개인정보 보호지침
제1장 총칙
제1조【목적】
본 지침은 대비원방문요양센터 (이하 ‘기관’이라 함)가 『개인정보보호법』, 같은 법 시행령, 시행규칙에 따라 재가장기요양급여 제공 중 얻게 되는 수급자의 개인정보를 보호하기 위해 수행해야 할 개인정보보호 활동을 규정하는 것을 그 목적으로 한다.
제2조【정의】
1. 개인정보
개인정보란, 살아있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보(해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보와 결합하여 알아볼 수 있는 것을 포함)
① 개인정보 : 성명, 주소, 연락처, 소득, 학력, 성적, 직업, 전자우편, 영상, 통화내용, 신용, 부채, 인터넷 접속 IP 등 객관적 사실에 관한 정보와 개인에 대한 제3자의 의견과 평가 등 주관적 정보.
② 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호.
2. 개인정보파일
타인이 쉽게 검색 가능하도록 체계적으로 배열 또는 구성한 개인정보의 집합물(기관의 수급자 서류철 등).
3. 개인정보보호 대상
서류, 정보시스템, PC, 영상정보처리기기 등에서 업무상 필요에 의하여 처리되고 있는 개인정보.
제2장 개인정보 관리체계
제3조【개인정보 관리책임자 선정】
1. 기관은 수집한 개인정보를 일괄적으로 관리하고 정보를 보호할 책임자(이하 ‘개인정보 관리책임자’라 함)를 선정한다.
2. 개인정보 관리책임자는 관리자 또는 관리책임자로 분류되는 사회복지사 또는 요양보호사, 시설장을 그 책임자로 선정한다.
3. 시설장과 사회복지사가 아닌 경우 기관에서 2년 이상 근무한 요양보호사를 선정할 수 있다.
제4조【개인정보 관리책임자】
1. 기관의 개인정보 관리책임자는 시설장 김경옥 으로 한다.
2. 개인정보 관리책임자의 업무
① 개인정보보호 관련 지침 제․개정.
② 개인정보보호 계획 수립 및 시행 .
③ 개인정보 처리 실태 점검 및 개선 권고.
④ 개인정보 처리와 관련한 불만 처리 및 피해 구제.
⑤ 개인정보 유출 및 오․남용 방지를 위한 교육 계획 수립 및 시행.
⑥ 개인정보파일 및 대장 등록․파기 승인, 관리 감독.
⑦ 개인정보보호 관련 자료 관리.
3. 개인정보 관리책임자는 개인정보보호를 위한 활동 전반을 담당하며 개인정보보호에 필요하다고 여겨지는 모든 활동에 대한 예산과 활동에 대한 지원을 시설장 등에게 요청할 수 있다.
제3장 개인정보 처리
제5조【개인정보 수집·이용·보유】(개인정보 보호법 제15조~16조)
1. 기관은 수급자에게 재가장기요양서비스 제공에 필요한 다음 각 호의 항목을 수집·이용한다.
① 수급자명, 법정생년월일, 주소 등 개인을 식별할 수 있는 기초정보
② 보호자 정보(이름,법정생년월일,연락처)
③ 장기요양인정번호, 장기요양등급 등 장기요양급여 관련 정보
④ 수급자의 지역연계 관련 정보
⑤ 관련 기관의 정보 제공 요청 시 필요한 정보
⑥ 본인부담금 자동이체(CMS) 신청시 계좌번호등 결제정보
⑦ 기타 목적사업 수행에 필요한 정보
2. 정보제공 주체(수급자 등)로부터 개인정보를 수집할 때 다음 각 호의 수집 및 이용목적(개인정보 사용처)을 정보제공 주체에게 안내하며, 반드시 ‘개인정보 수집 및 활용 동의서("장기요양급여제공계약서”에 합본)’를 통해 수급자의 동의를 얻는다.
① 재가장기요양급여 제공 시 활용
② 타 기관 간의 서비스 연계 시 정보 제공 및 활용
③ 관련 기관의 정보제공 요청 시 제공
④ 기타 장기요양계획, 수급자 욕구조사, 장기요양서비스 질 수준 향상 등에 활용
3. 정보제공 주체가 치매 또는 정신적 질환이나 건강상의 이유로 동의를 얻을 수 없는 경우 보호자에게 대신 동의를 받을 수 있다.
4. 관련 법령에 따라 장기요양급여가 종료된 날로부터 5년간 보유 및 이용하며, 제공한 개인정보 수집 및 이용에 대한 동의를 철회하는 경우, 또는 수집 및 이용 목적이 달성되거나 보유 및 이용기간이 종료된 경우 이용자의 개인정보는 제8조【개인정보 파기】3항에 따라 지체 없이 파기됩니다.
5. 근로자와 사용자가 근로계약을 체결하는 경우에는「근로기준법」제2조 제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공 등을 위하여 근로자의 동의 없이 개인정보를 수집․이용 할 수 있다.
제6조【개인정보 이용 시 의무】
1. 정보 제공자(수급자)의 의무
기관에 정보를 제공하는 자는 개인정보보호를 위해 제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인정보 안전성 확보조치를 마련하도록 요청한다.
2. 정보 제공 받는 자(기관)의 의무
기관은 안전성 확보조치를 취하고 그 사실을 제공자에게 통지한다. 또한 정보주체의 별도의 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없으며 이를 어기는 자는 처벌을 받을 수 있다.(별표1 참조) 다만, 수급자에게 추가로 동의를 구한 경우 제 3자에게 개인정보를 제공할 수 있다.
제7조【개인정보 관리】
1. 기관에서 수집·이용 중인 개인정보는 수급자를 관리하는 담당자와 개인정보 관리책임자만이 접근하여 사용할 수 있다.
2. 기관의 수집 및 이용 중인 개인정보를 컴퓨터나 전산프로그램으로 관리하는 경우 접근 권한을 가진 개인정보 관리책임자 또는 담당자의 경우 각각의 식별부호(ID)와 비밀번호를 부여하여 개인정보 유출 및 악용 시 책임소재를 구분할 수 있게 한다.
3. 기관의 전 직원들은 업무 상 알게 된 개인정보를 훼손, 침해, 또는 누설하여서는 안 된다.
4. 기관은 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치를 취한다.
제8조【개인정보 파기】
1. 개인정보 파기 대상
기관에 수집된 정보 중 정보 보관기관 만료, 계약해지 및 만료로 인해 불필요하게 된 경우에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기하여야 한다.
2. 개인정보 파기 예외대상
① 개인정보 파기 대상에 해당 하더라도 「공공기록물 관리에 관한 법률」등 다른 법령에서 보존해야 하는 경우에는 예외로 처리한다.
② 불필요하게 된 개인정보를 파기하지 않고 보존하는 경우에는 수급자의 동의를 구두, 서면으로 받아야 하며 다른 개인정보와 분리하여 저장․관리 한다.
3. 개인정보 파기 방법
개인정보 파기 절차는 개인정보 관리책임자 본인 또는 개인정보 관리책임자의 지시를 받은 자가 시행하며 아래의 절차를 따른다.
① 전자적 파일: 복원이 불가능한 방법으로 영구삭제.
② 서류 및 인쇄물: 파쇄 또는 소각.
제4장 개인정보 보호교육
제9조【개인정보 보호 교육】
1. 개인정보 관리책임자는 개인정보 보호교육을 실시하기 위하여 교육계획을 수립하며 이를 상급자에게 보고 하여야 한다.
2. 개인정보 관리책임자가 시설의 관리책임자인 경우에는 별도의 보고와 결재없이 수립한 교육계획 대로 진행한다.
3. 개인정보 보호 교육은 필요에 따라 외부강사를 초청하여 진행할 수 있다.
4. 개인정보 보호 교육은 일반적으로 운영규정 상의 직원교육으로 분류하며 교육을 진행한 다음 증빙서류들을 남겨야 한다.
제5장 개인정보유출 대응절차
제10조【개인정보 유출의 정의】
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우.
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우.
3. 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우.
4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우.
제11조【개인정보 유출 통지】(개인정보 보호법 제34조, 영 제40조)
1. 유출 통지절차
① 개인정보 관리책임자는 유출사고가 발생한 것으로 확인된 즉시 상급자에게 보고하며 정당한 사유가 없는 한 5일 이내 유출된 개인정보의 정보주체(수급자 또는 근로자)에게 유출 사실 알려야 한다.
② 개인정보 관리책임자는 유출사고 최초 발생 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에 이에 대한 과실유무 입증할 책임이 있다.
③ 개인정보 관리책임자는 긴급한 조치가 필요한 경우에는 아래의 조치를 취한 후 지체 없이 개인정보주체에게 알려야 한다.
- 유출된 개인정보의 확산 및 추가유출 방지를 위해 접속경로 차단 .
- 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치.
- 보안 상 취약점의 점검․보완.
2. 유출 통지사항
① 유출된 개인정보의 항목, 유출된 시점과 그 경위.
② 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보.
③ 대응조치 및 피해구제절차.
④ 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처.
⑤ 만일 구체적인 유출 사항을 파악하지 못한 경우 유출 사실을 우선 통지하고 차후 확인되는 유출사항을 통지함.
3. 유출 통지방법
① 방문, 서면, 우편, 통화, 문자 등 정보제공자가 유출사실에 대해 인지할 수 있는 모든 수단으로 통지한다.
② 정보주체와 연락이 되지 않을 시 보호자나 가족 등에게 유출 사실을 통지한다.
제12조【개인정보 침해 사실 신고】(법 제62조, 영 제59조)
개인정보를 침해당한 피해자는 개인정보침해신고센터(한국 인터넷 진흥원, 국번없이 118)로 신고할 수 있다.
제13조【개인정보 유출 손해배상】
1. 개인정보유출 시에 피해자인 정보주체는 기관을 상대로 손해배상을 청구할 수 있다.
2. 이때 기관은 개인정보관리에서 고의, 과실사항이 없음을 증명해야하며, 관리가 철저했으나 유출이 발생한 경우엔 법적처벌을 받지 않거나 감경 받을 수 있다.
3. 고의로 개인정보를 유출한 직원은 경우에 따라 벌금과 징역형에 처해질 수 있다.(별표1 참조)
별표1 : 개인정보 처리단계별 준수사항 및 위반시 벌칙사항
구분 | 주요내용 | 처벌 및 벌칙 |
수집 ㆍ 이용 | 민감정보(사상ㆍ신념ㆍ정당가입ㆍ건강 등) 처리기준 위반(제23조) | 5년 이하 징역 또는 5천만원 이하 벌금 |
고유식별정보(주민등록ㆍ여권ㆍ운전면허 번호 등) 처리기준 위반(제24조) | ||
부당한 수단이나 방법에 의해 개인정보를 취득하거나 개인정보처리에 관한 동의를 얻는 행위를 한 자(제59조) | 3년 이하 징역 또는 3천만원 이하 벌금 | |
개인정보의 수집기준 위반(제15조) | 5천만원 이하 과태료 | |
만14세 미만 아동의 개인정보 수집시 법정대리인 동의획득여부 위반(제22조) | ||
탈의실ㆍ목욕실 등 영상정보처리기기 설치 금지 위반(제25조) | ||
최소한의 개인정보 외 정보의 미동의를 이유로 재화 또는 서비스 제공을 거부한 자(제16조, 제22조) | 3천만원 이하 과태료 | |
주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제24조) | ||
동의획득방법 위반하여 동의받은 자(제22조) | 1천만원 이하 과태료 | |
제공 ㆍ 위탁 | 정보주체의 동의 없는 개인정보 제3자 제공(17조) | 5년 이하 징역 또는 5천만원 이하 벌금 |
개인정보의 목적 외 이용ㆍ제공(제18조, 제19조, 제26조) | ||
개인정보 주체에게 알려야 할 사항을 알리지 아니한 자(제15조, 제17조, 제18조, 제26조) | 3천만원 이하 과태료 | |
업무위탁 시 공개의무 위반(제26조) | 1천만원 이하 과태료 | |
개인 정보 안전 관리 | 개인정보의 누설 또는 타인 이용에 제공(제59조) | 5년 이하 징역 또는 5천만원 이하 벌금 |
개인정보의 훼손, 멸실, 변경, 위조, 유출(제59조) | ||
영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른곳을 비추는 자 또는 녹음기능을 사용한 자(제25조) | 3년 이하 징역 또는 3천만원 이하 벌금 | |
직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조) | ||
안전성 확보에 필요한 보호조치를 취하지 않아 개인정보를 도난ㆍ유출ㆍ변조 또는 훼손당하거나 분실한 자(제23조, 제24조, 제25조, 제28조, 제29조) | 2년 이하 징역 또는 2천만원 이하 벌금 | |
안전성 확보에 필요한 조치의무 불이행(제23조, 제24조, 제25조, 제29조) | 3천만원 이하 과태료 | |
영상정보처리기기 설치ㆍ운영기준 위반(제25조) | ||
개인정보를 분리해서 저장ㆍ관리하지 아니한 자(제21조) | 1천만원 이하 과태료 | |
개인정보처리방침 미공개(제30조) | ||
개인정보관리책임자 미지정(제31조) | ||
영상정보처리기기 안내판 설치 등 필요조치 불이행(제25조) | ||
정보 주체 권익 보호 | 개인정보의 정정ㆍ삭제요청에 대한 필요한 조치를 취하지 않고, 개인정보를 계속 이용하거나 제3자에게 제공한 자(제36조) | 2년 이하 징역 또는 2천만원 이하 벌금 |
개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자(제37조) | ||
개인정보 유출사실 미통지(제34조) | 3천만원 이하 과태료 | |
정보주체의 열람 요구의 부당한 제한ㆍ거절(제35조) | ||
정보주체의 정정ㆍ삭제요구에 따라 필요 조치를 취하지 아니한 자(제36조) | ||
처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조) | ||
시정명령 불이행(제64조) | ||
정보주체의 열람, 정정ㆍ삭제, 처리정보 요구 거부 시 통지의무 불이행(제35조, 제36조, 제37조) | 1천만원 이하 과태료 | |
관계물품ㆍ서류 등의 미제출 또는 허위제출(제63조) | ||
출입ㆍ검사를 거부ㆍ방해 또는 기피한 자(제63조) | ||
파기 | 개인정보 미파기(제21조) | 3천만원 이하 과태료 |
제14조【시행일】
개정된 이 지침은 2022년 01월 01일부터 시행한다.
첫댓글 개인정보는 중요함으로 각자 조심해야 될것 같아요~
잘관리해야 겠네요
김채연 선생님 수고 하셨습니다...^^*
수고하셨습니다
박분옥 선생님 수고 하셨습니다...^^*
네 유념하여
잘 실천하겠습니다.
김영란 선생님 수고 하셨습니다...^^*
유익했네요~
이금희 선생님 수고 하셨습니다...^^*
어르신들의정보에좀더신중해야겠네요
김미경 선생님 수고 하셨습니다...^^*
숙지합니다
이애자 선생님 수고 하셨습니다...^^*
정보 감사합니다
최성옥 선생님 수고 하셨습니다...^^*
덕순입니다
개인정보 보호교육 잘들었읍니다
감사합니다
최덕순 선생님 수고 하셨습니다...^^*
강의를 잘들어 습니다
박분옥 선생님 수고 하셨습니다...^^*
유익한정보 감사드립니다~^^(김순택)