스타벅스·버거킹·맥도날드 등 식음료 10곳, 개인정보 무더기 위반…과징금 15억 6,600만 원

개인정보보호위원회가 지난 2월 11일 식음료 분야 10개 사업자에 대해 개인정보보호법 위반을 이유로 과징금 15억 6,600만 원, 과태료 1억 1,130만 원을 부과하고 시정명령 및 공표명령을 의결하며, 아동 개인정보 무단 수집과 목적 외 이용 등 광범위한 법 위반 실태를 공개했다.

◆아동 정보 무단 수집·마케팅 악용…대형 브랜드 줄줄이 적발

개인정보위는 지난 2월 11일 제3회 전체회의에서 캐치테이블·테이블링·도도포인트(나우웨이팅) 등 예약·대기 플랫폼 3곳과 스타벅스·버거킹·메가MGC커피·맥도날드·투썸플레이스·이디야·빽다방 등 프랜차이즈 7곳을 대상으로 한 조사 결과를 발표했다. 

이번 조사는 음식점·카페에서 키오스크(KIOSK) 주문, 원격 예약·대기 서비스가 확산되면서 대규모 개인정보 처리가 일상화된 환경에 대응해 실시됐다.

▲㈜비케이알(버거킹)

가장 무거운 제재를 받은 ㈜비케이알(버거킹)은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 것으로 확인돼 9억 2,400만 원의 과징금과 1,530만 원의 과태료가 부과됐다. 

이는 개인정보보호법 제22조의2 위반으로, 아동의 개인정보가 보호자 동의 없이 상업적 목적에 활용된 것이다. 

또한 버거킹은 개인정보 이용·제공 내역 미통지, 개인정보 미파기, 접속기록 미보관 등 다수의 추가 위반도 확인됐다.

▲㈜엠지씨글로벌(메가MGC커피) 

㈜엠지씨글로벌(메가MGC커피)은 회원가입 시 마케팅 활용에 동의하지 않은 회원에게도 자동으로 동의 처리가 되도록 시스템을 설계해 앱 푸시 메시지를 발송한 것으로 드러났다. 

이는 개인정보보호법 제18조(목적 외 이용)를 위반한 것으로, 6억 4,200만 원의 과징금과 1,530만 원의 과태료가 부과됐다. 수탁자 관리·감독 소홀 및 접속기록 미보관 위반도 함께 확인됐다.

◆플랫폼·프랜차이즈 전반에 걸친 안전조치 의무 위반

▲㈜와드(캐치테이블), 테이블링㈜, ㈜야놀자에프앤비솔루션 

플랫폼 사업자인 ㈜와드(캐치테이블), 테이블링㈜, ㈜야놀자에프앤비솔루션은 온·오프라인에서 수집한 개인정보를 연동하는 과정에서 API(응용프로그램 인터페이스) 설계·운영을 미흡하게 해 원격 예약 및 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영된 것으로 드러났다. 

이들 3사에는 각각 810만 원, 1,200만 원, 1,500만 원의 과태료가 부과됐으며, 개인정보 이용·제공 내역을 정보주체에게 정기적으로 통지하지 않은 위반도 공통적으로 적발됐다.

▲투썸플레이스㈜

투썸플레이스㈜는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제 자체가 불가능하도록 서비스를 운영해, 개인정보 수집 미동의를 이유로 서비스를 거부한 행위(보호법 제16조3항 위반)로 540만 원의 과태료와 시정명령·공표명령을 받았다. 

▲㈜더본코리아(빽다방)

㈜더본코리아(빽다방)는 회원가입 시 마케팅 동의와 맞춤형 서비스 동의 등을 포괄적으로 한꺼번에 동의 받고, 수탁자에 대한 관리·감독을 소홀히 해 1,260만 원의 과태료를 부과받았다.

▲스타벅스(㈜에스씨케이컴퍼니) & 맥도날드(한국맥도날드(유))

스타벅스(㈜에스씨케이컴퍼니)는 보유기간이 지난 개인정보를 파기하지 않은 사실이 확인돼 시정명령을 받았으며, 맥도날드(한국맥도날드(유))는 개인정보 미파기와 접근통제 소홀, 접속기록 미보관 등으로 1,140만 원의 과태료 및 공표명령을 받았다. 

▲이디야(㈜이디야)

이디야(㈜이디야)는 개인정보 이용·제공 내역 미통지, 접속기록 미보관, 개인정보처리방침 고지사항 일부 누락 등 다수 위반으로 1,620만 원의 과태료가 부과됐다.

◆개인정보위 “일상 서비스 전반에 잠재된 침해 위험 선제 차단”

개인정보위는 이번 조사의 의의에 대해 “국민이 매일 이용하는 식음료 서비스의 개인정보 관리 체계를 면밀히 점검해 잠재된 침해 요인을 선제적으로 제거하고, 유출사고로 인한 사회적 비용과 피해를 최소화했다”며, “아동·청소년의 개인정보는 특별한 보호가 필요하며, 플랫폼 생태계에서 적법 처리 근거와 최소한의 정보 수집 등 프라이버시 중심의 서비스 설계가 중요하다”고 강조했다. 

불필요한 개인정보의 즉시 파기도 강하게 촉구하며 “목적을 달성한 개인정보를 미파기하면 잠재적 유출 사고의 핵심 변수가 될 수 있다”고 경고했다.

개인정보위는 앞으로도 국민 실생활과 직결된 분야를 중심으로 상시 점검 및 사전 예방 활동을 지속적으로 강화한다는 방침이다.

한편 사업자별 위반 및 시정조치 내역 등은 (메디컬월드뉴스 자료실)을 참고하면 된다. 

[메디컬월드뉴스]