권**을 부여함 - ePrivacy Directive상 이메일 마케팅은 동의가 있거나 기존 고객 관계가 있고, 정보 수집 시점과 이후 모든 메시지에서 간단한 옵트아웃을 제공해야 적법함 - GDPR Article 4(11)과 Article 7에 따르면 동의는 자유롭게 제공되어야 하며, 다른 조건에 묶이거나 필수 조건이 될 수 없음 - 고객 클럽 혜택을 포기해야만 이미 가진 권리를 행사할 수 있다면, 그 동의는 자유롭게 제공된 동의가 아니라는 논리임 ### Elkjop의 답변과 민원 제기 - Elkjop 측은 “마케팅/오퍼를 받기 위해서는 고객 클럽 회원인 것이 조건”이라는 취지로 답변함 - 회원 입장에서는 권리 행사를 **가입 조건**으로 바꾼 구조가 문서로 남은 셈이 됨 - 이후 회원은 여러 절차를 진행함 - GDPR Article 18에 따른 처리 제한을 공식 요청함 - Article 15에 따른 전체 주체 접근 요청을 보냄 - 요청 범위에는 법적 근거, legitimate interest balancing test, 수신자, 하위 처리자, 국제 이전, 프로파일링 등이 포함됨 - 스웨덴 감독기관 Integritetsskyddsmyndigheten(IMY)에 민원을 제기했고, 참조번호는 DI-2021-6660임 - 회사는 모호한 개인정보 처리방침을 가리켰고, 이후 접근 요청 기한을 **90일**로 늘리며 “복잡성”과 “제한된 내부 자원”을 이유로 들었음 ### 스웨덴 민원이 노르웨이 벌금으로 이어진 과정 - 고객 클럽은 노르웨이 모회사 **Elkjop Nordic AS**가 운영했고, 처리 목적과 수단에 대한 실질적 의사결정 권한도 모회사에 있다고 판단됨 - IMY는 2022년 9월 자신이 적절한 관할 기관이 아니라고 결정함 - GDPR Article 56(1)의 원스톱숍 체계에서는 컨트롤러의 주요 사업장이 있는 국가의 감독기관이 관할함 - 주요 사업장은 노르웨이에 있음 - IMY는 조사와 민원을 노르웨이 DPA인 **Datatilsynet**에 넘김 - Datatilsynet은 사건을 수락함 - 이후 사건은 오랫동안 별다른 소식 없이 이어짐 ### Datatilsynet의 2026년 결정 - 2026년 6월 1일 Datatilsynet은 Elkjop 그룹에 **NOK 2,000만**, 약 €180만이 조금 넘는 벌금을 부과함 - 결정의 핵심은 2021년 민원에서 제기된 내용과 같았음 - 고객 클럽 동의는 유효하지 않았음 - 동의는 **강제적**이었음 - 동의는 구체적이지 않았음 - 회원들은 충분히 고지받지 못했음 - Datatilsynet은 Elkjop이 고객 클럽을 통해 수집한 개인정보를 광고와 전환 추적에 추가로 사용했다고 봄 - 개인정보를 다른 목적으로 재사용하기 전에 GDPR Article 6(4)가 요구하는 **호환성 평가**를 하지 않은 점도 문제가 됨 - 결정은 Article 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f), 6(4)를 포함함 - 전체 구조의 적법성, 공정성, 투명성, 책임성이 함께 다뤄짐 ### 강제 동의와 pay-or-consent 문제 - 강제 동의, pay-or-consent, 묶음 동의, “모두 동의하지 않으면 서비스를 사용할 수 없음” 모델은 디지털 경제의 많은 부분에서 기본 방식처럼 쓰이고 있음 - 사용자가 거절할 때 원래 유지할 권리가 있는 것을 잃게 된다면, 그 동의는 **자유로운 동의**가 될 수 없다는 점이 핵심임 - 5년과 7자리 벌금 이후, 이 논점은 공개된 결정으로 남게 됨 ### 민원인 통지 의무와 후속 조치 - 민원인은 IMY나 Datatilsynet이 아니라 자원봉사 기반 위키인 **GDPRhub**에서 어느 목요일 아침에 결정을 알게 됐다고 밝힘 - GDPR Article 77(2)는 감독기관이 민원인에게 민원의 진행 상황과 결과를 알려야 한다고 규정함 - 이는 재량이나 호의가 아니라 법적 의무임 - 민원은 IMY에 제기됐고, IMY가 넘긴 사건은 수백만 유로 규모 집행으로 끝났지만 관련 기관 중 누구도 민원인에게 알리지 않았다는 문제임 - 민원인은 IMY에 서면 설명을 요구했고, 답변 기한을 **영업일 5일**로 설정함 - 답변이 예상한 수준이라면 European Union의 infringement procedure에 따라 문제를 제기하겠다고 밝힘 - 규제 절차가 끝난 만큼 Elkjop 그룹을 상대로 한 민사소송도 남아 있으며, 개인정보의 추가 불법 처리 세부사항 때문에 소송 범위가 더 넓어질 것이라고 밝힘 - Elkjop이 2021년에 문제 제기를 받아들였다면 벌금, 위법 처리, 브랜드 손상, 후속 소송을 피할 수 있었음 ## Comments ### Comment 59984 - Author: neo - Created: 2026-06-19T22:41:18+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48589501) - 이 일이 결국 잘 풀려서 다행이고, 디스토피아가 심해질수록 더 많은 사람이 이렇게 살았으면 함 특히 미국에서는 **권리를 행사**하거나 서명해야 할 문서를 전부 읽기만 해도 이상하게 주변을 계속 짜증나게 만들고, 파장을 만들기 싫어서 아무 말 안 하거나 “뭐 괜찮겠지” 하고 넘기는 사람들보다 상당히 불리해짐 - 새 병원에 갔더니 접수 과정에서 보험을 제대로 처리하려면 작은 디지털 패드에 “서명”하라고 했음 내가 무엇에 서명하는지 **종이 사본**을 보여 달라고 했더니 찾지 못했고, 어째서인지 출력도 못 한다고 해서 결국 포기하고 손가락으로 대충 서명한 뒤 진료를 받았는데 정말 미칠 노릇임 - 미국에서 아파트를 빌린 적이 있는데, 서류에 집주인이 나와 가족의 **영상·사진·음성 녹음**을 만들고 상업적 목적을 포함해 자기들 목적에 쓸 수 있다고 되어 있었음 반대했지만, 나 하나 때문에 법무팀을 끌어들일 수는 없고 싫으면 나가도 된다는 태도였음 - 나는 서명하는 계약서의 모든 줄을 읽는 사람이고, **이용약관**과 **개인정보 처리방침**도 포함 누가 그걸 불편해하는지 알 수 있어서 오히려 좋음. 악수는 해도 약속을 지킬 생각이 없는 사람이 누구인지 알려주기 때문임 이 경험은 내가 이런 문서를 쓰는 방식도 바꿨고, 마지막으로 쓴 이용약관과 개인정보 처리방침은 각각 한숨에 읽을 수 있을 정도로 짧게 만들었음 - 아내가 최근 출산했는데, 병원에 도착했을 때 진통 간격이 충분히 짧아서 입원 대상이었음 그런데 병원은 아내에게 **10쪽가량의 동의서**를 서명하라고 내밀었고, 그걸 읽는 사람이 있을 거라고는 상상하기 어려움 그렇다고 그 서류 때문에 입원을 거부할 거라고도 상상하기 어려움 - 맞음. 이 스레드 안에서도 자기 권리를 안다는 이유만으로 “이 고객은 평생 금지하겠다”고 하는 사람이 보여서 특히 씁쓸함 스스로를 애국자라고 여기는 미국인들 사이에서도 이런 문화가 널리 퍼진 건 한심함 이 나라는 반란과 **권리 주장** 위에 세워졌는데, 어쩌다 지금은 많은 시민에게 정반대가 이상이 된 것 같음 - 실제 결정문(노르웨이어): [https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...]() 블로그 글이 다루는 개요와 5.1절의 기계번역본(다른 내용도 일부 포함): [https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...]() 나중에 보니 공식 영어 결정문도 있었음: [https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...]() - “마케팅/오퍼를 받으려면 고객 클럽 회원이어야 한다”는 문장만 보면 이해가 잘 안 됨 “고객 클럽 회원이 되려면 마케팅/오퍼 수신이 조건”이라면 별개의 문제겠지만, 위 문장은 오히려 **마케팅 수신**을 하려면 클럽 가입이 필요하다는 뜻처럼 보임 번역이나 표현 과정에서 뭔가 뒤바뀐 것 같음 - 번역 문제임. 노르웨이어 원문은 **로열티 클럽**에 가입하려면 마케팅 활동 수락이 필요하다는 뜻이었는데, 기계번역이 자연스러운 영어 구조로 바꾸지 않고 문자 그대로 옮긴 것임 - 맞음, 거꾸로 된 것처럼 들리고 “고객 클럽 회원이 되려면 마케팅/오퍼를 받아야 한다”가 맞을 듯함 - 여기서 “마케팅/오퍼”는 할인 혜택을 뜻하는 것 같음 할인이나 특별 행사를 받으려면 클럽 회원이어야 하고, 클럽 회원이면 이메일 수신에 동의해야 하며, EU 법상으로는 어쨌든 모든 할인에 접근할 권리가 있다는 식인 듯함 - 나도 이해가 안 됨. 회원 자격이 수신의 조건이라는 건, 내 이해로는 비회원은 아무것도 받을 수 없거나 받아서는 안 된다는 뜻일 뿐이고, 회원이 반드시 뭔가를 받아야 한다는 뜻은 아님 이 자체는 완전히 정상적이고 합리적으로 들림 - 독일어권 언어에서 온 **번역 오류**처럼 들렸음 예를 들면 “오퍼를 받는 것은… 가입되어 있기 위한 조건이다” 같은 구조임 - 5년이라니 완전 농담 같음. **민주주의와 법치**는 더 이상 존재하지 않는 듯함 정치인들은 더 부자가 되고, 아무도 맞서지 않으며, 직위를 가족에게 넘기고, 세금은 계속 오르는데 서비스는 계속 나빠짐 한편으로는 유럽과 서구 민주주의의 파괴를 진행 중에 직접 볼 수 있다는 점이 흥미롭기도 함 로마 제국 말기에 이런 고통스러운 하강이 벌어졌을 것 같고, 지금은 유럽/미국 제국의 끝을 보는 중인 듯함 - EU 회사들이 면접 전에 후보자에게 **반개인정보 보호 정책**에 동의하라고 강요하는 문제도 있음. 헷갈리게도 이름은 “개인정보 처리방침”이라고 붙어 있음 그 정책에는 회사와 제3자, 사실상 누구에게나 음성과 이미지를 포함한 데이터를 어떤 목적으로든 사용할 권한을 준다고 되어 있음 물론 일반인이 이해하기 어렵게 살짝 모호한 표현으로 적어 둠 이런 경우에도 비슷한 조치가 있었는지 궁금함 - 개인적으로 그런 일을 겪어보진 않았지만, 지역 **개인정보 보호 당국**에 민원을 넣을 수 있음 그런 문구는 준수 요건을 충족하기 어려울 가능성이 큼 효과를 극대화하려면 해당 회사에 GDPR 제15조 열람 요청을 해서 실제 데이터 수신자 목록을 받고, 반드시 그 항목을 구체적으로 요구한 다음, 그 회사들 모두에게 다시 요청을 보내면 됨 그러면 추가 민원을 낼 여지가 생김. 예를 들어 왜 제14조 정보를 보내지 않았는지, 원래 법적 근거가 동의였고 자유롭게 제공된 동의가 아니라면 그 법적 근거가 실제로 적절한지 등을 따질 수 있음 - 최근 어떤 EU 회사가 [https://www.crosschq.com/]()를 쓰는 걸 보고 좀 거슬렸음 - 이 사람의 입장은 이해하지만, 사건을 자기에게 유리하게 판단한 **법적 기관**을 다시 고소했다는 점은 여전히 웃김 - 무슨 뜻인지 모르겠음. 문제의 회사를 고소할 계획이고, 아마 스웨덴 개인정보 보호 당국을 상대로 민원을 넣을 수도 있다는 얘기로 들림 사건을 자기에게 유리하게 판단한 곳은 **노르웨이 개인정보 보호 당국**임 - 노르웨이 개인정보 보호 당국인 Datatilsynet의 보고서를 보면 배경으로 “여러 건의 신고와 제보”를 인용함 아마 IMY가 이 사안이 자기 권한 밖이라고 판단해 Datatilsynet에 민원을 넘겼고, 사건을 닫은 뒤 Hanff에게 알리는 걸 잊었거나 Datatilsynet에서 아무 응답도 받지 못했을 가능성이 있음 - 그가 GDPR 제정에 영향을 줬고, 나머지 대중은 전반적으로 무력감을 느끼며, 담당 기관도 일을 제대로 못 하는 상황이라면 결국 책임을 묻는 사람은 그뿐일지도 모름 - 원문 인용: 며칠 뒤 받은 답변은 위반 사실을 기록으로 남겨주는 친절한 역할을 했다. 그들의 입장은 자기들 말로 “마케팅/오퍼를 받으려면 고객 클럽 회원이어야 한다”였음 이게 어떻게 “클럽 회원이면 반드시 마케팅/오퍼를 받아야 한다”는 뜻이 되는지 모르겠음 그냥 “회원만 **마케팅/오퍼**를 받는다”는 말로 보임 - 노르웨이 개인정보 보호 당국인 **Datatilsynet**은 내 경험상 꾸준히 사용자를 염두에 둠 시스템을 통과하는 데 시간이 오래 걸리는 건 아쉽지만, 일관되게 좋은 결정을 내리는 편임 - 이미지는 나한테 로드되지 않고, 생성에 사용된 **프롬프트**만 보이는데 솔직히 그쪽이 더 낫다 - 내 쪽에서는 이미지와 프롬프트가 보였지만 페이지 전체에 스타일이 적용되지 않았음 방금 새로고침하니 CSS도 로드됐고 프롬프트는 더 이상 보이지 않음 아마 웹 서버가 일시적으로 트래픽에 압도돼서 어떤 방문자에게는 이미지가, 어떤 방문자에게는 CSS 파일이 일관되게 제공되지 않았던 것 같음 - 프롬프트가 아니라 화면 읽기 프로그램용 **접근성 설명**일 수도 있지 않나? - 모델에 “**광각 영화 스틸**” 스타일로 생성하라고 지시했는데, 결과는 그림 쪽으로 간 것 같아서 살짝 웃김 - Elkjøp에 실제로 벌금을 부과했다는 점은 아주 멋지고 당연한 일이지만, 당사자에게 계속 알려주지 않았다는 건 꽤 놀라움 - 나에게 알릴 책임은 그들에게 있던 게 아니라, **스웨덴 규제기관 IMY**에 있었음