개인정보보호위원회(개인정보위)가 개인정보보호 법규를 위반한 스타벅스 본사와 그 수탁자인 엘리베이트에 대해 시정명령 및 개선권고 등을 의결했다. 또 나무위키를 수사기관에 고발했다.
개인정보위는 스타벅스가 국내 납품업체 직원들의 개인정보를 과도하게 요구한다는 2023년 언론보도와 민원 제기에 따라 스타벅스 관계사를 대상으로 구체적인 사실관계를 조사했다.
조사 결과 스타벅스 본사가 개인정보 수탁 업무인 윤리구매 프로그램에 대한 관리·감독을 미흡하게 했고, 엘리베이트가 한국 정보주체의 개인정보를 불필요하게 과도히 처리한 사실이 확인됐다.
개인정보위는 스타벅스 본사에 개인정보 처리 업무 위탁 시 국내법을 준수하고 수탁자를 관리·감독할 것을, 엘리베이트에 대해서는 법적 근거 없이 개인정보를 처리하지 않을 것을 시정명령했다.
아울러 스타벅스코리아는 이번 사안과 직접적인 관련은 없었으나 스타벅스 본사, 엘리베이트 및 평가를 받는 납품업체 등에 국내법을 준수하는데 필요한 내용을 안내하고 협력하도록 권고했다.
나무위키의 경우 국내 이용자를 대상으로 서비스를 제공하는 것이 명백함에도 특정 국가의 법률이 적용된다고 주장하고 수차례에 걸친 개인정보위의 자료제출 요구에 불응했다. 이에 개인정보위는 나무위키를 수사기관에 고발했다.
한편, 개인정보위는 관리자 계정 탈취로 개인정보가 대량 유출된 '하스'와 '바텍엠시스'에 대해 총 1억8820만원의 과징금 및 780만원의 과태료를 부과하기로 했다.
조재학 기자 2jh@etnews.com
