[푸드투데이 = 조성윤기자] 개인정보보호위원회는 버거킹, 투썸플레이스, 메가커피 등 식음료 분야 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억6천600만원의 과징금과 1억1천130만원의 과태료를 부과하고 시정·공표명령을 의결했다고 12일 밝혔다.

개인정보위는 전날 전체회의를 열어 원격 예약·대기 플랫폼과 주요 프랜차이즈 등 식음료 분야 10개 사업자의 개인정보 처리 실태를 점검한 결과 이같이 제재하기로 했다.

최근 음식점과 카페 등에서 원격 예약·대기, 키오스크 주문 등 정보통신기술(ICT)을 접목한 서비스가 확산되며 대규모 개인정보 처리가 늘어난 데 따른 조치다.

조사 결과 다수의 사업자가 보유기간이 지났거나 처리 목적이 달성된 개인정보를 파기하지 않는 등 관리가 미흡했던 것으로 나타났다.

또한 이용자 동의 없이 개인정보를 마케팅에 활용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법을 위반한 사례도 확인됐다.

플랫폼 사업자의 경우 온오프라인에서 수집한 개인정보를 연동하는 과정에서 예약·대기 고객의 개인정보가 외부에 노출된 상태로 운영되는 등 접근통제 등 안전조치 의무를 위반한 것으로 조사됐다.

프랜차이즈 사업자들은 개인정보 처리 업무를 제3자에게 위탁하면서 수탁자 관리·감독을 소홀히 하거나, 100만명 이상의 개인정보를 처리하면서도 수집·이용·제공 내역을 정기적으로 통지하지 않는 등 위반 사항이 확인됐다.

사업자별로 보면 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용해 9억2천400만원의 과징금을 부과받았다.

엠지씨글로벌(메가MGC커피)은 마케팅 활용에 동의하지 않은 회원도 자동으로 동의 처리되도록 설정해 미동의 회원에게 마케팅 메시지를 발송한 사실이 확인돼 6억4천200만원의 과징금이 부과됐다.

와드(캐치테이블), 테이블링, 야놀자에프앤비솔루션, 한국맥도날드는 응용프로그램 인터페이스(API) 설계·운영 미흡 등으로 접근통제 조치를 소홀히 한 것으로 조사됐다.

투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영했다.

더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 했다.

개인정보위는 "아동·청소년의 개인정보는 특별한 보호가 필요하다"며 "플랫폼 생태계에서는 적법한 처리 근거와 최소한의 정보 수집 등 프라이버시 중심 설계가 중요하다"고 밝혔다.

이어 "처리 목적을 달성한 개인정보를 파기하지 않는 행위는 잠재적 유출 사고의 주요 원인이 될 수 있다"며 불필요한 개인정보의 즉시 파기를 당부했다.

한편 버거킹은 이날 자료를 내고 "개인정보위의 지적은 시스템 미비에 관한 사항으로 개인정보 유출 사고는 아니다"라며 "조사 이전에 관련 시스템을 자체적으로 개선했으며, 과거 시스템 미흡으로 인한 고객 피해 사례도 보고된 바 없다"고 설명했다.