The European Union has implemented the 1995 Personal Information Protection Directive, which has been in effect since 1995. However, due to the development of the Internet and the diversification of collected personal information processing, the General Data Protection Regulation (GDPR) was enacted in June 2016 and implemented in May 2018. The GDPR imposes a fine up to the greater of 4% of global annual turnover or €20 million, whichever is greater, or 2% of global annual turnover or €10 million, whichever is greater, depending on the violation. Accordingly, Korean companies entering the EU had difficulties in preparing for GDPR due to GDPR, which is different from Korean personal information-related laws. Therefore, in this study, we analyze fines for violations of GDPR, investigate cases of fines imposed for violations of Korea's personal information-related laws, and find out how much fines can be imposed when applied to cases of GDPR fines, and the implications of this derived.
As a result of analyzing 233 cases of fines for violating the GDPR over the two years since the enforcement on May 25, 2018, the total fine was 456,721,456 euros. Violation clauses were found to be the most violated in the order of Article 6, Article 32, and Article 5 of the GDPR. A total of 26 countries have imposed fines for violating the GDPR. Spain, Romania, Hungary, Bulgaria and Germany had the highest number in that order.
The amount of fines for violating the GDPR in Spain is 2,263,270 euros, and the number of fines is 70. It was found to be the country that imposed the most fines in the two years since the implementation of the GDPR. Of the total 97 violations, 88 serious violations and 9 general violations resulted in intensive fines for serious violations. In the case of Spain, it was found that the judgment was stipulated in detail about the procedure for imposing a fine.
The amount of fines imposed by Romania for violations of the GDPR is 480,650 euros, and the number of fines is 25. It was found to be the second largest fine in two years since the implementation of the GDPR. Of the 44 violations, 27 were serious and 17 were general.
The amount of fines imposed by Hungary for violations of GDPR was 198,191 euros, and the number of fines was 18, which was the third largest fine in Spain and Romania in two years after the implementation of the GDPR. Of the total 46 violations, 38 were serious violations, and 8 were general violations.
The amount of fines imposed by Bulgaria for violations of the GDPR is 3,203,749 euros, and the number of fines is 16. It was the fourth largest fine in two years after the implementation of the GDPR. The Bulgarian supervisory authority can impose fines and administrative measures, but it has no enforcement powers, so it was confirmed that the enforcement of sanctions was carried out through a separate administrative procedure in accordance with the Bulgarian Administrative Infringement and Punishment Act. In Bulgaria, 16 serious violations out of 20 violations were found, and 4 general violations were intensively imposed on serious violations.
The amount of fines imposed in Germany is 14,935,236 euros, and the number of fines imposed is 13. In the two years since the implementation of the GDPR, the EU imposed the fifth largest fine among EU countries. In Germany, in some cases, the subject of the fine was imposed directly by the German supervisory body, the BfDI, but in most cases, there are cases in which the supervisory body of each State imposed a fines.
Similarly, in Korea, a total of 12 cases were identified in which fines were imposed for violations of personal information-related laws in Korea during the two years of implementation of the GDPR. Comparing all 12 cases with GDPR, it can be seen that Articles 5 and 32 are related to insufficient technical measures. In addition to insufficient technical measures, the fines imposed in Korea include restrictions on resident registration processing, processing of personal information according to business entrustment, and cases of non-destruction of personal information. do. In addition, the details of the fines imposed by Korean companies in Korea are in the Information Protection and Personal Information Protection Management System (ISMS-P). If so, it is expected that the risk to GDPR can be reduced when entering the EU.
In order to apply the Korean personal information violation fines to the GDPR fines, in Article 83 of the GDPR (General Conditions for Imposition of Administrative fines) (1), Paragraphs a) to k) of the GDPR Article 5 (1) f ), cases of violations of Articles 32 and 25 were identified and applied. Article 25 is data protection by design and by default, and through the basic setting, appropriate technical and administrative protection measures are implemented so that personal information can be processed within the scope necessary for the purpose of processing. In Article 83 (1) d), the standard for imposing fines and fines, the degree of responsibility of the controller or processor in consideration of the technical and administrative measures implemented by the controller or processor through Articles 25 and 32 is specified and included in this application.
If the GDPR standard is applied by applying this to the Korean personal information fines case, it was judged that the result would be different from the amount imposed in Korea.
As a result, when 12 cases of fines for violation of personal information in Korea were applied to each country, Spain and Romania imposed more fines than Korea in 7 out of 12 cases, and Hungary in 5 cases. In particular, Bulgaria and Germany impose higher fines than Korea in all 12 cases, so if Korean companies doing business in Bulgari and Germany are subject to GDPR, special attention is required to comply with GDPR. In the case of Korea, for the imposition of fines, the focus has been on the difference in fines imposed by Korean companies for violating the GDPR when entering the EU, as most of the violations of the standards (technical and administrative protection measures) for the safety of personal information so far have been fines. In Korea, comparative analysis was conducted only for violations of Article 5 (1) f), Article 25, and Article 32 of the GDPR based on the violation of technical measures, which is the main reason for the imposition of fines in Korea. Principle), Article 6 (Legality of processing), Article 13 (Information provided when personal information is collected from information subjects), management violation of whether personal information was collected and legally collected, insufficient management of image information processing equipment He also imposed large fines. In the case of Korea, administrative violations and image data processing equipment are partly included in the fines, so for Korean companies entering the EU, not only technical measures, which are the standards for Korean fines, but also administrative protection measures and management of image data processing equipment are covered under the Personal Information Protection Act. and GDPR standards, compliance verification is required.
This study examines cases of fines imposed for violation of GDPR over the two years of implementation of GDPR compared to studies comparing the legal difference between the Personal Information Protection Act and GDPR, and applies the cases of fines imposed for violating the Personal Information Protection Act in Korea to GDPR. It has significance as a new attempt to confirm the minimum and maximum values ​​that can be charged.
However, although an analysis tool (MAXQDA) that helps coding 233 GDPR fines sentences was used in the qualitative research method, the subjectivity of the researcher is likely to be involved due to the nature of qualitative research. The limitation is that there may be other differences in the analysis results if analyzed.
In a future study, we will identify and analyze the industries of companies subject to a GDPR fines, and compare and analyze the industries of companies that have been subject to fines for violating the Korea Revised Personal Information Protection Act with respect to the GDPR provisions and the amount of fines that are mainly violated only in specific industries. If it proceeds, it seems that weak clauses and causal relationships can be identified depending on the industry.

유럽연합은 1995년부터 시행한 ‘1995년 개인정보보호지침’을 시행 해 왔으나 인터넷의 발달과 수집된 개인정보 처리의 다양화로 2016년 6월 일반개인정보보호법 (General Data Protection Regulation)인 “GDPR”을 제정하고 2018년 5월 시행하였다. GDPR은 위반 조항에 따라 전 세계 연간 매출액 4% 또는 2천만 유로 중 더 큰 금액을 상한으로 하는 과징금 또는 전 세계 연간 매출액 2% 또는 1천만 유로 중 더 큰 금액을 상한으로 하는 과징금을 부과한다. 이에 EU에 진출한 국내 기업들은 국내 개인정보 관련 법률과 상이한 부분이 있는 GDPR로 인해 GDPR 대비에 어려움을 겪었다. 이에 본 연구에서 GDPR위반에 대한 과징금을 분석하고, 국내 개인정보 관련 법률 위반으로 인해 과징금을 부과 받은 사례를 조사하여 이를 GDPR 과징금 사례에 적용하면 얼마만큼의 과징금을 부과 받을 수 있는지 알아보고 이에 따른 시사점을 도출하였다.
2018년 5월 25일 시행 이후 2년간 GDPR 위반 과징금 사례 중 233개를 분석한 결과, 총 과징금은 456,721,456 유로로 나타났고, 위반 조항은 GDPR 제6조, 제32조, 제5조 순으로 가장 많이 위반한 것으로 나타났다. GDPR 위반으로 과징금을 부과한 국가는 총 26개 국가이며 그 중에 스페인, 루마니아, 헝가리, 불가리아, 독일 순으로 가장 많은 것으로 나타났다.
스페인 감독기구에서 부과한 GDPR 위반 과징금 액수는 2,263,270 유로이며, 과징금 부과 건수는 70건으로 GDPR 시행 이후 2년간 가장 많은 과징금을 부과한 국가로 나타났다. 전체 위반 조항 97개 중 심각한 위반은 88개, 일반 위반은 9개에 그쳐 심각한 위반 조항에 대해 집중적으로 과징금을 부과 하였다. 스페인의 경우 판결문에 과징금 부과 절차를 자세히 명시하고 있는 것으로 나타났다.
루마니아 감독기구에서 부과한 GDPR 위반 과징금 액수는 480,650 유로이며, 과징금 부과 건수는 25건으로 GDPR 시행 이후 2년간 두 번째로 많은 과징금을 부과 받은 것으로 나타났다. 전체 위반조항 44개 중 심각한 위반은 27개 조항이었으며 일반 조항은 17개로 확인 되었다.
헝가리 감독기구에서 부과한 GDPR 위반 과징금 액수는 198,191 유로이며, 과징금 부과 건수는 18건으로 스페인, 루마니아에 이허 GDPR 시행 이후 2년간 세 번째로 많은 과징금을 부과 받은 것으로 나타났다. 전체 위반조항 46개 중 심각한 위반은 38개 조항이며, 일반 위반은 8개로 확인 되었다.
불가리아 감독기구에서 부과한 GDPR 위반 과징금 액수는 3,203,749 유로이며, 과징금 부과 건수는 16건으로 GDPR 시행 이후 2년간 네 번째로 많은 과징금을 부과 받았다. 불가리아 감독기구는 과징금과 행정조치를 부과할 수 있지만 집행 권한은 없어 제재의 집행은 불가리아 행정 침해 및 처벌법에 따라 별도 행정절차를 통해 이루어지는 것으로 확인 되었다. 불가리아도 전체 위반 조항 20개 중 심각한 위반은 16개로 나타났고, 일반 위반은 4개로 심각한 조항에 대해 집중적으로 부과함을 알 수 있었다.
독일 감독기구에서 부과한 과징금 액수는 14,935,236 유로이며, 과징금 부과 건 수는 13건으로 GDPR 시행 이후 2년간 EU국가 중에서 다섯 번째로 많은 과징금을 부과 하였다. 독일은 과징금 부과 대상이 독일 감독기구인 BfDI에서 직접 부과한 건도 있지만, 대부분의 사례에서 각 주(州)의 감독기구에서 부과한 사례도 존재한다.
우리나라도 동일하게 GDPR 시행 2년간 국내에서 개인정보 관련 법률 위반으로 과징금을 부과 받은 사례는 총 12건으로 확인 되었다. 12건 모두 GDPR 과 비교하면 기술적 조치 미흡과 관련된 제5조, 제32조 관련된 것으로 볼 수 있었다. 국내에서 부과한 과태료 사례에는 기술적 조치 미흡 외에도 주민등록 처리 제한, 업무 위탁에 따른 개인정보 처리, 개인정보 미파기 사례 등이 있어 이러한 내용까지 GDPR을 반영하여 과징금을 부과 받게 된다면 과징금 액수는 상당할 것으로 예상된다. 또한 국내 기업이 국내에서 부과 받은 과징금 내용은 정보보호 및 개인정보보호 관리 체계(ISMS-P)에 있는 내용으로 국내 기업이 인증의무 대상자가 아니더라도 해당 지표에 맞게 정보보호 및 개인정보보호를 위한 활동을 한다면 EU진출 시 GDPR에 대한 리스크를 경감할 수 있을 것으로 예상된다.
국내 개인정보 위반 과징금 사례를 GDPR 과징금에 적용하기 위해 GDPR 제83조(행정 과징금 부과에 관한 일반조건) (1)의 a)항부터 k)항 내용에 각 국가별로 GDPR 제5조 (1) f), 제32조와 제25조 위반 사례를 확인하여 이를 적용하였다. 제25조는 설계 및 기본 설정에 의한 개인정보보호(Data protection by design and by default)로 기본 설정을 통해 처리목적에 필요한 범위 내에서 개인정보가 처리될 수 있도록 적절한 기술적·관리적 보호조치를 이행한다는 점과 과징금 부과 기준인 제83조 (1) d)에서 제25조와 제32조를 통한 컨트롤러 또는 프로세서가 이행한 기술 및 관리적 대책을 고려한 컨트롤러 또는 프로세서의 책임의 정도로 명시되어 있어 본 적용에 포함시켰다.
국내 개인정보 과징금 사례에 이를 적용하여 GDPR 기준을 적용한다면, 국내에서 과징금을 부과 받은 액수와 상이한 결과가 나올 것으로 판단하였다.
확인 결과, 국내 개인정보 위반 과징금 12개 사례를 각 국가별로 적용해 보니 스페인, 루마니아는 12개 사례 중 7개 사례에서 국내보다 과징금을 더 부과하였고, 헝가리는 5개 사례로 나타났다. 특히 불가리아와 독일은 12개 사례 모두 국내보다 과징금을 더 많이 부과하는 것으로 나타나 불가리와 독일에서 비즈니스를 하는 국내 기업이 GDPR을 적용 받는다면, GDPR 준수에 각별한 주의가 필요할 것으로 보인다. 우리나라의 경우 과징금 부과에 대해 지금까지 주로 개인정보의 안전성 확보조치 기준(기술적·관리적 보호조치)에 대해 위반 내용이 과징금으로 주를 이루어 국내 기업이 EU 진출 시 GDPR 위반으로 부과된 과징금 차이점에 대해 초점을 두어 우리나라에서 과징금 주요 부과 사유인 기술적 조치 위반을 기준으로 GDPR 제5조 (1) f), 제25조, 제32조 위반에 대해서만 비교 분석을 진행하였으나, GDPR은 제5조(개인정보 처리 원칙), 제6조(처리의 적법성), 제13조(개인정보가 정보주체로부터 수집되는 경우 제공되는 정보)와 같이 개인정보 수집과 적법하게 수집되었는지에 대한 관리적 위반, 영상정보처리기기 관리 미흡에 대해서도 많은 과징금을 부과하였다. 국내의 경우 관리적 위반 내용과 영상정보처리기기는 과태료에 일부 포함되어 있어 EU에 진출하는 국내 기업의 경우 국내 과징금 부과 기준인 기술적 조치뿐만 아니라 관리적 보호조치와 영상정보처리기기에 대한 관리도 개인정보보호법과 GDPR 기준으로 준수 확인이 필요하다.
본 연구는 기존에 진행된 개인정보보호법과 GDPR의 법률적 차이를 비교하는 연구에 비해 GDPR 시행 2년간 GDPR 위반 과징금 부과 사례를 살펴보고 국내에서 개인정보보호법 위반으로 부과 받은 과징금 사례를 GDPR에 적용하여 실제 부과 받을 수 있는 최소 값과 최대 값을 확인한 새로운 시도에 의의를 갖는다.
그러나 233개의 GDPR 과징금 부과 판결문을 질적연구 방법에서 코딩을 도와주는 분석 툴(MAXQDA)을 사용하였으나 질적연구의 특성상 연구자의 주관이 개입될 가능성이 있어 질적연구를 위한 분석 툴보다 텍스트 마이닝 같은 기술을 통해 분석한다면 분석결과에 다른 차이가 있을 수 있다는 점은 한계점이다.
향후 연구에서는 GDPR 과징금 부과 받은 기업에 대한 업종을 확인 및 분석하여 특정 업종에서만 주로 위반하는 GDPR 조항과 과징금 부과 액수에 대해 국내 개정 개인정보보호법 위반으로 과징금을 부과 받은 회사의 업종을 확인하여 비교 분석을 진행한다면, 업종에 따라 취약한 조항 및 인과관계를 파악할 수 있을 것으로 보인다.

• 차 례
• 1. 서론 1
• 1.1. 연구의 배경 1
• 1.2. 논문의 구성 3
• 2. 이론적 배경 6
• 2.1. 선행연구 6
• 2.1.1. GDPR 일반 연구 6
• 2.1.2. 국내-GDPR 비교 연구 15
• 2.1.3. 국내 개인정보 관련법의 과징금 및 과태료 연구 19
• 2.1.4. GDPR 과징금 관련 연구 24
• 2.2. 개인정보 관련법 과징금/과태료 사항 31
• 2.2.1. 국내 관련법 과징금/과태료 31
• 2.2.2. GDPR 과징금 (Administrative Fines) 34
• 3. 연구문제 및 연구방법 36
• 3.1. 연구문제의 설계 36
• 3.2. 연구 설계 및 절차 38
• 3.2.1. 분석 대상 선정 및 자료의 수집 38
• 3.3.3. 자료의 분석 39
• 4. 연구 결과 42
• 4.1. GDPR 위반 과징금(Fines) 42
• 4.1.1. 주요 위반 GDPR 조항 및 위반 요인 45
• 4.2. 국가별 과징금 부과 특징 57
• 4.2.1. 스페인 58
• 4.2.2. 루마니아 67
• 4.2.3. 헝가리 72
• 4.2.4. 불가리아 75
• 4.2.5. 독일 79
• 4.3. 국내 개인정보 관련 과징금 83
• 4.3.1. 국내 개인정보 관련 과징금 분석 83
• 5. 국내 개인정보 과징금 사례 GDPR 과징금 적용 88
• 5.1. 적용 방법론 88
• 5.2. 국가별 제5조 (1) f), 제25조, 제32조 위반 사례 분석 93
• 5.2.1. 스페인 제5조 (1) f), 제25조, 제32조 위반 사례 93
• 5.2.2. 루마니아 제5조 (1) f), 제25조, 제32조 위반 사례 96
• 5.2.3. 헝가리 제5조 (1) f), 제25조, 제32조 위반 사례 99
• 5.2.4. 불가리아 제5조 (1) f), 제25조, 제32조 위반 사례 100
• 5.2.5. 독일 제5조 (1) f), 제25조, 제32조 위반 사례 101
• 5.3. 국내 사례 적용 결과 102
• 5.3.1. 국내 개인정보 위반 과징금 사례 스페인 적용 결과 103
• 5.3.2. 국내 개인정보 위반 과징금 사례 루마니아 적용 결과 105
• 5.3.3. 국내 개인정보 위반 과징금 사례 헝가리 적용 결과 106
• 5.3.4. 국내 개인정보 위반 과징금 사례 불가리아 적용 결과 107
• 5.3.5. 국내 개인정보 위반 과징금 사례 독일 적용 결과 109
• 5.4. 적용 결과에 따른 소결 110
• 6. 결론 113
• 6.1. 시사점 113
• 6.1.1. 학문적 시사점 113
• 6.1.2. 실무적 시사점 116
• 6.2. 연구의 한계 및 향후 연구 방향 117
• 참고문헌 119
• ABSTRACT 124