북유럽 최대 가전 소매업체 엘숍(Elkjop)이 고객 클럽 회원들에게 마케팅 수신을 강제하고 개인 데이터를 무단으로 활용한 혐의로 노르웨이 데이터보호청(Datatilsynet)으로부터 2000만 노르웨이 크로네, 약 180만 유로(한화 약 26억 원)의 과징금을 부과받았습니다. 이는 유럽연합(EU)의 GDPR(일반 데이터 보호 규정)이 명시하는 '자유로운 동의' 원칙을 위반한 대표적인 사례로, 5년 전 한 회원의 문제 제기에서 시작된 사건입니다.
사건의 발단은 2021년 여름, 엘숍의 고객 클럽 '엘기가텐 쿤트클럽(Elgiganten Kundklubb)' 회원이었던 알렉산더 한프(Alexander Hanff)가 마케팅 이메일 수신을 거부하려 했으나, 고객 클럽 탈퇴 외에는 방법이 없다는 사실을 발견하면서부터였습니다. 그는 GDPR 제21조 2항에 따른 직접 마케팅 거부권과 e프라이버시 지침에 따른 자유로운 동의 원칙(제4조 11항, 제7조)을 근거로 엘숍의 데이터 보호 책임자에게 문제를 제기했습니다. 엘숍 측은 '마케팅/혜택을 받으려면 고객 클럽 회원이어야 한다'는 입장을 고수했고, 한프는 스웨덴 감독 당국(IMY)에 정식 민원을 제기했습니다. 이후 사건은 엘숍의 본사가 노르웨이에 있다는 이유로 노르웨이 데이터보호청으로 이관되었고, 긴 조사 끝에 2026년 6월 1일 최종적으로 엘숍에 과징금이 부과되었습니다. 노르웨이 데이터보호청은 엘숍의 동의가 강제적이고, 구체적이지 않으며, 회원들에게 제대로 고지되지 않았다고 판단했습니다. 또한, 고객 클럽을 통해 수집된 개인 데이터를 광고 및 전환 추적에 추가적으로 사용하면서 GDPR 제6조 4항이 요구하는 '호환성 평가'를 수행하지 않은 점도 지적했습니다.
이번 엘숍에 대한 과징금 부과는 단순한 소매업체 한 곳의 문제가 아닌, 디지털 경제 전반에 만연한 '강제 동의(forced consent)' 관행에 경종을 울리는 중요한 선례가 될 것입니다. '동의하지 않으면 서비스를 이용할 수 없다'는 식의 '페이-오어-콘센트(pay-or-consent)' 모델은 GDPR의 핵심 가치인 '자유로운 동의'를 침해하며, 이는 소비자가 마땅히 누려야 할 권리를 포기하게 만드는 행위입니다. 이번 판결은 기업들이 개인 정보 활용에 있어 투명성과 책임감을 가지고, 사용자에게 진정으로 자유로운 선택권을 제공해야 한다는 점을 명확히 보여줍니다. 앞으로 많은 기업이 서비스 이용과 무관한 마케팅 동의를 강제하는 관행을 재검토하고, 보다 사용자 친화적인 개인 정보 처리 방침을 마련하는 계기가 될 것으로 예상됩니다.