제1조 【목적】
「개인정보보호법」에 따라 재가장기요양급여 제공 중 얻게 되는 수급자의 개인정보를 보호하기 위해 수행해야 할 개인정보보호 활동을 규정하는 것을 그 목적으로 한다.
제2조 【정의】
1. 개인정보
개인정보란 살아있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)
2. 개인정보파일
타인이 쉽게 검색 가능하도록 체계적으로 배열 또는 구성한 개인정보의 집합물(기관의 수급자 서류철 등).
3. 개인정보보호 대상
서류, 정보시스템, PC, 영상정보처리기기 등에서 업무상 필요에 의하여 처리되고 있는 개인정보.
제3조 【개인정보 관리책임자 선정】
1. 기관은 수집한 개인정보를 일괄적으로 관리하고 정보를 보호할 책임자(이하 ‘개인정보 관리책임자’라함)를 선정한다.
2. 개인정보 관리책임자는 업무분장에 표기된 관리자 또는 관리책임자로 분류되는 사회복지사 또는 요양보호사, 시설장을 그 책임자로 선정한다.
3. 시설장과 사회복지사가 아닌 경우 기관에서 2년 이상 근무한 요양보호사를 선정할 수 있다.
제4조 【개인정보 관리책임자】
1. 개인정보 관리책임자의 업무
① 개인정보보호 관련 지침 제·개정
② 개인정보보호 계획 수립 및 시행
③ 개인정보 처리 실태 점검 및 개선 권고
④ 개인정보 처리와 관련한 불만 처리 및 피해 구제
⑤ 개인정보 유출 및 오·남용 방지를 위한 교육 계획 수립 및 시행
⑥ 개인정보파일 및 대장 등록·파기 승인, 관리 감독
⑦ 개인정보보호 관련 자료 관리
⑧ 개인정보보호 교육 계획의 수립 및 시행
2. 개인정보 관리책임자는 개인정보보호를 위한 활동 전반을 담당하며 개인정보보호에 필요하다고 여겨지는 모든 활동에 대한 예산 및 지원을 시설장 등에게 요청할 수 있다.
제5조【수집 및 이용목적】
「개인정보보호법」 제15조(개인정보의 수집·이용)에 의해 기관은 수급자 및 직원에게 장기요양서비스 제공에 필요한 항목을 수집·이용한다.
1. 수급자
본인식별절차, 장기요양급여계약서 작성, 급여계획 수립을 위한 수급자 욕구사정, 국민건강보험공단 급여내용 통보서 작성 및 전송, 장기요양급여비용 청구, 지자체 및 국민건강보험공단 자료제출, 휴대전화 문자 메시지 발송, 팩스, 이메일, 전자적 자료제공, 장기요양사업 관련 전산 프로그램 사용, 본인부담금 자동이체(CMS) 신청시 계좌번호 등 결제정보 등
①장기요양 급여제공에 필요한 사항
② 제공기관 간의 서비스 연계와 관련사항에 관한 대상자 정보 제공
③ 관련기관 정보제공 요청 시 제공
④ 장기요양계획, 욕구조사, 장기요양서비스 질 수준 향상 등에 활용
⑤ 민원에 대한 사무처리 및 고지사항 전달 등을 위한 원활한 의사소통 경로의 확보
2. 직원
본인식별절차, 이력 및 인사관리, 지자체 및 국민건강보험공단 자료제출, 건강검진 결과 보관관리, 재직증명 등 제 증명 발급관리, 사회보험 및 민간보험 자료제출, 휴대전화 문자 메세지 발송, 급여, 직원현황, 연말정산에 대한 공공기관 등에 대한 자료 제출, 장기요양사업 관련 전산프로그램 사용, 경찰서 범죄사실 확인 등
① 채용, 재직, 퇴직 등의 단계별 인사처리
제6조 【개인정보 수집 항목】
「개인정보보호법」 제16조(개인정보의 수집 제한)에 의해 기관은 대상자 장기요양 급여제공 및 직원 관리 등을 위하여 최소한의 개인정보를 수집한다.
1. 수급자
① 고유 식별 정보: 주민등록번호
② 개인정보: 성명, 주소, 연락처, 이메일, 장기요양인정번호, 장기요양 등급, 장기요양인정유효기간, 이용 중인 장기요양급여종류, 혼인여부, 신체기능, 사회생활기능, 인지기능, 행동변화, 질병 및 증상, 영양상태, 이용 중인 지역사회자원, 가족 사항 및 환경, 보호자 정보
③ 이용료 수납(카드결제 시): 카드사명, 카드번호 등 결제 승인정보
2. 직원
① 고유 식별정보: 주민등록번호
② 개인정보: 성명, 주소, 연락처, 이메일, 자격·면허 정보, 교육이력, 서비스 제공이력, 건강검진, 제공인력 관리 서식에 명기된 항목 등(기본정보, 재직정보, 자격정보, 급여정보, 금융정보)
제7조 【개인정보 이용 시 의무】
1. 정보 제공자(수급자)의 의무
기관에 정보를 제공하는 자는 개인정보보호를 위해 제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인정보 안전성 확보조치를 마련하도록 요청한다.
2. 정보 제공 받는 자(기관)의 의무
기관은 안전성 확보조치를 취하고 그 사실을 제공자에게 통지한다. 또한 정보주체의 별도의 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없으며 이를 어기는 자는 처벌을 받을 수 있다. 다만, 수급자에게 추가로 동의를 구한 경우 제3자에게 개인정보를 제공할 수 있다.
제8조 【개인정보 관리】
1. 기관에서 수집·이용 중인 개인정보는 수급자를 관리하는 담당자와 개인정보 관리책임자만이 접근하여 사용할 수 있다.
2. 기관의 수집 및 이용 중인 개인정보를 컴퓨터나 전산프로그램으로 관리하는 경우 접근 권한을 가진 개인정보 관리책임자 또는 담당자의 경우 각각의 식별부호(ID)와 비밀번호를 부여하여 개인정보 유출 및 악용 시 책임소재를 구분할 수 있게 한다.
3. 기관의 전 직원들은 업무 상 알게 된 개인정보를 훼손, 침해, 또는 누설하여서는 안 된다.
4. 기관은 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치를 취한다.
제9조 【개인정보 보유 및 이용기간】
「개인정보보호법」 제21조(개인정보의 파기)에 의해 기관은 개인정보 이용·보유기간 또는 정보주체로부터 개인정보를 수집 시에 관계법령에 따라 동의 받은 개인정보를 이용 및 보유기간 내에서 처리한다.
1. 수급자
① 수집 및 이용기간: 급여개시일부터 계약기간 만료일까지(장기요양 인정서 유효기간 이내)
② 보유기간: 계약기간만료일부터 5년(장기요양보험법 제35조제4항 및 동법시행규칙 제27조)
2. 직원
① 수집 및 이용기간: 채용일 부터 퇴사일 까지
② 보유기간: 퇴사일 부터 3년(근로기준법 제42조 및 동법시행령 제22조)
제10조 【개인정보보호 교육】
1. 개인정보 관리책임자는 개인정보 보호교육을 실시하기 위하여 교육계획을 수립하며 이를 상급자에게 보고 하여야 한다.
2. 개인정보 관리책임자가 시설의 관리책임자인 경우에는 별도의 보고와 결재 없이 수립한 교육계획대로 진행한다.
3. 개인정보보호 교육은 필요에 따라 외부강사를 초청하여 진행할 수 있다.
4. 개인정보보호 교육은 일반적으로 운영규정 상의 직원교육으로 분류하며 교육을 진행한 다음 증빙서류들을 남겨야 한다.
제11조 【개인정보 유출의 정의】
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
제12조 【개인정보 유출 통지】
1. 유출 통지절차
① 개인정보 관리책임자는 유출사고가 발생한 것으로 확인된 즉시 상급자에게 보고하며 정당한 사유가 없는 한 5일 이내 유출된 개인정보의 정보주체(수급자 또는 근로자)에게 유출 사실 알려야 한다.
② 개인정보 관리책임자는 유출사고 최초 발생 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에 이에 대한 과실유무를 입증할 책임이 있다.
③ 개인정보 관리책임자는 긴급한 조치가 필요한 경우에는 아래의 조치를 취한 후 지체 없이 개인정보주체에게 알려야 한다.
· 유출된 개인정보의 확산 및 추가유출 방지를 위해 접속경로 차단
· 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치
· 보안 상 취약점의 점검·보완
2. 유출 통지사항
① 유출된 개인정보의 항목, 유출된 시점과 그 경위
② 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
③ 대응조치 및 피해구제절차
④ 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
⑤ 만일 구체적인 유출 사항을 파악하지 못한 경우 유출 사실을 우선 통지하고 차후 확인되는 유출사항을 통지함.
3. 유출 통지방법
① 방문, 서면, 우편, 통화, 문자 등 정보제공자가 유출사실에 대해 인지할 수 있는 모든 수단으로 통지한다.
② 정보주체와 연락이 되지 않을 시 보호자나 가족 등에게 유출 사실을 통지한다.
제13조 【개인정보 침해 사실 신고】
개인정보를 침해당한 피해자는 개인정보침해신고센터(한국인터넷진흥원-118)로 신고할 수 있다.
제14조 【개인정보 유출 손해배상】
1. 개인정보 유출 시에 피해자인 정보주체는 기관을 상대로 손해배상을 청구할 수 있다.
2. 이때 기관은 개인정보관리에서 고의, 과실사항이 없음을 증명해야하며, 관리가 철저했으나 유출이 발생한 경우에는 법적처벌을 받지 않거나 검경 받을 수 있다.
3. 고의로 개인정보를 유출한 직원은 경우에 따라 벌금과 징역형에 처해질 수 있다.