개인정보 처리방침

마인드스펙트럼은 귀하의 개인정보 보호와 민감한 심리 평가 데이터를 안전하게 지키는 데 깊은 책임감을 가지고 있습니다. 이 종합적인 개인정보 처리방침은 HIPAA(건강보험 이동성 및 책임에 관한 법률), GDPR(일반 데이터 보호 규정), CCPA(캘리포니아 소비자 개인정보 보호법) 및 기타 관련 국제 개인정보 보호 규정에 따라 귀하의 개인 및 건강 정보를 어떻게 수집, 사용, 보호 및 관리하는지에 대해 설명합니다. 정신 건강 정보의 민감한 특성을 고려하여 귀하의 심리 평가 결과 및 개인정보가 기밀로 안전하게 유지될 수 있도록 최고의 데이터 보호 기준을 적용합니다.

저희는 심리 평가 서비스를 제공하는 데 필수적인 정보만 수집합니다: 계정 등록 정보(이름, 이메일, 연령 확인을 위한 생년월일), 평가 응답 및 결과, 플랫폼 기능 개선을 위한 사용 분석, 보안 모니터링용 기술 로그, PCI-DSS 준수 제3자 제공업체를 통한 선택적 결제 정보. HIPAA 및 GDPR의 데이터 최소화 원칙을 엄격히 준수하여 평가 서비스 제공에 필요한 정보만 수집합니다. 귀하의 평가 데이터는 Protected Health Information(PHI)로 분류되어 강화된 보안 보호를 받습니다. 물리적 위치 정보는 절대 수집하지 않으며, 장치 식별자는 익명화되어 있고, 모든 건강 데이터 수집은 명확한 사전 동의가 필요합니다.

귀하의 심리 평가 데이터는 다음의 목적에만 사용됩니다: 평가 보고서 및 인사이트 제공, 개인 정신 건강 추세 추적(이 기능 활성화 시), 익명화된 집계 분석을 통한 평가 알고리즘 및 플랫폼 기능 개선, 요청 시 기술 지원 제공. 마케팅 또는 상업적 목적을 위해 귀하의 식별 가능한 건강 정보를 제3자에게 판매, 임대 또는 공유하지 않습니다. 귀하의 명시적 서면 동의 또는 법적 요구 없이는 보험사, 고용주, 교육 기관, 정부 기관과 평가 결과를 공유하지 않습니다. 모든 데이터 처리 활동은 HIPAA의 최소 필요 기준을 따르며 GDPR 하에서 문서화된 법적 근거를 가지고 수행됩니다.

저희는 HIPAA 기술적 보호조치 요구사항을 능가하는 의료급 보안 조치를 시행합니다: 저장 데이터에 대해 AES-256 암호화, 전송 데이터에 대해서는 TLS 1.3 적용, 모든 계정에 다중 인증(MFA) 적용, 독립 보안 업체의 정기 침투 테스트, AWS/GCP 의료 구성의 HIPAA 준수 클라우드 인프라, 자동화된 보안 모니터링 및 침입 탐지 시스템, 연례 제3자 HIPAA 준수 감사, 재해 복구 및 업무 연속성 계획, 필요에 따른 PHI 접근만 허용하는 엄격한 접근 제어. 모든 직원은 연간 HIPAA 개인정보 보호 및 보안 교육을 받습니다. 귀하의 평가 데이터 접근 이력에 대한 상세한 감사 로그도 유지합니다.

HIPAA 개인정보 보호 규칙 및 GDPR에 따라 귀하는 다음과 같은 포괄적 권리를 가집니다: 접근 권리(30일 내에 귀하의 PHI 전체 사본 다운로드), 정정 권리(부정확한 평가 데이터 수정 요청), 삭제 권리(일부 제한을 제외한 데이터 완전 삭제 요청), 데이터 이동 권리(기계 판독 가능 형식으로 평가 결과 내보내기), 처리 제한 권리(데이터 사용 제한 요청), 반대 권리(선택적 데이터 사용 거부), 동의 철회 권리(데이터 처리 동의 철회), 공개 내역 권리(PHI 접근 기록 수령). 이러한 권리는 계정의 개인정보 설정을 통해 또는 개인정보 보호 책임자에게 연락하여 행사할 수 있습니다.

귀하는 데이터 보존에 대해 전적인 통제권을 가집니다. 활성 계정: 삭제 요청 시까지 평가 데이터를 무기한 보존합니다. 비활성 계정(24개월 이상 로그인 없음): 데이터 보관 전 이메일로 안내를 드립니다. 삭제된 계정: 모든 평가 데이터는 30일 이내에 NIST 800-88 표준에 부합하는 안전한 데이터 파기 방법으로 영구 삭제됩니다. 연구 목적으로 익명화된 집계 데이터는 식별 정보 없이 보존될 수 있습니다. 삭제 전 언제든지 전체 평가 기록을 다운로드할 수 있습니다.

미국 외 지역에서 마인드스펙트럼에 접속할 경우 귀하의 데이터가 미국으로 전송되어 처리될 수 있습니다. GDPR 준수를 위해 유럽연합 집행위원회가 승인한 표준 계약 조항(SCC)을 적용하며 국제 데이터 전송에 동등한 보호 조치를 유지합니다. EU 사용자의 데이터는 명시적 동의 및 필요한 서비스 제공을 위한 GDPR 제49조 예외 조항에 따라 처리됩니다.

개인정보 관련 문의, 권리 행사 또는 우려 사항 신고는 다음으로 연락해 주십시오: 개인정보 보호 책임자 이메일 [email protected], 마인드스펙트럼 개인정보 보호 책임자 [회사 주소] 우편, 또는 HIPAA 준수 안전한 문의 양식. 개인정보 요청에 대해서는 HIPAA 및 GDPR 요구사항에 따라 30일 이내에 답변해 드립니다. 데이터 유출 통지나 보안 우려 사항은 즉시 [email protected] 로 연락해 주십시오.