피드로 돌아가기
강제 동의 문제 제기 5년 뒤, Elkjop에 €180만 벌금 부과
GeekNewsGeekNews
Security

강제 동의 문제 제기 5년 뒤, Elkjop에 €180만 벌금 부과

강제 동의 구조로 인한 GDPR 위반 및 €180만 벌금 부과 사례

neo2026년 6월 19일11intermediate

Context

Elkjop Nordic 고객 클럽의 마케팅 수신 거부 프로세스가 회원 탈퇴와 결합된 종속적 구조로 설계됨. 마케팅 옵트아웃을 위해 멤버십 혜택을 강제로 포기하게 만드는 설계로 인해 GDPR 및 ePrivacy Directive의 자유로운 동의 요건을 충족하지 못한 한계점이 발생함.

Technical Solution

  • 마케팅 수신 거부와 서비스 이용 권한을 분리한 독립적 옵트아웃 메커니즘 구현 필요
  • GDPR Article 4(11) 및 Article 7에 근거하여 동의 항목과 서비스 제공 조건을 상호 배제하도록 설계
  • 수집된 개인정보를 광고 및 전환 추적 등 목적 외로 재사용하기 전 GDPR Article 6(4)에 따른 호환성 평가 절차 수립
  • 정보 주체의 권리 행사를 위해 Article 15(접근 요청) 및 Article 18(처리 제한)을 처리하는 자동화된 워크플로우 구축
  • 투명성 확보를 위해 구체적이고 명확한 고지 사항을 포함한 개인정보 처리방침으로 인터페이스 개편

- [ ] 마케팅 수신 거부 시 서비스 이용에 제한이 발생하는 종속적 로직이 존재하는지 확인 - [ ] 데이터 수집 목적 외 재사용 시 Article 6(4) 기반의 호환성 평가 프로세스를 수행했는지 검토 - [ ] 개인정보 처리방침의 모호한 표현을 제거하고 구체적인 데이터 처리 목적을 명시했는지 점검 - [ ] 정보 주체의 접근 요청(SAR)에 대해 법정 기한 내에 응답 가능한 내부 처리 파이프라인 확보

원문 읽기