국제 로펌 DLA 파이퍼(DLA Piper)가 최근 공개한 보고서에 따르면, 일반개인정보보호규정(GDPR) 위반으로 신고되는 조직의 수가 빠르게 늘고 있다.

보고서에 따르면, GDPR이 EU 전역에서 시행된 2018년 5월 25일 이후 일일 평균 위반 신고 건수가 2025년 처음으로 400건을 넘어섰다. 2025년 기준 하루 평균 신고 건수는 443건으로, 전년 대비 22% 증가했다.

다만 DLA 파이퍼는 이러한 증가의 원인에 대해 명확한 결론을 내리기는 어렵다고 설명했다. 지정학적 긴장 고조, 사이버 위협 행위자가 활용할 수 있는 다양한 신기술의 등장, 보안 사고 신고를 의무화하는 여러 신규 법률의 시행 등이 주요 요인으로 작용했을 가능성이 크다는 분석이다.

GDPR 과징금 규모 12억 유로

DLA 파이퍼에 따르면, 2025년 기준 GDPR 위반으로 부과된 과징금 총액은 약 12억 유로(약 2조 원)로, 전년과 거의 같은 수준을 기록했다. 이는 유럽 각국의 데이터 보호 당국이 여전히 대규모 과징금 부과에 적극적인 태도를 유지하고 있음을 보여준다. GDPR 시행 이후 현재까지 누적 과징금 규모는 총 71억 유로(약 12조 2,000억 원)에 달한다.

국가별로 보면 애플, 구글, 메타 등 미국 빅테크 기업의 EU 본사가 위치한 아일랜드가 다시 한 번 집행 통계에서 선두를 차지했다. 2018년 5월 GDPR 시행 이후 아일랜드 데이터보호위원회가 부과한 과징금 총액은 40억 4,000만 유로(약 7조 원)에 이른다.

여기에는 GDPR 시행 이후 부과된 과징금 가운데 최대 규모 사례도 포함된다. 메타 플랫폼스 아일랜드(Meta Platforms Ireland Ltd.)는 GDPR 위반으로 12억 유로의 과징금을 부과받았다. 또한 2025년 4월에는 틱톡 테크놀로지(TikTok Technology Ltd.)가 사용자 개인정보를 중국으로 이전한 혐의로 5억 3,000만 유로의 과징금을 부과받았다.

다만 DLA 파이퍼는 GDPR 준수와 관련한 리스크가 행정 과징금에만 국한되지 않는다고 지적했다. 이후 손해배상 청구로 이어질 가능성도 존재한다는 설명이다. 실제로 유럽사법재판소(Court of Justice of the European Union, CJEU)와 유럽 각국 법원은 GDPR 위반과 관련한 손해배상 청구, 특히 비물질적 손해에 대한 배상 요건을 둘러싸고 여러 차례 중요한 판결을 내린 바 있다.
dl-itworldkorea@foundryco.com