메타의 WhatsApp, GDPR 위반으로 €5.5 백만 벌금 부과

아일랜드 데이터 보호 위원회(“DPC”)는 목요일 메타 소속의 WhatsApp Ireland에 대해 아일랜드에서의 서비스와 관련하여 유럽연합의 일반 데이터 보호 규정(GDPR)을 위반한 혐의로 €5.5 백만(미화 600만 달러)의 벌금을 부과했습니다.

벌금 외에도 아일랜드 DPC는 소셜 미디어 거대 기업에게 데이터 처리 작업을 GDPR 규정에 맞추기 위해 6개월의 기간을 부여했으며, 그렇지 않을 경우 추가 조치를 취할 것이라고 밝혔습니다.

DPC의 최근 벌금 부과는 메타에게 큰 타격이 되었으며, 메타는 최근 Instagram과 Facebook의 다른 자회사들이 GDPR 규정을 위반한 혐의로 같은 기관에 의해 3억 9천만 유로의 벌금을 부과받았습니다.

WhatsApp에 관한 DPC의 결정은 2018년 5월 25일 독일 데이터 주체가 WhatsApp 서비스에 대해 제기한 불만에 대한 조사 결과입니다.

불만 제기자는 GDPR이 2018년에 발효되었을 때 사용자가 서비스에 접근하기 위해 새로운 ‘계약’ 조건을 수락해야 한다는 WhatsApp의 새로운 규칙에 이의를 제기했습니다.

플랫폼의 업데이트된 서비스 약관에 따르면, GDPR 도입 이후 WhatsApp 서비스에 계속 접근하고자 하는 사용자는 업데이트된 서비스 약관을 선택해야 했습니다. 만약 사용자가 조건을 거부할 경우, 그들의 서비스는 접근할 수 없게 됩니다.

다시 말해, WhatsApp은 사용자가 서비스를 계속 사용하고자 할 경우 데이터 처리에 동의하도록 사실상 강요하고 있었으며, 불만 제기자는 이것이 GDPR을 위반한 것이라고 주장했습니다. 불만 제기자는 사용자가 처리되는 데이터에 대한 선택권을 가져야 한다고 믿었습니다.

DPC의 종합적인 조사 결과, 감시 기관은 WhatsApp이 데이터 처리 및 그 목적에 대해 충분한 명확성을 제공하지 않았기 때문에 “투명성 관련 의무를 위반했다”고 판단했습니다.

DPC는 WhatsApp Ireland가 실제로 사용자의 동의를 데이터 개인 정보 처리의 합법적 근거로 삼지 않았다고 밝혔습니다.

WhatsApp Ireland는 “서비스 개선 및 보안 목적을 위한 개인 데이터 처리의 합법적 근거로 계약 법적 근거에 의존할 수 없다”고 덧붙이며, 서비스의 데이터 처리에 대한 법적 근거가 EU 법을 위반하고 있다고 말했습니다.

DPC가 2023년 1월 12일에 채택한 벌금의 최종 결정은 12월 초 유럽 데이터 보호 위원회(EDPB)의 세 가지 구속력 있는 결정에 따른 것입니다.

벌금 외에도 EDPB는 DPC에게 다음 사항에 대한 새로운 조사를 수행하도록 지시했습니다:

“WhatsApp IE의 서비스에서의 처리 작업을 조사하여 특별 범주의 개인 데이터를 처리하는지(제9조 GDPR), 행동 광고, 마케팅 목적을 위한 데이터 처리, 제3자에게 메트릭 제공 및 서비스 개선을 위한 제휴 회사와의 데이터 교환을 위한 데이터 처리 여부를 확인하고, GDPR에 따른 관련 의무를 준수하는지 여부를 확인합니다.”

목요일 DPC의 결정에 대한 응답으로 메타는 이 결정에 항소할 것이며 이를 뒤집기 위해 노력할 것이라고 밝혔습니다.

“우리는 서비스 운영 방식이 기술적으로나 법적으로 준수하고 있다고 강하게 믿습니다. 우리는 서비스 개선 및 보안 목적을 위한 계약적 필요에 의존하고 있으며, 사람들을 안전하게 지키고 혁신적인 제품을 제공하는 것이 서비스 운영의 기본 책임이라고 믿습니다.”라고 WhatsApp 대변인이 말했습니다.

“우리는 이 결정에 동의하지 않으며, 항소할 계획입니다.”