강제 동의 문제 제기 5년 뒤, Elkjop에 €180만 벌금 부과

 (thatprivacyguy.com)
1P by GN⁺ | ★ favorite | 댓글 1개
  • Elkjop 그룹의 Nordic 고객 클럽은 마케팅 이메일을 끄려면 회원 탈퇴를 요구했고, 한 회원이 2021년 이를 GDPR·ePrivacy 위반으로 문제 삼음
  • 쟁점은 고객 클럽 혜택을 포기해야만 직접 마케팅을 거부할 수 있는 구조가 자유로운 동의 요건을 충족하는지였음
  • 스웨덴 감독기관 IMY는 사건을 노르웨이 모회사 관할로 넘겼고, Datatilsynet은 2026년 6월 1일 NOK 2,000만, 약 €180만이 조금 넘는 벌금을 부과함
  • Datatilsynet은 동의가 강제적이고 구체적이지 않으며 충분히 고지되지 않았고, 수집한 개인정보를 광고와 전환 추적에 재사용하면서 GDPR Article 6(4)의 호환성 평가도 하지 않았다고 판단함
  • 민원인은 감독기관이 결정 통지를 하지 않아 GDPRhub에서 결과를 알게 됐다며, IMY에 설명을 요구하고 EU infringement procedure와 Elkjop 대상 민사소송을 예고함

마케팅 수신 거부가 회원 탈퇴로 이어진 구조

  • 2021년 여름, 한 Elgiganten Kundklubb 회원은 Elkjop 그룹이 Nordics 전역에서 운영하는 고객 클럽에서 마케팅 이메일을 끄는 방법을 찾음
  • 실제로는 마케팅 중단을 위해 고객 클럽 멤버십 자체를 취소해야 하는 방식이었음
  • 회원은 7월 30일 Data Protection Officer에게 이 방식이 법을 위반한다고 알림
    • GDPR Article 21(2)는 모든 사람에게 직접 마케팅에 대한 절대적 반대권을 부여함
    • ePrivacy Directive상 이메일 마케팅은 동의가 있거나 기존 고객 관계가 있고, 정보 수집 시점과 이후 모든 메시지에서 간단한 옵트아웃을 제공해야 적법함
    • GDPR Article 4(11)과 Article 7에 따르면 동의는 자유롭게 제공되어야 하며, 다른 조건에 묶이거나 필수 조건이 될 수 없음
  • 고객 클럽 혜택을 포기해야만 이미 가진 권리를 행사할 수 있다면, 그 동의는 자유롭게 제공된 동의가 아니라는 논리임

Elkjop의 답변과 민원 제기

  • Elkjop 측은 “마케팅/오퍼를 받기 위해서는 고객 클럽 회원인 것이 조건”이라는 취지로 답변함
  • 회원 입장에서는 권리 행사를 가입 조건으로 바꾼 구조가 문서로 남은 셈이 됨
  • 이후 회원은 여러 절차를 진행함
    • GDPR Article 18에 따른 처리 제한을 공식 요청함
    • Article 15에 따른 전체 주체 접근 요청을 보냄
    • 요청 범위에는 법적 근거, legitimate interest balancing test, 수신자, 하위 처리자, 국제 이전, 프로파일링 등이 포함됨
    • 스웨덴 감독기관 Integritetsskyddsmyndigheten(IMY)에 민원을 제기했고, 참조번호는 DI-2021-6660임
  • 회사는 모호한 개인정보 처리방침을 가리켰고, 이후 접근 요청 기한을 90일로 늘리며 “복잡성”과 “제한된 내부 자원”을 이유로 들었음

스웨덴 민원이 노르웨이 벌금으로 이어진 과정

  • 고객 클럽은 노르웨이 모회사 Elkjop Nordic AS가 운영했고, 처리 목적과 수단에 대한 실질적 의사결정 권한도 모회사에 있다고 판단됨
  • IMY는 2022년 9월 자신이 적절한 관할 기관이 아니라고 결정함
  • GDPR Article 56(1)의 원스톱숍 체계에서는 컨트롤러의 주요 사업장이 있는 국가의 감독기관이 관할함
    • 주요 사업장은 노르웨이에 있음
    • IMY는 조사와 민원을 노르웨이 DPA인 Datatilsynet에 넘김
    • Datatilsynet은 사건을 수락함
  • 이후 사건은 오랫동안 별다른 소식 없이 이어짐

Datatilsynet의 2026년 결정

  • 2026년 6월 1일 Datatilsynet은 Elkjop 그룹에 NOK 2,000만, 약 €180만이 조금 넘는 벌금을 부과함
  • 결정의 핵심은 2021년 민원에서 제기된 내용과 같았음
    • 고객 클럽 동의는 유효하지 않았음
    • 동의는 강제적이었음
    • 동의는 구체적이지 않았음
    • 회원들은 충분히 고지받지 못했음
  • Datatilsynet은 Elkjop이 고객 클럽을 통해 수집한 개인정보를 광고와 전환 추적에 추가로 사용했다고 봄
  • 개인정보를 다른 목적으로 재사용하기 전에 GDPR Article 6(4)가 요구하는 호환성 평가를 하지 않은 점도 문제가 됨
  • 결정은 Article 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f), 6(4)를 포함함
    • 전체 구조의 적법성, 공정성, 투명성, 책임성이 함께 다뤄짐

강제 동의와 pay-or-consent 문제

  • 강제 동의, pay-or-consent, 묶음 동의, “모두 동의하지 않으면 서비스를 사용할 수 없음” 모델은 디지털 경제의 많은 부분에서 기본 방식처럼 쓰이고 있음
  • 사용자가 거절할 때 원래 유지할 권리가 있는 것을 잃게 된다면, 그 동의는 자유로운 동의가 될 수 없다는 점이 핵심임
  • 5년과 7자리 벌금 이후, 이 논점은 공개된 결정으로 남게 됨

민원인 통지 의무와 후속 조치

  • 민원인은 IMY나 Datatilsynet이 아니라 자원봉사 기반 위키인 GDPRhub에서 어느 목요일 아침에 결정을 알게 됐다고 밝힘
  • GDPR Article 77(2)는 감독기관이 민원인에게 민원의 진행 상황과 결과를 알려야 한다고 규정함
    • 이는 재량이나 호의가 아니라 법적 의무임
    • 민원은 IMY에 제기됐고, IMY가 넘긴 사건은 수백만 유로 규모 집행으로 끝났지만 관련 기관 중 누구도 민원인에게 알리지 않았다는 문제임
  • 민원인은 IMY에 서면 설명을 요구했고, 답변 기한을 영업일 5일로 설정함
  • 답변이 예상한 수준이라면 European Union의 infringement procedure에 따라 문제를 제기하겠다고 밝힘
  • 규제 절차가 끝난 만큼 Elkjop 그룹을 상대로 한 민사소송도 남아 있으며, 개인정보의 추가 불법 처리 세부사항 때문에 소송 범위가 더 넓어질 것이라고 밝힘
  • Elkjop이 2021년에 문제 제기를 받아들였다면 벌금, 위법 처리, 브랜드 손상, 후속 소송을 피할 수 있었음

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 이 일이 결국 잘 풀려서 다행이고, 디스토피아가 심해질수록 더 많은 사람이 이렇게 살았으면 함
    특히 미국에서는 권리를 행사하거나 서명해야 할 문서를 전부 읽기만 해도 이상하게 주변을 계속 짜증나게 만들고, 파장을 만들기 싫어서 아무 말 안 하거나 “뭐 괜찮겠지” 하고 넘기는 사람들보다 상당히 불리해짐

    • 새 병원에 갔더니 접수 과정에서 보험을 제대로 처리하려면 작은 디지털 패드에 “서명”하라고 했음
      내가 무엇에 서명하는지 종이 사본을 보여 달라고 했더니 찾지 못했고, 어째서인지 출력도 못 한다고 해서 결국 포기하고 손가락으로 대충 서명한 뒤 진료를 받았는데 정말 미칠 노릇임
    • 미국에서 아파트를 빌린 적이 있는데, 서류에 집주인이 나와 가족의 영상·사진·음성 녹음을 만들고 상업적 목적을 포함해 자기들 목적에 쓸 수 있다고 되어 있었음
      반대했지만, 나 하나 때문에 법무팀을 끌어들일 수는 없고 싫으면 나가도 된다는 태도였음
    • 나는 서명하는 계약서의 모든 줄을 읽는 사람이고, 이용약관개인정보 처리방침도 포함
      누가 그걸 불편해하는지 알 수 있어서 오히려 좋음. 악수는 해도 약속을 지킬 생각이 없는 사람이 누구인지 알려주기 때문임
      이 경험은 내가 이런 문서를 쓰는 방식도 바꿨고, 마지막으로 쓴 이용약관과 개인정보 처리방침은 각각 한숨에 읽을 수 있을 정도로 짧게 만들었음
    • 아내가 최근 출산했는데, 병원에 도착했을 때 진통 간격이 충분히 짧아서 입원 대상이었음
      그런데 병원은 아내에게 10쪽가량의 동의서를 서명하라고 내밀었고, 그걸 읽는 사람이 있을 거라고는 상상하기 어려움
      그렇다고 그 서류 때문에 입원을 거부할 거라고도 상상하기 어려움
    • 맞음. 이 스레드 안에서도 자기 권리를 안다는 이유만으로 “이 고객은 평생 금지하겠다”고 하는 사람이 보여서 특히 씁쓸함
      스스로를 애국자라고 여기는 미국인들 사이에서도 이런 문화가 널리 퍼진 건 한심함
      이 나라는 반란과 권리 주장 위에 세워졌는데, 어쩌다 지금은 많은 시민에게 정반대가 이상이 된 것 같음

  • 실제 결정문(노르웨이어): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    블로그 글이 다루는 개요와 5.1절의 기계번역본(다른 내용도 일부 포함): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    나중에 보니 공식 영어 결정문도 있었음: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • “마케팅/오퍼를 받으려면 고객 클럽 회원이어야 한다”는 문장만 보면 이해가 잘 안 됨
    “고객 클럽 회원이 되려면 마케팅/오퍼 수신이 조건”이라면 별개의 문제겠지만, 위 문장은 오히려 마케팅 수신을 하려면 클럽 가입이 필요하다는 뜻처럼 보임
    번역이나 표현 과정에서 뭔가 뒤바뀐 것 같음

    • 번역 문제임. 노르웨이어 원문은 로열티 클럽에 가입하려면 마케팅 활동 수락이 필요하다는 뜻이었는데, 기계번역이 자연스러운 영어 구조로 바꾸지 않고 문자 그대로 옮긴 것임
    • 맞음, 거꾸로 된 것처럼 들리고 “고객 클럽 회원이 되려면 마케팅/오퍼를 받아야 한다”가 맞을 듯함
    • 여기서 “마케팅/오퍼”는 할인 혜택을 뜻하는 것 같음
      할인이나 특별 행사를 받으려면 클럽 회원이어야 하고, 클럽 회원이면 이메일 수신에 동의해야 하며, EU 법상으로는 어쨌든 모든 할인에 접근할 권리가 있다는 식인 듯함
    • 나도 이해가 안 됨. 회원 자격이 수신의 조건이라는 건, 내 이해로는 비회원은 아무것도 받을 수 없거나 받아서는 안 된다는 뜻일 뿐이고, 회원이 반드시 뭔가를 받아야 한다는 뜻은 아님
      이 자체는 완전히 정상적이고 합리적으로 들림
    • 독일어권 언어에서 온 번역 오류처럼 들렸음
      예를 들면 “오퍼를 받는 것은… 가입되어 있기 위한 조건이다” 같은 구조임

  • 5년이라니 완전 농담 같음. 민주주의와 법치는 더 이상 존재하지 않는 듯함
    정치인들은 더 부자가 되고, 아무도 맞서지 않으며, 직위를 가족에게 넘기고, 세금은 계속 오르는데 서비스는 계속 나빠짐
    한편으로는 유럽과 서구 민주주의의 파괴를 진행 중에 직접 볼 수 있다는 점이 흥미롭기도 함
    로마 제국 말기에 이런 고통스러운 하강이 벌어졌을 것 같고, 지금은 유럽/미국 제국의 끝을 보는 중인 듯함

  • EU 회사들이 면접 전에 후보자에게 반개인정보 보호 정책에 동의하라고 강요하는 문제도 있음. 헷갈리게도 이름은 “개인정보 처리방침”이라고 붙어 있음
    그 정책에는 회사와 제3자, 사실상 누구에게나 음성과 이미지를 포함한 데이터를 어떤 목적으로든 사용할 권한을 준다고 되어 있음
    물론 일반인이 이해하기 어렵게 살짝 모호한 표현으로 적어 둠
    이런 경우에도 비슷한 조치가 있었는지 궁금함

    • 개인적으로 그런 일을 겪어보진 않았지만, 지역 개인정보 보호 당국에 민원을 넣을 수 있음
      그런 문구는 준수 요건을 충족하기 어려울 가능성이 큼
      효과를 극대화하려면 해당 회사에 GDPR 제15조 열람 요청을 해서 실제 데이터 수신자 목록을 받고, 반드시 그 항목을 구체적으로 요구한 다음, 그 회사들 모두에게 다시 요청을 보내면 됨
      그러면 추가 민원을 낼 여지가 생김. 예를 들어 왜 제14조 정보를 보내지 않았는지, 원래 법적 근거가 동의였고 자유롭게 제공된 동의가 아니라면 그 법적 근거가 실제로 적절한지 등을 따질 수 있음
    • 최근 어떤 EU 회사가 https://www.crosschq.com/를 쓰는 걸 보고 좀 거슬렸음

  • 이 사람의 입장은 이해하지만, 사건을 자기에게 유리하게 판단한 법적 기관을 다시 고소했다는 점은 여전히 웃김

    • 무슨 뜻인지 모르겠음. 문제의 회사를 고소할 계획이고, 아마 스웨덴 개인정보 보호 당국을 상대로 민원을 넣을 수도 있다는 얘기로 들림
      사건을 자기에게 유리하게 판단한 곳은 노르웨이 개인정보 보호 당국
    • 노르웨이 개인정보 보호 당국인 Datatilsynet의 보고서를 보면 배경으로 “여러 건의 신고와 제보”를 인용함
      아마 IMY가 이 사안이 자기 권한 밖이라고 판단해 Datatilsynet에 민원을 넘겼고, 사건을 닫은 뒤 Hanff에게 알리는 걸 잊었거나 Datatilsynet에서 아무 응답도 받지 못했을 가능성이 있음
    • 그가 GDPR 제정에 영향을 줬고, 나머지 대중은 전반적으로 무력감을 느끼며, 담당 기관도 일을 제대로 못 하는 상황이라면 결국 책임을 묻는 사람은 그뿐일지도 모름

  • 원문 인용: 며칠 뒤 받은 답변은 위반 사실을 기록으로 남겨주는 친절한 역할을 했다. 그들의 입장은 자기들 말로 “마케팅/오퍼를 받으려면 고객 클럽 회원이어야 한다”였음
    이게 어떻게 “클럽 회원이면 반드시 마케팅/오퍼를 받아야 한다”는 뜻이 되는지 모르겠음
    그냥 “회원만 마케팅/오퍼를 받는다”는 말로 보임

  • 노르웨이 개인정보 보호 당국인 Datatilsynet은 내 경험상 꾸준히 사용자를 염두에 둠
    시스템을 통과하는 데 시간이 오래 걸리는 건 아쉽지만, 일관되게 좋은 결정을 내리는 편임

  • 이미지는 나한테 로드되지 않고, 생성에 사용된 프롬프트만 보이는데 솔직히 그쪽이 더 낫다

    • 내 쪽에서는 이미지와 프롬프트가 보였지만 페이지 전체에 스타일이 적용되지 않았음
      방금 새로고침하니 CSS도 로드됐고 프롬프트는 더 이상 보이지 않음
      아마 웹 서버가 일시적으로 트래픽에 압도돼서 어떤 방문자에게는 이미지가, 어떤 방문자에게는 CSS 파일이 일관되게 제공되지 않았던 것 같음
    • 프롬프트가 아니라 화면 읽기 프로그램용 접근성 설명일 수도 있지 않나?
    • 모델에 “광각 영화 스틸” 스타일로 생성하라고 지시했는데, 결과는 그림 쪽으로 간 것 같아서 살짝 웃김

  • Elkjøp에 실제로 벌금을 부과했다는 점은 아주 멋지고 당연한 일이지만, 당사자에게 계속 알려주지 않았다는 건 꽤 놀라움

    • 나에게 알릴 책임은 그들에게 있던 게 아니라, 스웨덴 규제기관 IMY에 있었음
답변달기