‘개인정보 관리 미흡’ 버거킹·메가커피·투썸 등 10곳 15억 과징금·과태료

개보위, 식음료 분야 사업자 제재…시정명령 의결
동의 없이 홍보·마케팅 이용…14세미만 정보 수집

이정렬 개인정보보호위원회 부위원장이 11일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2026.2.11 ⓒ 뉴스1

비케이알(버거킹), 엠지씨글로벌(메가MGC커피) 등 식음료 분야 10개 사업자가 개인정보 보호법 위반 행위로 총 15억 6600만 원의 과징금과 1억 1130만 원의 과태료를 부과받았다.

개인정보보호위원회는 지난 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자에 대해 이같이 제재하고, 시정명령 및 공표명령하기로 의결했다고 12일 밝혔다.

개인정보위는 앱 서비스 이용률 및 안전조치의무 등 개인정보 보호법 위반 이력을 고려해 원격 예약·대기 플랫폼 앱 및 프랜차이즈 사업자 10곳의 개인정보 처리실태를 조사했다.

대상자는 플랫폼 업체 와드(캐치테이블), 테이블링(테이블링), 야놀자에프앤비솔루션(도도포인트, 나우웨이팅), 프랜차이즈 업체 에스씨케이컴퍼니(스타벅스), 비케이알, 엠지씨글로벌, 한국맥도날드(맥도날드), 투썸플레이스(투썸플레이스), 이디야(이디야), 더본코리아(빽다방)다.

이들은 대부분 대량의 개인정보를 보유기간이 지나거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리하고 있었다.

앱 등 온라인 서비스 제공과정에서 개인정보를 동의 없이 홍보·마케팅에 이용하거나, 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법 준수를 소홀히 한 사례도 확인됐다.

우선 비케이알은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용했으며, 엠지씨글로벌은 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정해 미동의 회원에게 마케팅 메시지를 발송했다.

또한 와드와 테이블링, 야놀자에프앤비솔루션, 한국맥도날드는 응용프로그램 인터페이스(API) 설계·운영을 미흡하게 하는 등 접근통제를 소홀히 한 사실이 확인됐다.

투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영하였으며, 더본코리아는 회원가입 시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 했다.

이외에 대부분의 사업자가 보유기간이 지나거나 처리목적이 달성된 개인정보를 파기하지 않고 보관하고 있었으며, 접근권한 관리 및 접근통제, 접속기록 보관 등의 안전조치의무를 소홀히 한 사실이 확인됐다.

개인정보위는 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용한 행위에 대해 비케이알에 9억 2400만 원의 과징금을 부과하고, 동의 없이 목적 외로 회원의 개인정보를 이용한 엠지씨글로벌에 6억 4200만 원의 과징금을 부과했다.

사업자들의 기타 보호법 위반행위에 대해서는 총과태료 1억 1130만 원을 부과하고, 재발 방지를 위해 시정명령과 공표명령도 함께 처분했다.

개인정보위는 앞으로도 국민 실생활과 직결된 분야를 중심으로, 상시 점검 및 사전 예방 활동을 강화해 나갈 방침이다.

(서울=뉴스1)