개보위, 스타벅스 美본사 개인정보 '관리·감독 부실'에 시정명령·개선권고

(서울=뉴스1) 김지현 기자 = 개인정보보호위원회(개인정보위)는 개인정보보호 법규를 위반한 스타벅스 본사(미국)와 그 수탁자인 엘리베이트에 대해 시정명령 및 개선 권고 등을 의결하고, 나무위키를 수사기관에 고발했다고 26일 밝혔다.

개인정보위는 이날 제24회 전체 회의를 열어 이 같은 조치를 결정했다.

우선 개인정보위는 국내 납품업체 직원들의 개인정보를 과도하게 요구했다는 언론보도와 민원 제기 이후 스타벅스 관계사에 대한 조사를 진행했다.

그 결과 스타벅스 본사가 개인정보 수탁업무인 ‘윤리구매 프로그램’ 관리·감독을 제대로 하지 않았고, 수탁자인 엘리베이트가 한국 정보주체의 개인정보를 불필요하게 과도 처리한 사실이 드러났다.

스타벅스 본사는 협력업체와의 상생을 위해 윤리구매 프로그램을 운영하고 있으며, 2023년 언론보도 당시 국내 평가 업무는 본사가 계약한 엘리베이트가 담당했다.

그러나 스타벅스 본사는 엘리베이트와의 위탁계약에 개인정보 보호법상 필수사항을 모두 반영하지 않았고, 인사자료·임금·출퇴근 기록 등 민감한 개인정보를 다루는 수탁자에 대한 교육·감독 의무도 소홀히 한 것으로 확인됐다.

수탁자인 엘리베이트는 납품업체 직원의 인사자료 등 개인정보 파일을 외부로 전송하는 등 불필요한 정보를 과도하게 수집·처리한 사실이 적발됐다.

이에 개인정보위는 스타벅스 본사에 개인정보 처리 위탁 시 법령 준수와 수탁자 관리·감독 강화를 명령하고, 엘리베이트에는 법적 근거 없는 개인정보 처리를 중단하라고 시정명령을 내렸다.

아울러 스타벅스코리아는 이번 사안의 직접 당사자는 아니지만, 스타벅스 본사·엘리베이트·납품업체 등이 개인정보 보호법을 준수하도록 안내·협력할 것을 권고받았다.

나무위키에 대해서는 한국을 대상으로 서비스를 제공하는 것이 명백함에도 특정 국가의 법률이 적용된다고 주장하고, 수차례에 걸친 개인정보위의 자료 제출 요구에 불응했다. 이에 개인정보위는 나무위키를 수사기관에 고발했다.

mine124@news1.kr