매일 사용하는 카페 키오스크, 그러나 개인정보보호법 위반 리스크는 사업자의 책임입니다. 최근 실태조사 사례를 통해 마케팅 동의, 아동 정보 처리, 안전조치 의무 위반 쟁점을 살펴봅니다.

안녕하세요. 법무법인 청출 신준선 변호사입니다.

요즘 카페는 물론이고 각종 음식점에서도 키오스크 주문을 기본 주문방식으로 채택하는 경우가 많습니다. 그리고 유명한 맛집은 각종 줄서기 앱을 통해 온라인 줄서기를 하지 않으면 입장하기 어려울 정도인데요. 이 과정에서 이용자는 회원가입 또는 예약확인을 위해 핸드폰번호를 비롯한 각종 개인정보를 입력하게 됩니다.

그런데 근, 키오스크·원격 예약·대기 시스템 등 대규모 개인정보 처리가 수반되는 식음료 분야 서비스 전반을 대상으로 실태조사를 실시하였고, 그 결과 다수 사업자에서 개인정보보호법 위반 사례가 확인되어 총 15억 원이 넘는 과징금과 1억 원이 넘는 과태료가 부과되었습니다.

우리가 일상적으로 이용하는 유명한 식음료 프랜차이즈 업종에서도, 각 사업자의 개인정보 처리방식의 미흡함으로 인한 법령위반이 여전히 발생하고 있다는 것을 보여주는 사례입니다.

[Question] 기업들이 간과하는 개인정보보호법 준수사항

[Answer]

이번 실태조사 결과를 보면, 사업자들이 반복적으로 간과하는 개인정보보호법 위반 유형은 다음과 같이 정리할 수 있습니다.

1. 동의 없는 마케팅 활용 및 목적 외 이용

이용자가 회원가입 시 마케팅 활용목적으로 개인정보를 이용하는 것에 동의하지 않았음에도, 이를 동의없이 홍보∙마케팅에 이용한 사례가 적발되었습니다.

개인정보보호법 제18조는 개인정보는 수집 당시 고지한 목적 범위 내에서만 이용할 수 있도록 규정하고 있으며, 동법 제22조 제1항 제7호에 따라, 개인정보 수집 목적이 마케팅 활용(재화나 서비스를 홍보하거나 판매를 권유)인 경우에는 반드시 별도 동의를 받아야 하며, 자유로운 의사에 따른 선택 동의로 구분되어야 합니다.

그러나 실태조사 대상이 된 인기 카페 프렌차이즈는 이를 준수하지 아니하여 결과적으로 약 6억원이 넘는 무거운 과징금이 부과되었습니다.

2. 만 14세 미만 아동 개인정보에 대한 법정대리인 동의 미확보

아동의 개인정보를 수집·이용하려면, 개인정보보호법 제22조의2에 따라 본인 동의와 별도로 법정대리인의 동의를 받아야 합니다. 그러나 실태조사 대상 사업자 중 패스트푸트 사업자 일부는 법정대리인의 동의 없이 아동의 개인정보를 처리하여 9억원이 넘는 무거운 과징금을 부과받았습니다.

개인정보를 처리하여는 사업자로서는 이용자의 연령 확인, 법정대리인 인증, 동의 기록 보관은  반드시 기술적으로 구현하여 법령에 부합하는 절차를 필수적으로 마련해야 합니다.

3. 보유기간 경과 또는 목적 달성 후 개인정보 미파기, 안전성 확보조치 미흡

개인정보보호법 제21조 제1항은 개인정보의 보유기간이 경과하거나 처리 목적이 달성된 경우, 지체 없이 해당 개인정보를 파기하도록 규정하고 있습니다. 그럼에도 불구하고 실태조사 대상이 된 식음료 사업자 대부분이 회원 탈퇴 이후, 또는 예약·대기 서비스 종료 이후에도 고객 정보를 별도 관리 없이 계속 보관하고 있었던 사실이 확인되었습니다.

또한 온라인 줄서기 앱을 운영하는 플랫폼사업자들은, 수집한 개인정보를 연동하면서 원격 예약 및 현장대기 고객의 개인정보가 외부에 노출된 상태로 운영하는 등 개인정보보호법에 따른 안전성확보 조치가 미흡한 것이 확인되었습니다.

이러한 위반사항에 대하여 최소 약 800만원에서 1천500만원에 달하는 과태료가 부과되고, 시정명령과 공표명령이 함께 내려졌습니다.

개인정보를 처리하는 사업자라면 수집한 개인정보가 더 이상 사용할 필요가 없어진 경우에는 즉시 파기하여야 하며 이를 파기하지 않고 보관하는 것 자체가 곧 법 위반이 되고, 그 상태에서 향후 개인정보 유출 사고 발생 시 책임이 가중될 수 있습니다.

4. 결론

이번 개인정보위의 실태조사 결과는, 키오스크·줄서기 앱과 같은 시스템이 더 이상 단순한 편의 서비스가 아니라, 기업에게는 상시적인 개인정보 컴플라이언스 관리 대상이라는 점을 명확히 보여줍니다.

특히 이번 사례는 우리가 이름만 들어도 알 수 있는 유명 사업자들이 제재 대상이 되었다는 점에서, 생각보다 많은 사업자들이 개인정보보호법이 요구하는 의무와 준수사항을 충분히 숙지하지 못한 채 위법의 경계선상에서 사업을 운영하고 있음을 보여줍니다.

개인정보보호법 준수는 단순히 개인정보처리방침을 게시하는 것만으로 끝나지 않습니다. 실제 서비스 구조와 시스템 설계 단계에서부터, 어떤 정보를 수집하는지, 어디까지 이용하는지, 언제 파기되는지, 누가 접근할 수 있는지를 점검하고 통제하는 체계를 갖추는 것이 핵심입니다.

키오스크와 앱을 도입·운영하고 있는 모든 식음료 사업자는, 이번 처분 사례를 계기로 현재 운영 중인 시스템이 개인정보보호법의 요구사항을 충족하고 있는지 전반적으로 점검해 볼 필요가 있으며, 이러한 준법을 위한 노력이 적게는 수천만원의 과태료에서, 많게는 수억 원대 과징금 부과처분을 예방하는 가장 현실적인 방법이라는 점을 유념해야 합니다.

법무법인 청출은 국내 5대 대형로펌, 검찰, 대기업 법무팀 출신의 변호사들로만 이루어져 있고, 한 명의 변호사가 아닌 사건과 관련된 분야의 전문 변호사들이 팀을 구성하여 대응합니다. 청출은 특정 쟁점만 해결하는 것을 넘어 사업 전반에 대한 종합 솔루션을 제공하여, 궁극적으로 고객이 원하는 바를 이루는 것에 초점을 맞추는 법률 컨설팅을 제공하고 있습니다. 목표 달성에 도움이 필요하시다면, 주저없이 청출에 문의주시기 바랍니다.