제1장 개인정보의 수집 및 이용목적
제1조(목적) 이 지침은 관련법에 의거 장기요양기관인 본 시설과 대상자(수급자) 개인정보의 보호를 목적으로 한다.
제2조(정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. “개인정보”라 함은 생존하고 있는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향, 영상 및 생체특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함)를 말한다.
2. “서비스”라 함은 노인복지법, 노인장기요양보험법 의한 노인요양서비스를 말한다.
3. “서비스제공자”라 함은 위항에 의거 서비스를 제공하는 기관 또는 종사자를 말한 다
4. “대상자”라 함은 서비스제공자가 제공하는 서비스를 이용하는 자로서 처리되는 정 보에 의하여 식별이 되는 당해 정보의 주체를 말한다.
5. “제3자”라 함은 다음 각목에 해당하는 자 이외의 자연인, 법인, 단체로서 서비스제공자와 당해 서비스를 이용하는 자나. 서비스 제공자로 부터 개인정보의 수집, 취급, 관리 등을 위탁받은 자다. 영업의 양수, 합병, 상속 등에 의하여 서비스제공자로 부터 권리, 의무를 승계한자.
6. “개인정보보호방침”이라 함은 서비스제공자가 자체적으로 이용자의 개인정보를 보호하기 위하여 수립한 기본지침 및 계획 등을 말한다.
제3조(적용범위) 이 지침은 서비스 제공을 목적으로 개인정보를 통하여 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 서면 등 정보통신망 이외의 수단을 통하여 수집, 이용, 제공 또는 관리되는 개인정보에 관해서도 적용된다.
제4조(개인정보 보호를 위한 일반원칙)
1. 누구든지 자신의 의사에 반하여 자신의 개인정보가 위법하게 침해 되거나 공개되지 않을 권리를 가지며, 개인정보를 자율적으로 통제할 수 있어야 한다.
2. 개인정보를 수집, 이용, 제공 또는 관리하는 자는 제1항의 규정에 의한 개인정보보호 원칙을 따르고 개인정보를 보호하기 위하여 노력하여야 한다.
제5조(개인정보의 수집) 서비스제공자가 이용자로부터 개인정보를 수집하는 경우에는 당해 대상자의 동의를 얻어야 한다.
제2장 개인정보의 수집항목
제6조(수집 항목)
1. 항목
1) 서비스 제공자는 적법하고 공정한 수단에 의하여 서비스 계약의 성립 및 이행에 필요한 성명, 주소, 전화번호, 생년월일(주민등록번호), 장기요양인정번호 등 최소한의 개인 정보를 수집하여야 한다.
2) 서비스 제공자는 이용자의 기본적 인권을 현저하게 침해할 우려가 있는 다음 각 호의 내용을 포함하는 개인 정보를 수집하여서는 아니 된다.
다만, 이용자의 동의가 있는 경우 또는 법령의 규정에 의한 경우에는 예외로 한다.
① 인종 및 민족 ② 사상 및 신조
③ 출신지 및 본적지 ④ 정치적 성향 및 범죄 기록
2. 수집의 구분
1) 서비스 제공자가 이용자의 개인 정보를 수집하는 경우에는 기본적인 서비스 제공을 위하여 필요한 필수 항목과 부가적인 서비스 제공을 위하여 필요한 선택 항목으로 구분하여 이용자가 기입할 수 있도록 조치하여야 한다.
2) 서비스 제공자는 이용자가 선택 항목에 당해 정보를 기입하지 않은 이유로 기본적인 서비스 제공을 거부하여서는 아니 된다.
3. 동의
1) 서비스 제공자가 이용자의 개인정보를 수집하는 경우에는 개인정보 제공 동의서를 받아야 한다. 또한 기관에서 어르신 계약시마다 개인정보 제공 동의서를 받아 보관한다.
2) 제1항에 의한 동의는 당해 이용자의 서명 날인 또는 전자 서명, 전자 우편, 동의란에 대한 표시 등의 방법에 의한다.
제7조(고지 또는 명시) 서비스제공자는 대상자로부터 제5조의 규정에 의한 동의를 받고자 하는 경우에는 미리 다음 각 호의 사항을 서면 또는 인터넷 홈페이지 등을 통하여 내용을 쉽게 확인할 수 있도록 대상자에게 고지하거나 서비스 이용 약관에 명시하여야 한다.
1. 개인정보관리책임자의 성명, 소속, 부서, 지위, 전화번호, 전자주소 기타 연락처.
2. 개인정보의 구체적인 수집목적 및 이용목적.
3. 개인정보를 제3자에게 제공하는 경우의 제공받는 자, 주된 사업, 연락처, 제공목적 및 제공할 정보의 내용.
4. 동의 철회, 열람 또는 정정 요구 등 대상자 및 대리인의 권리와 그 행사
5. 서비스제공자가 수집하고자 하는 개인정보항목.
6. 수집하는 개인정보의 보유, 이용기간 및 법적근거 등 보유 이유.
제8조(개인정보 수집의 제한) 서비스제공자는 대상자의 기본적 인권을 현저하게 침해할 우려가 있는 내용을 포함하는 개인정보를 수집 하여서는 아니 된다. 다만, 법률에 수집대상 개인정보가 명시되어 있거나 서비스 제공에 직접적으로 관련되어 필요한 경우로서 대상자의 동의가 있는 경우에는 예외로 한다.
제3장 보유 및 이용기간
제9조(이용 및 제공의 제한) 개인정보는 동의를 통하여 이용하며, 서비스 제공자는 개인정보를 관련 규정 명시한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니 된다. 단, 외부요청 시 내부결제 하에 공문화하여 제공한다.
1. 이용, 제공의 제한
1) 서비스 제공자는 이용자의 개인정보를 본 지침에 명시한 범위를 초과하여 이용하거나 제 3자에게 제공할 수 없다. 다만, 다음 각 호에 해당하는 경우에는 예외로 한다.
① 금융 실명 거래 및 비밀 보장에 관한 법률, 신용 정보의 이용 및 보호에 관한 법률, 전기 통신 기본법, 전기 통신 사업법, 지방세법, 소비자 보호법, 한국은행법, 형사 소송법, 등 법령에 특별한 규칙이 있는 경우
② 이용자에게 각종 서비스(의료, 간호, 재활 등)를 제공에 필요한 경우
③ 서비스 제공에 따른 비용 정산을 위하여 필요한 경우
④ 통계 작성·학술 연구 또는 시장 조사를 위하여 필요한 경우로서 특정 개인을 식별할 수 없는 형태로 제공하는 경우
2) 서비스 제공자가 본 지침에서 고지 또는 명시한 범위를 초과하여 이용자의 개인 정보를 이용하거나 제3자에게 제공하고자 하는 경우에는 반드시 당해 이용자에게 개별적으로 서면이나 유선으로 통지하여 동의를 받아야 하며, 이 경우 고지 또는 명시한 범위를 초과하여 이용하거나, 제3자에게 제공하는 것을 거절할 수 있음을 이용자에게 알려야 한다.
3) 서비스 제공자로부터 이용자의 개인 정보를 제공받은 자는 당해 이용자의 동의가 있거나 법률에 특별한 규정이 있는 경우를 제외하고는 개인 정보를 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공하여서는 아니 된다.
2. 수집 정보의 활용 범위 및 이용목적
1) 대상자 급여 관련에 필요한 정보의 활용
2) 제공기관 간의 서비스 연계와 관련사항에 관한 대상자 정보 제공
3) 관련기관 정보제공 요청 시 제공
4) 장기요양 계획, 욕구조사, 장기요양 서비스 질 수준 향상 등에 활용
제10조(개인정보 취급자의 제한) 서비스제공자등은 대상자의 개인정보를 취급할 수 있는 자를 정하여 최소한으로 제한하여야 한다.
제11조(비밀유지) 서비스의 제공을 위하여 이용자의 개인정보를 취급하거나 취급하였던 자는 직무상 알게 된 개인정보를 훼손, 침해 또는 누설하여서는 아니 된다.
제12조(개인정보의 정확성 확보) 서비스제공자등은 대상자의 개인정보를 정확하고 최신의 상태로 관리하여야 한다.
제13조(관리적 보호조치)
1. 서비스제공자등은 대상자의 개인정보에 대한 접근 및 관리에 필요한 절차 등을
마련하여 소속 직원으로 하여금 이를 숙지하고 준수하도록 하여야 한다.
2. 서비스제공자등은 컴퓨터를 이용하여 대상자의 개인정보를 처리하는 경우에는 개인 정보에 대한 접근권한을 가진 담당자를 지정하여 식별부호(ID) 및 비밀번호를 부여하여야 한다. 이 경우 서비스제공자 등은 해당 비밀번호를 정기적으로 갱신하여야 한다.
3. 보유 및 이용기간
1) 대상자의 개인정보 보유기간은 노인장기요양보험법 시행규칙에 따라 개인정보 문서는 5년간 보존하며, 개인정보의 이용 기간은 인정서 유효기간 내로 함.
2) 계약만료 또는 계약해지 시 보유하고 있는 개인정보를 지체없이 파기합니다.
단, 보유 기간 만료 전 개인 정보 수집·이용 동의서를 재작성하여 개인 정보의 보유 및 이용 기간을 연장할 수 있습니다.
4. 기술적 대책
서비스 제공자는 이용자의 개인정보를 취급함에 있어서 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 다음 각 호의 기술적 대책을 강구하여야 한다.
1) 비밀번호 등을 이용한 보안장치
2) 백신 프로그램을 이용한 컴퓨터 바이러스 방지장치
3) 수급자 파일 관리함 잠금장치
5. 관리적 대책
1) 서비스 제공자는 이용자의 개인 정보에 대한 접근 및 관리 시 지침을 숙지한다.
2) 서비스 제공자는 이용자의 개인 정보를 처리하는 시스템의 사용자를 지정하여 사용자 비밀번호를 부여하고 이를 정기적으로 갱신하여야 한다.
제14조(개인정보의 파기) 서비스제공자등은 개인정보의 수집목적 또는 제공받는 목적을 달성한 때에는 당해 개인정보를 지체 없이 파기 하여야 한다.
1) 서비스 제공자 또는 서비스 제공자로부터 개인정보를 제공받은 자는 개인정보의 수집 목적 또는 제공받은 목적을 달성한 때에는 당해 개인 정보를 지체없이 파기하여야 한다. 다만, 다음 각 호에 해당하는 경우에는 예외로 한다.
① 상법 등 법령의 규정에 의하여 보존할 필요성이 있는 경우
② 규정에 의하여 보유기간을 미리 이용자에게 고지하거나 명시한 경우
③ 개별적으로 이용자의 동의를 받은 경우
2) 개인 정보를 파기할 경우에는 종이에 출력된 개인 정보는 분쇄기로 분쇄하거나 소각하고, 전자적 파일 형태로 저장된 개인 정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제하여야 한다.
1. 개인정보의 위탁처리에 관한 조치
1) 서비스 제공자가 개인정보 처리를 외부에 위탁하는 경우에는 이용자의 동의를 받아야한다.
2) 위탁하는 경우에는 이 지침을 준수할 수 있는 자를 선정하여야 한다.
3) 위탁하는 경우에는 위탁 계약 등을 통하여 서비스 제공자의 개인정보 보호 관련 지시 엄수, 개인 정보에 관한 비밀 유지, 제3자 제공의 금지 및 사고시의 책임 부담 등을 명확히 규정하고 당해 계약 내용을 서면 또는 전자적 기록으로 보존하여야 한다.
제4장 이용자의 권리
제15조(동의의 철회) 서비스제공자 등은 대상자가 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용자 ID 등을 이용하여 개인정보의 수집, 이용 또는 제공에 대한 동의를 철회하는 경우에는 본인 여부를 확인하고 법령에 다르게 규정하고 있는 경우를 제외하고는 당해 개인정보를 파기하는 등 지체 없이 필요한 조치를 취하여야 한다.
제16조(열람요구에 대한 조치) 서비스제공자등은 대상자가 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용자 ID 등을 이용하여 자신의 개인정보에 대한 열람 또는 정정을 요구하는 경우에는 본인 여부를 확인하고 지체 없이 필요한 조치를 취하여야 한다.
제5장 보 칙
제17조(교육) 서비스제공자등은 개인정보의 수집 또는 관리업무를 담당하는 직원에게 대상자의 개인정보를 보호하기 위하여 필요한 교육을 실시하여야 한다.
1. 서비스 제공자는 이용자의 개인 정보를 보호하기 위하여 개인 정보에 관한 연간 교육을 세워 직원에 연 1회 이상 교육을 실시한다.
2. 서비스 제공자는 교육을 자체적으로 실시하거나 해당 분야의 전문 기관에 위탁하여 실시할 수 있다.
제18조(고충처리) 서비스제공자등은 전화, 서면, 전자우편 또는 인터넷 홈페이지 등을 통하여 개인정보와 관련한 이용자의 의견을 수렴하고 불만사항을 접수하여 이를 처리 하여야 한다.
제19조(비밀 등의 보호) 누구든지 정보통신망에 의하여 처리, 보관, 또는 전송되는 타인의 개인정보를 훼손하거나 공개를 원하지 않는 타인의 개인정보를 침해, 도용 또는 누설하여서는 아니 된다.
제20조(개인 정보 관리 책임자의 지정 및 책임)
1. 서비스 제공자는 이용자의 개인정보를 보호하기 위하여 개인정보 관리 책임자를 기관장으로 한다.
2. 개인 정보 관리 책임자는 이 지침을 준수하기 위한 제반 조치를 실시할 책임을 진다.
제21조(개인정보 보관함)
서비스 제공자는 이용자의 개인정보가 담긴 파일을 잠금장치가 되어 있는 보관함에
반드시 보관, 관리하며 개인정보 관리자의 허락 후 열람이 가능하다.
개인정보보호 부록
요양보호대상자 개인정보보호에 대한 지침서
요양보호대상자에게 적절한 서비스를 제공하기 위하여 대상자의 욕구를 파악하고 정보를 수집하는 일은 앞으로 취해질 서비스를 계획하고 평가하는 요양보호실천과정상 매우 중요하다.
또한 수집된 개인의 정보관리는 대상자의 사생활 보호와 함께 중요하게 고려되어져야 한다.
이에 시설은 정보의 처리 또는 송·수신 기능을 가진 장치에 의하여 처리되는 개인정보의 보호를 위하여 그 취급에 관하여 필요한 사항을 정함으로써 공공업무의 적정한 수행을 도모함과 아울러 어르신들의 권리와 이익을 보호하도록 한다.
1. 개인정보란?
개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보를 말한다. 우리나라의 민간분야 개인정보보호를 규율하고 있는 「정보통신망이용촉진및정보보호등에관한법률」제2조에서는 개인정보를 “생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보를 말한다”라고 규정하고 있다.
개인정보의 구체적인 예는 다음과 같다.
1) 신분관계 - 성명, 주민등록번호, 주소, 본적, 가족관계, 본관 등
2) 내면의 비밀 - 사상, 신조, 종교, 가치관, 정치적 성향 등
3) 심신의 상태 - 건강상태, 신장, 체중 등 신체적 특징, 병력, 장애정도 등
4) 사회경력 - 학력, 직업, 자격, 전과 여부 등
5) 경제관계 - 소득규모, 재산보유상황, 거래내역, 신용정보, 채권채무관계 등
6) 기타 새로운 유형 - 생체인식정보(지문, 홍채, DNA 등), 위치정보 등
2. 개인정보 침해유형
구분
침 해 유 형
법 률 근 거
1
이용자 동의 없는 개인정보수집
정보보호법 제22조제1항
2
개인정보 수집 시 고지 또는 명시의무 불이행
정보보호법 제22조제2항
3
과도한 개인정보 수집
정보보호법 제23조
4
고지ㆍ명시한 범위를 초과한 목적 외 이용 또는 제3자 제공
정보보호법 제24조
정보보호법 제24조의2
5
개인정보취급자에 의한 훼손ㆍ침해 또는 누설
정보보호법 제28조의2
6
개인정보처리 위탁 시 고지의무 불이행
정보보호법 제25조제1항
7
개인정보관리책임자 미지정
정보보호법 제27조제1항
8
개인정보보호 기술적ㆍ관리적 조치 미비
정보보호법 제28조
9
수집 또는 제공받은 목적달성 후 개인정보 미파기
정보보호법 제29조
10
동의철회ㆍ열람 또는 정정요구 등 불응
정보보호법 제30조 제1항 및 제2항
11
영리목적의 광고성 정보전송
정보보호법 제50조 내지 제50조의5
12
타인정보의 훼손ㆍ침해ㆍ도용
정보보호법 제49조
요양시설 수급자 정보보호를 위한 지침
1. 개인정보의 수집 및 처리
?사상·신조 등 개인의 기본적 인권을 현저하게 침해할 우려가 있는 개인정보는 수집하지아니한다.
다만, 정보주체의 동의가 있거나 수집대상 개인정보가 명시되어 있는 경우에는 그러하지 아니하다.
?업무를 수행하기 위하여 필요한 범위 안에서 개인정보파일을 보유할 수 있다.
본 기관은 보유목적에 따라 처리정보를 이용하게 하거나 제공하는 경우에도 업무수행에 필요한 최소한의 범위로 그 이용 또는 제공을 제한하여야 한다.
?어르신의 개인정보의 처리를 행하는 직원이나 직원이었던 자 또는 공공기관으로부터 개인정도의 처리업무를 위탁받아 그 업무에 종사하거나 종사하였던 자는 직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 안된다.
?정보주체의 동의에 의해 정보를 수집할 경우 사전에 수집목적, 보유기간, 이용범위, 목적달성 후 처리방법 및 이의제기 절차 등에 대한 충분한 사전설명 후 수집한다.
2. 기록관리
?어르신의 사생활을 보호해야 한다. 케어를 위한 기록은 개인 정보가 많이 포함되어 있다. 그러므로 케어에 관련된 자가 아닌 제 3자에게 노출되지 않도록 해야 한다.
?대상자의 비밀보장은 매우 중요하므로 기록관리를 철저히 하고, 기록 시 대상자의 동의를 구하며 대상자가 기록을 보여 달라고 요청하면 보여주어야 한다.
3. 정보열람 및 조회범위
?외부에 요양보호대상자의 정보를 반출이나 복사를 하지 않는 것이 원칙이다. 사례집단회의를 위해 복사했다면 회의 종료 후 반드시 회수하고, 다른 곳에서 사례를 사용한다면 그 개인이 누구인지 알아 볼 수 있는 정보는 삭제하도록 한다.
4. 정보외부유출
?외부방문객 등이 사전 대상자 동의 없이 사진? 비디오촬영으로 어르신의 초상권 침해의 우려 시 직원은 촬영을 저지해야 할 의무가 있으며 대상자 동의 없이 어떠한 영리목적의 정보이용을 금한다.
?센터에서 외부로 유출되는 사진이나 동영상 촬영 시 대상자에게 사용처 에 대한 자세한 설명과 함께 동의를 구한다.
5. 정보기록의 보관
?많은 대상자의 개인 정보가 포함되어 있는 기록을 보관하기 위해서는 관리자를 정하고 그 관리자는 자물쇠가 있는 일정장소에 기록을 보관한다. 그리고 요양보호에 관련된 자가 필요한 기록을 꺼낼 수 있도록 항상 정리 정돈된 상태로 보관하여 관리한다.
6. 개인정보 기록물 등의 폐기 시 주의사항
?전자매체에 수록된 개인정보 폐기
(개인정보화일 삭제 및 파기 시 철저한 덧씌우기 등 재생이 불가토록 조치)
?출력물로 나타난 개인정보 폐기
( 폐·휴지 수집업자에 출력물의 원형으로 매각 등 금지, 직접 파쇄 조치 후 매각)
