버거킹이 만 14세 미만 아동의 개인정보를 법정대리인 동의 없이 수집‧이용한 행위에 대해 각각 9억2400만원 과징금을 12일 부과받았다.
개인정보보호위원회는 전날 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억1130만원의 과태료를 부과하고 시정명령 및 공표명령하기로 의결했다.
이정은 개인정보위 조사2과장은 이날 브리핑을 통해 “이번 식음료와 관련해 법정대리인 동의를 받지 않았다거나 회원의 동의 없이 개인정보를 목적 외로 이용하는 것에 대해 굉장한 권리 침해 행위가 있었다”라고 과징금 부과 이유를 설명했다.
개인정보위는 최근 음식점, 카페 등에서 정보통신기술(ICT)을 접목한 원격 예약‧대기 및 키오스크 주문 방식 등 대규모 개인정보 처리를 수반하는 서비스가 확산됨에 따라 식음료 분야의 개인정보 처리실태를 조사했다.
앱 서비스 이용률과 안전조치의무 등 보호법 위반 이력을 고려해 원격 예약‧대기 플랫폼 앱 및 프랜차이즈 사업자를 선정했다.
플랫폼의 경우 와드(캐치테이블), 테이블링, 야놀자에프앤비솔루션(도도포인트, 나우웨이팅)이 해당됐다. 프랜차이즈는 에스씨케이컴퍼니(스타벅스), 비케이알(버거킹), 엠지씨글로벌(메가MGC커피), 한국맥도날드, 투썸플레이스, 이디야, 더본코리아(빽다방) 등이다.
대부분의 식음료 사업자들이 대량의 개인정보를 보유기간이 경과하거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리하고 있었다. 플랫폼 사업자의 경우 온‧오프라인에서 수집한 개인정보를 연동하면서 원격 예약, 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영하는 등 다수의 안전조치 의무를 위반한 사실을 확인했다.
프랜차이즈 사업자는 개인정보 처리업무를 제3자에게 위탁하면서 수탁자에 대한 관리‧감독을 소홀히 했다. 이어 100만명 이상의 정보주체의 개인정보를 처리하면서 개인정보 수집‧이용‧제공 내역을 주기적으로 정보주체에게 통지하지 않는 등 보호법 위반 사실을 드러났다.
특히 버거킹은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집‧이용했다. 메가커피는 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정해 미동의 회원에게 마케팅 메시지(앱푸시)를 발송했다.
이에 개인정보위는 버거킹과 메가커피 측에 각각 9억2400만원, 6억4200만원의 과징금을 부과했다.
이외에도 캐치테이블, 테이블링, 야놀자에프앤비솔루션, 한국맥도날드는 응용프로그램 인터페이스(API) 설계‧운영을 미흡하게 하는 등 접근통제를 소홀히 했다. 투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문‧결제가 불가능하도록 서비스를 운영하는 문제가 있었다.
빽다방은 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의 받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리‧감독을 소홀히 했다.
개인정보위는 사업자들의 기타 보호법 위반행위에 대해 총 과태료 1억1130만원을 부과하고 재발방지를 위한 시정명령과 공표명령도 함께 처분했다.
개인정보위는 “아동‧청소년의 개인정보는 특별한 보호가 필요하며 다양한 참여자가 연결된 플랫폼 생태계에서 적법 처리 근거, 필요‧최소한의 정보 수집 등 프라이버시 중심의 서비스 설계가 중요하다”라고 강조했다.
이어 “디지털 환경에서 처리 목적 등을 달성한 개인정보의 미파기는 잠재적 유출 사고의 핵심 변수로 작용할 수 있는 만큼 불필요한 개인정보의 즉시 파기를 당부한다”라고 덧붙였다.
