강제 동의 문제 제기 5년 뒤, Elkjop에 €180만 벌금 부과

• Elkjop 그룹의 Nordic 고객 클럽은 마케팅 이메일을 끄려면 회원 탈퇴를 요구했고, 한 회원이 2021년 이를 GDPR·ePrivacy 위반으로 문제 삼음
• 쟁점은 고객 클럽 혜택을 포기해야만 직접 마케팅을 거부할 수 있는 구조가 자유로운 동의 요건을 충족하는지였음
• 스웨덴 감독기관 IMY는 사건을 노르웨이 모회사 관할로 넘겼고, Datatilsynet은 2026년 6월 1일 NOK 2,000만, 약 €180만이 조금 넘는 벌금을 부과함
• Datatilsynet은 동의가 강제적이고 구체적이지 않으며 충분히 고지되지 않았고, 수집한 개인정보를 광고와 전환 추적에 재사용하면서 GDPR Article 6(4)의 호환성 평가도 하지 않았다고 판단함
• 민원인은 감독기관이 결정 통지를 하지 않아 GDPRhub에서 결과를 알게 됐다며, IMY에 설명을 요구하고 EU infringement procedure와 Elkjop 대상 민사소송을 예고함

마케팅 수신 거부가 회원 탈퇴로 이어진 구조

• 2021년 여름, 한 Elgiganten Kundklubb 회원은 Elkjop 그룹이 Nordics 전역에서 운영하는 고객 클럽에서 마케팅 이메일을 끄는 방법을 찾음
• 실제로는 마케팅 중단을 위해 고객 클럽 멤버십 자체를 취소해야 하는 방식이었음
• 회원은 7월 30일 Data Protection Officer에게 이 방식이 법을 위반한다고 알림
  • GDPR Article 21(2)는 모든 사람에게 직접 마케팅에 대한 절대적 반대권을 부여함
  • ePrivacy Directive상 이메일 마케팅은 동의가 있거나 기존 고객 관계가 있고, 정보 수집 시점과 이후 모든 메시지에서 간단한 옵트아웃을 제공해야 적법함
  • GDPR Article 4(11)과 Article 7에 따르면 동의는 자유롭게 제공되어야 하며, 다른 조건에 묶이거나 필수 조건이 될 수 없음
• 고객 클럽 혜택을 포기해야만 이미 가진 권리를 행사할 수 있다면, 그 동의는 자유롭게 제공된 동의가 아니라는 논리임

Elkjop의 답변과 민원 제기

• Elkjop 측은 “마케팅/오퍼를 받기 위해서는 고객 클럽 회원인 것이 조건”이라는 취지로 답변함
• 회원 입장에서는 권리 행사를 가입 조건으로 바꾼 구조가 문서로 남은 셈이 됨
• 이후 회원은 여러 절차를 진행함
  • GDPR Article 18에 따른 처리 제한을 공식 요청함
  • Article 15에 따른 전체 주체 접근 요청을 보냄
  • 요청 범위에는 법적 근거, legitimate interest balancing test, 수신자, 하위 처리자, 국제 이전, 프로파일링 등이 포함됨
  • 스웨덴 감독기관 Integritetsskyddsmyndigheten(IMY)에 민원을 제기했고, 참조번호는 DI-2021-6660임
• 회사는 모호한 개인정보 처리방침을 가리켰고, 이후 접근 요청 기한을 90일로 늘리며 “복잡성”과 “제한된 내부 자원”을 이유로 들었음

스웨덴 민원이 노르웨이 벌금으로 이어진 과정

• 고객 클럽은 노르웨이 모회사 Elkjop Nordic AS가 운영했고, 처리 목적과 수단에 대한 실질적 의사결정 권한도 모회사에 있다고 판단됨
• IMY는 2022년 9월 자신이 적절한 관할 기관이 아니라고 결정함
• GDPR Article 56(1)의 원스톱숍 체계에서는 컨트롤러의 주요 사업장이 있는 국가의 감독기관이 관할함
  • 주요 사업장은 노르웨이에 있음
  • IMY는 조사와 민원을 노르웨이 DPA인 Datatilsynet에 넘김
  • Datatilsynet은 사건을 수락함
• 이후 사건은 오랫동안 별다른 소식 없이 이어짐

Datatilsynet의 2026년 결정

• 2026년 6월 1일 Datatilsynet은 Elkjop 그룹에 NOK 2,000만, 약 €180만이 조금 넘는 벌금을 부과함
• 결정의 핵심은 2021년 민원에서 제기된 내용과 같았음
  • 고객 클럽 동의는 유효하지 않았음
  • 동의는 강제적이었음
  • 동의는 구체적이지 않았음
  • 회원들은 충분히 고지받지 못했음
• Datatilsynet은 Elkjop이 고객 클럽을 통해 수집한 개인정보를 광고와 전환 추적에 추가로 사용했다고 봄
• 개인정보를 다른 목적으로 재사용하기 전에 GDPR Article 6(4)가 요구하는 호환성 평가를 하지 않은 점도 문제가 됨
• 결정은 Article 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f), 6(4)를 포함함
  • 전체 구조의 적법성, 공정성, 투명성, 책임성이 함께 다뤄짐

강제 동의와 pay-or-consent 문제

• 강제 동의, pay-or-consent, 묶음 동의, “모두 동의하지 않으면 서비스를 사용할 수 없음” 모델은 디지털 경제의 많은 부분에서 기본 방식처럼 쓰이고 있음
• 사용자가 거절할 때 원래 유지할 권리가 있는 것을 잃게 된다면, 그 동의는 자유로운 동의가 될 수 없다는 점이 핵심임
• 5년과 7자리 벌금 이후, 이 논점은 공개된 결정으로 남게 됨

민원인 통지 의무와 후속 조치

• 민원인은 IMY나 Datatilsynet이 아니라 자원봉사 기반 위키인 GDPRhub에서 어느 목요일 아침에 결정을 알게 됐다고 밝힘
• GDPR Article 77(2)는 감독기관이 민원인에게 민원의 진행 상황과 결과를 알려야 한다고 규정함
  • 이는 재량이나 호의가 아니라 법적 의무임
  • 민원은 IMY에 제기됐고, IMY가 넘긴 사건은 수백만 유로 규모 집행으로 끝났지만 관련 기관 중 누구도 민원인에게 알리지 않았다는 문제임
• 민원인은 IMY에 서면 설명을 요구했고, 답변 기한을 영업일 5일로 설정함
• 답변이 예상한 수준이라면 European Union의 infringement procedure에 따라 문제를 제기하겠다고 밝힘
• 규제 절차가 끝난 만큼 Elkjop 그룹을 상대로 한 민사소송도 남아 있으며, 개인정보의 추가 불법 처리 세부사항 때문에 소송 범위가 더 넓어질 것이라고 밝힘
• Elkjop이 2021년에 문제 제기를 받아들였다면 벌금, 위법 처리, 브랜드 손상, 후속 소송을 피할 수 있었음