개인정보 보관은 얼마나?…양도받은 개인정보 활용 제한
<분야별 사례> ② 개인정보 수집 및 이용 동의
요양기관에서는 진료목적으로 환자의 개인정보를 수집·이용할 경우에는 의료법에 근거해 환자의 동의 없이도 정보를 수집할 수 있다.
진료목적의 범위는 ①진료와 직접 관련된 진료 신청·진단·검사·치료·수납 등 업무 ②진료신청 문자발송, 검사결과 통보 등 ③진료와 연결된 예방접종 ④병원 이전 또는 휴업에 관한 정보가 해당하며, 이 범위가 아닌 개인정보 수집(환자들에게 SMS 발송, 홈페이지 회원 가입, 양도받은 개인정보를 홍보용 SMS 발송 시 등)의 경우 동의가 필요하다.
진료목적이 아닌 경우 4가지 필수항목(개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의 거부 권리 사실 및 거부에 따른 불이익의 내용, 만 14세 미만인 경우 법정대리인의 동의)이 동의서에 반드시 포함돼야 하고, 서명을 받아야 문제가 없다.
무엇보다 다른 의원에서 양도를 받아 개업할 때 이전 의원으로부터 받은 환자의 개인정보는 진료목적일 때에는 이용할 수 있지만, 병원 홍보와 관련된 SMS 발송 시에는 활용할 수 없음을 명심해야 한다.
Q.진료를 받기 위해 내원한 환자들에게 개인정보 수집 동의를 받아야 하나요? 받아야 한다면 수집 동의서를 어떻게 작성해야 할까요?
A. 진료목적으로만 개인정보를 수집·이용하는 경우 의료법에 근거해 환자의 동의 없이 수집할 수 있다. 진료목적은 의료법에 의한 진료기록부, 조산기록부 및 간호기록부 등의 작성과 동일진료와 연결된 예약내용의 안내, 검사결과 통보 등이 포함된다.
홍보 또는 진료와 관계없는 예방접종 안내 SMS(문자메시지)를 발송 등 진료목적 외로 개인정보를 활용하려는 경우에는 개인정보 수집 동의서를 작성해 환자에게 동의받고 수집해야 한다.
개인정보 수집 동의서에는 4가지 필수항목인 ▲개인정보의 수집·이용 목적(재화나 서비스의 홍보 또는 판매인 경우 강조해 표시) ▲수집하려는 개인정보의 항목(민감정보, 여권번호, 운전면허번호, 외국인등록번호는 강조해 표시) ▲개인정보의 보유 및 이용 기간(강조해 표시) ▲동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 명확하게 기재해야 하며, 환자가 14세 미만 아동인 경우에는 법정대리인의 동의 또한 받을 수 있도록 작성해야 한다.
만 14세 미만의 환자는 진료목적으로 개인정보를 수집하는 경우에는 법정대리인 및 환자 본인의 동의가 필요하지 않지만, 진료목적으로 수집하는 것이 아니면 법정대리인의 동의가 필수적이다.
이밖에 개인정보의 이용 목적이 추가 또는 변경될 경우에는 환자의 별도 동의를 받아야 한다는 것을 잊어서는 안 된다.
Q.환자들에게 SMS 발송을 위해 이름, 전화번호, 결혼 여부, 관심 분야를 수집하려고 합니다. 어느 것을 필수정보로 해야 하나요?
A.환자의 개인정보를 수집·처리하려는 목적에 따라 필수정보와 선택정보를 구분해야 한다.
해당 목적을 달성하기 위한 필요 최소한의 정보를 필수정보(필수항목)로 설정하면 되고, 이에 대한 최소한의 정보 수집 입증 책임은 개인정보를 수집하는 기관이 지게 된다.
진료목적 외로 SMS를 발송하는 요양기관에서는 일반적으로 이름과 전화번호를 필수정보로 정하는 사례가 많다.
앞서도 언급했지만, 의원에서 진료목적 이외에 개인정보를 수집·활용하기 위해서는 4가지 필수항목을 환자에게 알리고 동의를 받아야 한다.
Q. 요양기관 홈페이지 회원가입 시 개인정보 보관 기간을 얼마로 해야 하나요?
A. 요양기관의 진료기록부·처방전 등 기록물의 보존 기간은 의료법과 약사법 등에서 보존 기간을 규정하고 있으나, 홈페이지 회원정보는 별도로 보존 기간을 규정하고 있지 않다.
따라서 필요 최소한의 보유 기간을 산정하고, 이를 고지 후 동의를 받으면 된다. 또 산정한 보유 기간이나 목적을 달성하게 되면 해당 개인정보는 반드시 완전삭제(5일 이내)를 해야 한다. 즉, 개인정보를 파기할 때 복구 또는 재생되지 않도록 조치해야 하는 것이 중요하다.
Q. 간염 1차 접종을 받은 사람에게 2차 예방접종 안내를 위해 환자에게 SMS를 보낼 예정입니다. 환자의 동의 없이 예방접종 안내 SMS를 보내도 되나요?
A. 해당 사례와 같이 진료(간염 1차 접종)와 연결된 예방접종 사항에 대한 안내(SMS)는 진료목적의 범위에 포함되므로, 환자의 별도 개인정보 수집·이용 동의가 필요하지 않다.
하지만 다른 진료를 위해 방문한 환자에게 해당 진료와 관계없는 예방접종을 안내하기 위해서는 환자의 동의가 필요하다. 이런 경우도 마찬가지로 4가지 필수항목이 반드시 동의서에 포함돼야 한다.
Q.같은 지역의 의사들과 친목 단체 운영 목적으로 이름, 전화번호, 생년월일을 수록한 연락망을 만들어 공유하고자 합니다. 회원들로부터 개인정보수집 동의를 받아야 하나요?
A.개인정보보호법에서 규정하고 있는 '개인정보처리자'는 업무를 목적으로 개인정보를 처리하는 기관, 단체 및 개인 등을 말한다.
지역 의사들의 친목을 위해 연락처를 수집하는 것은 개인적인 활동으로서 '업무'라고 보기 어렵다.
또 친목 단체 운영의 경우 개인정보보호법의 일부를 적용받지 않으므로 별도의 개인정보수집 동의서는 필요하지 않다.
다만, 단체의 설립 목적을 벗어나 회원들의 연락처를 활용할 경우 반드시 개인정보보호법에 따라 별도 동의를 받아야 한다.
Q.대학병원 퇴직 후 개업하는 의사가 대학병원에서 진료목적으로 수집한 개인정보를 이용해 개업 인사 문자를 보낼 수 있나요?
A.진료목적으로 수집한 환자의 개인정보는 진료목적으로만 이용할 수 있기 때문에 개업 인사 문자를 보낼 목적으로 활용할 수 없다.
만일 개업 인사 문자를 보내고 싶다면 개인정보 수집·이용 동의를 위한 필수항목을 환자에게 알리고 동의를 받아야 한다. 여기서도 만 14세 미만 아동의 개인정보를 수집한 경우에는 법정대리인의 동의를 받아야 한다.
Q.다른 의원에서 양도를 받아 개업하게 됐습니다. 이전 의원에서 진료받은 환자의 정보를 홍보용 SMS 발송에 활용해도 되나요?
A.환자의 개인정보를 이전받은 경우, 이전 당시의 본래 목적으로만 개인정보를 이용할 수 있다. 그러므로 진료목적으로 받은 개인정보를 요양기관 홍보용 SMS 발송에 활용할 수 없다.
또 양도 시에는 개인정보를 이전하는 의원 또는 이전 받는 의원이 개인정보의 이전 사실을 환자에게 알려야 한다.(①개인정보를 이전하려는 사실 ②개인정보를 이전받는 자의 성명(법인·기관명), 주소, 전화번호 ③정보 주체가 개인정보의 이전을 원하지 않는 경우 조치할 방법 및 절차)
알리는 방법은 ▲서면·전자우편(e-mail)·팩스·전화·문자전송 또는 이에 상당하는 방법 ▲개인정보를 이전하려는 의료기관이 과실 없이 서면 등에 따른 방법으로 통지사항을 정보 주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재해야 한다.
다만, 인터넷 홈페이지를 운영하지 않는 경우 요양기관 내 보기 쉬운 장소에 30일 이상 게시해야 한다.