제1장 총 칙
제1조 (목적)
이 지침은 의정부시장애인종합복지관(이하 ‘복지관’이라 한다)의 운영과 관련하여 임직원 및 자원봉사자 등이 준수하여야 할 개인정보 보호에 관한 세부적인 사항을 규정함을 목적으로 한다.
제2조 (정의)
이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. “개인정보”라 함은 생존하고 있는 개인에 관한 정보로서 성명․주민등록번호 등에 의하 여 당해 개인을 알아볼 수 있는 부호․문자․음성․음향․영상 및 생체특성 등에 관한 정보 (당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함)를 말한다. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
가. 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
1-2. ‘가명처리’라 함은 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
2. “서비스”라 함은 장애인복지법에 근거하여 실시하는 모든 서비스를 말한다.
3. “서비스제공자”라 함은 서비스를 제공하는 기관 또는 임직원을 말한다.
4. “이용고객”이라 함은 서비스제공자가 제공하는 서비스를 이용하는 자(또는 보호자)로서 처리되는 정보에 의하여 식별이 되는 당해 정보의 주체를 말한다.
5. “제3자”라 함은 다음 각목에 해당하는 자 이외의 자연인, 법인, 기관․단체 및 기타의 자를 말한다. 개인정보 처리 업무를 위탁받아 처리하는 자인 수탁자는 제외한다.
6. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
7. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하며, 우리 복지관에서는 개인정보와 관련된 사안들에 대한 최종적 결정과 방침을 정하는 자(장애인복지관장)을 말한다.
8. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자를 말한다.
9. “개인정보취급자”란 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 복지관 임직원을 말한다.
제3조 (개인정보 보호를 위한 일반원칙)
①누구든지 자신의 의사에 반하여 자신의 개인정보가 위법하게 침해되거나 공개되지 않을 권리를 가지며, 개인정보를 자율적으로 통제할 수 있어야 한다.
②개인정보를 수집, 이용, 제공 또는 관리하는 자는 제1항의 규정에 의한 개인정보보호 원칙을 따르고 개인정보를 보호하기 위하여 적극 노력하여야 한다.
1. 복지관은 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
2. 복지관은 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
3. 복지관은 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
4. 복지관은 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
5. 복지관은 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
제2장 개인정보의 처리
제4조 (개인정보의 수집)
개인정보의 수집․이용 시 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 개인정보를 수집․이용할 수 있다.
1. 정보주체로부터 사전에 동의를 받은 경우
2. 법률에서 구체적으로 명시하거나 허용하고 있는 경우
3. 개인정보를 수집ㆍ이용하지 않고는 법령 등에서 정한 소관업무 수행이 불가능하거나 현저히 곤란한 경우
4. 개인정보를 수집ㆍ이용하지 않고는 정보주체와 체결된 계약 내용의 의무이행이 불가능하거나 현저히 곤란한 경우
제5조 (고지 또는 명시)
서비스제공자는 이용고객으로부터 동의를 받고자 하는 경우에는 사전에 개인정보 수집 내용에 대한 내용을 이용고객, 즉 정보주체에게 고지 또는 명시하여야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
제7조(개인정보의 수집 및 제한)
서비스제공자는 서비스 제공 및 그 목적에 필요한 최소한의 필수정보만을 이용고객의 동의하에 수집하여야 하며, 만 14세 미만 아동의 경우 법정 대리인(보호자)의 동의가 있어야 한다. 개인정보 수집의 기준은 다음의 표와 같다.
1. 장애인복지서비스 이용고객 정보수집 항목
항 목 | 정보 내용 |
---|---|
① 필수정보 | 이름, 생년월일, 주소, 연락처 등 원활한 의사소통 경로의 확보를 위한 최소한의 정보 |
② 민감정보 | 장애정보(진단명, 등급), 현 건강상태, 개인의 신체적, 생리적, 행동적 특징, 인종, 사진 등 |
③ 선택정보 | 이메일, 종교, 병역, 국기법대상 여부, 결혼 및 가족사항, 직업력, 최종학력, 가정환경, 사회관계망, 가계도, 타기관 소견서, 개인발달사(아동, 성인), 사회성 정도 등 |
2. 후원자 정보수집 항목
항 목 | 정보 내용 |
---|---|
① 필수정보 | 성명, 생년월일, 연락처, 주소 |
② 민감정보 | 은행명, 계좌번호, 예금주명, 사진 등 후원을 위한 금융 및 민감정보 |
③ 고유식별정보 | 주민등록번호 등 정기후원금의 CMS 출금을 위한 개인정보 |
④ 선택정보 | 보조연락처, 이메일, SNS주소, 취미, 자격사항, 직업 및 직위 등 후원자 관리에 필요한 추가정보 |
3. 자원봉사자 정보수집 항목
항 목 | 정보 내용 |
---|---|
① 필수정보 | 성명, 생년월일, 연락처, 주소 |
② 민감정보 | 사진 등 개인의 사생활을 현저히 침해할 우려가 있는 정보 |
③ 선택정보 | 보조연락처, 이메일, SNS주소, 취미, 자격사항, 직업 및 직위 등 자원봉사자 관리에 필요한 추가정보 |
②복지관은 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
③복지관은 정보주체가 필요한 최소한의 정보(필수정보, 민감정보) 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
제8조 (비밀유지)
서비스의 제공을 위하여 이용고객의 개인정보를 취급하거나 취급하였던 자는 직무상 알게된 개인정보를 훼손․침해 또는 누설하여서는 아니된다.
제3장 정보주체의 권리보장
제9조 (동의의 철회)
서비스제공자는 이용고객이 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용고객 ID 등을 이용하여 개인정보의 수집, 이용 또는 제공에 대한 동의를 철회하는 경우에는 본인 여부를 확인하고 법령에 다르게 규정하고 있는 경우를 제외하고는 당해 개인정보를 파기하는 등 필요한 조치를 취한 후 그 사실을 이용고객에게 지체없이 통지하여야 한다.
제10조 (열람 및 정정·삭제·처리정지요구에 대한 조치)
①서비스제공자는 이용고객이 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용고객 ID 등을 이용하여 자신의 개인정보에 대한 열람 또는 정정, 삭제, 처리정지를 요구하는 경우에는 본인 여부를 확인하고 필요한 조치를 취한 후 그 사실을 지체없이 당해 이용고객에게 통지하여야 한다.
②서비스제공자는 이용고객의 대리인이 방문하여 열람 또는 정정, 삭제, 처리정지를 요구하는 경우에는 이용고객의 진정한 대리인인지 여부를 확인하여야 한다. 이 경우 서비스제공자 등은 대리 관계를 나타내는 증표를 제시하도록 요구할 수 있다.
③정보주체가 대리인을 통하여 해당 요구할 시, 서비스제공자는 해당 요구를 하는 자가 법정대리인 또는 『위임장』에 따라 정보주체의 위임을 받은 자인지 확인하여야 한다.
제4장 개인정보보호 관리체계
제11조 (개인정보 보호책임자의 지정)
①개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보 주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호 책임자를 지정한다.
개인정보 보호책임자 | 개인정보 보호 담당부서 | ||
---|---|---|---|
성명 | 송은아 | 직책 | 사례지원팀장 |
직책 | 사무국장 | 담당자 | 이인선 |
연락처 | 031-850-5312 | 연락처 | 031-850-5341 |
팩스 | 031-853-8921 | 부담당자 | 김유신 |
이메일 | song@warmhand.or.kr | 권여울 |
제12조(개인정보 보호책임자 책임 및 의무)
①개인정보 보호책임자는 개인정보 보호에 제반 지식을 갖추고 개인정보 보호에 관련한 업무를 수행하고, 개인정보 보호 지침이 잘 수행될 수 있도록 모든 관리 감독을 책임지며, 개인정보를 위한 조치를 강구 한다.
②개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
제13조(개인정보취급자의 책임 및 의무)
①업무상 개인정보를 취급하는 자로 처리하는 개인정보가 훼손 및 누설되지 않도록 안전하게 취급하여야 한다.
②개인정보취급자는 다음 각 호의 업무를 수행한다.
1. 개인정보 처리업무를 수행함에 있어서 처리되는 개인정보(개인정보의 수집·보유·이용 및 제공·파기단계)에 대한 보호관리
2. 웹사이트 및 문서에 게재된 개인정보에 대한 안전한 관리
3. 개인정보의 열람, 정정, 삭제 시 보호관리 등
③직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니 된다.
제14조(개인정보취급자에 대한 감독 및 의무)
①개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다.
②개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 필요한 교육을 실시하여야 한다.
③개인정보처리자는 개인정보취급자의 PC에 대한 보안점검을 수행해야 한다.
④개인정보취급자는 기밀유지서약서에 날인하고 이를 성실히 이행함은 물론, 본 지침을 숙지하고 개인정보보호정책을 준수해야 한다.
제15조 (개인정보의 관리)
서비스제공자는 문서 뿐 아니라 컴퓨터에 저장된 이용고객의 개인정보에 대한 접근 및 관리에 신중을 기울이고 담당자 외에는 손을 댈 수 없도록 조치하여야 한다.
① 개인정보 보관 및 관리
- 보관방법: 시건장치(문서보관), 암호화(전산정보)
수집된 개인정보는 전산정보, 문서보관 등으로 구분하여 보관되며, 관계자만 열람할 수 있는 시건장치 또는 암호화하여 관리한다. 개인정보 보호책임자는 개인정보에 접근할 수 있는 관계자를 구분, 목록화하고 점검해야 한다.
- 보관기간: 수집목적을 달성한 날로부터 사후관리 목적으로 5년간 보유 후 파기한다.
② 복지관 개인정보 접근 권한 내용
ㆍ사례지원팀장: 이용고객 개인정보 수집 및 등록, 수정
ㆍ지역복지팀장: 자원봉사자, 후원자 개인정보 수집 및 등록 수정
ㆍ관리운영팀장: 전산정보(진우정보시스템, 사회복지시설정보시스템) 및 서버 관리, 직원 및 사회봉사자 인적관리
ㆍ복지관 직원: 이용고객 개인정보 열람
③ 전산정보 관리
- 전산정보 관리를 위해 개인 PC 및 홈페이지(인트라넷), 진우 프로그램은 노출이 쉽지 않은 암호를 선택하고, 정기적으로 바꾸도록 한다.
④ 문서정보 관리
- 개인정보가 있는 PC에 저장된 문서는 암호화하여 관리한다.
- 개인정보 포함된 출력된 문서의 경우 사용목적 달성 후 반드시 파쇄해야 한다.
- 제 3자 및 타기관 의뢰, 정보공개 요청 시에는 본인 및 법정 대리인의 서면 동의 절차를 거친 이후 문서로 결재를 득한 후 정보를 공개한다.
제16조 (개인정보의 공개)
①정보 제공자나 법정대리인의 공개 요청이 있을 시 본인 여부를 확인한 후 정보공개 내용을 내부 결재 득한 후 정보를 제공한다.
②제3자 및 타기관의 정보 공개 요청 시에는 본인 및 법정 대리인의 서면 동의 절차를 거친 이후 내부 결재 득한 후 정보를 제공한다.
제17조 (개인정보의 파기)
①이용고객의 개인정보는 사용목적 달성 후 사후관리 목적으로 5년간 보유할 수 있다.
②자원활동가, 후원자의 개인정보는 사용목적 달성 후 5일 이내에 지체없이 파기하여야 한다.
③서비스제공자는 제1항의 규정에 의하여 개인정보를 파기하는 때에는 다음 각호의 방법에 의한다.
1. 종이에 출력된 개인정보: 분쇄기로 분쇄하거나 소각
2. 전자적 파일 형태로 저장된 개인정보: 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제
제18조(개인정보의 분류)
①복지관에 존재하는 개인정보는 사업의 형태와 사례관리에 따라 별도의 문서로 구분하여 관리하며, 구분 기준은 다음과 같다.
항 목 | 정보 내용 |
---|---|
유형분류 | 이용고객, 후원자, 자원봉사자, 지역사회 자원, 직원, CCTV, 기타 |
사업분류 | 상담사례관리사업, 기능강화지원사업, 장애인가족지원사업, 역량강화 및 권익옹호지원사업, 직업지원사업, 지역사회네트워크사업, 재가장애인복지지원사업, 스포츠 및 문화여가활동사업, 운영지원 및 기획홍보사업, 사회서비스사업, 주간보호사업 |
저장형태 | 문서, 전산(업무전산 시스템 및 구글 드라이브) |
제19조 (접근 권한)
① 18조 개인정보 분류와 직급 및 담당을 고려하여 개인정보취급자의 접근 권한을 설정하고 관리한다. 전산시스템의 경우 개인별 부여된 ID와 비밀번호는 타인에게 누설하거나 제공하지 않는다.
②직원 외 사회복무요원, 자원봉사자 등의 개인정보의 접근은 원칙적으로 불가하다.
③서버 등 개인정보가 저장된 전산장비는 일반 직원이나 타인의 접근이 원칙적으로 제한될 수 있도록 관리하며, 관리 작업 수행 시 전산정보 관리 담당자의 입회 하에 실시한다.
제5장 개인정보 처리방침 수립·공개
제20조(개인정보처리방침의 수립)
①개인정보 보호책임자는 홈페이지를 이용한 개인정보 처리시 초기 화면을 통해 정보주체가 알기 쉽도록 개인정보처리방침을 공개하여야 한다.
제21조(개인정보 처리방침의 공개)
개인정보처리자는 개인정보 처리방침을 인터넷 홈페이지나 관내 안내문 게시를 통해 지속적으로 게재하여야 하며 이 경우 “개인정보 처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
제6장 개인정보 침해 대응 및 복구 대책
제22조(개인정보 침해 예방)
①복지관은 개인정보 유출 및 침해를 예방하기 위해 개인정보보호방침과 계획을 수립하여야 한다.
②개인정보 보호책임자의 관리 감독 하에 개인정보취급자는 자신의 업무와 연관된 모든 환경 속에서 개인정보의 유출 및 침해 상황 발생여부를 점검해야 한다.
③개인정보 보호책임자의 관리 감독 하에 복지관에서 사용되는 모든 PC는 복지관이 정한 점검 체크리스트를 통해 정기적 점검을 실시하여 개인정보보안 여부를 확인하여야 한다.
④공유폴더는 개인정보가 포함된 파일을 공유하지 않거나 접속 권한을 제한한다.
⑤전산 데이터의 경우 해킹을 통한 정보유출 및 침해 위험을 방지하는 기능(방화벽, 보안서버 SSL 인증, 서버용 백신)이 있어야 한다.
⑥서비스 제공시간 이후 복지관의 모든 출입로는 경비 및 보안시스템을 통해 출입이 관리되어야 한다.
제23조(개인정보 침해 대응)
①개인정보 유출 및 침해 시 최초로 인지한 자는 개인정보 보호책임자에게 즉각 신고조치를 취해야 한다.
②신고된 개인정보 유출 침해 사안은 신속히 긴급 부서장회의 소집 하에 논의되고 처리 방안을 마련하도록 한다.
③이용고객의 개인정보가 유출되었을 경우 개인정보 보호책임자는 정보제공자에게 서면과 전화 등으로 통보해야 하며, 통보해야 할 사항은 다음과 같다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 대한 정보
4. 개인정보처리자의 대응조치 및 피해구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
제24조(개인정보 복구 대책)
개인정보 보호책임자는 유출과 침해에 관련한 복구 대책과 대응 체계, 피해구제절차를 수립하여 조치를 취해야 한다.
부 칙