NABI 개인정보처리방침
ver 1.0
2020.01.20
주식회사 바이오크는 개인(환자)의 의무기록 등 건강기록의 ‘소유권’이 각 개인(환자)에게 있다고 생각합니다.
주식회사 바이오크(이하, 회사)는 개인(환자)가 본인의 의무기록을 소유/관리하여, 이를 바탕으로 스스로 자신의 질환과 상태를 ‘연구’하고 자신에게 맞는 결정을 내릴 수 있도록 돕는 서비스를 제공하는 것을 목표로 합니다.
회사는 위 목표를 달성하기 위해, 이용자의 동의를 기반으로 개인정보를 수집·이용하여 이용자에게 ‘나의 암 연구 비서, NABI’ 서비스를 제공합니다. 이용자의 개인정보를 제3자에게 제공하는 것은, 이용자의 명시적인 동의 하에서만 수행될 것입니다. 회사는 이용자의 개인정보 자기결정권을 적극적으로 보장하며, 대한민국의 개인정보보호 규정 및 가이드라인을 준수합니다.
1. 수집하는 개인정보의 항목 및 수집방법
(1) 수집하는 개인정보의 항목
- 회사는 홈페이지 또는 개별 어플리케이션, 카카오톡 등 메신저 내 채널 등을 통해, 아래와 같은 서비스 제공을 위해 필요한 최소한의 개인정보를 수집합니다.
- 회원 가입 및 탈퇴
- 필수정보: 카카오계정(전화번호), 출생연도, 성별, 연계정보(CI)
- 선택정보: 생년월일
- 건강 기록 관리 (회원 가입 후, 별도의 동의를 통해 수집합니다.)
- 필수정보: 질환 정보, 병원 정보
- 선택정보: 환자 자가 보고(patient-reported outcome, PRO), 의무기록 사본, 처방전 사본, 환자/보호자 여부
*환자 자가 보고(PRO) 정보는, 이용자가 회사의 헬스케어 서비스를 이용하기 위해 직접 입력하는 정보입니다. 이용자가 직접 입력하는 정보에는 <질환에 관한 이용자의 질문, 복용 중인 약물명, 약 복용 여부, 복용 후 부작용/증상/삶의 질 정도 설문조사> 정보가 포함될 수 있습니다.
*의무기록사본 및 처방전 사본은, 사본을 촬영/스캔한 이미지 또는 pdf 등 전자 파일을 포함할 수 있습니다. 의무기록사본과 처방전 사본에 포함되는 정보 중 회사의 서비스를 위해 사용되는 정보는 아래와 같습니다.
- 의무기록사본: 의료기관 명칭, 조직검사 정보(병리학적 진단 결과, 종양 크기, 위치, ER/ PR 양성 여부, Her2 양성 여부, 림프절 전이 여부 및 개수, 조직학적 등급, 절제연(resection margin) 여부, 혈관/림프관 침범 여부), 질병 정보(진단 기수, 수술 날짜, 수술 방법, 재건 수술 여부와 부위, 항암 치료 진행 정보, 방사선 치료 진행 정보, 호르몬 치료 진행 정보) 혈액/화학/응고/요검사 결과 등
- 처방전 사본: 처방의약품의 명칭, 투여량, 투여횟수, 투약일수, 용법, 질병분류기호, 의료기관명칭, 처방 날짜 등
*의무기록사본과 처방전 사본에는 회사의 서비스 목적 달성을 위한 정보 외에도 다양한 의료 정보(이하, “기타 의료 정보”)가 포함될 수 있습니다. 그러나, 의무기록사본과 처방전 사본에서 회사의 서비스 목적 달성을 위한 정보만을 이용자가 선택적으로 보내는 것은 기술적으로 현재 불가능합니다. 회사는 서비스 목적을 위한 정보만을 의무기록사본 및/또는 처방전 사본으로부터 추출하여 서비스를 제공합니다.
*회사는 의무기록사본 및 처방전 사본과 관련된 개별 서비스가 요구하는 정보에 대하여 이용자의 동의를 추가로 받습니다.
(2) 개인정보 수집방법
- 회사는 사전에 이용자에게 개인정보 수집 사실을 알리고 동의를 구합니다. 회사는 아래와 같은 방법을 통해 이용자로부터 개인정보를 수집합니다.
- 이용자가 개인정보 수집에 대해 동의를 하고 직접 정보를 입력
- 서비스 이용 시 기기에서 측정하거나 자동생성
- 연동되는 웹/앱으로부터 추가 수집
2. 개인정보의 수집 및 이용목적
회사는 이용자의 소중한 개인정보를 다음과 같은 목적으로만 이용하며, 목적이 변경될 경우에는 사전에 이용자의 동의를 구하겠습니다.
목적 | 자세한 내용 |
1. 회원 식별 및 관리 |
|
2. 서비스 제공 |
|
3. 서비스 개선 |
|
4. 마케팅 및 프로모션 |
|
5. 유료서비스 제공에 관한 계약 이행 및 요금 정산 |
|
3. 개인정보의 보유 및 이용기간
- 원칙적으로, 회사는 개인정보 수집 및 이용목적이 달성된 후에는 해당 정보를 지체 없이 파기합니다. 단, 관계법령의 규정에 의하여 수집 및 이용 목적 달성 후에도 계속하여 보존할 필요가 있는 경우, 회사는 아래와 같이 관계법령에서 정한 일정한 기간 회원 정보를 보관합니다. 이 경우에도 회사는 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하는 등 안전한 조치를 취합니다.
보유항목 | 보유기간 (사유발생 일로부터) | 법적근거 |
계약 또는 청약철회 등에 관련된 기록 | 5년 | 전자상거래 등에서의 소비자보호에 관한 법률 |
대금결제 및 재화 등의 공급에 관한 기록 | 5년 | 전자상거래 등에서의 소비자보호에 관한 법률 |
소비자의 불만 또는 분쟁처리에 관한 기록 | 3년 | 전자상거래 등에서의 소비자보호에 관한 법률 |
신용정보의 수집/처리 및 이용 등에 관한 기록 | 3년 | 신용정보의 이용 및 보호에 관한 법률 |
이용자의 서비스 이용 관련 접속기록(로그인 기록) | 3개월 | 통신비밀보호법 |
4. 개인정보의 파기 절차 및 파기방법
(1) 파기절차
- 이용자의 회원 탈퇴 및 서비스 이용 동의 철회 시, 회사는 원칙적으로 이용자의 개인정보를 합리적인 기간 안(2주)에서 지체 없이 파기합니다. 단, 이용자에게 개인정보 보관 기간에 대해 별도의 동의를 얻은 경우, 또는 관계 법령에 의해 보관해야 하는 정보는 법령이 정한 기간 동안 안전하게 보관합니다.
- 또한, 회사는 ‘개인정보 유효기간제’에 따라 1년간 서비스를 이용하지 않은 회원의 개인정보를 별도로 분리 보관 또는 삭제하며, 분리 보관된 개인정보는 4년간 보관 후 지체없이 파기합니다.
(2) 파기방법
- 전자적 파일형태로 저장된 개인정보는 기록을 재생 또는 복구할 수 없는 기술적 방법을 사용하여 안전하게 삭제합니다.
5. 제3자에게의 개인정보 제공
- 회사는 이용자의 개인정보를 서비스이용약관 및 「개인정보처리방침」의 범위 내에서 사용하며, 이 범위를 초과하여 이용하거나 타인 또는 다른 기업·기관에 제공하지 않습니다. 다만, 아래의 경우는 예외로 합니다.
이용자의 동의를 획득한 경우
관계법령에 의해 정해진 절차와 방법에 따라 수사기관이나 정보기관의 요구가 있는 경우
통계작성, 학술연구 또는 시장조사 등을 위하여 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우
- 이용자의 개인정보를 제3자에 제공할 경우에는, 제공 전에 이용자에게 별도로 동의를 구하는 절차를 진행합니다. 이용자의 명시적 동의가 없는 경우에는 이용자의 개인정보를 제3자에 제공하지 않습니다.
- 이용자는 제3자 제공 동의를 거부할 수 있으며, 동의 거부는 회원가입과 서비스 이용에 영향을 미치지 않습니다. 그러나 이 경우 이용자는 제3자로부터 제공받는 서비스를 이용할 수 없습니다.
6. 개인정보 처리위탁
- 회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
- 회사는 위탁계약 체결시 개인정보 보호법 제25조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적․관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리․감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다.
- 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체없이 본 개인정보 처리방침을 통하여 공개하도록 하겠습니다.
수탁업체 | 위탁업무 내용 | 개인정보의 보유 및 이용기간 |
AWS 코리아 | - 클라우드(cloud)를 통한 데이터 보관 (데이터 보관 과정에서 수탁업체는 이용자의 데이터를 열람할 수 없습니다) | 회원 탈퇴 시 혹은 위탁계약 종료시까지 |
7. 이용자 및 법정대리인의 권리와 그 행사방법
- 이용자 및 법정대리인은 언제든 회사에 등록되어 있는 이용자 본인의 개인정보와 관련하여 열람/정정·삭제/처리정지/동의 철회를 요청할 수 있습니다.
- 이를 위하여 회사의 개인정보 보호책임자에게 서면, 전화 또는 이메일 등으로 연락하시면, 지체 없이 요청에 대하여 조치하겠습니다.
- 단, 회사는 다음에 해당하는 경우에는 개인정보의 전부 또는 일부에 대하여 열람/정정·삭제를 거절할 수 있습니다.
법률에 따라 열람이 금지되거나 제한되는 경우
다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 이용자가 개인정보의 오류에 대한 정정을 요청한 경우에는 정정을 완료하기 전까지 당해 개인정보를 이용 또는 제3자에게 제공하지 않습니다. 또한, 잘못된 개인정보를 제3자에게 이미 제공한 경우에는 정정 처리결과를 제3자에게 지체 없이 통지하겠습니다.
- 회사는 이용자 혹은 법정대리인의 요청에 의해 삭제/정지처리된 개인정보는 "3. 개인정보의 보유 및 이용기간"에 명시된 바에 따라 처리하고 그 외의 용도로 열람 또는 이용할 수 없도록 하고 있습니다.
- 이용자의 개인정보를 최신의 상태로 정확하게 입력하여 주시기 바랍니다. 이용자가 입력한 부정확한 정보로 인해 발생하는 사고의 책임은 이용자 자신에게 있으며 타인 정보의 도용 등 허위정보를 입력할 경우 회원 자격이 상실될 수 있습니다.
- 이용자는 개인정보를 보호받을 권리와 함께 스스로를 보호하고 타인의 정보를 침해하지 않을 의무도 가지고 있습니다. 비밀번호를 포함한 이용자의 개인정보가 유출되지 않도록 조심하시고 게시물을 포함한 타인의 개인정보를 훼손하지 않도록 유의해 주십시오. 만약 이 같은 책임을 다하지 못하고 타인의 정보 및 존엄성을 훼손할 시에는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등에 의해 처벌받을 수 있습니다.
8. 개인정보 자동수집 장치의 설치, 운영 및 그 거부에 관한 사항
- 회사는 개인정보처리방침 작성시를 기준으로, 이용자의 이용정보를 저장하고 수시로 불러오는 ‘쿠키(cookie)’를 사용하지 않습니다.
- 회사가 ‘쿠키’를 운용하게 되면, 개인정보처리방침을 수정하고 이를 공지하겠습니다.
9. 기타 개인정보 처리에 관한 방침
(1) 개인정보 보호를 위한 관리적, 기술적, 물리적 조치
회사는 이용자의 개인정보를 처리함에 있어 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 안전성 확보를 위하여 다음과 같은 기술적, 관리적 조치를 강구하고 있습니다.
내부관리계획
회사는 개인정보의 안전한 처리를 위하여 내부관리계획을 수립하고 시행하고 있습니다.
회사는 사내 개인정보보호 전담기구 등을 통해 개인정보보호조치의 이행사항 및 담당자의 준수여부를 확인하여 문제 발견 시 즉시 시정 조치하도록 하고 있습니다.
접근통제장치의 설치 및 운영
회사는 침입차단시스템을 이용하여 외부로부터 무단 접근을 통제하고 있으며, 기타 시스템적으로 보안성을 확보하기 위하여 가능한 모든 기술적 장치를 갖추려 노력하고 있습니다.
접속기록의 위조, 변조 방지를 위한 조치
회사는 개인정보처리시스템에 접속한 기록을 보관, 관리하고 있으며, 접속기록이 위조, 변조되지 않도록 보안기능을 사용하고 있습니다.
개인정보의 암호화
이용자의 개인정보는 비밀번호에 의해 보호되며, 파일 및 전송 데이터를 암호화하거나 파일 잠금기능(Lock)을 사용하여 저장, 관리되며, 중요한 데이터는 별도의 보안기능을 통해 보호되고 있습니다.
해킹 등에 대비한 대책
회사는 백신프로그램을 이용하여 컴퓨터바이러스에 의한 피해를 방지하기 위한 조치를 취하고 있습니다. 백신프로그램은 주기적으로 업데이트되며 갑작스런 바이러스가 출현할 경우 백신이 나오는 즉시 이를 제공함으로써 개인정보가 침해되는 것을 방지하고 있습니다.
회사는 암호알고리즘을 이용하여 네트워크 상의 개인정보를 안전하게 전송할 수 있는 보안장치(SSL)를 채택하고 있습니다.
개인정보와 일반 데이터를 혼합하여 보관하지 않고 별도의 서버를 통해 분리하여 보관하고 있습니다.
처리 직원의 최소화 및 교육:
회사는 이용자의 개인정보에 대한 접근권한을 이용자를 직접 상대로 하여 서비스 업무를 수행하는 자, 개인정보 보호책임자 및 담당자 등 개인정보관리업무를 수행하는 자, 기타 업무상 개인정보의 처리가 불가피한 자로 제한하고 있습니다.
회사는 개인정보를 처리하는 직원을 대상으로 새로운 보안 기술 습득 및 개인정보 보호 의무 등에 관해 정기적인 사내 교육 및 외부 위탁교육을 실시하고 있습니다.
직원의 회사 입사시 전 직원의 보안서약서를 통하여 사람에 의한 정보유출을 사전에 방지하고 개인정보 보호정책에 대한 이행사항 및 직원의 준수여부를 감사하기 위한 내부절차를 마련하고 있습니다.
개인정보 관련 취급자의 업무 인수인계는 보안이 유지된 상태에서 철저하게 이뤄지고 있으며 입사 및 퇴사 후 개인정보 사고에 대한 책임을 명확화하고 있습니다.
(2) 링크사이트 제공 방침
회사는 이용자에게 다른 회사의 웹사이트 또는 자료에 대한 링크를 제공할 수 있으며, 회사의 서비스를 통해 제3자가 개발한 제품 및 서비스를 사용할 수 있습니다(예를 들어, 회사의 앱을 통해 제3자가 운영하는 사이트로 이동하는 경우 등). 이 경우 회사는 제3자의 사이트, 자료, 제품 및 서비스에 대한 아무런 통제권이 없으므로 그로부터 제공받는 제품 및 서비스나 자료의 유용성에 대해 책임질 수 없으며 보증할 수 없습니다. 회사가 포함하고 있는 링크를 클릭(click)하여 타 사이트(site)의 페이지로 옮겨갈 경우 해당 사이트의 개인정보보호정책은 회사와 무관하므로 새로 방문한 사이트의 정책을 검토해 보시기 바랍니다.
(3) 이메일 무단수집 거부 방침
회사는 게시된 이메일 주소가 전자우편 수집 프로그램이나 그 밖의 기술적 장치를 이용하여 무단 수집되는 것을 거부합니다. 이를 위반 시 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」등에 의해 처벌받을 수 있습니다.
(4) 광고성 정보의 전송
회사는 이용자의 명시적인 수신거부의사에 반하여 영리목적의 광고성 정보를 전송하지 않습니다.회사는 이용자가 상품정보 안내, 뉴스레터 등 이메일/메시지 전송에 대한 동의를 한 경우, 이메일/메시지의 제목란 및 본문란에 다음 사항과 같이 이용자가 쉽게 알아볼 수 있도록 조치합니다.
이메일/메시지 제목란에는 광고라는 문구를 표시하지 않을 수 있으며 이메일 본문란의 주요 내용을 표시합니다.
이메일/메시지 본문란에는 이용자가 수신거부의 의사표시를 할 수 있는 전송자의 명칭, 이메일 주소 및 전화번호를 명시하고, 이용자가 수신 거부의 의사를 쉽게 표시할 수 있는 방법을 명시합니다. 팩스·휴대폰 문자전송 등 이메일 이외의 매체를 통해 영리목적의 광고성 정보를 전송하는 경우 관련 법령에 따라 전송내용 처음에 "광고" 문구를 표기하는 등 필요한 조치를 행합니다.
10. 개인정보보호 책임자 및 담당자
회사는 이용자의 개인정보를 보호하고 개인정보와 관련한 불만을 처리하기 위하여 아래와 같이 관련 부서 및 개인정보보호책임자를 지정하고 있습니다.
고객서비스 담당부서
고객서비스 담당부서: 개발 팀
이메일 : info@biock.health
전화: 010-2375-6415
개인정보보호 책임자
성명 : 이해원
직위 : 대표
이메일 : info@biock.health / hwlee@biock.health
개인정보보호 담당자
성명 : 이해원
직위 : 대표
이메일 : info@biock.health
11. 고지 의무
본 개인정보처리방침의 내용 추가, 삭제 및 수정이 있을 경우 개정 최소 7일 전에 ‘공지사항’을 통해 사전에 공지하겠습니다.
다만, 수집하는 개인정보의 항목, 이용목적의 변경 등과 같이 이용자 권리의 중대한 변경이 발생할 때에는 최소 30일 전에 공지하며, 필요 시 이용자 동의를 다시 받을 수도 있습니다.
개인정보처리방침 버전번호: ver 1.0
개인정보처리방침 시행일자: 2020년 01월 20일
이전 개인정보처리방침: 해당 없음