개인정보위, 식음료업계 대규모 점검…시정·공표 명령

개인정보보호위원회가 식음료 분야 사업자 10곳의 개인정보 보호법 위반 사실을 적발하고 총 15억 6,600만원의 과징금과 1억 1,130만원의 과태료를 부과했다. 이와 함께 시정명령과 공표명령도 병행하기로 했다.

개인정보위는 최근 음식점·카페 등에서 원격 예약, 대기 시스템, 키오스크 주문 등 ICT 기반 서비스가 빠르게 확산되면서 대규모 개인정보 처리가 이뤄지고 있다는 점에 주목해 실태 점검에 착수했다.

보관기한 지난 개인정보 ‘방치’

조사 결과, 다수 사업자가 보유기간이 지난 개인정보를 파기하지 않고 보관하거나, 처리 목적 달성 후에도 미삭제 상태로 관리하는 등 기본적인 관리 의무를 지키지 않은 것으로 나타났다.

또 일부 사업자는 회원 동의 없이 마케팅에 개인정보를 활용하거나, 만 14세 미만 아동의 정보를 법정대리인 동의 없이 수집·이용한 사실도 확인됐다.

비케이알(버거킹 운영사)은 법정대리인 동의 없이 14세 미만 아동의 개인정보를 수집·이용해 9억 2,400만원의 과징금을 부과받았다.

엠지씨글로벌(메가MGC커피 운영사)은 회원이 마케팅에 동의하지 않아도 자동 동의 처리되도록 설정해 앱 푸시 메시지를 발송한 사실이 적발돼 6억 4,200만원의 과징금이 부과됐다.

와드(캐치테이블), 테이블링, 야놀자에프앤비솔루션, 한국맥도날드 등은 API 설계·운영 과정에서 접근통제 등 안전조치를 소홀히 한 것으로 나타났다.

이 외에도 투썸플레이스는 휴대전화번호를 입력하지 않으면 주문이 불가능하도록 운영했고, 더본코리아(빽다방 운영사)는 마케팅·맞춤형 서비스 동의를 포괄적으로 받아 위법 소지가 확인됐다.

개인정보위는 특히 아동·청소년 개인정보의 특별 보호 필요성을 강조하며, 플랫폼 생태계에서는 최소 수집·목적 제한 원칙을 기반으로 한 ‘프라이버시 중심 설계’가 중요하다고 밝혔다.

또한, 목적 달성 후 개인정보를 즉시 파기하지 않는 관행이 대규모 유출 사고의 잠재적 위험 요인으로 작용할 수 있다고 경고했다.

앞으로도 국민 생활과 밀접한 분야를 중심으로 상시 점검과 사전 예방 활동을 강화할 방침이다.

키오스크와 예약앱은 편리함을 가져왔지만, 그 이면에는 대규모 개인정보가 축적되고 있다. 디지털 전환 속도가 빠를수록, 개인정보 보호의 기본 원칙은 더욱 단단히 지켜져야 할 때다.

[비즈데일리 유정흔 기자]