Privacy Policy

주식회사 로킷헬스케어(이하 “회사”)는 귀하의 개인정보보호를 소중히 생각하며, 「개인정보보호법」및 관련 법령상의 개인정보보호 규정을 준수하고 있습니다. 또한 회사는 개인정보 처리방침을 통하여 귀하가 제공하는 개인정보가 어떠한 용도와 방식으로 이용되고 있으며 개인정보보호를 위해 어떠한 조치가 취해지고 있는지 알려드립니다.

본 개인정보 처리방침은 관련 법의 개정이나 회사의 정책에 따라 변경될 수 있으며, 회사는 웹사이트(https://aidregen.com, 이하 “웹사이트”)를 통하여 이를 알려 드리니, 웹사이트 이용 시에 수시로 확인하여 주시기 바랍니다.

제1조 개인정보의 수집 항목 및 목적

본 개인정보 처리방침에서 "계정"이란 AiD Regen 서비스에 접근하기 위해 "이용자"가 생성하거나 등록한 로그인 자격 증명을 의미합니다. 계정은 서비스 접근 권한 및 사용 이력을 관리하는 데 사용됩니다. 회사는 본 개인정보 처리방침에서 정한 범위 내에서만 계정 정보를 수집하고 처리합니다.

1.    이용자 유형 및 수집 항목

①     대리점 담당자

-           정의: 회사가 특정 계약 관계를 통해 또는 이외에 공식적으로 지정한 대리점의 담당자 (대리점 소속의 직원 포함)로서, 서비스의 유통, 설치, 유지보수를 담당하며 병원 계정 생성 및 관리 권한을 보유하나, 환자 데이터 및 병원 내부 정보에는 접근할 수 없는 자를 말합니다.

-           수집항목:

(1)  필수: 대리점 이름, 담당자 이메일, 위치/국가, 웹사이트 이용 로그

(2)  선택: 대리점 주소, 앰블럼 이미지

-           이용 가능 서비스

ü  관리자 웹사이트 (https://prd-admin.rokithc.com): 병원 관리자 계정 생성 및 관리, 병원 등록 및 관리, 시스템 모니터링

ü  AiD Regen 앱: 서비스 등록, 초기 설정 지원 

②     병원 관리자

-           정의: 병원의 대표자 또는 담당자로서, 소속 의사의 계정 생성 및 관리 권한을 보유하며 병원 내 서비스 운영을 총괄하는 자를 말합니다.

-           수집항목:

(1)  필수: 병원 이름, 병원 관리자 이메일, 병원 위치/국가, 웹사이트 이용 로그

(2)  선택: 병원 주소, 앰블럼 이미지

-           이용 가능 서비스

ü  AiD Regen 앱: 병원 소속 의사 계정 관리, 병원 정보 관리

③     의사

-           정의: 병원의 소속 의사로서, 환자 데이터를 확인하고 의료적 판단을 내릴 수 있도록 허가 받은 자.

-           수집항목:

(1)  필수: 의사 이름, 이메일, 소속 병원 이름, 병원 위치/국가, 웹사이트 이용 로그

(2)  선택: 병원 주소, 앰블럼 이미지, 의사 프로필 사진

-           이용 가능 서비스

ü  AiD Regen 앱: 환자 데이터 수집 및 관리 

2.    수집이〮용 목적

①     공통 목적: 서비스 제공 및 계정관리, 본인 확인 및 인증, 고객 지원 및 문의 대응, 고지사항 전달, 불만처리를 위한 의사소통 경로 확보

②     이용자 유형별 목적

-           대리점 담당자: 제품 등록 및 관리, 병원 관리자 계정 생성 및 관리, 시스템 모니터링 및 기술 지원, 제품 A/S 및 유지보수 지원

-           병원 관리자: 소속 의사 계정 등록 및 관리, 병원 정보 관리

-           의사: 환자 치료, 의료 서비스 제공

3.    환자 정보

①     수집항목: 환자코드, 환부이미지

②     수집목적: 환자 치료, 의료 서비스 제공

③     처리권한: 승인된 의사만 접근 가능

제2조. 개인정보 수집 동의 및 병원 책임

1.    정보제공 동의 대상자  

①     회사는 계정 생성 시 제출된 개인정보에 대해, 해당 정보를 제공한 자가 정보 주체이거나 정보 주체로부터 적법한 권한을 위임받은 자이며, 정보 주체가 개인정보 제공에 동의했음을 합리적으로 추정합니다. 만약 개인정보의 당사자가 계정 생성 또는 개인정보 제공에 대해 인지하지 못했거나 동의하지 않았다면, 회사에 즉시 이를 알려주시기 바랍니다.

2.    병원의 의무

①     병원 (즉, 병원에서 지정한 담당 의료진)은 반드시 환자에게 ‘환자 정보’ 수집의 목적 및 처리 방법을 설명하고 별도의 사전 서면 동의를 받아야 합니다.

②     의료진은 GDPR, HIPAA, 국내 개인정보 보호법 및 관련 규정을 준수해야 하며, 환자의 권리를 보호하기 위한 모든 조치를 이행해야 합니다. 

제3조 개인정보의 보유 및 이용기간

회사는 개인정보 보호법, GDPR (저장 제한 원칙), HIPAA, 의료법 등 관련 법령에서 정한 기준을 준수합니다. 개인정보의 보유 기간은 회원 탈퇴, 계약 해지, 서비스 종료 등으로 수집 당초 목적이 달성된 시점까지이며, 관련 법령에서 별도의 보유 기간을 정하고 있는 경우에는 해당 법령이 정한 기간을 우선하여 적용합니다.

1.    이용자 정보

①     회원 계정 정보 (이름, 이메일, 소속 정보 등)

-          보유기간: 서비스 이용 종료(회원 탈퇴) 후 1년 이내 파기

-          보관 목적: 고객 문의 대응, 분쟁 해결, 법적 의무 준수 등

-          예외사항: 관련 법령에 의해 추가 보관이 필요한 경우, 해당 법령에서 정한 기간까지 보관 후 즉시 파기

2.    웹사이트 이용 로그 및 쿠키 데이터

①     보유기간: 3년 이내 파기

②     보관 목적: 통신비밀보호법, 전자상거래법 등 관련 법령 준수 및 서비스 품질 개선

③     예외사항: 법령상 보존 의무가 있거나 분쟁 해결에 필요한 경우, 해당 기간이 경과한 후 즉시 파기

3.    환자 정보

①     환자 코드, 환부 이미지

②     보유기간: 의료법 및 관련 규정(예: HIPAA, 대만민국 의료법 등)에 따라 최소 10년 이상 보관

③     보관 목적: 진료기록 및 의료 서비스 이력 관리, 환자 치료와 관련된 법적·행정적 의무 이행

④     예외사항:

-           법령에서 더 긴 보관 기간을 요구하는 경우, 해당 기간 준수

-           보유 기간 경과 후에는 지체 없이 안전한 방식으로 파기 또는 비식별화 처리

제4조 개인정보 제3자 제공

회사는 원칙적으로 귀하의 개인정보를 본 방침 제1-2조에서 명시한 범위 내에서 처리하며, 귀하의 사전 동의가 있거나 관련 법령에 규정된 경우를 제외하고는 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다.

제5조 수집한 개인정보의 취급위탁

회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 취급업무를 외부 전문업체에 위탁하여 운영하고 있습니다.

1.     수탁자: Google Cloud Korea LLC

2.     위탁업무: 데이터 보관

3.     보유 및 이용기간: 위탁계약 종료시까지

회사는 위탁계약 체결 시 ｢개인정보 보호법｣ 제26조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다. 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체없이 본 개인정보 처리방침을 통하여 공개하도록 하겠습니다.

제6조 수집한 개인정보의 국외이전

회사는 서비스 제공 목적 및 이용자의 편의 증진 등을 위하여 이용자의 정보를 아래와 같이 국외로 전송하거나 국외에서 관리할 수 있으며, 회사의 개인정보 국외 이전 내역은 아래와 같습니다.

1.     이전 받는 업체: Google Cloud Korea LLC

2.     이전되는 개인정보항목: 이용자 정보 (이름, 이메일, 프로필 사진), 소속 병원/ 의료기관 정보(이름, 주소, 국가), 환자정보 (코드 / 환부사진)

3.     이전되는 국가: 미국, 대한민국

4.     국외이전 관련 보호조치:

①     GDPR 제46조에 따른 표준계약조항(SCC) 또는 기타 적절한 보호조치 적용

②     데이터 전송 중 암호화, 접근 제한 등 안전성 확보 장치 마련

제7조 개인정보의 파기에 관한 사항

회사는 개인정보 수집·이용 목적이 달성되거나 개인정보의 보유 및 이용기간이 경과하는 등 개인정보가 불필요하게 되었을 때 에는 해당 개인정보를 다음과 같은 절차와 방법으로 즉시 파기합니다. 단, 정보주체로부터 동의 받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존합니다.

1.     파기절차: 회사는 파기 보유 기간이 경과하거나 처리 목적이 달성된 개인정보를 선정하고, 회사의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다.

2.     파기방법: 전자적 파일 형태의 정보는 복구가 불가능하도록 안전한 방식으로 삭제하고, 종이 문서는 분쇄 또는 소각하여 파기합니다.

제8조 정보주체와 법적대리인의 권리/의무 및 행사방법

정보주체는 회사에 대해 언제든지 개인정보 열람·정정·삭제·처리정지 요구 등의 권리를 행사할 수 있습니다.

1.     권리 행사 방법

①     대한민국 개인정보보호법 시행령 제41조제1항에 따라 서면, 전자우편, 모사전송(FAX) 등으로 요구하실 수 있으며, 회사는 이에 대해 지체 없이 조치합니다.

②     해외 이용자의 경우, 이메일·온라인 폼 등을 통해서도 요청할 수 있습니다.

2.    법정대리인 및 대리인을 통한 권리 행사

①     정보주체의 미성년자, 의사무능력자 등의 경우 법정대리인이 대신하여 권리를 행사할 수 있으며, 대한민국 “개인정보 처리 방법에 관한 고시(제2020-7호)” 별지 제11호 서식에 따른 위임장을 제출해야 합니다.

②     회사는 요청자가 본인 또는 정당한 대리인인지를 확인하기 위해 필요한 조치를 취합니다.

3.    권리 제한 사유

①     대한민국 개인정보보호법 제35조 제4항, 제37조 제2항 등에 따라 정보주체의 권리가 제한될 수 있습니다.

②     개인정보의 정정 및 삭제 요구는 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없습니다.

4.    GDPR 및 HIPAA 등 해외법 추가 권리:

①     GDPR 적용 대상자 (EU 거주자): 데이터 이동권(Right to Data Portability), 반대권(Right to Object), 처리 제한권(Right to Restriction), 자동화된 의사결정 배제권(Right not to be subject to automated decision-making) 등을 행사할 수 있으며, 거주 국가의 감독기관(DPA)에 불만 제기가 가능합니다.

②     HIPAA 적용 대상자 (미국 거주자): 환자는 자신의 의료정보 열람, 정정, 정보 공유 제한 요구 등을 할 수 있습니다.

제9조 개인정보의 안전성 확보 조치에 관한 사항

회사는 개인정보 보호법 제29조, 의료기기법, GDPR, HIPAA, FDA21 CFR Part 11 등 관련 법령, 고시에 따라 다음의 조치를 포함하여 개인정보의 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취하고 있습니다.

1.     기술적 조치: 회사는 개인정보처리시스템 등의 접근권한 관리, 접근통제시스템 설치, 접속기록의 위조·변조 방지를 위한 조치, 암호화기술 등을 이용한 보안조치 등 기술적 보호조치를 하고 있습니다.

2.     관리적 조치: 회사는 개인정보를 취급할 수 있는 인력을 최소한으로 한정하고 해당 인원에게 패스워드를 부여하여 관계자 이외의 인원에 의한 정보열람 및 오용을 방지하고 있으며, 직원에 대한 정기 개인정보 보호교육을 시행하고 있습니다.

3.     물리적 조치: 회사는 전산실, 자료보관실 등 개인정보의 보관장소에 대한 접근통제를 실시하고 있습니다.

제10조 개인정보관리 책임자 및 의견수렴/불만처리

귀하의 개인정보와 관련한 문의사항 및 불만사항이 있으시면 아래의 개인정보관리 책임자에게 연락 주시면 즉시 조치하여 처리 결과를 통보하겠습니다.

1.      개인정보 보호책임자 및 담당부서

①    이름 및 직급 :

이상민, Chief AI Officer (CAIO),

김형신, Project Manager (PM)

②    담당부서: AI SBU

③    이메일: snack@rokit.co.kr; hyeongshin.kim@rokit.co.kr

2.      권익침해 구제 방법

이외에 개인정보침해에 대한 신고/상담이 필요하시거나, 개인정보침해로 인해 금전적, 정신적 피해를 입으신 경우에는 한국정보보호진흥원(개인정보침해센터) 또는 개인정보분쟁조정위원회에 피해구제를 신청하실 수 있습니다.

①    개인분쟁조정위원회 (www.kopico.go.kr/ 1833-6972)

②    정보보호마크인증위원회 (www.eprivacy.or.kr/02-580-0533~4)

③    대검찰청 인터넷범죄수사센터 (www.spo.go.kr/ 국번없이 1301)

④    경찰청 사이버테러대응센터 (ecrm.police.go.kr / 국번없이 1301)

「개인정보보호법」제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

※ 행정심판에 대해 자세한 사항은 중앙행정심판위원회(www.simpan.go.kr) 홈페이지를 참고하시기 바랍니다.

제11조 고지의 의무

현 개인정보처리방침은 정부의 정책 또는 보안기술의 변경에 따라 내용의 추가, 삭제 및 수정이 있을 시에는 변경되는 개인정보취급방침을 개정 전에 웹사이트를 통해 고지할 것입니다.

제12조 개인정보처리방침의 변경에 관한 사항

이 개인정보 처리방침은 2025년 3월 21일부터 적용됩니다. 

ROKIT HEALTHCARE Inc. (hereinafter referred to as the “Company”) places great importance on protecting your personal data and complies with the personal data protection regulations set forth in the Personal Information Protection Act (“PIPA”) and other applicable laws. Through this Privacy Policy, the Company informs you how and for what purposes your personal data is used and what measures are taken to protect your personal data.

This Privacy Policy may be amended in accordance with revisions of related laws or the Company’s internal policies. Any changes will be announced via the Company’s website (https://aidregen.com, hereinafter the “Website”), so please check the Website from time to time when using the Website.

Article 1. Collection and Purpose of Personal Information

In this Privacy Policy, "Account" refers to the login credentials created or registered by “User” to access the AiD Regen service. The Account is used to manage service access permissions and track usage history. The Company collects and uses account information within the scope specified in this Privacy Policy.

    1. User Types and Collected Information

        ① Distributor Representative 

            - Definition: A representative of (including an employee affiliated with the distributor) officially designated by the Company through a specific contractual relationship or otherwise, responsible for the distribution, installation, and maintenance of the services, responsible for the distribution, installation, and maintenance of services, with authority to create and manage hospital accounts, but without access to patient data or internal hospital information.

            - Collected Information:

                (1) Required: Distributor name, Representative’s email, Distributor’s location/country, website usage log

                (2) Optional: Distributor’s address, emblem image 

            - Available Services:

                 Administrator Website (https://prd-admin.rokithc.com): Hospital administrator account creation and management, hospital registration and management, system monitoring.

                 AiD Regen App: Service registration, initial setup support.

        ② Hospital Administrator

            - Definition: A representative or designated personnel of a hospital who has the authority to create and manage accounts for affiliated doctors and oversee the hospital's service operations.

            - Collected Information: 

                (1) Required: Hospital Name, Hospital Administrator’s email, Hospital location/country, website usage logs

                (2) Optional: Hospital address, emblem image

            - Available Services:

                 AiD Regen App: Management of doctor accounts affiliated with hospital and management of hospital information.

        ③ Doctor

            - Definition: A physician/medical doctor affiliated with a hospital who is authorized to access patient data and make medical decisions.

            - Collected Information: 

                (1) Required: Doctor’s full

                name, email, affiliated hospital name, hospital location/country, website usage logs

                (2) Optional: Hospital address, emblem image, Doctor’s profile picture

            - Available Services:

                 AiD Regen App: Collection and management of patient data.

    2. Purpose of Collection and Use

        ① Common Purposes: Providing services and managing accounts, Identity verification and authentication, customer support and inquiry response, delivery of notifications, securing a communication channel for complaint handling.

        ② Purpose by User Type:

            - Distributor Representative: Product registration and management, hospital administrator account creation and management, system monitoring and technical support, product after-sales service (A/S), and maintenance support.

            - Hospital Administrator: Registration and management of affiliated doctor accounts, hospital information management.

            - Doctor: Patient treatment and medical service provision.

    3. Patient Information

        ① Collected Information: Patient code, wound images.

        ② Purpose of Collection: Patient treatment and medical service provision.

        ③ Access Rights: Only authorized doctors can access this information.

Article 2. Consent for Personal Information Collection and Responsibilities of Hospital

    1. Individuals Subject to Consent for Information Provision 

        ① The Company reasonably assumes that the person providing the personal information during account creation is either the data subject or a person duly authorized by the data subject, and that the data subject has consented to the provision of such information. If the data subject was unaware of or did not consent to the account creation or provision of personal information, the individual must promptly notify the Company.

    2. Responsibilities of Hospital

        ① The hospital (i.e., the medical personnel authorized by the hospital) must explain to the patient the purpose and methods of collecting and processing ‘Patient Information’ and obtain separate prior written consent.

        ② Medical personnel must comply with GDPR, HIPAA, domestic privacy protection laws, and related regulations, and implement necessary measures to protect the patient’s rights.

Article 3. Retention and Use Period for Personal Information

The Company complies with the standards prescribed by the Personal Information Protection Act, the GDPR (storage limitation principle), HIPAA, the Medical Services Act, and other applicable laws. Personal Information is retained until the initial purpose of collection is achieved (e.g., upon membership withdrawal, contract termination, or service discontinuation). If any applicable law prescribes a separate retention period, the period set forth in such law shall prevail.

    1. User Information

        ① Member Account Information (Name, Email, Affiliation information, etc.)

            - Retention Period: Destroyed within 1 year after service use ends (e.g., membership withdrawal)

            - Purpose of Retention: Responding to customer inquiries, dispute resolution, compliance with legal obligations, etc.

            - Exceptions: If additional retention is required by relevant laws, data will be retained until the period mandated by those laws, and then immediately destroyed.

    2. Website Usage Logs and Cookie Data

        ① Retention Period: Destroyed within 3 years

        ② Purpose of Retention: Compliance with the Telecommunications Privacy Act, Electronic Commerce Act, and other relevant laws, as well as service quality improvement

        ③ Exceptions: If there is a statutory obligation to retain such data or if it is required for dispute resolution, the data will be destroyed immediately after the relevant period ends.

    3. Patient Information

        ① Patient Code, Patient Wound Image

        ② Retention Period: At least 10 years, in accordance with the Medical Services Act and related regulations (e.g., HIPAA, relevant laws of the Republic of Korea, etc.)

        ③ Purpose of Retention: Managing medical records and medical service history, fulfilling legal/administrative obligations related to patient treatment

        ④ Exceptions:

            If a longer retention period is required by law, such period shall be observed.

            Once the retention period has expired, data is either promptly destroyed or rendered anonymous in a secure manner.

Article 4. Provision of Personal Information to Third Parties

The Company, in principle, processes your personal information within the scope specified in Articles 1-2 of this Policy, and shall not process it beyond that scope or provide it to third parties without your prior consent or unless otherwise permitted by applicable laws.

Article 5. Outsourcing the Processing of Collected Personal Information

For smooth operation of personal data-related tasks, the Company may outsource part of its data processing duties to specialized external service providers as follows:

    1. Service Provider: Google Cloud Korea LLC

    2. Outsourced Tasks: Data storage

    3. Retention and Use Period: Until the end of the outsourcing contract

When executing an outsourcing contract, the Company clarifies in the contract or in writing—pursuant to Article 26 of the Personal Information Protection Act—that the service provider must not process the data beyond the scope of the outsourced tasks, must take technical and managerial protection measures, must not re-outsource without permission, and must accept responsibility for damages. The Company also supervises the service provider to ensure that they process personal information safely. If the content of the outsourced tasks or the service provider changes, such changes will be promptly disclosed through this Privacy Policy.

Article 6. Overseas Transfer of Collected Personal Information

For service provision and to enhance user convenience, the Company may transfer or store personal data outside the country, as shown below:

    1. Recipient: Google Cloud Korea LLC

    2. Scope of Personal Information Transferred: User Information (Name, Email, Profile Photo), Affiliated Hospital/Medical Institution Information (Name, Address, Country), Patient Information (Code / Affected Area Image)

    3. Destination Countries: The United States, Republic of Korea

    4. Protective Measures for Overseas Transfer:

        ① Application of Standard Contractual Clauses (SCC) or other appropriate safeguards in accordance with GDPR Article 46

        ② Encryption during data transfer, access restrictions, and other security measures

Article 7. Destruction of Personal Information

When the purpose of collecting and using personal data has been achieved, or when the retention and use period has lapsed, and the personal data is no longer necessary, the Company will promptly destroy such data as follows. However, if other laws require continued retention even after the data subject’s consented retention period has expired or the processing purpose has been achieved, the data will be moved to a separate database (DB) or stored in a different location until the required period ends, after which it will be promptly destroyed.

    1. Destruction Procedure:

        The Company selects personal data that has exceeded its retention period or for which the purpose of processing has been fulfilled, and obtains approval from the Company’s Personal Data Protection Officer to destroy the data.

    2. Destruction Method: Electronic files are destroyed in a manner that prevents recovery (e.g., secure deletion, overwriting)

        Paper documents are shredded or incinerated

Article 8. Rights and Obligations of Data Subjects and Their Legal Representatives, and Methods of Exercise

Data subjects may, at any time, exercise the right to request access, correction, deletion, or suspension of processing of their personal data with respect to the Company.

    1. Methods of Exercising Rights

        ① Pursuant to Article 41(1) of the Enforcement Decree of the Personal Information Protection Act of the Republic of Korea, requests may be submitted in writing, by email, or by fax, and the Company will respond without undue delay.

        ② Overseas users may also submit such requests via email or online forms.

    2. Exercising Rights via Legal Representatives or Delegates

        ① If the data subject is a minor, or lacks legal capacity, etc., their legal representative may exercise these rights on their behalf. In such cases, the “Power of Attorney” form in Appendix 11 of the “Public Notice on Personal Information Processing Methods (2020-7)” issued in Korea must be submitted.

        ② The Company will take necessary steps to verify whether the requester is indeed the data subject or a duly authorized representative.

    3. Limitations on Rights

        ① In accordance with Article 35(4), Article 37(2), etc. of the Personal Information Protection Act of the Republic of Korea, certain requests may be restricted.

        ② If another law mandates the collection of particular personal data, requests for the deletion of such data may be denied.

    4. Additional Rights under GDPR and HIPAA

        ① GDPR Applicable Individuals (EU Residents): You may exercise the right to data portability, the right to object, the right to restrict processing, and the right not to be subject to automated decision-making, among others. You may also lodge a complaint with the data protection authority (DPA) in your place of residence.

        ② HIPAA Applicable Individuals (US Residents): If HIPAA applies, patients have rights such as accessing their medical records, requesting corrections, and restricting the sharing of their medical information.

Article 9. Measures to Ensure the Security of Personal Data

In accordance with Article 29 of the Personal Information Protection Act, the Medical Device Act, GDPR, HIPAA, FDA 21 CFR Part 11, and other relevant statutes and notices, the Company takes the following technical, administrative, and physical measures to ensure the security of personal data:

    1. Technical Measures

        ① Access Control: Manage access rights for personal data processing systems, and block unauthorized external access

        ② Access Control Systems: Install firewall and intrusion prevention systems to prevent and detect external attacks

        ③ Log Management: Keep and regularly review logs of data access to prevent tampering or falsification

        ④ Encryption: Encrypt personal data during transmission (e.g., SSL/TLS) and storage (e.g., AES-256); store critical data (e.g., passwords) separately

    2. Administrative Measures

        ① Minimizing Access and Regular Training: Limit the number of employees with access to personal data, regularly train them on data protection and security

        ② Internal Management Plan: Establish and enforce internal policies and guidelines for personal data protection

    3. Physical Measures

        ① Access Control to Storage Areas: Restrict entry to server rooms and record storage facilities

        ② Document Security: Store paper documents and storage media in secure areas; shred or incinerate when disposing of them

Article 10. Personal Data Protection Officer and Handling of Opinions/Complaints

If you have any inquiries or complaints regarding your personal data, please contact the following Personal Data Protection Officer. We will take immediate action and notify you of the outcome.

    1. Personal Data Protection Officer and Department in Charge

        ① Name and Position:

        Sangmin Lee, Chief AI Officer (CAIO)

        Hyeongshin Kim, Project Manager (PM)

        ② Department: AI SBU

        ③ Email:snack@rokit.co.kr, hyeongshin.kim@rokit.co.kr

    2. Remedies for Infringement

        If you need to report or consult about personal data infringement, or if you have suffered monetary or mental damages due to personal data infringement, you can apply for relief from the following organizations in the Republic of Korea:

        ① Personal Information Dispute Mediation Committee (www.kopico.go.kr, 1833-6972)

        ② ePrivacy Certification Committee (www.eprivacy.or.kr, +82-2-580-0533~4)

        ③ Supreme Prosecutors’ Office Cybercrime Investigation Center (www.spo.go.kr, dial 1301 without area code)

        ④ National Police Agency Cyber Bureau (ecrm.police.go.kr, dial 1301 without area code)

In accordance with Articles 35 (Inspection of Personal Data), 36 (Correction and Deletion of Personal Data), and 37 (Suspension of Processing of Personal Data) of the Personal Information Protection Act, if the head of a public institution takes an action or refrains from acting and it infringes on your rights or interests, you may file an administrative appeal under the Administrative Appeals Act.

For more information on administrative appeals, please visit the website of the Central Administrative Appeals Commission (www.simpan.go.kr).

Article 11. Obligation to Notify

If there are any additions, deletions, or modifications of the content of this Privacy Policy due to changes in government policy or advancements in security technology, the Company will announce such changes through the Website prior to the enforcement of the revised Privacy Policy.

Article 12. Changes to the Privacy Policy

This Privacy Policy shall be effective from March 21, 2025.

ROKIT HEALTHCARE Inc. (di seguito denominata la "Società") attribuisce grande importanza alla protezione dei vostri dati personali e rispetta le normative sulla protezione dei dati personali stabilite dalla Legge sulla Protezione delle Informazioni Personali ("PIPA") e altre leggi applicabili. Attraverso questa Informativa sulla Privacy, la Società vi informa su come e per quali scopi vengono utilizzati i vostri dati personali e quali misure vengono adottate per proteggerli.

Questa Informativa sulla Privacy può essere modificata in conformità con le revisioni delle leggi correlate o delle politiche interne della Società. Qualsiasi modifica sarà annunciata tramite il sito web della Società (https://aidregen.com, di seguito il "Sito Web"), quindi vi preghiamo di controllare il Sito Web di tanto in tanto quando lo utilizzate.

Articolo 1. Raccolta e Finalità delle Informazioni Personali

In questa Informativa sulla Privacy, "Account" si riferisce alle credenziali di accesso create o registrate dall'"Utente" per accedere al servizio AiD Regen. L'Account viene utilizzato per gestire le autorizzazioni di accesso al servizio e tracciare la cronologia di utilizzo. La Società raccoglie e utilizza le informazioni dell'account nell'ambito specificato in questa Informativa sulla Privacy.

    1.  Tipi di Utenti e Informazioni Raccolte

        ①   Rappresentante del Distributore

            -   Definizione: Un rappresentante (incluso un dipendente affiliato al distributore) ufficialmente designato dalla Società attraverso una specifica relazione contrattuale o altrimenti, responsabile della distribuzione, installazione e manutenzione dei servizi, con l'autorità di creare e gestire account ospedalieri, ma senza accesso ai dati dei pazienti o alle informazioni interne dell'ospedale.

            -   Informazioni Raccolte:

                (1) Obbligatorie: Nome del distributore, email del rappresentante, posizione/paese del distributore, log di utilizzo del sito web

                (2) Opzionali: Indirizzo del distributore, immagine dell'emblema

            -   Servizi Disponibili:

                   Sito Web di Amministrazione (https://prd-admin.rokithc.com): Creazione e gestione dell'account dell'amministratore ospedaliero, registrazione e gestione dell'ospedale, monitoraggio del sistema.

                   App AiD Regen: Registrazione del servizio, supporto per la configurazione iniziale.

        ②   Amministratore Ospedaliero

            -   Definizione: Un rappresentante o personale designato di un ospedale che ha l'autorità di creare e gestire account per medici affiliati e supervisionare le operazioni di servizio dell'ospedale.

            -   Informazioni Raccolte:

                (1) Obbligatorie: Nome dell'ospedale, email dell'amministratore ospedaliero, posizione/paese dell'ospedale, log di utilizzo del sito web

                (2) Opzionali: Indirizzo dell'ospedale, immagine dell'emblema

            -   Servizi Disponibili:

                   App AiD Regen: Gestione degli account dei medici affiliati all'ospedale e gestione delle informazioni ospedaliere.

        ③   Medico

            -   Definizione: Un medico affiliato a un ospedale che è autorizzato ad accedere ai dati dei pazienti e prendere decisioni mediche.

            -   Informazioni Raccolte:

                (1) Obbligatorie: Nome completo del medico, email, nome dell'ospedale affiliato, posizione/paese dell'ospedale, log di utilizzo del sito web

                (2) Opzionali: Indirizzo dell'ospedale, immagine dell'emblema, foto del profilo del medico

            -   Servizi Disponibili:

                   App AiD Regen: Raccolta e gestione dei dati dei pazienti.

    2.  Finalità della Raccolta e Utilizzo

        ①   Finalità Comuni: Fornire servizi e gestire account, verifica dell'identità e autenticazione, supporto clienti e risposta alle richieste, invio di notifiche, garantire un canale di comunicazione per la gestione dei reclami.

        ②   Finalità per Tipo di Utente:

            -   Rappresentante del Distributore: Registrazione e gestione del prodotto, creazione e gestione dell'account dell'amministratore ospedaliero, monitoraggio del sistema e supporto tecnico, servizio post-vendita del prodotto (A/S) e supporto alla manutenzione.

            -   Amministratore Ospedaliero: Registrazione e gestione degli account dei medici affiliati, gestione delle informazioni ospedaliere.

            -   Medico: Trattamento del paziente e fornitura di servizi medici.

    3.  Informazioni del Paziente

        ①   Informazioni Raccolte: Codice paziente, immagini delle ferite.

        ②   Finalità della Raccolta: Trattamento del paziente e fornitura di servizi medici.

        ③   Diritti di Accesso: Solo i medici autorizzati possono accedere a queste informazioni.

Articolo 2. Consenso per la Raccolta di Informazioni Personali e Responsabilità dell'Ospedale

    1.  Soggetti al Consenso per la Fornitura di Informazioni

        ①   La Società presume ragionevolmente che la persona che fornisce le informazioni personali durante la creazione dell'account sia l'interessato o una persona debitamente autorizzata dall'interessato, e che l'interessato abbia acconsentito alla fornitura di tali informazioni. Se l'interessato non era a conoscenza o non ha acconsentito alla creazione dell'account o alla fornitura di informazioni personali, l'individuo deve informare prontamente la Società.

    2.  Responsabilità dell'Ospedale

        ①   L'ospedale (cioè, il personale medico autorizzato dall'ospedale) deve spiegare al paziente lo scopo e i metodi di raccolta e trattamento delle 'Informazioni del Paziente' e ottenere un separato consenso scritto preventivo.

        ②   Il personale medico deve rispettare il GDPR, l'HIPAA, le leggi nazionali sulla protezione della privacy e le normative correlate, e implementare le misure necessarie per proteggere i diritti del paziente.

Articolo 3. Periodo di Conservazione e Utilizzo delle Informazioni Personali

La Società rispetta gli standard prescritti dalla Legge sulla Protezione delle Informazioni Personali, il GDPR (principio di limitazione della conservazione), l'HIPAA, la Legge sui Servizi Medici e altre leggi applicabili. Le Informazioni Personali vengono conservate fino al raggiungimento dello scopo iniziale della raccolta (ad esempio, al ritiro dell'iscrizione, risoluzione del contratto o interruzione del servizio). Se qualsiasi legge applicabile prescrive un periodo di conservazione separato, prevarrà il periodo stabilito in tale legge.

    1.  Informazioni dell'Utente

        ①   Informazioni dell'Account Membro (Nome, Email, Informazioni di affiliazione, ecc.)

            -   Periodo di Conservazione: Distrutte entro 1 anno dopo la fine dell'utilizzo del servizio (ad esempio, ritiro dell'iscrizione)

            -   Finalità della Conservazione: Risposta alle richieste dei clienti, risoluzione delle controversie, conformità agli obblighi legali, ecc.

            -   Eccezioni: Se le leggi pertinenti richiedono una conservazione aggiuntiva, i dati saranno conservati fino al periodo imposto da queste leggi, e poi immediatamente distrutti.

    2.  Log di Utilizzo del Sito Web e Dati dei Cookie

        ①   Periodo di Conservazione: Distrutti entro 3 anni

        ②   Finalità della Conservazione: Conformità alla Legge sulla Privacy delle Telecomunicazioni, alla Legge sul Commercio Elettronico e ad altre leggi pertinenti, nonché miglioramento della qualità del servizio

        ③   Eccezioni: Se esiste un obbligo legale di conservare tali dati o se è necessario per la risoluzione delle controversie, i dati saranno distrutti immediatamente dopo la fine del periodo pertinente.

    3.  Informazioni del Paziente

        ①   Codice Paziente, Immagine della Ferita del Paziente

        ②   Periodo di Conservazione: Almeno 10 anni, in conformità con la Legge sui Servizi Medici e le normative correlate (ad esempio, HIPAA, leggi pertinenti della Repubblica di Corea, ecc.)

        ③   Finalità della Conservazione: Gestione delle cartelle cliniche e della storia del servizio medico, adempimento degli obblighi legali/amministrativi relativi al trattamento del paziente

        ④   Eccezioni:

            Se la legge richiede un periodo di conservazione più lungo, tale periodo sarà osservato.

            Una volta scaduto il periodo di conservazione, i dati vengono prontamente distrutti o resi anonimi in modo sicuro.

Articolo 4. Fornitura di Informazioni Personali a Terzi

La Società, in linea di principio, tratta le vostre informazioni personali nell'ambito specificato negli Articoli 1-2 di questa Politica, e non le tratterà oltre tale ambito o le fornirà a terzi senza il vostro previo consenso o a meno che non sia altrimenti consentito dalle leggi applicabili.

Articolo 5. Outsourcing del Trattamento delle Informazioni Personali Raccolte

Per un'agevole gestione delle attività relative ai dati personali, la Società può esternalizzare parte dei suoi compiti di trattamento dei dati a fornitori di servizi esterni specializzati come segue:

    1.  Fornitore di Servizi: Google Cloud Korea LLC

    2.  Compiti Esternalizzati: Archiviazione dei dati

    3.  Periodo di Conservazione e Utilizzo: Fino alla fine del contratto di outsourcing

Quando esegue un contratto di outsourcing, la Società chiarisce nel contratto o per iscritto — ai sensi dell'Articolo 26 della Legge sulla Protezione delle Informazioni Personali — che il fornitore di servizi non deve trattare i dati oltre l'ambito dei compiti esternalizzati, deve adottare misure di protezione tecniche e gestionali, non deve ri-esternalizzare senza permesso, e deve accettare la responsabilità per i danni. La Società supervisiona anche il fornitore di servizi per garantire che trattino le informazioni personali in modo sicuro. Se il contenuto dei compiti esternalizzati o il fornitore di servizi cambia, tali modifiche saranno prontamente divulgate attraverso questa Informativa sulla Privacy.

Articolo 6. Trasferimento all'Estero delle Informazioni Personali Raccolte

Per la fornitura del servizio e per migliorare la comodità dell'utente, la Società può trasferire o memorizzare dati personali fuori dal paese, come mostrato di seguito:

    1.  Destinatario: Google Cloud Korea LLC

    2.  Ambito delle Informazioni Personali Trasferite: Informazioni dell'Utente (Nome, Email, Foto del Profilo), Informazioni dell'Ospedale/Istituzione Medica Affiliata (Nome, Indirizzo, Paese), Informazioni del Paziente (Codice / Immagine dell'Area Interessata)

    3.  Paesi di Destinazione: Stati Uniti, Repubblica di Corea

    4.  Misure Protettive per il Trasferimento all'Estero:

        ①   Applicazione delle Clausole Contrattuali Standard (SCC) o altre salvaguardie appropriate in conformità con l'Articolo 46 del GDPR

        ②   Crittografia durante il trasferimento dei dati, restrizioni di accesso e altre misure di sicurezza

Articolo 7. Distruzione delle Informazioni Personali

Quando lo scopo della raccolta e dell'utilizzo dei dati personali è stato raggiunto, o quando il periodo di conservazione e utilizzo è scaduto, e i dati personali non sono più necessari, la Società distruggerà prontamente tali dati come segue. Tuttavia, se altre leggi richiedono la conservazione continua anche dopo che il periodo di conservazione consentito dall'interessato è scaduto o lo scopo del trattamento è stato raggiunto, i dati saranno spostati in un database separato (DB) o conservati in un luogo diverso fino alla fine del periodo richiesto, dopo di che saranno prontamente distrutti.

    1.  Procedura di Distruzione:

        La Società seleziona i dati personali che hanno superato il loro periodo di conservazione o per i quali lo scopo del trattamento è stato raggiunto, e ottiene l'approvazione del Responsabile della Protezione dei Dati Personali della Società per distruggere i dati.

    2.  Metodo di Distruzione: I file elettronici vengono distrutti in modo da impedirne il recupero (ad esempio, cancellazione sicura, sovrascrittura)

        I documenti cartacei vengono triturati o inceneriti

Articolo 8. Diritti e Obblighi degli Interessati e dei Loro Rappresentanti Legali, e Metodi di Esercizio

Gli interessati possono, in qualsiasi momento, esercitare il diritto di richiedere l'accesso, la correzione, la cancellazione o la sospensione del trattamento dei loro dati personali rispetto alla Società.

    1.  Metodi di Esercizio dei Diritti

        ①   Ai sensi dell'Articolo 41(1) del Decreto di Applicazione della Legge sulla Protezione delle Informazioni Personali della Repubblica di Corea, le richieste possono essere presentate per iscritto, via email o via fax, e la Società risponderà senza indebito ritardo.

        ②   Anche gli utenti all'estero possono presentare tali richieste via email o moduli online.

    2.  Esercizio dei Diritti tramite Rappresentanti Legali o Delegati

        ①   Se l'interessato è un minore, o manca di capacità giuridica, ecc., il suo rappresentante legale può esercitare questi diritti per suo conto. In tali casi, deve essere presentato il modulo di "Procura" nell'Appendice 11 dell'"Avviso Pubblico sui Metodi di Trattamento delle Informazioni Personali (2020-7)" emesso in Corea.

        ②   La Società adotterà le misure necessarie per verificare se il richiedente sia effettivamente l'interessato o un rappresentante debitamente autorizzato.

    3.  Limitazioni dei Diritti

        ①   In conformità con l'Articolo 35(4), l'Articolo 37(2), ecc. della Legge sulla Protezione delle Informazioni Personali della Repubblica di Corea, alcune richieste possono essere limitate.

        ②   Se un'altra legge impone la raccolta di particolari dati personali, le richieste di cancellazione di tali dati possono essere negate.

    4.  Diritti Aggiuntivi ai sensi del GDPR e dell'HIPAA

        ①   Individui Soggetti al GDPR (Residenti nell'UE): Potete esercitare il diritto alla portabilità dei dati, il diritto di opposizione, il diritto di limitare il trattamento e il diritto di non essere soggetti a processi decisionali automatizzati, tra gli altri. Potete anche presentare un reclamo all'autorità per la protezione dei dati (DPA) nel vostro luogo di residenza.

        ②   Individui Soggetti all'HIPAA (Residenti negli USA): Se si applica l'HIPAA, i pazienti hanno diritti come l'accesso alle loro cartelle cliniche, la richiesta di correzioni e la limitazione della condivisione delle loro informazioni mediche.

Articolo 9. Misure per Garantire la Sicurezza dei Dati Personali

In conformità con l'Articolo 29 della Legge sulla Protezione delle Informazioni Personali, la Legge sui Dispositivi Medici, il GDPR, l'HIPAA, la FDA 21 CFR Parte 11 e altri statuti e avvisi pertinenti, la Società adotta le seguenti misure tecniche, amministrative e fisiche per garantire la sicurezza dei dati personali:

    1.  Misure Tecniche

        ①   Controllo degli Accessi: Gestire i diritti di accesso per i sistemi di trattamento dei dati personali e bloccare l'accesso esterno non autorizzato

        ②   Sistemi di Controllo degli Accessi: Installare firewall e sistemi di prevenzione delle intrusioni per prevenire e rilevare attacchi esterni

        ③   Gestione dei Log: Conservare e rivedere regolarmente i log di accesso ai dati per prevenire manomissioni o falsificazioni

        ④   Crittografia: Crittografare i dati personali durante la trasmissione (ad esempio, SSL/TLS) e l'archiviazione (ad esempio, AES-256); conservare separatamente i dati critici (ad esempio, password)

    2.  Misure Amministrative

        ①   Minimizzazione degli Accessi e Formazione Regolare: Limitare il numero di dipendenti con accesso ai dati personali, formarli regolarmente sulla protezione dei dati e sulla sicurezza

        ②   Piano di Gestione Interna: Stabilire e far rispettare politiche e linee guida interne per la protezione dei dati personali

    3.  Misure Fisiche

        ①   Controllo degli Accessi alle Aree di Archiviazione: Limitare l'ingresso alle sale server e alle strutture di archiviazione dei record

        ②   Sicurezza dei Documenti: Conservare documenti cartacei e supporti di archiviazione in aree sicure; triturarli o incenerirli quando li si smaltisce

Articolo 10. Responsabile della Protezione dei Dati Personali e Gestione delle Opinioni/Reclami

Se avete domande o reclami riguardo ai vostri dati personali, contattate il seguente Responsabile della Protezione dei Dati Personali. Prenderemo provvedimenti immediati e vi informeremo del risultato.

    1.  Responsabile della Protezione dei Dati Personali e Dipartimento Incaricato

        ①   Nome e Posizione:

            Sangmin Lee, Chief AI Officer (CAIO)

            Hyeongshin Kim, Project Manager (PM)

        ②   Dipartimento: AI SBU

        ③   Email: snack@rokit.co.kr, hyeongshin.kim@rokit.co.kr

    2.  Rimedi per Violazioni

        Se avete bisogno di segnalare o consultare riguardo a violazioni dei dati personali, o se avete subito danni monetari o mentali a causa di violazioni dei dati personali, potete richiedere assistenza dalle seguenti organizzazioni nella Repubblica di Corea:

        ①   Comitato di Mediazione delle Controversie sulle Informazioni Personali (www.kopico.go.kr, 1833-6972)

        ②   Comitato di Certificazione ePrivacy (www.eprivacy.or.kr, +82-2-580-0533~4)

        ③   Centro di Investigazione sul Cybercrime della Procura Suprema (www.spo.go.kr, comporre 1301 senza prefisso)

        ④   Ufficio Cyber della Polizia Nazionale (ecrm.police.go.kr, comporre 1301 senza prefisso)

In conformità con gli Articoli 35 (Ispezione dei Dati Personali), 36 (Correzione e Cancellazione dei Dati Personali) e 37 (Sospensione del Trattamento dei Dati Personali) della Legge sulla Protezione delle Informazioni Personali, se il capo di un'istituzione pubblica intraprende un'azione o si astiene dall'agire e ciò viola i vostri diritti o interessi, potete presentare un ricorso amministrativo ai sensi della Legge sui Ricorsi Amministrativi.

Per ulteriori informazioni sui ricorsi amministrativi, visitate il sito web della Commissione Centrale dei Ricorsi Amministrativi (www.simpan.go.kr).

Articolo 11. Obbligo di Notifica

Se ci sono aggiunte, eliminazioni o modifiche del contenuto di questa Informativa sulla Privacy a causa di cambiamenti nella politica governativa o progressi nella tecnologia di sicurezza, la Società annuncerà tali modifiche attraverso il Sito Web prima dell'applicazione dell'Informativa sulla Privacy rivista.

Articolo 12. Modifiche all'Informativa sulla Privacy

Questa Informativa sulla Privacy entrerà in vigore il 21 marzo 2025.

ROKIT HEALTHCARE Inc. (ci-après dénommée la "Société") accorde une grande importance à la protection de vos données personnelles et se conforme aux réglementations sur la protection des données personnelles établies par la Loi sur la Protection des Informations Personnelles ("PIPA") et autres lois applicables. Par le biais de cette Politique de Confidentialité, la Société vous informe de la manière dont vos données personnelles sont utilisées, à quelles fins, et quelles mesures sont prises pour protéger vos données personnelles.

Cette Politique de Confidentialité peut être modifiée conformément aux révisions des lois connexes ou des politiques internes de la Société. Tout changement sera annoncé via le site web de la Société (https://aidregen.com, ci-après le "Site Web"), veuillez donc consulter le Site Web de temps à autre lorsque vous l'utilisez.

Article 1. Collecte et Finalité des Informations Personnelles

Dans cette Politique de Confidentialité, "Compte" désigne les identifiants de connexion créés ou enregistrés par l'"Utilisateur" pour accéder au service AiD Regen. Le Compte est utilisé pour gérer les autorisations d'accès au service et suivre l'historique d'utilisation. La Société collecte et utilise les informations de compte dans le cadre spécifié dans cette Politique de Confidentialité.

    1.  Types d'Utilisateurs et Informations Collectées

        ①   Représentant du Distributeur

            -   Définition : Un représentant (y compris un employé affilié au distributeur) officiellement désigné par la Société par le biais d'une relation contractuelle spécifique ou autrement, responsable de la distribution, de l'installation et de la maintenance des services, avec l'autorité de créer et de gérer des comptes hospitaliers, mais sans accès aux données des patients ou aux informations internes de l'hôpital.

            -   Informations Collectées :

                (1) Obligatoires : Nom du distributeur, email du représentant, localisation/pays du distributeur, journal d'utilisation du site web

                (2) Facultatives : Adresse du distributeur, image de l'emblème

            -   Services Disponibles :

                   Site Web d'Administration (https://prd-admin.rokithc.com) : Création et gestion de compte d'administrateur hospitalier, enregistrement et gestion de l'hôpital, surveillance du système.

                   Application AiD Regen : Enregistrement du service, support de configuration initiale.

        ②   Administrateur Hospitalier

            -   Définition : Un représentant ou un personnel désigné d'un hôpital qui a l'autorité de créer et de gérer des comptes pour les médecins affiliés et de superviser les opérations de service de l'hôpital.

            -   Informations Collectées :

                (1) Obligatoires : Nom de l'hôpital, email de l'administrateur hospitalier, localisation/pays de l'hôpital, journaux d'utilisation du site web

                (2) Facultatives : Adresse de l'hôpital, image de l'emblème

            -   Services Disponibles :

                   Application AiD Regen : Gestion des comptes de médecins affiliés à l'hôpital et gestion des informations hospitalières.

        ③   Médecin

            -   Définition : Un médecin affilié à un hôpital qui est autorisé à accéder aux données des patients et à prendre des décisions médicales.

            -   Informations Collectées :

                (1) Obligatoires : Nom complet du médecin, email, nom de l'hôpital affilié, localisation/pays de l'hôpital, journaux d'utilisation du site web

                (2) Facultatives : Adresse de l'hôpital, image de l'emblème, photo de profil du médecin

            -   Services Disponibles :

                   Application AiD Regen : Collecte et gestion des données des patients.

        2.  Finalité de la Collecte et de l'Utilisation

            ①   Finalités Communes : Fournir des services et gérer des comptes, vérification de l'identité et authentification, support client et réponse aux demandes, envoi de notifications, sécurisation d'un canal de communication pour le traitement des plaintes.

            ②   Finalité par Type d'Utilisateur :

                -   Représentant du Distributeur : Enregistrement et gestion de produits, création et gestion de comptes d'administrateur hospitalier, surveillance du système et support technique, service après-vente du produit (SAV) et support de maintenance.

                -   Administrateur Hospitalier : Enregistrement et gestion des comptes de médecins affiliés, gestion des informations hospitalières.

                -   Médecin : Traitement du patient et fourniture de services médicaux.

        3.  Informations du Patient

            ①   Informations Collectées : Code patient, images de plaies.

            ②   Finalité de la Collecte : Traitement du patient et fourniture de services médicaux.

            ③   Droits d'Accès : Seuls les médecins autorisés peuvent accéder à ces informations.

Article 2. Consentement à la Collecte d'Informations Personnelles et Responsabilités de l'Hôpital

    1.  Personnes Soumises au Consentement pour la Fourniture d'Informations

        ①   La Société présume raisonnablement que la personne fournissant les informations personnelles lors de la création du compte est soit la personne concernée, soit une personne dûment autorisée par la personne concernée, et que la personne concernée a consenti à la fourniture de ces informations. Si la personne concernée n'était pas au courant ou n'a pas consenti à la création du compte ou à la fourniture d'informations personnelles, l'individu doit en informer rapidement la Société.

    2.  Responsabilités de l'Hôpital

        ①   L'hôpital (c'est-à-dire le personnel médical autorisé par l'hôpital) doit expliquer au patient l'objectif et les méthodes de collecte et de traitement des "Informations du Patient" et obtenir un consentement écrit préalable séparé.

        ②   Le personnel médical doit se conformer au RGPD, à l'HIPAA, aux lois nationales sur la protection de la vie privée et aux réglementations connexes, et mettre en œuvre les mesures nécessaires pour protéger les droits du patient.

Article 3. Période de Conservation et d'Utilisation des Informations Personnelles

La Société se conforme aux normes prescrites par la Loi sur la Protection des Informations Personnelles, le RGPD (principe de limitation de la conservation), l'HIPAA, la Loi sur les Services Médicaux et autres lois applicables. Les Informations Personnelles sont conservées jusqu'à ce que l'objectif initial de la collecte soit atteint (par exemple, lors du retrait de l'adhésion, de la résiliation du contrat ou de l'interruption du service). Si une loi applicable prescrit une période de conservation distincte, la période prévue dans cette loi prévaudra.

    1.  Informations de l'Utilisateur

        ①   Informations du Compte Membre (Nom, Email, Informations d'affiliation, etc.)

            -   Période de Conservation : Détruites dans un délai d'un an après la fin de l'utilisation du service (par exemple, retrait de l'adhésion)

            -   Finalité de la Conservation : Répondre aux demandes des clients, résolution des litiges, conformité aux obligations légales, etc.

            -   Exceptions : Si des lois pertinentes exigent une conservation supplémentaire, les données seront conservées jusqu'à la période imposée par ces lois, puis immédiatement détruites.

    2. Journaux d'Utilisation du Site Web et Données de Cookies

        ①   Période de Conservation : Détruits dans un délai de 3 ans

        ②   Finalité de la Conservation : Conformité à la Loi sur la Confidentialité des Télécommunications, à la Loi sur le Commerce Électronique et à d'autres lois pertinentes, ainsi qu'à l'amélioration de la qualité du service

        ③   Exceptions : S'il existe une obligation légale de conserver ces données ou si elles sont nécessaires pour la résolution des litiges, les données seront détruites immédiatement après la fin de la période pertinente.

    3. Informations du Patient

        ①   Code Patient, Image de Plaie du Patient

        ②   Période de Conservation : Au moins 10 ans, conformément à la Loi sur les Services Médicaux et aux réglementations connexes (par exemple, HIPAA, lois pertinentes de la République de Corée, etc.)

        ③   Finalité de la Conservation : Gestion des dossiers médicaux et de l'historique des services médicaux, respect des obligations légales/administratives liées au traitement du patient

        ④   Exceptions :

            Si une loi exige une période de conservation plus longue, cette période sera respectée.

            Une fois la période de conservation expirée, les données sont rapidement détruites ou rendues anonymes de manière sécurisée.

Article 4. Fourniture d'Informations Personnelles à des Tiers

La Société, en principe, traite vos informations personnelles dans le cadre spécifié dans les Articles 1-2 de cette Politique, et ne les traitera pas au-delà de ce cadre ou ne les fournira pas à des tiers sans votre consentement préalable ou à moins que les lois applicables ne le permettent.

Article 5. Sous-traitance du Traitement des Informations Personnelles Collectées

Pour un fonctionnement fluide des tâches liées aux données personnelles, la Société peut sous-traiter une partie de ses tâches de traitement des données à des prestataires de services externes spécialisés comme suit :

    1.  Prestataire de Services : Google Cloud Korea LLC

    2.  Tâches Sous-traitées : Stockage des données

    3.  Période de Conservation et d'Utilisation : Jusqu'à la fin du contrat de sous-traitance

Lors de l'exécution d'un contrat de sous-traitance, la Société précise dans le contrat ou par écrit — conformément à l'Article 26 de la Loi sur la Protection des Informations Personnelles — que le prestataire de services ne doit pas traiter les données au-delà du cadre des tâches sous-traitées, doit prendre des mesures de protection techniques et managériales, ne doit pas sous-traiter à nouveau sans autorisation, et doit accepter la responsabilité des dommages. La Société supervise également le prestataire de services pour s'assurer qu'il traite les informations personnelles en toute sécurité. Si le contenu des tâches sous-traitées ou le prestataire de services change, ces modifications seront rapidement divulguées par le biais de cette Politique de Confidentialité.

Article 6. Transfert à l'Étranger des Informations Personnelles Collectées

Pour la fourniture de services et pour améliorer la commodité des utilisateurs, la Société peut transférer ou stocker des données personnelles en dehors du pays, comme indiqué ci-dessous :

    1.  Destinataire : Google Cloud Korea LLC

    2.  Étendue des Informations Personnelles Transférées : Informations de l'Utilisateur (Nom, Email, Photo de Profil), Informations de l'Hôpital/Institution Médicale Affiliée (Nom, Adresse, Pays), Informations du Patient (Code / Image de la Zone Affectée)

    3.  Pays de Destination : États-Unis, République de Corée

    4.  Mesures de Protection pour le Transfert à l'Étranger :

        ①   Application des Clauses Contractuelles Types (CCT) ou d'autres garanties appropriées conformément à l'Article 46 du RGPD

        ②   Chiffrement pendant le transfert des données, restrictions d'accès et autres mesures de sécurité

Article 7. Destruction des Informations Personnelles

Lorsque l'objectif de la collecte et de l'utilisation des données personnelles a été atteint, ou lorsque la période de conservation et d'utilisation s'est écoulée, et que les données personnelles ne sont plus nécessaires, la Société détruira rapidement ces données comme suit. Cependant, si d'autres lois exigent une conservation continue même après l'expiration de la période de conservation consentie par la personne concernée ou après que l'objectif du traitement a été atteint, les données seront déplacées vers une base de données séparée (BD) ou stockées dans un emplacement différent jusqu'à la fin de la période requise, après quoi elles seront rapidement détruites.

    1.  Procédure de Destruction :

        La Société sélectionne les données personnelles qui ont dépassé leur période de conservation ou pour lesquelles l'objectif du traitement a été atteint, et obtient l'approbation du Responsable de la Protection des Données Personnelles de la Société pour détruire les données.

    2.  Méthode de Destruction : Les fichiers électroniques sont détruits de manière à empêcher la récupération (par exemple, suppression sécurisée, écrasement)

        Les documents papier sont déchiquetés ou incinérés

Article 8. Droits et Obligations des Personnes Concernées et de leurs Représentants Légaux, et Méthodes d'Exercice

Les personnes concernées peuvent, à tout moment, exercer le droit de demander l'accès, la correction, la suppression ou la suspension du traitement de leurs données personnelles auprès de la Société.

    1.  Méthodes d'Exercice des Droits

        ①   Conformément à l'Article 41(1) du Décret d'Application de la Loi sur la Protection des Informations Personnelles de la République de Corée, les demandes peuvent être soumises par écrit, par email ou par fax, et la Société répondra sans retard indu.

        ②   Les utilisateurs à l'étranger peuvent également soumettre de telles demandes via email ou formulaires en ligne.

    2.  Exercice des Droits via des Représentants Légaux ou des Délégués

        ①   Si la personne concernée est mineure, ou manque de capacité juridique, etc., son représentant légal peut exercer ces droits en son nom. Dans de tels cas, le formulaire de "Procuration" de l'Annexe 11 de l'"Avis Public sur les Méthodes de Traitement des Informations Personnelles (2020-7)" émis en Corée doit être soumis.

        ②   La Société prendra les mesures nécessaires pour vérifier si le demandeur est bien la personne concernée ou un représentant dûment autorisé.

    3.  Limitations des Droits

        ①   Conformément à l'Article 35(4), l'Article 37(2), etc. de la Loi sur la Protection des Informations Personnelles de la République de Corée, certaines demandes peuvent être limitées.

        ②   Si une autre loi impose la collecte de données personnelles particulières, les demandes de suppression de ces données peuvent être refusées.

    4.  Droits Supplémentaires en vertu du RGPD et de l'HIPAA

        ①   Individus Soumis au RGPD (Résidents de l'UE) : Vous pouvez exercer le droit à la portabilité des données, le droit d'opposition, le droit de limiter le traitement et le droit de ne pas être soumis à une prise de décision automatisée, entre autres. Vous pouvez également déposer une plainte auprès de l'autorité de protection des données (APD) de votre lieu de résidence.

        ②   Individus Soumis à l'HIPAA (Résidents des États-Unis) : Si l'HIPAA s'applique, les patients ont des droits tels que l'accès à leurs dossiers médicaux, la demande de corrections et la limitation du partage de leurs informations médicales.

Article 9. Mesures pour Assurer la Sécurité des Données Personnelles

Conformément à l'Article 29 de la Loi sur la Protection des Informations Personnelles, la Loi sur les Dispositifs Médicaux, le RGPD, l'HIPAA, la FDA 21 CFR Partie 11 et autres statuts et avis pertinents, la Société prend les mesures techniques, administratives et physiques suivantes pour assurer la sécurité des données personnelles :

    1.  Mesures Techniques

        ①   Contrôle d'Accès : Gestion des droits d'accès pour les systèmes de traitement des données personnelles et blocage des accès externes non autorisés

        ②   Systèmes de Contrôle d'Accès : Installation de pare-feu et de systèmes de prévention des intrusions pour prévenir et détecter les attaques externes

        ③   Gestion des Journaux : Conservation et examen régulier des journaux d'accès aux données pour prévenir les altérations ou falsifications

        ④   Chiffrement : Chiffrement des données personnelles pendant la transmission (par exemple, SSL/TLS) et le stockage (par exemple, AES-256) ; stockage séparé des données critiques (par exemple, mots de passe)

    2.  Mesures Administratives

        ①   Minimisation des Accès et Formation Régulière : Limitation du nombre d'employés ayant accès aux données personnelles, formation régulière sur la protection des données et la sécurité

        ②   Plan de Gestion Interne : Établissement et application de politiques et directives internes pour la protection des données personnelles

    3.  Mesures Physiques

        ①   Contrôle d'Accès aux Zones de Stockage : Restriction de l'entrée dans les salles de serveurs et les installations de stockage des enregistrements

        ②   Sécurité des Documents : Stockage des documents papier et des supports de stockage dans des zones sécurisées ; déchiquetage ou incinération lors de leur élimination

Article 10. Responsable de la Protection des Données Personnelles et Traitement des Opinions/Plaintes

Si vous avez des questions ou des plaintes concernant vos données personnelles, veuillez contacter le Responsable de la Protection des Données Personnelles suivant. Nous prendrons des mesures immédiates et vous informerons du résultat.

    1.  Responsable de la Protection des Données Personnelles et Département en Charge

        ①   Nom et Poste :

        Sangmin Lee, Chief AI Officer (CAIO)

        Hyeongshin Kim, Project Manager (PM)

        ②   Département : AI SBU

        ③   Email : snack@rokit.co.kr, hyeongshin.kim@rokit.co.kr

    2.  Recours en cas d'Infraction

        Si vous avez besoin de signaler ou de consulter à propos d'une violation de données personnelles, ou si vous avez subi des dommages monétaires ou mentaux en raison d'une violation de données personnelles, vous pouvez demander réparation auprès des organisations suivantes en République de Corée :

        ①   Comité de Médiation des Litiges sur les Informations Personnelles (www.kopico.go.kr, 1833-6972)

        ②   Comité de Certification ePrivacy (www.eprivacy.or.kr, +82-2-580-0533~4)

        ③   Centre d'Investigation sur la Cybercriminalité du Parquet Suprême (www.spo.go.kr, composez le 1301 sans indicatif régional)

        ④   Bureau Cyber de la Police Nationale (ecrm.police.go.kr, composez le 1301 sans indicatif régional)

Conformément aux Articles 35 (Inspection des Données Personnelles), 36 (Correction et Suppression des Données Personnelles) et 37 (Suspension du Traitement des Données Personnelles) de la Loi sur la Protection des Informations Personnelles, si le chef d'une institution publique prend une action ou s'abstient d'agir et que cela porte atteinte à vos droits ou intérêts, vous pouvez déposer un recours administratif en vertu de la Loi sur les Recours Administratifs.

Pour plus d'informations sur les recours administratifs, veuillez visiter le site web de la Commission Centrale des Recours Administratifs (www.simpan.go.kr).

Article 11. Obligation de Notification

S'il y a des ajouts, suppressions ou modifications du contenu de cette Politique de Confidentialité en raison de changements dans la politique gouvernementale ou d'avancées dans la technologie de sécurité, la Société annoncera ces changements via le Site Web avant l'application de la Politique de Confidentialité révisée.

Article 12. Modifications de la Politique de Confidentialité

Cette Politique de Confidentialité entrera en vigueur le 21 mars 2025.