개인정보 보호 지침
제1장 총 칙
제1조(목적) 이 지침의 목적은 입소 어르신 및 그 보호자가 마더링케어요양원(이하 ‘시설’이라 한다)에 개인정보를 제공하거나 시설이 취득한 개인정보를 보호하기 위한 제반 업무를 규정함에 있다.
제2조(용어 정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1.“개인정보”라 함은 생존하고 있는 개인에 관한 정보로서 성명․주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호․문자․음성․음향․영상 및 생체특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼수없는경우에도다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함)를 말한다.
2. “서비스” 라 함은 노인복지법, 노인장기요양보험법 의한 노인요양서비스를 말한다.
3. “서비스제공자”라 함은 위항에 의거 서비스를 제공하는 기관 또는 종사자를 말한다.
4. “이용자”라 함은 서비스제공자가 제공하는 서비스를 이용하는 자로서 처리되는 정보에 의하여 식별이 되는 당해 정보의 주체를 말한다.
5. “제3자”라 함은 다음 각목에 해당하는 자 이외의 자연인, 법인, 단체로서
서비스제공자와 당해 서비스를 이용하는 자
나.서비스제공자로부터 개인정보의 수집․취급․관리 등을 위탁받은 자
다. 영업의 양수, 합병, 상속 등에 의하여 서비스제공자로부터 권리․의무를 승계한 자
6. “개인정보보호방침”이라 함은 서비스제공자가 자체적으로 이용자의 개인정보를 보호하기 위하여 수립한 기본지침 및 계획 등을 말한다.
제3조(적용범위) 이 지침은 서비스 제공을 목적으로 개인정보를 통하여 수집․이용․제공 또는 관리되는 개인정보뿐만 아니라 서면 등 정보통신망 이외의 수단을 통하여 수집․이용․제공 또는 관리되는 개인정보에 관해서도 적용된다.
제4조(개인정보 보호를 위한 일반원칙) ①누구든지 자신의 의사에 반하여 자신의 개인정보가 위법하게 침해되거나 공개되지 않을 권리를 가지며, 개인정보를 자율적으로 통제할 수 있어야 한다.
②개인정보를 수집, 이용, 제공 또는 관리하는 자는 제1항의 규정에 의한 개인정보보호 원칙을 따르고 개인정보를 보호하기 위하여 노력하여야 한다.
제2장 개인정보의 수집
제5조(개인정보의 수집 목적) 시설의 어르신 및 그 보호자에 관한 특정 개인을 식별할 수 있는 정보(예: 이름, 주민등록번호, 주소, 연락처, 이메일주소 등)와 치료 및 요양에 필요한 정보(시설이 보호자에게 전달한 사항, 불만처리 내용 등을 포함)를 수집하여 어르신의 요양전반 및 의료서비스에 이용할 수 있으며, 정보이용에 동의된 경우에 한한다.
제6조(개인정보의 수집 동의)서비스제공자가 이용자로부터 개인정보를 수집하는 경우에는 당해 이용자에게 수집과 이용목적을 설명하고 동의를 얻어야 한다.
제7조(고지 또는 명시) 서비스제공자는 이용자로부터 제5조의 규정에 의한 동의를 받고자 하는 경우에는 미리 다음 각 호의 사항을 서면 또는 인터넷 홈페이지 등을 통하여 내용을 쉽게 확인할 수 있도록 이용자에게 고지하거나 서비스 이용약관에 명시하여야 한다.
①개인정보관리책임자의 성명․소속 부서․지위․전화번호․전자주소 기타 연락처
② 개인정보의 구체적인 수집목적 및 이용목적
③ 개인정보를 제3자에게 제공하는 경우의 제공받는 자, 주된 사업, 연락처, 제공목적 및 제 공할 정보의 내용
④동의 철회, 열람 또는 정정 요구 등 이용자 및 대리인의 권리와 그 행사
⑤ 서비스제공자가 수집하고자 하는 개인정보항목
⑥ 수집하는 개인정보의 보유․이용기간 및 법적근거 등 보유이유
제8조(개인정보의 정확성 확보) 서비스제공자 등은 이용자의 개인정보를 정확하고 최신의 상태로 관리하여야 한다.
제9조(개인정보 수집의 제한) 서비스제공자는 이용자의 기본적 인권을 현저하게 침해할 우려가 있는 내용을 포함하는 개인정보를 수집하여서는 아니 된다. 다만, 법률에 수집대상 개인정보가 명시되어 있거나 서비스 제공에 직접적으로 관련되어 필요한 경우로서 이용자의 동의가 있는 경우에는 예외로 한다.
제3장 개인정보의 이용 및 제공
제10조(수집한 개인정보의 이용 및 제공) 시설은 어르신의 개인정보를 치료 및 요양의 범위 내에서만 사용하며 어르신의 사전 동의 없이는 동 범위를 초과하여 이용하거나 외부에 공개하지 못한다. 다만, 병원진료 및 요양을 위하여 부득이한 경우 어르신의 개인정보를 제3자에게 제공할 수 있다. 이 경우에는 미리 그 사실을 이용자들에게 공지하여야 한다.
제11조(이용 및 제공의 제한) 개인정보는 동의를 통하여 이용하며, 서비스제공자는 개인정보를 관련 규정 명시한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니 된다.
제12조(수집한 개인정보의 보유 및 이용기간) 시설은 어르신이 시설을 이용하는 동안 개인정보를 계속적으로 보유하여 서비스 제공시 활용하며, 퇴소 시에는 모든 기록을 인가된 자만이 열람이나 이용할 수 있도록 별도 보관 관리하여야 한다. 수집한 개인정보의 최대 보유기간은 5년으로 한다.
제4장 개인정보의 열람
제13조(개별 파일에 대한 열람청구)
① 본인 청구 시 사본제공을 요하는 경우 또는 제3자와 관련사항(진정, 신고 등)이 있는 정 보를 제외하고는 열람결정통지서를 생략하고 즉시 열람 조치한다(단, 법령상 제한이 있 는 경우 제외).
② 사본제공의 경우 정보주체(본인)에게 불이익이 돌아올 수 있다는 내용을 다시 한번 주 지한 후 제공한다.
제14조(열람 장소의 지정) 원칙적으로 시설 내에서만 열람을 허용한다(외부유출 원칙적으로 금지).
① 개인정보를 실제 보유하고 있는 기관의 개인정보파일 사용부서 또는 민원실 등 일정한 사무 공간으로 한정한다.
② 개인정보 파일대장 사본의 전부 또는 일부를 비치한다.
③서비스제공자 등은 이용자가 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용자 ID 등을 이용하여 자신의 개인정보에 대한 열람 또는 정정을 요구하는 경우에는 본인 여부를 확인하고 지체 없이 필요한 조치를 취하여야 한다.
제5장 개인정보의 보호 및 보호를 위한 조치사항
제15조(개인정보 취급자의 제한)서비스제공자 등은 이용자의 개인정보를 취급할 수 있는 자를 정하여 최소한으로 제한하여야 한다.
제16조(비밀유지 및 보호)시설은 어르신(보호자)의 사전 동의 없이는 개인정보를 함부로 침해, 도용, 공개하지 않으며, 직원은 병원진료 및 요양업무, 그리고 국가기관 및 관련 기관에서 통계를 목적으로 수집하는 경우를 제외하고는 개인정보를 수집 및 이용할 수 없다. 또한 누구든지 정보통신망에 의하여 처리, 보관 또는 전송되는 타인의 개인정보를 훼손하거나 공개를 원하지 않는 타인의 개인정보를 누설하여서는 아니 된다.
제17조(관리적 보호조치) ①서비스제공자 등은 이용자의 개인정보에 대한 접근 및 관리에 필요한 절차 등을 마련하여 소속 직원으로 하여금 이를 숙지하고 준수하도록 하여야 한다.
②서비스제공자 등은 컴퓨터를 이용하여 이용자의 개인정보를 처리하는 경우에는 개인정보에 대한 접근권한을 가진 담당자를 지정하여 식별부호(ID) 및 비밀번호를 부여하여야 한다. 이 경우 서비스제공자 등은 해당 비밀번호를 정기적으로 갱신하여야 한다.
제18조(관리대책) 시설은 어르신들의 개인정보를 취급함에 있어 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 않도록 다음과 같은 조치를 취한다.
① 어르신들의 개인정보는 철저히 보호, 취급한다.
② 시설은 개인정보가 유출되는 것을 막기 위해 최선의 노력을 기울여야 한다.
③ 시설의 개인정보관련 취급 직원은 담당자에 한정시켜 개인정보에 대한 접근권한을 제한, 관리하여야 한다.
④ 법인의 대표자 또는 법인이나 개인의 대리인ㆍ사용인 기타 종업원이 그 법인이나 개인의 업무에 관하여 제23조 제2항 및 제3항의 위반행위를 한 때에는 행위자를 벌하는 외에 그 법인 또는 개인에 대하여도 동조의 벌금형을 과한다.
제19조(개인정보 보호 책임관의 지정·운영) 입소자의 개인정보를 보호하기 위하여 개인정보관리책임자, 담당자를 임명한다.
가) 총괄책임관의 임무
① 시설내의 개인정보침해신고 접수 및 처리.
② 시설의 개인정보보호계획 및 방침 수립.
③ 개인정보 보유부서의 사용자권한 설정 및 제반 보호 장치가 잘 운영되고 있는지 여부 확인·감독.
④ 관련 부서 내 개인정보 관리실태의 확인·감독.
⑤ 각종 개인정보보호 관련 통계 및 자료 취합.
⑥ 기타 개인정보 보호를 위해 필요한 사항 등.
나) 부서별 책임관 및 주요책임관
① 해당 컴퓨터 시스템을 이용(단말기제공 등)하는 제반 부서의 개인정보 취급자에 대한 개인정보 보호업무의 지도․감독.
② 개인정보 처리시스템의 사용자 권한설정 등 제반보호 장치에 관한 사항의 확인․ 감독.
③ 시스템 로그 파일 등 접속기록의 주기적인 분석 및 오․남용 사고의 예방.
④ 기타 소관분야별 개인정보 보호를 위해 필요한 사항 등.
※ 개인정보보호책임관은 위 임무수행 목적의 달성에 필요한 경우 이 외에는 개인 정보에 접근하거나 직접 취급할 수 없도록 함.
제20조(개인정보 보호를 위한 준수사항)
가) 개인정보의 수집 및 보유 등에 있어 준수사항
- 반드시 법령에 근거하거나 정보주체의 동의에 의함.
「필요한 범위」
① 당해 파일의 보유가 소관업무 수행에 필요할 뿐 아니라 기록항목, 개인정보의 범위, 보 유(폐기)기간도 필요한 범위내로 한정.
② 당해 개인정보를 수집․처리함으로써 개인이 입는 사생활 침해와 그로 인해 얻는 공익상 의 목적달성 사이에 비례관계 유지.
「필요성에 대한 판단권자」
- 시설의 장 및 총괄책임자 판단
① 정보주체의 동의에 의해 수집할 경우 사전에 수집목적, 보유기간, 이용범위, 목적달성 후 처리방법 및 이의제기 절차 등에 대한 충분한 사전설명 후 수집. 이 경우 보유기간 을 초과하여 보유하고자 할 때에는 정보주체의 동의 필요.
② 수집한 개인정보는 수집목적을 달성한 즉시 폐기하되, 그 원 형태 및 수록된 데이터를 식별할 수 없도록 파쇄기 또는 소각의 방법 등을 통해 폐기. 단, 법령에 보유기간 등이 명시되어 있는 경우에는 예외.
나) 개인정보의 이용 및 제공시 지켜야 할 사항
① 기관 내 부서간의 개인정보이용 또는 조회는 법령에 근거하거나 소관업무를 수행하기 위해 필요한 최소한의 범위로 제한.
※ 수집당시의 배경․기준 등에 대한 이해부족 또는 부분정보의 이용에 따른 오판 등으로 정보주체의 권익 침해 가능성 상존.
② 정보주체의 동의 없이 개인정보를 수집하거나 보유목적 외 또는 보유목적에 맞더라도 권한을 넘어서는 부당한 목적으로 내부직원 등이 이용 또는 조회하지 못하도록 엄격하 게 관리.
③ 타 기관 제공은 사전에 다음 사항을 확인 후 종합적으로 판단
- 법령상 요청 근거 또는 이용 목적.
- 요청목적에 따른 제공항목의 적정성.
- 적절한 보안대책 강구.
제21조(개인정보 취급자 등의 교육) 서비스제공자 등은 개인정보의 수집 또는 관리업무를 담당하는 직원에게 이용자의 개인정보를 보호하기 위하여 필요한 교육을 년1회 이상 실시하여야 한다. 교육은 정기적인 보안교육과 수시교육으로 구분하여 실시한다.
- 정기교육 : 기존 직원 또는 개인정보 관리자에 대하여 년1회 실시한다.
- 수시교육 : 신규로 개인정보를 취급하게 된 경우, 특별히 유출방지 등의 예방을 필요로 하는 경우에 실시한다.
제6장 이용자의 권리
제22조(개인정보 동의의 철회) 서비스제공자 등은 이용자가 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용자 ID 등을 이용하여 개인정보의 수집, 이용 또는 제공에 대한 동의를 철회하는 경우에는 본인 여부를 확인하고 법령에 다르게 규정하고 있는 경우를 제외하고는 당해 개인정보를 파기하는 등 지체 없이 필요한 조치를 취하여야 한다.
제7장 개인정보의 파기
제23조(개인정보의 파기) 서비스제공자 등은 개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 당해 개인정보를 지체 없이 파기하여야 한다.
제24조(개인정보 기록물 등의 폐기시 주의사항)
가) 전자매체에 수록된 개인정보 폐기
① 파일 복구 기술이 발달되고 있는 점을 감안, 개인정보파일 삭제 및 파기시 철저한 덧씌 우기 등 재생이 불가토록 조치.
※ 컴퓨터 등의 불용처분 및 매각 시 저장된 내용의 완전삭제.
② 출력물로 나타난 개인정보 폐기
- 매각 시 재생지 용도로만 활용.
- 폐․휴지 수집업자에 출력물의 원형으로 매각 등 금지(원형으로 매각할 경우에는 제지공 장의 용해작업을 현장 확인).
- 직접 파쇄 조치 후 매각.
※ 매각 및 처리를 위탁할 경우에는 사전에 대책 강구.
제8장 보 칙
제25조(개인정보의 비밀보장에 대한 근거)
가) 정신보건법에 의한 정신보건시설
- 제1장 제6조(정신보건시설의 설치운영자의 의무).
- 제1장 제6조의2(인권교육).
- 제3장 보호 및 치료 (보호의무자 관련사항).
- 제5장 권익보호 및 지원 등, 제41조(권익보호), 제42조(비밀누설의 금지) 등.
※ 정신보건법, 시행령, 시행규칙에 따른 세부근거 적용 마련.
나) 정신보건법 적용 외 다른 지침과의 관계
① 컴퓨터에 의하여 처리되는 개인정보의 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법이 정하는 바에 의한다.
② 컴퓨터에 의하여 처리되는 개인정보 중 통계법에 의하여 수집되는 개인정보와 국가 안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보의 보호 에 관하여는 이 법을 적용하지 아니한다.
제26조(지침의 변경) 이 지침은 관련 제반 법령이나 시설의 내부방침 변경 등으로 인하여 변경될 수 있으며, 변경하는 경우 시설은 변경된 내용을 즉시 입소 어르신 및 그 보호자에게 알린다.
제27조(고충처리) 서비스제공자 등은 전화, 서면, 전자우편 또는 인터넷 홈페이지 등을 통하여 개인정보와 관련한 이용자의 의견을 수렴하고 불만사항을 접수하여 이를 처리하여야 한다.
부 칙
제1조(시행일) 이 지침은 발령일부터 시행한다.
