노르웨이의 대형 가전제품 유통 그룹 엘숍(Elkjop)이 고객 클럽 회원들에게 마케팅 이메일 수신을 거부하려면 고객 클럽 자체를 탈퇴해야만 하는 정책을 운영하다가 노르웨이 데이터보호청(Datatilsynet)으로부터 180만 유로(약 24억 원)가 넘는 과징금을 부과받았습니다. 이는 2021년 한 회원이 이의를 제기한 지 5년 만에 나온 결정으로, 유럽연합 일반 개인정보보호법(GDPR)의 ‘자유로운 동의’ 원칙 위반 여부가 핵심 쟁점이었습니다.
문제의 발단은 2021년 여름, 엘숍의 고객 클럽인 엘기가텐 쿤드클럽(Elgiganten Kundklubb)의 한 회원이 마케팅 이메일 수신을 중단하려 했으나, 고객 클럽 멤버십 자체를 취소해야만 가능하다는 사실을 알게 되면서 시작되었습니다. GDPR 제21조 2항은 모든 사람에게 직접 마케팅에 대한 절대적인 반대권을 부여하며, 제4조 11항과 제7조에 따르면 동의는 자유롭게 제공되어야 하고 다른 조건에 묶이거나 필수 조건이 될 수 없습니다. 즉, 고객 클럽 혜택을 포기해야만 마케팅 수신 거부라는 권리를 행사할 수 있다면, 이는 자유로운 동의로 볼 수 없다는 논리입니다. 엘숍 측은 “마케팅/오퍼를 받기 위해서는 고객 클럽 회원인 것이 조건”이라고 답변했으나, 이는 권리 행사를 가입 조건으로 둔 것으로 해석되었습니다. 스웨덴 감독기관 IMY를 거쳐 노르웨이 데이터보호청으로 이관된 이 사건은 결국 엘숍의 동의 방식이 강제적이고, 구체적이지 않으며, 충분히 고지되지 않았다고 판단되었습니다. 또한, 수집한 개인정보를 광고 및 전환 추적에 재사용하면서 GDPR 제6조 4항이 요구하는 호환성 평가를 하지 않은 점도 지적되었습니다.
이번 결정은 디지털 경제에서 흔히 볼 수 있는 ‘강제 동의’ 또는 ‘서비스 이용을 위한 묶음 동의’ 관행에 중요한 경고를 보냅니다. 사용자가 거절할 때 원래 유지할 권리가 있는 것을 잃게 된다면, 그 동의는 진정으로 자유로운 동의가 될 수 없다는 점을 명확히 한 것입니다. 이는 기업들이 개인정보 처리 동의를 받을 때 더욱 투명하고 공정하게 접근해야 함을 의미하며, 사용자들은 자신의 개인정보 권리를 더욱 적극적으로 주장할 수 있는 근거를 얻게 되었습니다. 또한, 감독기관이 민원인에게 결정 통지를 제대로 하지 않은 절차적 문제도 제기되어, 향후 개인정보보호 당국의 역할과 책임에 대한 논의도 이어질 것으로 보입니다. 이번 판례는 기업들이 개인정보 활용 방식을 재검토하고, 사용자 중심의 동의 모델을 구축하는 계기가 될 것입니다.