‘식음료 사업자’에 과징금.과태료 등 부과… 개인정보 보호법 위반
Feb. 19, 2026
Global Korean Post
- 식음료 분야 사업자 개인정보 처리 실태 조사 결과 발표
개인정보보호위원회(이하 ‘개인정보위’)는 2월 11일(수) 제3회 전체회의를 열고, 식음료 분야 10개 사업자*의 「개인정보 보호법」(이하 ‘보호법’) 위반 행위에 대하여 총 15억 6,600만원의 과징금과 1억 1,130만 원의 과태료를 부과하고 시정명령 및 공표명령하기로 의결하였다.
* (플랫폼) ㈜와드(캐치테이블), 테이블링㈜(테이블링), ㈜야놀자에프앤비솔루션(도도포인트, 나우웨이팅) (프랜차이즈) ㈜에스씨케이컴퍼니(스타벅스), ㈜비케이알(버거킹), ㈜엠지씨글로벌(메가MGC커피), 한국맥도날드(유)(맥도날드), 투썸플레이스㈜(투썸플레이스), ㈜이디야(이디야), ㈜더본코리아(빽다방)
개인정보위는 최근 음식점, 카페 등에서 정보통신기술(ICT)을 접목한 원격 예약·대기 및 키오스크(KIOSK) 주문 방식 등 대규모 개인정보 처리를 수반하는 서비스가 확산됨에 따라, 식음료 분야의 개인정보 처리실태를 조사하였다.
앱 서비스 이용률 및 안전조치의무 등 개인정보 보호법(이하 ‘보호법’) 위반 이력을 고려하여 원격 예약·대기 플랫폼 앱 및 프랜차이즈 사업자를 선정하였으며, 구체적인 조사 결과는 다음과 같다.
< 조사 결과(종합) >
대부분의 식음료 사업자들이 대량의 개인정보를 보유기간이 경과하거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리하고 있었다.
또한, 앱 등 온라인 서비스 제공과정에서 개인정보를 동의 없이 홍보·마케팅에 이용하거나, 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법 준수를 소홀히 한 사례를 확인하였다.
분야별로 살펴보면, 플랫폼 사업자의 경우 온·오프라인에서 수집한 개인정보를 연동하면서, 원격 예약 및 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영하는 등 다수의 안전조치 의무를 위반한 사실을 확인하였다.
프랜차이즈 사업자의 경우, 개인정보 처리업무를 제3자에게 위탁하면서, 수탁자에 대한 관리·감독을 소홀히 하거나 100만 명 이상의 정보주체의 개인정보를 처리하면서 개인정보 수집·이용·제공 내역을 주기적으로 정보주체에게 통지하지 않는 등 보호법 위반 사실을 확인하였다.
< 사업자별 위반내용 및 처분 결과 >
조사 대상 사업자의 주요 위반 내용과 처분 결과는 다음과 같다.
㈜비케이알(버거킹)은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하였으며, ㈜엠지씨글로벌(메가MGC커피)은 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정하여, 미동의 회원에게 마케팅 메시지(앱푸시)를 발송하였다.
또한, ㈜와드(캐치테이블)와 테이블링㈜(테이블링), ㈜야놀자에프앤비솔루션, 한국맥도날드(유)는 응용프로그램 인터페이스(API)* 설계·운영을 미흡하게 하는 등 접근통제를 소홀히 한 사실을 확인하였다.
* API(Application Programming Interface) : 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증·권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식
투썸플레이스㈜는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영하였으며, ㈜더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의 받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 하였다. 그 밖에 대부분의 사업자가 보유기간이 경과하거나 처리목적이 달성된 개인정보를 파기하지 않고 보관하고 있었으며, 접근권한 관리 및 접근통제, 접속기록 보관 등의 안전조치의무를 소홀히 한 사실이 확인되었다.
개인정보위는 법정대리인의 동의없이 만 14세 미만 아동의 개인정보를 수집·이용한 행위(보호법 제22조의2 위반)에 대하여, ㈜비케이알에 9억2천4백만 원의 과징금을 부과하고, 동의 없이 목적 외로 회원의 개인정보를 이용(보호법 제18조 위반)한 ㈜엠지씨글로벌에 6억4천2백만 원의 과징금을 부과하였다.
또한, 사업자들의 기타 보호법 위반행위에 대하여 총 과태료 1억 1,130만 원을 부과하고, 재발방지를 위하여 시정명령과 공표명령도 함께 처분하였다.
