개보위, 美 스타벅스 본사에 시정명령⋯“개인정보 과도 수집”

▲지난 26일 서울 종로구 정부서울청사에서 2025년 가 열리고 있다. (연합뉴스)

개인정보보호위원회가 국내 납품업체 직원들의 개인정보를 과도하게 수집·처리한 사실이 확인된 스타벅스 본사와 홍콩 소재 수탁업체 엘리베이트(Elevate)에 대해 시정명령을 내렸다고 27일 밝혔다.

개인정보위는 전 제24회 전체회의를 열고 개인정보를 과다 수집하고 처리한 스타벅스 본사와 수탁자인 엘리베이트에 대해 이같이 의결했다.

개인정보위는 외국 회사라도 한국의 개인정보를 처리하고 있는 사업자라면 제재를 내릴 수 있다. 개인정보위는 2023년 2월 스타벅스가 국내 납품업체 직원들의 개인정보를 과도하게 요구한다는 언론보도와 민원에 따라 스타벅스 관계사를 대상으로 조사를 진행했다.

조사 결과 스타벅스 본사가 개인정보 수탁 업무인 윤리구매 프로그램에 대한 관리·감독을 미흡하게 했고, 엘리베이트가 한국 정보주체의 개인정보를 불필요하게 과도히 처리한 사실이 확인됐다.

스타벅스 본사는 납품업체 등과의 동반 성장을 추진하고 윤리적으로 생산된 제품을 조달하기 위해 윤리구매 프로그램을 운영하고 있다. 이 프로그램은 근로자 건강·안전과 권리보장, 근무시간 및 보상체계, 환경 보호 등을 기준으로 근로자 연령, 법정 근로시간 준수, 최저임금 보장 여부 등을 평가한다.

2023년 언론보도 당시 한국 내 윤리구매 프로그램 수행은 스타벅스 본사와 계약한 엘리베이트가 담당했다. 개인정보위에 따르면 스타벅스 본사는 윤리구매 평가 업무를 엘리베이트에 위탁하면서 개인정보 보호법에서 정한 사항을 모두 포함해 위탁 계약을 체결하지 않았다.

또한 수탁자에 대한 교육·감독 의무가 있음에도 인사자료, 임금 및 출퇴근 시간 기록표 등 개인정보를 처리하는 엘리베이트에 대한 관리·감독을 소홀히 한 것으로 드러났다.

윤리구매 평가 업무를 위탁받은 엘리베이트는 납품업체 직원 인사자료 등 다수의 개인정보 파일을 납품업체 외부로 전송하는 등 개인정보를 과도하게 수집·처리한 것으로 확인됐다.

이에 개인정보위는 스타벅스 본사에 개인정보 처리 업무 위탁시 개인정보 보호법을 준수하고 수탁자를 관리·감독하라고 시정명령했다. 엘리베이트에는 법적 근거 없이 개인정보를 처리하지 말라고 명령했다.

개인정보위는 시정명령 이행결과를 모니터링하고 불이행 시 과태료를 부과할 예정이다. 시정명령 불이행 시 부과되는 과태료는 최대 3000만 원 이하다.

스타벅스코리아는 이번 사안과 직접적인 관련은 없었으나, 개인정보위는 스타벅스 본사, 엘리베이트 및 평가를 받는 납품업체 등에 개인정보 보호법을 준수하는 데 필요한 내용을 안내하고 협력하도록 권고했다.