아동 정보까지 건드렸다...'버거킹'·'메가커피' 과징금 집중된 이유
개인정보보호위원회가 식음료 프랜차이즈와 원격 예약·대기 플랫폼 등 10개 사업자에 대해 제재를 가한 가운데, 버거킹과 메가MGC커피 두 곳에 과징금이 집중됐다. 다수 사업자가 개인정보 단순 관리 부실로 적발된 것과 달리, 이들 두 회사는 동의 없이 아동 개인정보를 수집하거나 이용자 정보를 다른 목적으로 사용한 탓이다. 개인정보보호위원회는 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 '개인정보 보호법' 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과했다. 아울러 시정명령 및 공표명령도 함께 의결했다. 이 과징금은 사업자별로 보면 사실상 두 곳에 집중됐다. 먼저 버거킹 운영사 비케이알이 9억 2400만원, 메가MGC커피 운영사 엠지씨글로벌이 6억 4200만원을 각각 부과받았다. 스타벅스와 맥도날드 등 나머지 8곳은 별도의 과징금 없이 과태료와 시장명령만 받았다. 다수 사업자에게서 확인된 개인정보 미파기·안전조치 미흡이 관리 부실에 해당한다면, 두 회사는 동의 없는 처리·목적 외 이용처럼 법 위반 무게가 큰 사안이 핵심으로 적시됐다는 설명이다. 개보위에 따르면 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 처리해 개인정보보호법 제22조의2 위반으로 판단됐고, 이에 따라 과징금 9억 2400만원이 부과됐다. 여기에 개인정보 이용·제공 내역 미통지, 목적 달성 후 미파기, 접속기록 미보관 등 위반 사항이 함께 적시돼 과태료 1530만원과 시정명령·공표명령도 병과됐다. 이에 대해 버거킹 측은 과거 시스템 및 관리 미비에 따른 행정조치라고 강조했다. 엠지씨글로벌은 회원가입 과정에서 마케팅 활용에 동의하지 않았음에도 자동 동의 처리되도록 설정돼, 미동의 회원에게 마케팅 메시지가 발송된 점이 적발됐다. 개보위는 이를 동의 없이 목적 외로 개인정보를 이용한 행위(보호법 제18조)로 보고 과징금 6억 4200만원을 부과했다. 여기에 과태료 1천530만원과 시정명령·공표명령이 추가됐다. 엠지씨글로벌 측은 “외부로 개인정보가 유출되거나 이로 인한 피해 사례는 없었다”며 “앱 운영 과정에서 사전 동의 절차가 충분히 반영되지 않은 일부 미흡이 확인됐고, 조사 과정에서 즉시 시정 조치를 완료했다”고 밝혔다. 또 “2024년 7월 현장조사에서 지적된 사항은 개선 과정에서 이전 시스템의 일부 절차 미흡이 확인된 것으로, 당시 지적 사항은 모두 조치했다”며 “현재는 앱 전면 개편을 통해 개인정보 보호와 내부 통제 체계를 강화해 운영 중”이라고 해명했다.
