2022년 11월 직원교육 [급여제공지침-개인정보보호지침]

직원교육

2022년 11월 직원교육 [급여제공지침-개인정보보호지침]

늘푸른재가노인복지센터 2022. 11. 29. 11:33

개인정보 보호지침

제1조【목적】

본 지침은 늘푸른재가노인복지센터 (이하 ‘기관’이라 함) 가 『개인정보보호법』, 같은 법 시행령, 시행규칙에 따라 재가장기요양급여 제공 중 얻게 되는 수급자의 개인정보를 보호하기 위해 수행해야 할 개인정보보호 활동을 규정하는 것을 그 목적으로 한다.

제2조【변경】

본 지침은 관련 제반법령이나 기관의 내부방침 변경 등으로 인하여 변경 될 수 있으며, 변경하는 경우 기관은 변경된 내용을 즉시 대상자 및 보호자에게 알린다.

제3조【지침의 설명 및 동의】

기관은 대상자의 계약 시 대상자 및 보호자에게 본 지침의 내용을 설명하고 개인 정보 수집에 대한 [개인 정보수집 및 활용 동의서]를 받는다.

제4조【개인정보의 정의】

1. 개인정보 : 살아있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보(해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보와 결합하여 알아볼 수 있는 것을 포함)을 말한다.

① 개인정보 : 성명, 주소, 연락처, 소득, 학력, 성적, 직업, 전자우편, 영상, 통화내용, 신용,

부채,인터넷 접속 IP 등 객관적 사실에 관한 정보와 개인에 대한 제3자의 의

견과 평가 등 주관적 정보

② 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

2. 개인정보파일 : 타인이 쉽게 검색 가능하도록 체계적으로 배열 또는 구성한 개인정보의 집

합물(기관의 수급자 서류철 등).

3. 개인정보보호 대상 : 서류, 정보시스템, PC, 영상정보처리기기 등에서 업무상 필요에 의하

여 처리되고 있는 개인정보.

제5조【개인정보의 비밀유지】

기관은 대상자 및 보호자의 사전 동의 없이는 개인정보를 함부로 공개하지 않으며 직원은 치

료 및 요양업무 이외에는 개인정보를 수집 및 이용할 수 없다.

제6조【개인정보의 적용범위 및 수집항목】

1. 기관을 이용하는 대상자와 직원의 개인정보에 관하여 장기요양급여 관련정보를 수집한다.

2. 관련기관의 정보제공 요청 시 필요한 정부를 수집한다.

3. 기타 목적사업 수행에 필요한 정보 등을 수집한다.

제7조【개인정보의 수집 및 이용목적】

1. 대상자 급여 관련에 필요한 정보의 활용

2. 제공기관 간의 서비스 연계와 관련사항에 관한 대상자 정보제공

3. 관련기관 정보제공 요청시 제공

4. 장기요양계획, 욕구조사, 장기요양 서비스 질 향상 등에 활용

제8조【수집한 개인정보의 보유 및 이용기간】

기관은 대상자가 기관을 이용하는 동안 개인정보를 계속적으로 보유하여 서비스 제공시 활용

하며 계약 해지시에는 모든 기록을 지체 없이 파기한다. ( 단, 관련 법령에 따라 연계 기관에 제출 및 보유기간이 정해져 있는 경우에는 최소한의 해당 자료에 한하여 5년간 보유할 수 있다.)

제9조【개인정보 관리책임자 선정】

1. 기관은 수집한 개인정보를 일괄적으로 관리하고 정보를 보호할 책임자 (이하 ‘개인정보 관리책임자’라 함) 를 선정한다.

2. 개인정보 관리책임자는 [운영규정 별지1.업무분장표] 상 관리자 또는 관리책임자로 분류되

는 사회복지사 또는 요양보호사, 시설장을 그 책임자로 선정한다.

3. 시설장과 사회복지사가 아닌 경우 기관에서 2년 이상 근무한 요양보호사를 선정할 수 있다.

제10조【개인정보 관리책임자】

1. 본 기관의 개인정보 관리책임자는 시설장 및 기관장으로 한다.

2. 개인정보 관리책임자의 업무

① 개인정보보호 관련 지침 제정 및 개정

② 개인정보보호 계획 수립 및 시행

③ 개인정보 처리 실태 점검 및 개선 권고

④ 개인정보 처리와 관련한 불만 처리 및 피해 구제

⑤ 개인정보 유출 및 오․남용 방지를 위한 교육 계획 수립 및 시행

⑥ 개인정보파일 및 대장 등록․파기 승인, 관리 감독

⑦ 개인정보보호 관련 자료 관리

3. 개인정보 관리책임자는 개인정보보호를 위한 활동 전반을 담당하며 개인정보보호에 필요하다고 여겨지는 모든 활동에 대한 예산과 활동에 대한 지원을 시설장 등에게 요청할 수 있다.

제11조【개인정보 수집·이용·보유】(개인정보 보호법 제15조~16조)

1. 기관은 대상자에게 재가장기요양서비스 제공에 필요한 다음 각 호의 항목을 수집 및 이용한다.

① 대상자 성명, 법정생년월일, 주소 연락처 등 개인을 식별할 수 있는 기초정보

② 보호자 성명, 법정생년월일, 주소 연락처 등

③ 장기요양인정번호, 장기요양등급 등 장기요양급여 관련 정보

④ 대상자의 지역연계 관련 정보

⑤ 관련 기관의 정보 제공 요청 시 필요한 정보

⑥ 기타 목적사업 수행에 필요한 정보

2. 정보제공 주체(수급자 등)로부터 개인정보를 수집할 때 다음 각 호의 수집 및 이용목적

(개인정보 사용처)를 정보제공 주체에게 안내하며, 반드시 [개인정보 수집 및 활용 동의서]

(운영규정 별지 [장기요양급여제공계약서]에 합본) 를 통해 대상자의 동의를 얻는다.

① 재가장기요양급여 제공 시 활용

② 타 기관 간의 서비스 연계 시 정보 제공 및 활용

③ 관련 기관의 정보제공 요청 시 제공

④ 기타 장기요양계획, 대상자 욕구조사, 장기요양서비스 질 수준 향상 등에 활용

3. 정보제공 주체가 치매 또는 정신적 질환이나 건강상의 이유로 동의를 얻을 수 없는 경우 보호자에게 대신 동의를 받을 수 있다.

4. 관련 법령에 따라 장기요양급여가 종료된 날로부터 5년간 보유 및 이용하며, 제공한 개인정보 수집 및 이용에 대한 동의를 철회하는 경우, 또는 수집 및 이용 목적이 달성되거나 보유 및 이용기간이 종료된 경우 이용자의 개인정보는 제8조【개인정보 파기】3항에 따라 지체 없이 파기한다.

5. 근로자와 사용자가 근로계약을 체결하는 경우에는「근로기준법」제2조 제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공 등을 위하여 근로자의 동의 없이 개인정보를 수집․이용 할 수 있다.

제12조【개인정보 이용 시 의무】

1. 정보 제공자(대상자)의 의무기관에 정보를 제공하는 자는 개인정보보호를 위해 제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인정보 안전성 확보조치를 마련하도록 요청한다.

2. 정보 제공 받는 자(기관)의 의무기관은 안전성 확보조치를 취하고 그 사실을 제공자에게 통지한다. 또한 정보주체의 별도의 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없으며 이를 어기는 자는 처벌을 받을 수 있다.(별표1 참조)

다만, 대상자에게 추가로 동의를 구한 경우 제 3자에게 개인정보를 제공할 수 있다.

제13조【개인정보 관리】

1. 기관에서 수집·이용 중인 개인정보는 대상자를 관리하는 담당자와 개인정보 관리책임자만이 접근하여 사용할 수 있다.

2. 기관의 수집 및 이용 중인 개인정보를 컴퓨터나 전산프로그램으로 관리하는 경우 접근 권한을 가진 개인정보 관리책임자 또는 담당자의 경우 각각의 식별부호(ID)와 비밀번호를 부여하여 개인정보 유출 및 악용 시 책임소재를 구분할 수 있게 한다.

3. 기관의 전 직원들은 업무 상 알게 된 개인정보를 훼손, 침해, 또는 누설하여서는 아니된다.

제14조【개인정보 파기】

1. 개인정보 파기 대상기관에 수집된 정보 중 정보 보관기관 만료, 계약해지 및 만료로 인해 불필요하게 된 경우에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기하여야 한다.

2. 개인정보 파기 예외대상

① 개인정보 파기 대상에 해당 하더라도 「공공기록물 관리에 관한 법률」등 다른 법령에서 보존해야 하는 경우에는 예외로 처리한다.

② 불필요하게 된 개인정보를 파기하지 않고 보존하는 경우에는 대상자의 동의를 구두, 서면으로 받아야 하며 다른 개인정보와 분리하여 저장, 관리 한다.

3. 개인정보 파기 방법개인정보 파기 절차는 개인정보 관리책임자 본인 또는 개인정보 관리책임자의 지시를 받은 자가 시행하며 아래의 절차를 따른다.

① 전자적 파일: 복원이 불가능한 방법으로 영구삭제

② 서류 및 인쇄물: 파쇄 또는 소각

제15조【개인정보 보호 교육】

1. 개인정보 관리책임자는 개인정보 보호교육을 실시하기 위하여 교육계획을 수립하며 이를 상급자에게 보고 하여야 한다.

2. 개인정보 관리책임자가 시설의 관리책임자인 경우에는 별도의 보고와 결재 없이 수립한 교육계획 대로 진행한다.

3. 개인정보 보호 교육은 필요에 따라 외부강사를 초청하여 진행할 수 있다.

4. 개인정보 보호 교육은 일반적으로 운영규정 상의 직원교육으로 분류하며 교육을 진행한 다음 증빙서류들을 남겨야 한다.

제16조【개인정보 유출의 정의】

1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우.

2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우.

3. 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우.

4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우.

제17조【개인정보 유출 통지】(개인정보 보호법 제34조, 영 제40조)

1. 유출 통지절차

① 개인정보 관리책임자는 유출사고가 발생한 것으로 확인된 즉시 상급자에게 보고하며 정당한 사유가 없는 한 5일 이내 유출된 개인정보의 정보주체 (대상자 또는 근로자)에게 유출 사실을 알려야 한다.

② 개인정보 관리책임자는 유출사고 최초 발생 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에 이에 대한 과실유무 입증할 책임이 있다.

③ 개인정보 관리책임자는 긴급한 조치가 필요한 경우에는 아래의 조치를 취한 후 지체 없이 개인정보주체에게 알려야 한다.

- 유출된 개인정보의 확산 및 추가유출 방지를 위해 접속경로 차단

- 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치

- 보안 상 취약점의 점검․보완

2. 유출 통지사항

① 유출된 개인정보의 항목, 유출된 시점과 그 경위

② 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

③ 대응조치 및 피해구제절차

④ 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

⑤ 만일 구체적인 유출 사항을 파악하지 못한 경우 유출 사실을 우선 통지하고 차후 확인되는 유출사항을 통지함

3. 유출 통지방법

① 방문, 서면, 우편, 통화, 문자 등 정보제공자가 유출사실에 대해 인지할 수 있는 모든 수단으로 통지한다.

② 정보주체와 연락이 되지 않을 시 보호자나 가족 등에게 유출 사실을 통지한다.

제18조【개인정보 침해 사실 신고】(법 제62조, 영 제59조)

개인정보를 침해당한 피해자는 개인정보침해신고센터(한국 인터넷 진흥원, 국번없이 118)로 신고할 수 있다.

제19조【개인정보 유출 손해배상】

1. 개인정보유출 시에 피해자인 정보주체는 기관을 상대로 손해배상을 청구할 수 있다.

2. 이때 기관은 개인정보관리에서 고의, 과실사항이 없음을 증명해야하며, 관리가 철저했으나 유출이 발생한 경우엔 법적처벌을 받지 않거나 감경 받을 수 있다.

3. 고의로 개인정보를 유출한 직원은 경우에 따라 벌금과 징역형에 처해질 수 있다.

(별표1 참조)