[서울타임즈뉴스 = 허성미 기자] 개인정보보호위원회가 버거킹과 투썸플레이스, 메가커피 등 식음료 분야 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억6,600만 원의 과징금과 1억1,130만 원의 과태료를 부과했다. 12일 연합뉴스에 따르면 개인정보위는 전날 전체회의를 열어 원격 예약·대기 플랫폼과 주요 프랜차이즈의 개인정보 처리 실태를 점검한 결과, 시정명령과 공표명령을 함께 의결했다고 밝혔다.

이번 조치는 음식점과 카페에서 원격 대기, 키오스크 주문 등 정보통신기술(ICT) 기반 서비스가 빠르게 확산되며 대규모 개인정보 처리가 늘어난 데 따른 것이다. 조사 결과 다수 사업자가 보유 기간이 지났거나 처리 목적이 달성된 개인정보를 파기하지 않는 등 기본적인 관리 의무를 소홀히 한 것으로 나타났다.

또 이용자 동의 없이 개인정보를 마케팅에 활용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 사례도 확인됐다. 일부 플랫폼 사업자는 온·오프라인에서 수집한 개인정보를 연동하는 과정에서 예약·대기 고객 정보가 외부에 노출될 수 있는 상태로 운영해 접근통제 등 안전조치 의무를 위반한 것으로 조사됐다.

프랜차이즈 본사 역시 개인정보 처리 업무를 제3자에게 위탁하면서 수탁자 관리·감독을 소홀히 하거나, 100만 명 이상 개인정보를 처리하고도 수집·이용·제공 내역을 정기적으로 통지하지 않은 점이 문제로 지적됐다. 사업자별로는 비케이알이 법정대리인 동의 없이 아동 개인정보를 수집·이용해 9억2,400만 원의 과징금을 부과받았다. 엠지씨글로벌은 마케팅 동의 여부와 관계없이 자동 동의 처리해 광고 메시지를 발송한 사실이 드러나 6억4,200만 원의 과징금을 받았다.

또 와드, 테이블링, 야놀자에프앤비솔루션, 한국맥도날드 등은 API 설계·운영 미흡으로 접근통제 조치를 소홀히 한 점이 적발됐다. 투썸플레이스는 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 운영한 점이 문제로 지적됐고, 더본코리아는 포괄적 동의와 수탁자 관리 부실이 확인됐다.

개인정보위는 “아동·청소년의 개인정보는 특별한 보호가 필요하다”며 “플랫폼 환경에서는 적법한 처리 근거와 최소 수집 원칙을 반영한 프라이버시 중심 설계가 중요하다”고 강조했다. 또 “목적이 달성된 개인정보를 파기하지 않는 행위는 잠재적 유출 사고의 주요 원인”이라며 즉각적인 파기를 당부했다. 한편 버거킹은 “시스템 미비에 관한 지적일 뿐 유출 사고는 없었으며, 이미 개선을 완료했다”고 해명했다.