아일랜드 데이터 보호 위원회(DPC)가 페이스북의 자회사 왓츠앱에게 유럽 연합의 GDPR(일반 데이터 보호 규정)을 위반한 혐의로 벌금 2억2,500만 유로(약 3,090억원)를 부과한다고 9월2일(현지시간) 발표했다.

왓츠앱 사용자 정보를 모회사 페이스북과 공유하는 것은 GDPR을 위반하는 것이고 데이터를 공유하는 방법에 대해 충분한 정보도 제공하지 않았다는 것이다. 2018년 발효된 GDPR의 핵심 원칙은 데이터 처리 주체는 해당 정보가 어떻게 사용되는지 사용자에게 명확하고 투명하게 알려야 한다는 것이다. 왓츠앱이 페이스북과 정보를 공유하는 과정에 대한 설명이 명확하지 않은 것은 투명성 의무를 위반한 것이라고 지적했다. 왓츠앱은 익명 처리된 전화번호 데이터를 페이스북과 공유한다지만 왓츠앱에 익명 처리를 해제하고 원할 경우 사용자를 확인할 수 있는 해독키가 있기 때문에 실제로는 익명 처리가 아니라는 점도 문제 삼았다.

왓츠앱은 전 세계 20억 명이 사용하는 메신저 서비스로 지난 5월 모회사 페이스북과 페이스북이 운영하는 일부 서비스, 앱과 사용자 정보를 공유한다는 새로운 정책을 도입했다. 당초 2월 도입 예정이었지만 사용자의 거센 반발에 한차례 연기했었다. 하지만 페이스북과 왓츠앱은 이를 강행했고 정보 공유에 동의하지 않는 사용자에게는 왓츠앱의 핵심 기능을 차단하겠다며 압박에 나섰다.

아일랜드 데이터 보호 위원회는 GDPR 위반에 대해 5,000만 유로(약 690억원) 벌금을 부과하려 했지만 독일을 포함한 다른 유럽 연합 국가에서 처벌이 관대하다며 비난하자 벌금을 상향 조정했다.

왓츠앱은 사용자에게 투명하고 포괄적으로 정보를 제공하기 위해 노력해 왔고 막대한 벌금이 불공평하다며 즉각 항소하겠다는 성명을 발표했다.

GDPR 위반 관련해 지난 7월 아마존이 룩셈부르크 데이터 관리 당국으로부터 7억4,600만 유로(약 1조270억원)의 역대 최고 벌금을 부과 받은 바 있다.

역대급 벌금에 깜놀