GN⁺: 네덜란드 개인정보보호청, 운전자 데이터 미국 전송으로 Uber에 2억 9천만 유로 벌금 부과

네덜란드 DPA, Uber에 2억 9천만 유로 벌금 부과

• **네덜란드 데이터 보호 당국(DPA)**는 Uber가 유럽 택시 운전사의 개인 데이터를 미국으로 전송한 것과 관련하여 2억 9천만 유로의 벌금을 부과함
• 네덜란드 DPA는 Uber가 GDPR(일반 데이터 보호 규정)을 위반했다고 판단함
• Uber는 현재 이 위반을 중단한 상태임

민감한 데이터

• Uber는 유럽 운전사의 계정 정보, 택시 면허, 위치 데이터, 사진, 결제 정보, 신분증, 범죄 및 의료 데이터 등을 미국 서버에 저장함
• 2년 넘게 이러한 데이터를 전송하면서 전송 도구를 사용하지 않음
• 2020년 EU-US 프라이버시 실드가 무효화된 이후, 표준 계약 조항을 사용하지 않아 데이터 보호가 충분하지 않았음
• 2021년 8월 이후 Uber는 표준 계약 조항을 사용하지 않았고, 이는 네덜란드 DPA에 의해 데이터 보호가 불충분하다고 판단됨
• 현재 Uber는 프라이버시 실드의 후속 조치를 사용 중임

운전사들의 불만

• 네덜란드 DPA는 170명 이상의 프랑스 운전사들이 프랑스 인권 단체 LDH에 불만을 제기한 후 조사를 시작함
• GDPR에 따르면, 여러 EU 회원국에서 데이터를 처리하는 기업은 본사가 위치한 국가의 DPA와 협력해야 함
• Uber의 유럽 본사는 네덜란드에 위치해 있음
• 조사 기간 동안 네덜란드 DPA는 프랑스 DPA와 긴밀히 협력하고 다른 유럽 DPA와 결정을 조율함

Uber에 대한 벌금

• 유럽의 모든 DPA는 동일한 방식으로 기업에 대한 벌금을 계산함
• 벌금은 기업의 전 세계 연간 매출의 최대 4%에 해당함
• Uber는 2023년에 약 345억 유로의 전 세계 매출을 기록함
• Uber는 벌금에 대해 이의를 제기할 의사를 밝힘
• 네덜란드 DPA는 2018년에 60만 유로, 2023년에 1천만 유로의 벌금을 Uber에 부과한 바 있음

GN⁺의 정리

• 이 기사는 GDPR 위반으로 인한 Uber의 벌금 부과 사례를 다루고 있음
• 유럽 외부로의 데이터 전송 시 추가적인 보호 조치가 필요함을 강조함
• 데이터 보호의 중요성과 GDPR의 엄격한 규정을 이해하는 데 도움이 됨
• 유사한 기능을 가진 다른 프로젝트로는 Google Cloud의 데이터 보호 서비스가 있음