'개인정보 보호법 위반' 버거킹 포함 10곳, 15억원대 과징금

[프라임경제] 개인정보보호위원회(이하 개인정보위)는 버거킹·투썸플레이스·메가커피 등 식음료 분야 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억6600만원의 과징금과 1억1130만원의 과태료를 부과하고 시정·공표명령을 의결했다고 12일 밝혔다.

이정렬 개인정보보호위원회 부위원장이 지난 11일 오후 서울 종로구 정부서울청사에서 개최된 2026년 제3회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. ⓒ 개인정보보호위원회

개인정보위는 전날 전체회의를 열어 원격 예약·대기 플랫폼과 주요 프랜차이즈 등 식음료 분야 10개 사업자의 개인정보 처리 실태를 점검한 결과 이같이 제재하기로 했다.

최근 음식점과 카페 등에서 원격 예약·대기, 키오스크 주문 등 정보통신기술(ICT)을 접목한 서비스가 확산되며 대규모 개인정보 처리가 늘어난 데 따른 조치다.

조사 결과 다수의 사업자가 보유기간이 지났거나 처리 목적이 달성된 개인정보를 파기하지 않는 등 관리가 미흡했던 것으로 드러났다.

또 이용자 동의 없이 개인정보를 마케팅에 활용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법을 위반한 사례도 확인됐다.

플랫폼 사업자의 경우 온오프라인에서 수집한 개인정보를 연동하는 과정에서 예약·대기 고객의 개인정보가 외부에 노출된 상태로 운영되는 등 접근통제 등 안전조치 의무를 위반한 것으로 파악됐다.

프랜차이즈 사업자들은 개인정보 처리 업무를 제3자에게 위탁하면서 수탁자 관리·감독을 소홀히 하거나, 100만명 이상의 개인정보를 처리하면서도 수집·이용·제공 내역을 정기적으로 통지하지 않는 등 위반 사항이 확인됐다.

사업자별로 보면 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용해 9억2400만원의 과징금을 부과받았다.

엠지씨글로벌(메가MGC커피)은 마케팅 활용에 동의하지 않은 회원도 자동으로 동의 처리되도록 설정해 미동의 회원에게 마케팅 메시지를 발송한 사실이 확인돼 6억4200만원의 과징금이 부과됐다.

△와드(캐치테이블) △테이블링 △야놀자에프앤비솔루션 △한국맥도날드는 응용프로그램 인터페이스(API) 설계·운영 미흡 등으로 접근통제 조치를 소홀히 한 것으로 확인됐다.

투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영했다.

더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 한 것으로 드러났다.