네덜란드 AP와 우버 과징금
2024년 8월, 네덜란드 AP는 우버에 2억 9천만 유로의 과징금을 부과했습니다. 우버는 EU 운전기사 데이터를 법적 근거 없이 미국 서버로 전송했습니다. 그 데이터에는 택시 면허, 범죄 경력 조회, 의료 기록, 이동 로그가 포함되어 있었습니다.
우버는 2020년 7월 Schrems II 판결로 EU-미국 Privacy Shield가 무효화된 이후에도 데이터 이전을 계속했습니다. 2년 동안 표준계약조항도, 제46조 도구도 없이 이전이 지속되었습니다.
이 과징금은 데이터 이전 위반에 대한 EU 역사상 최대 과징금입니다. 역대 모든 GDPR 과징금 중 세 번째로 큰 규모입니다. 이전 위반은 이제 막대한 비용을 수반합니다. 단순한 데이터 침해가 아닙니다.
빠른 개요는 GDPR 준수 가이드를 참조하십시오.
AP 집행 우선순위
네덜란드 AP는 2023년 21,400건 이상의 민원을 접수했습니다. 세 가지 분야에 집중합니다.
우선순위 1 — 직원 모니터링(사건의 43%): 네덜란드의 많은 기업이 직원 감시를 이유로 AP 과징금을 받았습니다. 통지 없는 은밀한 카메라, 대규모 이메일 확인, GPS 추적은 모두 조치 대상입니다. 네덜란드 노동법은 GDPR에 추가적인 규정을 부과합니다.
우선순위 2 — 국가 간 데이터 이전(사건의 31%): 우버 과징금과 아일랜드 DPC와의 Cloudflare 공동 조사(2023) 이후, AP는 이전 감독을 강화했습니다. 암스테르담의 기술 부문은 이 분야에서 높은 위험에 노출됩니다. 클라우드 기업, 핀테크, 고성장 스타트업 모두 해당됩니다.
우선순위 3 — 마케팅 및 프로파일링(사건의 26%): 쿠키 동의, 광고 타겟팅, 다이렉트 마케팅이 포함됩니다. AP는 "정당한 이익"에 대해 엄격한 입장을 취하며, 명확한 증거가 있는 서면 테스트를 요구합니다.
우버 이후 이전 규정
이전 영향 평가(TIA): EDPB는 제3국으로의 모든 이전에 TIA를 요구합니다. TIA는 목적지 국가가 EU 법률과 동등한 보호를 제공함을 증명해야 합니다. AP는 TIA가 네 가지 질문에 답해야 한다고 밝힙니다:
- 목적지 국가의 접근 법률은 무엇인가?
- 정보기관의 권한 범위는 어디까지인가?
- 데이터 수입자에 대한 정부 요청의 이력은 어떠한가?
- 정보주체가 활용할 수 있는 법적 구제 수단은 무엇인가?
표준계약조항만으로는 충분하지 않습니다: SCC 단독으로는 제46조를 충족하지 못합니다. TIA가 정부 접근 위험을 나타내는 경우, 추가 보호 수단이 필요합니다.
AP가 인정하는 추가 기술적 조치:
- 수입자가 복호화 키에 접근할 수 없는 암호화
- 이전 전 직접 식별자를 제거하여 수입자가 데이터를 개인과 연결할 수 없도록 하기
- 이전 전 데이터 최소화, 수입자가 필요로 하지 않는 필드 제거
오프라인 데스크톱 앱은 모든 작업을 기기에서 실행합니다. 외부로 데이터가 전송되지 않습니다. 이 방식은 해당 활동에 대한 이전 문제를 완전히 해소합니다. 보안 및 준수 개요를 참조하십시오.
직원 데이터와 네덜란드 노동법
직원 모니터링에 대한 AP의 43% 집중도는 GDPR과 네덜란드 노동법이 어떻게 겹치는지를 보여줍니다.
네덜란드 소재 조직에는 세 가지 규칙이 적용됩니다:
노동자위원회 승인: 노동자위원회가 있는 기업은 모든 모니터링 도구 도입 전에 승인을 받아야 합니다. 이는 AI 도구, 이메일 확인, 근태 시스템을 모두 포함합니다.
목적 적합성: 모니터링은 명시된 목적에 부합해야 합니다. 은밀한 모니터링은 허용되지 않습니다. 공개적 모니터링은 가장 덜 침해적인 옵션이어야 합니다.
목적 제한: 한 가지 목적으로 수집된 HR 데이터는 다른 목적으로 사용할 수 없습니다. 새로운 법적 근거가 필요합니다.
이 규정들은 세 가지 기록을 요구합니다: 위원회 승인, 목적 검토, 통제 수단. 준수 체크리스트에서 세 가지 모두를 다루고 있습니다.
네덜란드 개인정보 탐지
네덜란드의 개인정보 도구는 현지 ID 형식을 처리해야 합니다. 표준 글로벌 도구는 자주 이를 누락합니다:
- BSN(Burger Service Nummer): 9자리 네덜란드 국가 ID — 체크섬 검증 필요
- IBAN(NL 접두사): 자체 검증 로직이 있는 네덜란드 IBAN
- 우편번호(postcode): 형식은 4자리 + 공백 + 2문자
- DigiD: 정부 디지털 신원 코드
- 의료 번호: 환자 기록용 BGZ 및 EP 형식
일반 도구는 IBAN을 탐지하더라도 BSN 체크섬이나 우편번호 형식을 놓칠 수 있습니다. 국가 신원 데이터를 처리하기 전에 BSN 탐지를 테스트하십시오. 탐지 범위를 당연하게 여기지 마십시오.
네덜란드 조직을 위한 조치
1. 이전 감사: 제3국으로의 모든 데이터 흐름을 목록화하십시오. 기존 SCC를 검토하고, 핵심 흐름에 대해 TIA를 실시하십시오. TIA가 위험을 나타내는 경우 추가 기술적 조치를 기록하십시오.
2. 직원 모니터링 검토: AI를 포함한 모든 모니터링 도구를 목록화하십시오. 노동자위원회 승인 기록을 확인하고, 목적 검토가 서면으로 존재하는지 확인하십시오.
3. 개인정보 탐지 범위 확인: 개인정보 도구에서 BSN, 우편번호, IBAN 탐지를 테스트하십시오. 네덜란드어 문서에 대한 정확도를 테스트하십시오.
4. 기술 부문 노출: 스타트업은 이전 위험을 줄이는 선택 사항을 기록해야 합니다 — EU 리전 클라우드 및 로컬 처리 옵션. EU-미국 설정을 가진 클라우드 제공업체는 이전 도구와 TIA 접근 방식을 문서화해야 합니다.
anonym.legal는 제로 지식 설계가 적용된 EU 기반 Hetzner 데이터센터를 사용합니다. 서버는 일반 텍스트 콘텐츠를 볼 수 없습니다. 서버가 완전히 침해되더라도 AES-256-GCM 암호문만 노출됩니다. 로컬 전용 처리가 필요하십니까? 데스크톱 앱은 외부 연결 없이 기기에서 완전히 실행됩니다.
출처
- 네덜란드 AP: Autoriteit Persoonsgegevens 공식 사이트 — VERIFIED-EXTERNAL
- 네덜란드 AP: 우버 집행 결정(2024년 8월) — VERIFIED-EXTERNAL
- EDPB: 이전 보완 조치에 관한 권고사항 01/2020 — VERIFIED-EXTERNAL