3.2 생태계 내 참여 서비스들의 엄격한 관리 기준

생태계 내 참여 서비스들은 개인정보를 적절히 보호하지 못하고, 통지 요구사항을 위반하거나 동의에 관한 특정 명령, 데이터 컨트롤러와 프로세서의 책임, 데이터 보호 평가의 필요성 등을 위반하였을 경우 상당한 재정적 페널티를 부과 받는다. 또한 의료 데이터를 포함하여 ‘배려가 필요한 개인정보’[1]에 한해서는 취득에 대해 본인 허가를 받는 것(옵트인[2] 방식)이 원칙이며, 본인의 명확한 인식 없이 개인정보가 제3자에게 제공되는 옵트아웃 방식은 인정되지 않는다.

익명가공 의료정보 작성사업자는 높은 정보 보안 수준을 확보하고 충분한 익명가공 처리기술을 보유하는 등의 일정 기준을 만족하며 의료정보의 관리 및 활용을 위한 익명화를 적정하고 확실하게 시행할 수 있는 법인에 한정된다. 의료정보 취급 수탁사업자는 익명가공 의료정보의 유출 및 훼손을 방지하고, 그 외 해당 (익명가공)의료정보의 안전관리를 위해 필요한 조치를 적정하고 확실하게 수행할 수 있는 법인에 한정되어 생태계 내 서비스 참여가 가능하다.

[1] 배려가 필요한 개인정보: 인종, 사회적 신분 및 병력 등에 따른 차별이나 편견과 불이익이 발생할 우려가 있는 정보

[2] 옵트인(Opt-in): 개인의 사전 동의에 따라 정보를 처리하는 방식

Last updated