개인정보보호위원회가 식음료 분야 10개 사업자의 개인정보 처리 실태를 조사한 결과, 총 15억 6600만 원의 과징금과 1억 1130만 원의 과태료를 부과하고 시정명령 및 공표명령을 의결했다고 12일 밝혔다.
조사 대상은 원격 예약·대기 플랫폼과 주요 프랜차이즈 사업자 등 10곳으로, 최근 키오스크 주문과 앱 기반 예약 서비스 확산에 따라 대규모 개인정보 처리가 이뤄지는 점을 고려해 선정했다.
조사 결과, 상당수 사업자가 보유기간이 지났거나 처리 목적이 달성된 개인정보를 파기하지 않고 보관하는 등 기본적인 관리 의무를 소홀히 한 것으로 나타났다.
또 일부 사업자는 동의 없이 개인정보를 마케팅에 활용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 사실도 확인됐다.
사업자별로 보면 ㈜비케이알(버거킹)은 법정대리인 동의 없이 아동 개인정보를 처리해 9억 2400만 원의 과징금을 부과받았다.
㈜엠지씨글로벌(메가MGC커피)은 마케팅 수신에 동의하지 않은 회원에게도 자동 동의 처리되도록 설정해 메시지를 발송한 사실이 적발돼 6억 4200만 원의 과징금을 부과했다.
플랫폼 사업자 가운데는 ㈜와드(캐치테이블), 테이블링㈜(테이블링), ㈜야놀자에프앤비솔루션(도도포인트·나우웨이팅), 한국맥도날드 등이 접근통제와 접속기록 관리 등 안전조치 의무를 위반한 것으로 조사됐다. 일부는 응용프로그램 인터페이스(API) 설계·운영을 미흡하게 해 개인정보 노출 가능성을 키웠다.
투썸플레이스㈜는 매장에서 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 운영해 과태료 처분을 받았다.
㈜더본코리아(빽다방)는 마케팅 동의와 맞춤형 서비스 동의 등을 구분하지 않고 포괄 동의를 받은 사실이 적발됐다. 이디야, 스타벅스 등도 개인정보 미파기 및 통지 의무 위반 등으로 과태료와 시정명령을 받았다.
개인정보위는 특히 아동·청소년 개인정보는 특별한 보호가 필요하다고 강조했다. 동시에 다양한 참여자가 연결된 플랫폼 환경에서는 적법한 처리 근거 확보와 최소 수집 원칙을 반영한 '프라이버시 중심 설계'가 중요하다고 밝혔다.
아울러 처리 목적이 달성된 개인정보를 제때 파기하지 않는 관행은 잠재적 유출 사고의 핵심 위험 요인이라며, 불필요한 개인정보의 즉시 파기를 당부했다.
개인정보위는 앞으로도 국민 생활과 밀접한 분야를 중심으로 상시 점검과 사전 예방 활동을 강화해 나갈 방침이다.