“몇동 몇호에 사세요?” 등등 우리가 클라이언트를 대면하는 모든상황에서는 개인정보를 수집한다고 해도 과언이 아닙니다.
개인 정보 보호는 단순히 윤리적 규범이 아니라 법률 제10465호 「개인정보 보호법」이라는 법적 근거를 가지고 있습니다.
개인 정보는 살아있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보를 말합니다. 개인 정보의 범위는 이름, 영상물, 고유번호(주민번호), 주소, 성별, 종교, 연락처, 가족관계 등 신상기록이 된 문서, 서류, 동영상, 사진 등입니다.
개인에 대한 객관적인 정보는 물론 개인에 대한 의견, 평가 등 제3자에 의해 생성된 주관적인 정보도 개인 정보의 범위에 포함됩니다.
개인 정보 처리라 함은 개인 정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말합니다. 개인 정보보호 시행자는 개인정보를 취득하는 모든 사람이 해당합니다.
사회복지사가 작성 또는 클라이언트가 작성하는 대부분의 서류가 클라이언트의 이름, 영상물, 고유번호(주민번호), 주소, 성별, 종교, 연락처, 가족관계 등 신상기록이 된 문서, 서류, 동영상, 사진에 대한 기록과 수립, 생성을 진행되기 때문에 사회복지사들은 개인 정보보호법을 준수해야 합니다.
개인 정보 수집부터 폐기까지 단계별로 구체적인 실천 방법을 살펴보겠습니다.
가. 수집 시
개인 정보는 가능한 최소한으로 수집하고, 주민등록번호 및 건강 정보 등은 수집이 필요한 경우에만 최소한으로 수집합니다.
법령의 근거가 있는 경우가 아니면 주민등록번호, 운전면허번호, 여권번호, 외국인 등록번호 등 ‘고유 식별 정보’와 건강 정보, 정치적 견해, 성생활, 범죄 경력, 유전 정보 등 ‘민감정보’ 수집을 금지합니다.
개인정보보호법 16조에 따르면, 개인 정보 수집 시 최소한으로 수집했다는 입증책임은 사회복지시설의 몫입니다. 최소한의 정보 외 추가 정보 수집에 동의하지 않는다고 서비스 제공을 거부해서는 안 됩니다.
모든 개인 정보 수집 시는 구두 말고 서면으로 동의서 작성합니다. 서면 동의가 어려운 경우는 구두 동의를 녹음합니다.
만 15세 이상 개인 정보 수집 시는 본인에게 동의 받고, 만 14세 미만 미성년자인 경우는 법정대리인에게 동의 받습니다.
장애인이나 노인 본인 또는 법정대리인이 의사표시를 할 수 없는 상태거나 사전 동의를 받을 수 없는 경우에는 명백하게 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우 수집합니다.
CCTV도 동영상 정보를 수집하는 것으로, 기관에서 CCTV를 운영할 경우 설치 목적, 장소, 촬영 범위, 담당자 등을 안내, 운영방침을 수립하여 안내판 설치하여 공개합니다.
홈페이지 회원가입을 받을 경우에도 I-PIN, 공인인증서 등 주민등록번호 이외의 실명 확인 대체수단 도입합니다.
나. 관리
기관 전체 관리 책임자를 지정합니다. 개인 정보를 처리할 경우 개인 정보 위탁 사실을 포함한 개인 정보 처리 방침을 홈페이지나 사업장에 공개합니다. 개인 정보가 해킹 등으로 유출되지 않도록 내부관리 계획, 방화벽·백신·접근통제 등 안정성 확보 조치를 철저히 이행합니다.
개인 정보가 있는 서류인 사례관리 기록지, 사례관리 파일, 서비스 신청서, 각종 증명서, 통장 사본 등은 책상 위에 비치 후 자리를 비우지 않습니다. 갑자기 잠깐 자리 비울 때도 작성 중인 문서를 닫고, 서류는 서랍에 넣습니다. 퇴근이나 외근 시는 잠금장치가 있는 곳에 보관합니다.
개인 정보 입력하는 진우 프로그램, 인트라넷 시스템 활용 시 공용 아이디가 아니라, 개인별 아이디와 비밀번호 발급받아 로그인 후 기록합니다. 컴퓨터에 개인 정보가 기록된 모든 문서 보관 시에는 기관 공동 암호를 사용합니다. 인트라넷 전자 결재 기안에 개인 정보가 있는 서류를 첨부하거나 개인 정보가 포함되는 기안 내용 작성 시는 ‘문서등급’을 ‘비공개’로 설정합니다.
법령의 근거 없이 다른 용도로 사용하거나 수집한 목적과 다르게 사용하거나 제3자 제공 금지함으로 유출하지 않도록 주의합니다. 개인 정보제공 주체인 클라이언트는 본인의 개인 정보가 포함된 모든 문서를 요청할 수 있으며, 요청 시 제공해야 합니다.
다. 교육 및 서약
직원 입사 시 개인 정보 보호 교육 시행 및 개인 정보 보호 서약서 작성 후 개인 정보 관련 업무를 시행합니다. 직원 외 자원봉사자, 실습생, 공익요원 등은 개인 정보 입력을 금지합니다. 개인정보 보호법 제28조(개인 정보 취급자에 대한 감독)에 근거하여 직원과 파견근로자, 시간제 근로자는 년 1회 개인 정보 보호 보수 교육을 권고하고 있습니다.
라. 정당한 자료 제공과 유출
클라이언트 자원 연계 및 권익 활동을 위해 개인 정보 제공도 개인정보 보호법상 정보 유출이므로, 사전에 클라이언트 본인에게 외부 자료 제공을 안내하고 서면으로 동의를 받습니다.
클라이언트 자원 연계 및 권익 활동을 위해 개인 정보 제공 시에도 개인정보보호법 제17조(개인정보의제공) 에 따라 어떤 기관에 어떤 목적으로 개인 정보를 제공하였는지 언제까지 이용되는지, 어떤 항목이 제공되는지, 동의를 거부할 권리가 있는지 등에 대해 개인정보제공 대장에 근거를 남기고 제공합니다.
개인 정보법은 정보 주체의 ‘개인 정보 자기 결정권’을 보장하는 것을 주 목적으로 합니다. 따라서 좋은 목적이어도 개인적 수집 이용 제공이 정보주체의 동의와 관련 절차가 정당하게 진행되고, 안전하게 관리해야 합니다.
개인에 대한 객관적인 정보는 물론 개인에 대한 의견, 평가 등 제3자에 의해 생성된 주관적인 정보도 개인 정보의 범위에 포함됩니다. 따라서 클라이언트 본인이 작성하지 않고, 사회복지사가 작성한 상담 기록지, 초기 상담직, 후원 제안서 등도 반드시 동의를 구한 후 정당하게 자료를 제출합니다.
개인 정보가 공정한 절차에 따라 제공되지 않고 유출된 경우 즉시 관리 책임자에게 알리고, ‘유출 사유서’ 양식에 따라 작성 후, 관리 책임자는 정보 제공 주체에게 그 사실을 공지하여야 합니다. 개인 정보가 유출된 것을 인지하면 5일 이내에 서면·전화·이메일 등의 방법으로 즉시 정보주체에게 통보합니다. 개인정보 보호법 위반 시 3천만 원 이하 벌금이나 5년 이하 징역이 적용됩니다.
마. 폐기
수집된 목적이 달성된 후, 서비스 기간 경과 등 개인 정보의 이용이 끝난 후에는 반드시 파기합니다.
개인 정보가 들어간 서류는 사용목적 및 보관 연한 이 끝나면 이면지로 사용하지 말고, 분쇄기로 완전히 폐기합니다.
usb, cd, 컴퓨터 하드디스크 등 전자 파일도 복권 불가능한 방법으로 영구 삭제 후 폐기합니다. 관련 정보를 직접 폐기하지 않고, 개인 정보 처리 전문 업체를 활용하는 경우에는 보안 각서, 파쇄 증명서 등을 구비합니다.
개인 정보보호 관련 2개의 기념일이 있습니다. 1월 28일은 국제기념일인 ‘개인 정보 보호의 날’이고, 7월 14일은 ‘정보 보호의 날’로 2012년 지정한 법정기념일입니다. 그 외 개인 정보 보호 관련 자세한 내용은 개인 정보보호 종합포털 (www.privacy.go.kr)에 등재되어 있는 “개인 정보보호 가이드라인(약국, 사회복지시설, 의료기관 편)”에 자세히 나와 있고, 개인 정보 보호 상담 문의는 118로 가능합니다.
개인정보 보호법은 일반법입니다. 따라서 사회복지사업법 등 개인 정보 처리와 관련된 별도의 규정이 있으면 해당 법령을 우선 적용하고, 그 외 사안은 개인정보보호법을 적용합니다.