개인정보위, '개인정보보호법 위반' 미스터피자·야놀자 관계사·대한적십자 등 제재

Photo Image
고학수 개인정보보호위원회 위원장이 지난 24일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제7회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.(개인정보보호위원회 제공)

개인정보보호위원회가 지난 24일 전체회의를 열고 개인정보보호법을 위반한 미스터피자, 야놀자에프앤비솔루션 등 6개 사업자와 대한적십자사, 국립중앙도서관 등 2개 공공기관에 대해 제재 조치를 의결했다.

개인정보위는 온라인 피자주문 서비스를 운영하는 디에스이엔에 과징금 6419만원·과태료 1080만원을 부과했다. 디에스이엔은 시스템 개발 과실로 관리자 페이지 주소를 입력하면 누구나 접속해 주문정보를 볼 수 있는 것은 물론 검색엔진에도 개인정보(주문정보)가 노출됐다. 또, 주문정보 보관 기간이 이용자 동의 시 명시한 1년을 넘긴 사실도 확인했다.

미스터피자는 디에스이엔으로부터 분할 설립되면서 개인정보도 이전받았는데, 미스터피자 역시 보유기간이 경과한 주문정보를 파기하지 않고 보관하고 있었다. 미스터피자엔 과태료 360만원을 부과했다.

야놀자에프엔비솔루션은 운영 중인 '도도포인트' 서비스와 관련해 클라우드 데이터 저장소를 이용했는데, 데이터 저장소의 기본 설정값을 공개로 설정해 누구나 해당 주소로 접속하면 저장소에 있던 고객 개인정보(최소 794건)를 볼 수 있었다. 이에 개인정보위는 야놀자에프엔비솔루션에 과징금 3091만원·과태료 450만원 처분을 내렸다.

아울러 개인정보위는 안전조치의무 위반 등으로 에스티지24에 과징금 8299만원·과태료 840만원을 부과했다. 또 해커에게 개인정보가 탈취된 펀잇과 하이플레이에 각각 과징금1524만원·과태료 780만원, 과징금 366만원·과태료 1200만원 처분을 의결했다.

특히 디에스이엔, 야놀자에프앤비솔루션, 에스티지24, 펀잇, 하이플레이 등 5개 사업자는 유출인지 후 24시간을 경과해 신고하거나 통지를 완료하지 못하는 등 법상 유출통지·신고 의무를 제대로 지키지 않은 것으로 밝혀졌다.

대한적십자사와 국립중앙도서관은 가명정보 처리 특례 규정을 위반했다. 가명정보는 추가 정보 사용·결합 없이는 특정개인을 알아볼 수 없는 정보를 말한다. 개인정보위는 대한적십자사와 국립중앙도서관에 각각 과태료 100만원, 과태료 540만원을 부과하면서 개선권고를 의결했다.


조재학 기자 2jh@etnews.com


브랜드 뉴스룸