| Q. 작년에 수탁업체 직원 및 내부 직원들에게 보안서약서를 작성하게 하였습니다. 보안서약서는 매년 갱신해야 하나요?
혹은 한 번만 받으면 되나요?
A. 보안서약서는 직원, 아르바이트 직원 등이 입사 시에 한번 작성하는 것이 일반적이지만, 서약에 중요사항이 변경되었거나
병원운영 정책에 따라 갱신하고 작성토록 할 수도 있습니다. 수탁업체의 경우 전담하는 담당자가 별도로 없거나 계속 바뀐다면 수탁업체 대표자의 보안서약서를 받거나
계약서에 보안서약 내용을 추가하는 방법도 있습니다.
개인정보보호법 제 28조(개인정보취급자에 대한 감독) 1항
1 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘,
감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리, 감독을 행하여야 한다.
표준 개인정보보호지침 제 15조(개인정보취급자에 대한 감독) 3항
3 개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적잘한 관리, 감독을 해야하며, 인사이동 등에 따라
개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.
Q. 처음 내방한 환자에게 접수증에 이름, 주민등록번호, 전화번호 등을 기록하도록 하여 수집하였는데,
접수 프로그램에 입력 후 접수증은 바로 파기하여야 하나요? 혹은 별도의 장소에 보관해야 하나요?
A. 의원에서 사용하시는 접수증은 진료에 필요한 개인정보를 접수 프로그램에 입력하는 것을 목적으로 하는 임시자료라고 볼 수 있습니다.
그러무로 접수 프로그램에 해당 정보입력을 마쳤다면 그 목정이 달성된 것으로 즉시 파기(5일 이내) 하여야 합니다. 업무 환경상 즉시 파기가 어려워
임시로 봐관하여야 하는 경우에는 외부인이 쉽게 접근하기 어려운 장소에 보관 및 잠금처리 하여야 합니다.
개인정보보호법 제21조(개인정보의 파기) 1항
1 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여아 한다.
다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니 한다.
표준개인정보보호 지침 제 10조(개인정보의 파기방법 및 절차) 1항
1 개인정보처리자는 개인정보의 보유 기간이 경과하거나 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가
불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다.
Tip
더 이상 개인정보가 불필요하게 되었음에도 불구 하고 계속해서 보유하게 되면
개인정보의 유출과 오용 가능성이 높아지므로 이를 파기하도록 함으로써 개인정보를 안전하게 보호하여야 합니다.
Q. 간혹 자신의 진료기록을 지워달라고 하는 환자가 있습니다. 환자 본인임을 확인하고 지워도 되나요?
A. 환자의 진료기록은 의료법에 의무 보존기간이 명시되어 있습니다. 환자가 개인정보보호법에 따라 자신의 진료기록 삭제를 요청하더라도
해당 기록물의 보존기간이 경과하지 않았다면 파기하지 말아야 합니다.
다만, 의료법에 명시된 보존기간이 경화하였지만 연장보관하고 있는 진료기록에 대하여 환자가
삭제요청하는 경우에는 개인정보보호법 제 26조에 따라 삭제 등의 조치를 해야 합니다.
개인정보보호법 제 36조(개인정보의 정정, 삭제) 1~2항
1 25조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다.
다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
2 개인정보처리자는 제 1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여
다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체없이 그 개인정보를 조사하여 정보주체의 요구에 따라
정정, 삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
|
