제1장 총 칙

제1조 (목적) 개인정보보호 지침은 강일성모노인요양원(이하 ‘시설’이라 한다)이 취급하는 개인정보를 체계적으로 관리하여 개인정보가 분실, 도난, 누출, 변조, 훼손, 오 ․남용 등이 되지 아니하도록 함을 목적으로 한다.

제2조 (적용범위) 본 지침은 홈페이지 등의 온라인을 통하여 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 오프라인(서면, 전화, 팩스 등)을 통해 수집, 이용, 제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부직원 (계약직 등 비정규직 포함) 및 외부업체 직원에 대해 적용된다.

제3조 (용어정의)

1.“개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하 여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리 ”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 (訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체 ”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보처리자 ”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

5. “개인정보 보호책임자 ”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 법 제 31조에 따른 지위에 해당하 는 자를 말한다.

6. “개인정보 보호담당자 ”란 개인정보책임자가 업무를 수행함에 있어 보조적인 역할을 하는 자를 말하며 개인정보보호 책임자가 일정 요건의 자격을 갖춘 이를 지정한다.

7. “개인정보취급자 ”란 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 업무 를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요 에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.

8. “개인정보처리시스템 ”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.

제2장 내부관리계획의 수립 및 시행

제4조 (내부관리계획의 수립 및 승인)

1. 개인정보 보호담당자는 시설의 개인정보보호를 위한 전반적인 사항을 포함하여 내부 관리계획을 수립하여야 하며, 개인정보보호와 관련한 법령 및 관련 규정을 준수하도록 내부 관리계획을 수립하여야 한다.

2. 개인정보 보호책임자는 개인정보 보호담당자가 수립한 내부관리계획의 타당성을 검토하 여 개인정보보호를 위한 내부관리계획을 승인하여야 한다.

3. 개인정보 보호담당자는 개인정보보호 관련 법령의 제․개정 사항 등을 반영하기 위하여 매년 11월말까지 내부관리계획의 타당성과 개정 필요성을 검토하여야 한다.

4. 개인정보 보호담당자는 모든 항목의 타당성을 검토한 후 개정할 필요가 있다고 판단되는 경우 12월말까지 내부관리계획의 개정안을 작성하여 개인정보 보호책임자에게 보고하고 개인정보 보호책임자의 승인을 받아야 한다.

제5조 (내부관리계획의 공표 및 시행)

1. 개인정보보호책임자는 전조에 따라 승인한 내부관리계획을 매년 1월말까지 내부직원에게 공표한다.

2. 내부관리계획은 내부직원이 언제든지 열람 할 수 있는 방법으로 비치하여야 하며, 변경 사항이 있는 경우에는 이를 공지하여야 한다.

제3장 개인정보보호책임자의 의무와 책임

제6조 (개인정보보호책임자, 담당자의 지정)

1. 시설은 개인정보보호법 시행령 제32조 제2항 1호에 따라 

시설장(성명: 김동호, 전화: 02-426-9663, 이메일:gangilsm1202@naver.com)을 개인정보보호책임자로 지정한다.

2. 개인정보 보호담당자는 사회복지사(복지재활(주임)팀장)가 맡는다.

(성명: 최한솔, 전화: 02-426-9663, 이메일:gangilsm1202@naver.com)

제7조 (개인정보보호책임자의 의무와 책임)

1. 개인정보보호책임자는 정보주체의 개인정보 보호를 위하여 다음 각 호의 업무를 수행한다.

가. 개인정보 보호 계획의 수립 및 시행

나. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

다. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

라. 개인정보 유출 및 오용 남용 방지를 위한 내부통제시스템의 구축

마. 개인정보 보호 교육 계획의 수립 및 시행

바. 개인정보파일의 보호 및 관리 감독

사. 개인정보보호법 제 30 조에 따른 개인정보 처리방침의 수립 변경 및 시행

아. 개인정보 보호 관련 자료의 관리

자. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

2. 개인정보보호책임자는 업무를 수행함에 있어서 필요한 경우 개인정보 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

3. 개인정보보호책임자는 개인정보 보호와 관련하여 이법 및 다른 관계 법령의 위반 사실 을 알게 된 경우에는 즉시 개선조치를 하여야 한다.

제8조 (개인정보취급자의 범위 및 의무와 책임)

1. 개인정보취급자는 시설 내에서 정보주체의 개인정보를 처리하는 업무를 수행하는 자를 말하며, 시설에서는 개인정보 관리책임제를 다음과 같이 실시한다. 

가. 급여제공으로 수집된 모든 개인정보 : 복지재활팀장, 의료요양팀장

나. 수가청구 관련하여 수집된 모든 개인정보 : 사회복지사, 사무원

다. 영상정보 : 사무국장, 총무팀장, 관리소장

2. 개인정보취급자의 의무와 책임

가. 내부관리계획의 준수 및 이행

나. 개인정보의 기술적 관리적 보호조치 기준 이행

다. 업무상 알게 된 개인정보를 제 3자에게 제공하지 않음

제4장 개인정보 처리절차

제9조 (개인정보수집)

1. 개인정보처리자는 다음 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다 .

가. 정보주체의 동의를 받은 경우

나. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

다. 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

라. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

마. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제 3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

2. 민감정보·고유식별정보 수집

가. 개인정보처리자는 별도의 민감정보와 고유식별정보를 수집하기 위해서는 정보주체 의 별도 동의를 받거나 또는 법령에서 요구하거나 허용되는 경우에만 한한다.

나. 민감정보 : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성 생 활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인 정보

다. 고유식별정보 : 주민등록번호와 같이 개인을 고유하게 구별하기 위하여 부여된 식별 정보

3. 개인정보 제한

가. 개인정보처리자는 개인정보를 수집하는 경우일지라도 그 목적에 필요한 최소한의 개인정보를 수집해야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

나. 개인정보처리자는 동의를 받을 때에는 다음 사항을 정보주체에게 알려야 한다.

다음 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1) 개인정보의 수집·이용 목적

2) 수집하려는 개인정보의 항목

3) 개인정보의 보유 및 이용 기간

4) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우

제10조 (개인정보 처리 및 저장)

1. 개인정보처리자는 급여제공파일, 전산파일, 영상파일 등 각 정보의 유형에 따른 절차 에 준하여 개인정보를 처리 , 저장한다.

가. 입소 시 정보주체의 동의에 따라 개인정보 수집 및 이용 동의서를 작성한다.

나. 정보주체에 관해 수집된 모든 개인정보(전산을 통해 기록된 출력물 포함)는 시건 장치를 하고 별도 보관한다.

다. 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입할 경우 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.

라. 자원봉사 신청 시 정보주체가 14세 미만 아동인 경우 법정대리인의 동의를 별도로 받도록 한다.

마. 정보주체에 관한 등급 갱신, 입·퇴소관련 정보는 장기요양보험홈페이지를 통해 별도로 안전하게 저장, 관리한다.

바. 영상파일

설치된 영상정보처리기기는 설치목적 범위를 넘어 카메라를 임의로 조작하거나 다른 곳을 비추어서는 아니 되며, 녹음기능은 사용할 수 없다. 영상정보처리기기를 설치하는 경우 정보주체가 이를 쉽게 인식할 수 있도록 다음 사항을 기재한 안내판 등 운영·관리 방침을 마련하여 공개하여야 한다.

1) 설치목적 및 장소

2) 촬영범위 및 시간

3) 관리책임자 및 연락처

4) 영상정보처리기기

제11조 (개인정보 공개 및 위탁 기준)

1. 개인정보 공개 기준 및 방법 : 정보주체 또는 제 3자의 권리와 이익을 부당하게 침해 할 우려가 있다고 인정되는 때를 제외하고 다음의 경우 개인정보를 공개할 수 있으며 정보 주체의 정보를 외부로 유출할 경우 반드시 공문에 의해서만 제공하여야 한다.

2. 정보주체의 동의가 있거나 정보주체에게 제공하는 경우

3. 정보주체의 원활한 장기요양서비스 이용 지원 시

가. 정보주체에게 제공하는 서비스 개선을 위한 사례회의 추진 시 : 단 , 이 경우 모든 관계자는 비밀보장의 의무를 준수해야 하며 , 미 준수 시 인사조치 될 수 있다.

나. 타 공공기관 협력사업 및 서비스 연계 시 : 관할 구청(입·퇴소 관련), 건강보험공단(등급갱신 관련), 시청 (장기요양기관 사업 관련)

다. 개인정보를 보유목적 외의 목적으로 이용하게 하거나 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

라. 통계작성 및 학술연구 등의 목적을 위한 경우로서 특정개인을 식별할 수 없는 형태로 제공하는 경우

마. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소 불명 등으로 동의를 할 수 없는 경우로서 정보주체 외의 자에게 이용하게 하거나 제공하는 것이 명백히 정보주체에게 이익이 된다고 인정되는 경우

바. 범죄의 수사와 공소의 제기 및 유지에 필요한 경우

사. 법원의 재판업무수행을 위하여 필요한 경우

제12조 (개인정보 정정·삭제·파기 절차)

1. 개인정보 정정·삭제 : 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제 를 요구할 수 있다 . 다만 , 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있 는 경우에는 그 삭제를 요구할 수 없다 .

2. 개인정보처리자는 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

3. 개인정보처리자가 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

4. 개인정보 파기

가. 개인정보처리자는 보유기간의 경과 , 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

나. 개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치한다. 개인정보처리자가 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.

다. 파기기한

1) 보유기간이 만료되었거나 개인정보의 처리목적달성 , 해당 업무의 폐지 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 파기한다.

2) 정보주체와 관련한 사례관리파일 및 장기요양관련 개인정보의 보존기간은 서비스 이용 종결시점으로부터 5년으로 한다.

라. 파기방법

전자적 파일형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용한다. 종이 에 출력된 대인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기한다.

제13조 (개인정보 안전성 조치)

1. 정보주체는 개인정보를 보호하기 위해 다음과 같이 직원 대상 개인정보 보호 관련 교육 및 전산시스템을 구축하여야 한다.

2. 개인정보 취급직원의 최소화 및 교육

3. 개인정보를 취급하는 직원을 지정·관리하고 있으며 취급직원을 대상으로 개인정보보호 교육을 연 1회 실시한다.

4. 개인정보에 대한 접근 제한 : 개인정보를 처리하는 데이터베이스 시스템에 대한 접근 권한의 부여·변경·말소를 통하여 개인정보에 대한 접근통제를 위한 필요한 조치를 취하며, 침입차단시스템을 이용하여 외부로부터의 무단 접근을 통제한다.

5. 접속기록의 보관 : 개인정보처리시스템에 접속한 기록(웹 로그, 요약정보 등)을 최소 6개월 이상 보관·관리한다.

6. 개인정보의 암호화 : 개인정보는 암호화 등을 통해 안전하게 저장 및 관리한다. 또한 중요한 데이터는 저장 및 전송 시 암호화하여 사용하는 등의 별도 보안기능을 사용한다.

7. 보안프로그램 설치 및 주기적 점검·갱신 : 해킹이나 컴퓨터 바이러스 등에 의한 개인정보 유출 및 훼손을 막기 위하여 보안프로그램을 설치하고 주기적으로 갱신·점검한다.

8. 비인가자에 대한 출입 통제 : 개인정보를 보관하고 있는 개인정보시스템의 물리적 보관 장소를 별도로 두고 이에 대해 출입통제 절차를 수립, 운영한다.

제14조 (개인정보 열람청구) 정보주체는 개인정보 보호법 제 35 조에 따른 개인정보의 열람 청구를 아래의 담당자가 할 수 있다. 시설은 정보주체의 개인정보 열람청구가 신속하게 처리되도록 노력한다.

1. 개인정보 열람청구 접수․처리 담당자

- 급여비용, 직원관련개인정보 : 총무팀장(사무원)

(성명: 김선희, 전화: 02-426-9663, 이메일: gangilsm1202@naver.com)

- 일상생활 급여제공 : 복지재활(주임)팀장, 요양팀장

(성명: 최한솔, 전화: 02-426-9663, 이메일: gangilsm1202@naver.com)

(성명: 남순천, 전화: 02-426-9663, 이메일: gangilsm1202@naver.com)

- 의료 및 보건 급여제공 : 간호사

(성명: 남순천, 전화: 02-426-9663, 이메일: gangilsm1202@naver.com)

2. 개인정보 열람 처리 승인 절차

개인정보 열람 신청서작성→ 담당자 제출 → 사무국장 결재 → 시설장승인

제5장 개인정보보호교육

제15조 (개인정보보호 교육 계획의 수립)

1. 개인정보보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육 계획을 매년 1월말까지 수립한다.

가. 교육목적 및 대상, 내용

나. 교육 일정 및 방법

2. 개인정보보호책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 다음 해 교육계획 수립에 반영하여야 한다.

제16조 (개인정보보호 교육의 실시)

1. 개인정보보호책임자는 정보주체정보보호에 대한 직원들의 인식 제고를 위해 노력해야 하며, 개인정보의 오 ․남용 또는 유출 등을 적극 예방하기 위해 직원을 대상으로 매년 정기적으로 연 1회 이상의 개인정보보호 교육을 실시한다.

2. 교육 방법은 집합 교육뿐만 아니라, 그룹, 개별 교육 등 다양한 방법을 활용하여 실시 하고, 필요한 경우 외부 전문 기관이나 전문 요원에 위탁 하여 교육을 실시한다.

3. 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련 하여 변경 된 사항이 있는 경우, 개인정보보호책임자는 부서 회의 등을 통해 수시 교육을 실시할 수 있다.

제6장 개인정보 침해대응 및 피해구제

제17조 (개인정보 유출 등의 통지)

1. 개인정보보호책임자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 다만, 유출된 개인정보의 확산 및 추 가 유출을 방지하기 위하여 접속경로의 차단, 취약 점검·보완, 유출된 개인정보의 삭 제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 정보주체에게 알릴 수 있다.

가. 유출된 개인정보의 항목

나. 유출된 시 점 과 그 경위

다. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

라. 시설의 대응 조치 및 피해 구제 절차

마. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

2. 개인정보보호책임자는 개인정보가 유출된 경우 그 피해를 최소화하기 위하여“침해 사 고 대응 팀”을 구성하고 필요한 조치를 한다.

제18조 (권익침해 구제방법) 개인정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보 분쟁 조정위원회, 한국 인터넷 진흥원 개인정보침해신고센터 등에 분쟁 해결이나 상담 등을 신청 한다. 이 밖에 기타 개인정보침해의 신고 및 상담에 대하여는 아래의 기관에 문의한 다.

가. 개인정보분 쟁 조정위원회 : (국번 없이) 118

나. 대검찰청 사이버 범죄 수사단 : 02-3480-3571

다. 경찰청 사이버테러대응센터 : 02-1566-0112

라. 한국 인터넷 진흥원 개인정보침해신고 센터 : http://privacy.kisa.or.kr

※ 개인정보의 처리 및 보유기간

강일성모노인요양원은 법령에 따른 개인정보 보유 ․이용기간 또는 정보주체로부터

개인정보를 수집 시에 동의 받은 개인정보 보유․이용기간 내에서 개인정보를 처리․보유합니다.

1. 장기요양급여 제공을 위하여 수집한 정보 : 노인장기요양보험법 등에 명시된 보관기간

2. 근로자의 개인정보 : 근로기준법 등에 명시된 보관기간

3. 설문조사, 행사 등의 목적을 위하여 수집된 경우 : 해당 행사 등이 종료된 때

4. 자원봉사자 및 후원자 : 활동 중단 시점으로부터 3개월 이내