个人信息被用于目的外用途、违反代理人同意等
麦当劳、Twosome Place等7家公司被处以罚金
个人信息保护委员会表示,12日召开第三次全体会议,针对食品饮料领域10家经营者违反《个人信息保护法》的行为,合计处以15.6亿韩元的罚款和1.113亿韩元的罚金,并下达整改及公开处分命令。
在相关经营者中,平台企业有3家,分别为 Ward(Catch Table)、Tabling(Tabling)、Yanolja F&B Solution(Dodo Point·Now Waiting)。加盟连锁企业有7家,分别为 SCK Company(星巴克)、BKR(汉堡王)、MGC Global(Mega MGC Coffee)、Korea McDonald’s(麦当劳)、Twosome Place(Twosome Place)、EDIYA(EDIYA)、The Born Korea(百咖啡)。
个人信息保护委员会解释称,近期随着融合信息通信技术的远程预约、排队等候及自助终端点单等大规模处理个人信息的服务扩散,委员会对食品饮料领域的个人信息处理实态进行了调查。
调查结果显示,平台经营者在联动线上线下收集的个人信息时,将远程预约及现场等候顾客的个人信息在对外暴露的状态下进行运营。由于应用程序接口(Application Programming Interface,API)设计和运营不到位,忽视了访问控制。其中也包括 Korea McDonald’s。
加盟连锁经营者在将个人信息处理业务委托给第三方时,对受托方的管理和监督不到位。此外,在处理超过100万人的个人信息的情况下,也未定期告知个人信息收集、利用和提供的明细。
具体来看,BKR在未取得法定代理人同意的情况下,收集并利用了未满14周岁儿童的个人信息,因此被处以9.24亿韩元的罚款。MGC Global被处以6.42亿韩元罚款,原因是即便会员在注册时不同意将其信息用于营销,也被系统自动处理为同意,从而向其发送营销信息(应用推送)。
Twosome Place因在门店点单时必须输入手机号码方可完成点单和支付的服务运营方式而被指出问题。The Born Korea在会员注册时,将关于营销、定制化服务等单独同意事项一并笼统获取,同样被查明对个人信息处理受托方的管理和监督不力。
个人信息保护委员会表示:“此外,大部分经营者在个人信息保存期限届满或处理目的达成后,仍未予以销毁而继续保存”,“还确认到其忽视了管理访问权限、实施访问控制、保存访问记录等安全措施义务。”
委员会接着表示:“本次调查和处分在于事先清除潜在的个人信息侵害因素,最大限度减少因信息泄露事故带来的社会成本和损失,意义重大”,并补充称,“敦促各方切实落实对儿童、青少年的个人信息特别保护,以及对不必要个人信息的即时销毁等要求。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
