سياسة معالجة البيانات الشخصية
في مؤسسة الرعاية الصحية الحكومية “مستشفى بويانوف السريري التابع لإدارة الصحة في موسكو”
1. أحكام عامة
1.1. الغرض من السياسة
1.1.1. امتثالاً لتشريعات الاتحاد الروسي المنظمة للعلاقات المتعلقة بمعالجة البيانات الشخصية وضمان أمنها، وحفاظاً على سمعة مؤسسة الرعاية الصحية الحكومية التابعة لمدينة موسكو “مستشفى ف.م. بويانوف السريري التابع لإدارة الرعاية الصحية في موسكو” (الاسم المختصر: مؤسسة الرعاية الصحية الحكومية التابعة لإدارة الرعاية الصحية في موسكو “مستشفى ف.م. بويانوف السريري التابع لإدارة الرعاية الصحية في موسكو” (يشار إليها فيما يلي باسم “المؤسسة”)، INN: 7724598966، KPP: 772401001، OGRN: 7724598966، العنوان القانوني: 115516، موسكو، شارع باكينسكايا، المبنى 26، عنوان البريد للاستفسارات: 115516، موسكو، شارع باكينسكايا، المبنى 26)، تعتبر المؤسسة أن من مهامها الالتزام بمبادئ الشرعية والنزاهة والسرية في معالجة البيانات الشخصية، فضلاً عن ضمان أمن هذه المعالجة. العمليات.
1.1.2. تم وضع هذه السياسة المتعلقة بمعالجة البيانات الشخصية في المؤسسة المالية (المشار إليها فيما يلي باسم السياسة) وفقًا للقانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ “بشأن البيانات الشخصية” (المشار إليه فيما يلي باسم قانون البيانات الشخصية).
1.1.3. تحدد السياسة ما يلي:
– المبادئ الأساسية، والأهداف، والشروط، وأساليب معالجة البيانات الشخصية؛
– قوائم المواضيع والبيانات الشخصية التي تتم معالجتها في المؤسسة المالية، ووظائف المؤسسة المالية في معالجة البيانات الشخصية؛
– حقوق أصحاب البيانات الشخصية؛
– متطلبات حماية البيانات الشخصية المطبقة في المؤسسة المالية.
1.1.4. تشكل متطلبات هذه السياسة الأساس لتطوير الوثائق الداخلية التي تنظم معالجة البيانات الشخصية في المؤسسة المالية.
1.1.5. هذه السياسة وثيقة عامة. وفقًا لمتطلبات الجزء 2 من المادة 18.1 من قانون البيانات الشخصية، تُنشر هذه السياسة في المجال العام وفي كل موقع تُجمع فيه البيانات الشخصية على موقع المؤسسة المالية https://gkb-buyanova.ru/ على الإنترنت (المشار إليه فيما يلي باسم “الموقع الإلكتروني”) في غضون 10 أيام من اعتمادها.
1.1.6. تنطبق هذه السياسة على جميع البيانات الشخصية التي تعالجها المؤسسة المالية.
1.1.7. لا يترتب على بطلان أي جزء من هذه السياسة بطلان السياسة بأكملها.
1.1.8. المؤسسة المالية هي جهة تشغيل للبيانات الشخصية؛ فهي تقوم بشكل مستقل أو بالاشتراك مع جهات أخرى بتنظيم وتنفيذ معالجة البيانات الشخصية، وتحديد أغراض معالجة البيانات الشخصية، وتكوين البيانات الشخصية الخاضعة للمعالجة، والإجراءات (العمليات) التي يتم تنفيذها على البيانات الشخصية، كما تضمن حماية حقوق وحريات الأفراد عند معالجة بياناتهم الشخصية، وتتخذ تدابير لضمان الوفاء بالالتزامات المنصوص عليها في قانون البيانات الشخصية وغيره من التشريعات القانونية التنظيمية في مجال حماية البيانات الشخصية.
1.1.9. لا يجوز أن تتضمن السياسة أحكامًا تحد من حقوق وحريات صاحب البيانات الشخصية، وكذلك أحكامًا تسمح بعدم قيام المستخدم بأي إجراء كشرط لإبرام اتفاقية/التعبير عن الموافقة.
1.1.10. تدخل السياسة حيز التنفيذ من لحظة اعتمادها من قبل كبير الأطباء في المؤسسة المالية.
1.1.11. تخضع السياسة للمراجعة خلال التحليل الدوري من قبل إدارة المؤسسة المالية، وكذلك في حالات التغييرات في تشريعات الاتحاد الروسي.
1.1.12. يتم مراقبة الامتثال لمتطلبات هذه السياسة من قبل الأشخاص المخولين المسؤولين عن تنظيم معالجة البيانات الشخصية في المؤسسة المالية.
1.2. أهداف السياسة
1.2.1. الغرض من هذه السياسة هو ضمان حماية حقوق وحريات أصحاب البيانات الشخصية أثناء معالجة بياناتهم الشخصية من قبل المؤسسة المالية، بما في ذلك حماية الحقوق في الخصوصية والأسرار الشخصية والعائلية والطبية، فضلاً عن تحديد مسؤولية موظفي المؤسسة الذين لديهم حق الوصول إلى البيانات الشخصية عن عدم الامتثال لمتطلبات القواعد التي تحكم معالجة وحماية البيانات الشخصية.
1.3. المفاهيم الأساسية
1.3.1. لأغراض هذه السياسة، تُستخدم المفاهيم التالية:
المعالجة الآلية للبيانات الشخصية – معالجة البيانات الشخصية باستخدام تكنولوجيا الحاسوب؛
حجب البيانات الشخصية – الإيقاف المؤقت لمعالجة البيانات الشخصية (باستثناء الحالات التي تكون فيها المعالجة ضرورية لتوضيح البيانات الشخصية)؛
موقع الويب – مجموعة من المواد الرسومية والمعلوماتية، بالإضافة إلى برامج الكمبيوتر وقواعد البيانات، مما يضمن توافرها على الإنترنت على عنوان شبكة المشغل https://gkb-buyanova.ru/؛
الوصول إلى البيانات الشخصية – إطلاع بعض الأشخاص (بما في ذلك الموظفين) على البيانات الشخصية للأفراد الذين تتم معالجتها من قبل المؤسسة المالية، شريطة الحفاظ على سرية هذه المعلومات؛
سرية المعلومات – شرط إلزامي للشخص الذي حصل على معلومات معينة ألا ينقل هذه المعلومات إلى أطراف ثالثة دون موافقة مالكها؛
النشاط الطبي – النشاط المهني في تقديم الرعاية الطبية، وإجراء الفحوصات الطبية، والفحوصات الطبية، والتدابير الصحية والوقائية (الوقائية)، والنشاط المهني المتعلق بزراعة (إعادة زرع) الأعضاء و/أو الأنسجة، وتدوير دم المتبرع و/أو مكوناته للأغراض الطبية.
معالجة البيانات الشخصية – أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) التي يتم تنفيذها باستخدام أدوات التشغيل الآلي أو بدون استخدام هذه الأدوات مع البيانات الشخصية، بما في ذلك جمع وتسجيل وتنظيم وتجميع وتخزين وتوضيح (تحديث، تعديل) واستخراج واستخدام ونقل (توزيع، توفير، وصول) وحظر وحذف وتدمير البيانات الشخصية؛
المشغل – هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد يقوم، بشكل مستقل أو بالاشتراك مع أشخاص آخرين، بتنظيم و/أو تنفيذ معالجة البيانات الشخصية، بالإضافة إلى تحديد أغراض معالجة البيانات الشخصية، وتكوين البيانات الشخصية المراد معالجتها، والإجراءات (العمليات) التي يتم تنفيذها باستخدام البيانات الشخصية؛
المريض – فرد يتلقى الرعاية الطبية أو تقدم بطلب للحصول على الرعاية الطبية، بغض النظر عما إذا كان يعاني من مرض أو حالته الصحية؛
البيانات الشخصية – أي معلومات تتعلق بفرد محدد أو قابل للتحديد بشكل مباشر أو غير مباشر (موضوع البيانات الشخصية)؛
البيانات الشخصية التي يسمح صاحب البيانات الشخصية بتوزيعها – البيانات الشخصية التي يمنح صاحب البيانات الشخصية حق الوصول إليها من قبل عدد غير محدود من الأشخاص من خلال إعطاء الموافقة على معالجة البيانات الشخصية، والتي يسمح صاحب البيانات الشخصية بتوزيعها بالطريقة المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”؛
مستخدم الموقع الإلكتروني (يشار إليه فيما يلي باسم المستخدم) – فرد مؤهل قانونيًا يستخدم موقع المؤسسة المالية وخدماتها.
الزائر – فرد يشغل مباني المكاتب المحروسة ومباني مؤسسة الميزانية، وليس لديه الحق في الدخول الدائم إليها، ويحتاج إلى تصريح لمرة واحدة؛
توفير البيانات الشخصية – الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لشخص معين أو مجموعة معينة من الأشخاص؛
الموظف – فرد دخل في علاقة عمل مع مؤسسة مالية؛
نشر البيانات الشخصية – الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لعدد غير محدد من الأشخاص؛
أقارب الموظف – الأقارب المقربون لموظفي المؤسسة المالية، الذين تنص القوانين الاتحادية على معالجة بياناتهم الشخصية، ويتم ذلك أيضًا من قبل المؤسسة المالية بصفتها صاحب عمل وفقًا لمتطلبات السلطات الإحصائية الحكومية.
المتقدم (المرشح) – فرد يتقدم لشغل وظائف شاغرة في مؤسسة تابعة للميزانية.
موضوع البيانات الشخصية – فرد يتم تحديده بشكل مباشر أو غير مباشر أو يمكن تحديده باستخدام البيانات الشخصية؛
نقل البيانات الشخصية عبر الحدود – نقل البيانات الشخصية إلى أراضي دولة أجنبية إلى هيئة حكومية أجنبية أو فرد أجنبي أو كيان قانوني أجنبي؛
تدمير البيانات الشخصية – الإجراءات التي يصبح من المستحيل نتيجة لها استعادة محتوى البيانات الشخصية في نظام معلومات البيانات الشخصية و/أو نتيجة لها تدمير الوسائط المادية للبيانات الشخصية؛
ملفات تعريف الارتباط هي ملفات نصية، عادة ما تكون صغيرة الحجم، أو أجزاء من المعلومات التي قد يتم تخزينها في ذاكرة جهاز الكمبيوتر الخاص بك عند زيارة موقع ويب.
1.4. النطاق
1.4.1. تنطبق أحكام السياسة على جميع العلاقات المتعلقة بمعالجة البيانات الشخصية التي تقوم بها المؤسسة المالية:
– باستخدام أدوات الأتمتة، بما في ذلك في شبكات المعلومات والاتصالات، أو بدون استخدام هذه الأدوات، إذا كانت معالجة البيانات الشخصية بدون استخدام هذه الأدوات تتوافق مع طبيعة الإجراءات (العمليات) التي يتم تنفيذها مع البيانات الشخصية باستخدام أدوات الأتمتة، أي أنها تسمح، وفقًا لخوارزمية معينة، بالبحث عن البيانات الشخصية المسجلة على وسيط مادي والموجودة في فهارس البطاقات أو غيرها من المجموعات المنهجية للبيانات الشخصية، و (أو) الوصول إلى هذه البيانات الشخصية؛
– دون استخدام أدوات الأتمتة.
1.4.2. يجب على جميع موظفي المؤسسة المالية الذين يعالجون البيانات الشخصية أو لديهم حق الوصول إليها أن يسترشدوا بهذه السياسة.
2. أغراض معالجة البيانات الشخصية
2.1. يقتصر معالجة البيانات الشخصية على تحقيق أغراض محددة ومحددة مسبقًا ومشروعة.
2.2. لا يُسمح بمعالجة البيانات الشخصية التي لا تتوافق مع أغراض جمع البيانات الشخصية.
2.3. تقوم المؤسسة المعنية بالميزانية بمعالجة البيانات الشخصية للأغراض التالية:
– ضمان الامتثال لقوانين العمل الروسية؛
– حفظ سجلات الموظفين والمحاسبة؛
– ضمان الامتثال للتشريعات الروسية في مجال الرعاية الصحية؛
– ضمان الامتثال للتشريعات المتعلقة بالمساعدة الاجتماعية الحكومية في الاتحاد الروسي؛
– ضمان الامتثال لقانون المعاشات التقاعدية الروسي؛
– ضمان الامتثال للتشريعات الضريبية الروسية؛
– اختيار الموظفين (المتقدمين) لشغل وظائف المشغلين الشاغرة؛
– الامتثال لتشريعات التسجيل العسكري؛
– إعداد وإبرام وتنفيذ عقد بموجب القانون المدني؛
– تنظيم الموظفين الذين يتلقون التعليم المهني، وكذلك إكمالهم للتدريب المهني، والتدريب المتقدم، وإعادة التدريب، والتدريب في البرامج قصيرة الأجل؛
– إرسال إشعارات إلى أصحاب البيانات الشخصية بشأن الخدمات التي تقدمها المؤسسة المالية؛
– ضمان القدرات الوظيفية والتحليلية لموقع المؤسسة الإلكتروني من خلال استخدام ملفات تعريف الارتباط؛
– نشر البيانات على موقع المنظمة الإلكتروني لغرض توفير معلومات حول الأخصائيين الطبيين؛
– نشر مراجعة على موقع المؤسسة المالية.
3. الأسس القانونية لمعالجة البيانات الشخصية
– دستور الاتحاد الروسي؛
– القانون المدني للاتحاد الروسي الصادر في 30 نوفمبر 1994 رقم 51-FZ؛
– قانون الضرائب للاتحاد الروسي الصادر في 05.08.2000 رقم 117-FZ؛
– قانون العمل للاتحاد الروسي الصادر في 30.12.2001 رقم 197-FZ؛
– القانون الاتحادي الصادر في 19.12.2005 رقم 160-FZ “بشأن التصديق على اتفاقية مجلس أوروبا لحماية الأفراد فيما يتعلق بالمعالجة الآلية للبيانات الشخصية”؛
– قرار حكومة الاتحاد الروسي بتاريخ 01.11.2012 رقم 1119 “بشأن الموافقة على متطلبات حماية البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية”؛
– قرار حكومة الاتحاد الروسي بتاريخ 15 سبتمبر 2008 رقم 687 “بشأن الموافقة على اللائحة المتعلقة بخصوصيات معالجة البيانات الشخصية التي تتم دون استخدام أدوات الأتمتة”؛
– قرار مجلس إدارة صندوق المعاشات التقاعدية للاتحاد الروسي بتاريخ 31 يوليو 2006 رقم 192p “بشأن نماذج المستندات المحاسبية الفردية (الشخصية) في نظام التأمين التقاعدي الإلزامي وتعليمات تعبئتها”؛
– القانون الاتحادي الصادر في 27 يوليو 2006 رقم 149-FZ “بشأن المعلومات وتقنيات المعلومات وحماية المعلومات”؛
– القانون الاتحادي الصادر بتاريخ 06.12.2011 رقم 402-FZ “بشأن المحاسبة”؛
– القانون الاتحادي رقم 323-FZ الصادر في 21.11.2011 “بشأن أسس الحماية الصحية للمواطنين في الاتحاد الروسي”، بما في ذلك الفقرة 7 من الجزء 1 من المادة 79؛
– القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ “بشأن البيانات الشخصية”؛
– القانون الاتحادي الصادر في 29 نوفمبر 2010 رقم 326-FZ “بشأن التأمين الطبي الإلزامي في الاتحاد الروسي”؛
– أمر وزارة الصحة في الاتحاد الروسي بتاريخ 30.12.2014 رقم 956ن “بشأن المعلومات اللازمة لإجراء تقييم مستقل لجودة الخدمات التي تقدمها المنظمات الطبية، ومتطلبات محتوى وشكل تقديم المعلومات عن أنشطة المنظمات الطبية المنشورة على المواقع الإلكترونية الرسمية لوزارة الصحة في الاتحاد الروسي، وسلطات الدولة في الكيانات المكونة للاتحاد الروسي، والحكومات المحلية، والمنظمات الطبية في شبكة المعلومات والاتصالات “الإنترنت””.
– القانون الاتحادي رقم 167-FZ الصادر في 15.12.2001 “بشأن التأمين الإلزامي على المعاشات التقاعدية في الاتحاد الروسي”؛
– القانون الاتحادي رقم 44-FZ الصادر في 05.04.2013 “بشأن نظام التعاقد في مجال شراء السلع والأعمال والخدمات لتلبية احتياجات الدولة والبلديات”؛
– القانون الاتحادي الصادر في 12.04.2010 رقم 61-FZ “بشأن تداول الأدوية”؛
– القانون الاتحادي الصادر في 06.04.2011 رقم 63 – F3 “بشأن التوقيع الإلكتروني”؛
– القانون الاتحادي الصادر في 28 مارس 1998 رقم 53-F3 “بشأن الخدمة العسكرية والواجب العسكري”؛
– القانون الاتحادي الصادر في 02.05.2006 رقم 59-FZ “بشأن إجراءات النظر في الطعون المقدمة من مواطني الاتحاد الروسي”؛
– قانون الاتحاد الروسي الصادر في 07.02.1992 رقم 2300-I “بشأن حماية حقوق المستهلك”؛
– أمر وزارة الصحة في الاتحاد الروسي بتاريخ 3 أغسطس 2012 رقم 66 ن “بشأن الموافقة على الإجراءات والشروط لتحسين المعرفة والمهارات المهنية للعاملين في المجال الطبي والصيدلاني من خلال التدريب في برامج تعليمية مهنية إضافية في المنظمات التعليمية والعلمية”؛
– قرار حكومة الاتحاد الروسي رقم 736 الصادر بتاريخ 11.05.2023 “بشأن الموافقة على قواعد تقديم الخدمات الطبية المدفوعة من قبل المنظمات الطبية، وتعديل بعض أعمال حكومة الاتحاد الروسي، والاعتراف ببطلان قرار حكومة الاتحاد الروسي رقم 1006 الصادر بتاريخ 4 أكتوبر 2012”).
– أمر وزارة الصحة في الاتحاد الروسي بتاريخ 12 نوفمبر 2021 رقم 1050ن “بشأن الموافقة على إجراء إطلاع المريض أو ممثله القانوني على الوثائق الطبية التي تعكس الحالة الصحية للمريض”؛
– قرار حكومة الاتحاد الروسي رقم 911 الصادر في 20 مايو 2022 “بشأن السماح للأشخاص بالعمل مع المخدرات والمواد المؤثرة على العقل، وكذلك الأنشطة المتعلقة بتداول سلائف المخدرات والمواد المؤثرة على العقل”؛
– أمر وزارة الصحة في الاتحاد الروسي بتاريخ 7 سبتمبر 2020 رقم 947ن “بشأن الموافقة على إجراء تنظيم نظام إدارة الوثائق في مجال الرعاية الصحية من حيث الاحتفاظ بالسجلات الطبية في شكل وثائق إلكترونية”؛
– أمر وزارة الصحة في الاتحاد الروسي بتاريخ 3 أغسطس 2023 رقم 408 “بشأن الموافقة على قائمة الوثائق التي تم إنشاؤها في أنشطة وزارة الصحة في الاتحاد الروسي والمنظمات التابعة لها، مع تحديد فترات التخزين”؛
– أمر الوكالة الفيدرالية للأرشيف بتاريخ 20.12.2019 رقم 236 “بشأن الموافقة على قائمة وثائق الأرشيف الإدارية القياسية التي تم إنشاؤها في سياق أنشطة الهيئات الحكومية والحكومات المحلية والمنظمات، مع بيان فترات تخزينها”؛
– قانون الاتحاد الروسي بشأن المخالفات الإدارية الصادر في 30.12.2001 رقم 195-FZ؛
– رخصة رقم L041-01137-77/00555076 بتاريخ 25/01/2021 للأنشطة الطبية؛
– ميثاق المؤسسة المالية؛
– اللوائح المحلية للمؤسسة المالية؛
– الاتفاقيات المبرمة بين المؤسسة المالية وصاحب البيانات الشخصية؛
– موافقة أصحاب البيانات الشخصية على معالجة البيانات الشخصية (في الحالات التي لم ينص عليها صراحة في تشريعات الاتحاد الروسي، ولكنها تتوافق مع صلاحيات المشغل)؛
– وغيرها من القوانين واللوائح التنظيمية التي وضعتها تشريعات الاتحاد الروسي.
تتوقف معالجة البيانات الشخصية عند إعادة تنظيم أو تصفية المؤسسة المالية.
4. حجم وفئات البيانات الشخصية التي تتم معالجتها، وفئات أصحاب البيانات الشخصية
4.1. ترد في الملحق 1 من هذه السياسة معلومات عن فئات الأشخاص الذين تتم معالجة بياناتهم الشخصية من قبل المؤسسة المالية، وفئات وقائمة البيانات الشخصية التي تتم معالجتها، وطرق وشروط معالجتها وتخزينها.
4.2. يتم تحديد تكوين البيانات الشخصية من خلال إجراءات التوثيق ونماذج المحاسبة المعتمدة بموجب تشريعات الاتحاد الروسي وغيرها من القوانين التنظيمية التي تحكم أنشطة المؤسسة الميزانية.
4.3. يتم تحديد فترات تخزين البيانات الشخصية في المؤسسة المالية وفقًا لقائمة وثائق إدارة الأرشيف القياسية التي تم إنشاؤها في سياق أنشطة الهيئات الحكومية وهيئات الحكم المحلي والمنظمات، والتي تحدد فترات التخزين، والتي تمت الموافقة عليها بموجب أمر الوكالة الفيدرالية للأرشيف بتاريخ 20.12.2019 رقم 236، وكذلك قائمة الوثائق التي تم إنشاؤها في أنشطة وزارة الصحة في الاتحاد الروسي والمنظمات التابعة لها، والتي تحدد فترات التخزين، والتي تمت الموافقة عليها بموجب أمر وزارة الصحة الروسية بتاريخ 03.08.2023 رقم 408.
5. تكوين البيانات الشخصية وملكية البيانات الشخصية
5.1. تشمل الجهات التي تُعالج بياناتها الشخصية في المؤسسة المالية ما يلي:
– الموظفون، والموظفون السابقون، وأفراد أسرهم وأقاربهم المقربون؛
– المرشحون للوظائف الشاغرة؛
– زوار الموقع؛
– المرضى وأقاربهم؛
– أقارب المرضى المتوفين الذين تقدموا بطلب للحصول على الأصول المادية والوثائق والممتلكات الشخصية للمريض المتوفى)؛
– المواطنون الذين تقدموا بطلبات لمراجعة الوثائق الطبية التي تعكس الحالة الصحية للمريض وفقًا للأمر رقم 1050ن الصادر عن وزارة الصحة في الاتحاد الروسي بتاريخ 12 نوفمبر 2021 “بشأن الموافقة على إجراء إطلاع المريض أو ممثله القانوني على الوثائق الطبية التي تعكس الحالة الصحية للمريض”؛
– الممثل القانوني للمريض الذي طلب تقديم الوثائق الطبية (نسخها) ومستخرجات منها؛
– ممثلو أطراف العقود والاتفاقيات – الكيانات القانونية؛
– المواطنون الذين أرسلوا طعوناً وطلبات إلى المؤسسة المعنية بالميزانية.
– أطراف العقود والاتفاقيات هم أفراد.
6. قائمة الإجراءات المتعلقة بالبيانات الشخصية، ووصف الوصول إلى معالجة البيانات الشخصية
6.1. قائمة الإجراءات التي يتم تنفيذها باستخدام البيانات الشخصية:
– جمع البيانات الشخصية؛
– تسجيل البيانات الشخصية؛
– تنظيم البيانات الشخصية:
– تراكم البيانات الشخصية؛
– تخزين البيانات الشخصية؛
– توضيح (تحديث، تغيير) البيانات الشخصية؛
– استخدام البيانات الشخصية؛
– نقل (توزيع، توفير، الوصول) البيانات الشخصية؛
– حجب البيانات الشخصية؛
– حذف البيانات الشخصية؛
– إتلاف البيانات الشخصية.
تتم معالجة البيانات الشخصية بواسطة:
– الحصول على معلومات تحتوي على بيانات شخصية في شكل شفوي و/أو كتابي مباشرة من أصحاب البيانات الشخصية؛
– تقديم أصحاب البيانات الشخصية للأصول والنسخ من المستندات اللازمة؛
– نسخ المستندات؛
– الحصول على البيانات الشخصية عند إرسال الطلبات إلى الهيئات الحكومية، والصناديق الحكومية خارج الميزانية، والهيئات الحكومية الأخرى، والمنظمات التجارية وغير التجارية، والأفراد في الحالات وبالطريقة المنصوص عليها في تشريعات الاتحاد الروسي؛
– استلام (نقل) البيانات الشخصية من مؤسسات الرعاية الصحية الأخرى؛
– تسجيل البيانات الشخصية في المجلات والكتب والسجلات وغيرها من أشكال المحاسبة؛
– إدخال البيانات الشخصية في أنظمة معلومات البيانات الشخصية؛
– استخدام وسائل وأساليب أخرى لتسجيل البيانات الشخصية التي تم الحصول عليها في إطار الأنشطة التي تم تنفيذها.
6.2. الوصول إلى معالجة البيانات الشخصية
يُسمح فقط لموظفي المؤسسة المالية الذين يتطلب أداء مهامهم الوصول إلى البيانات الشخصية بمعالجتها. ويحق لهؤلاء الموظفين الحصول على البيانات الشخصية فقط وبالقدر اللازم لأداء مهامهم.
يتم إبلاغ موظفي المؤسسة المالية المخولة بمعالجة البيانات الشخصية بأحكام وشروط معالجة البيانات الشخصية، وأنماط حماية أنظمة معلومات البيانات الشخصية، وإجراءات تخزين الوسائط المادية للبيانات الشخصية.
يقدم موظفو المؤسسة المالية تعهدات خطية بعدم إفشاء البيانات الشخصية والالتزام بالسرية الطبية.
يتم نشر البيانات الشخصية لعدد غير محدد من الأشخاص وفقًا لمتطلبات تشريعات الاتحاد الروسي أو بموافقة صاحب البيانات الشخصية.
7. إجراءات وشروط معالجة البيانات الشخصية
7.1. مبادئ معالجة البيانات الشخصية
تتم معالجة البيانات الشخصية من قبل المؤسسة المالية وفقاً للمبادئ والقواعد التالية المنصوص عليها في قانون البيانات الشخصية، وتأخذ في الاعتبار ضرورة ضمان حماية حقوق وحريات أصحاب البيانات الشخصية، بما في ذلك حماية الحق في الخصوصية والأسرار الشخصية والعائلية، وهي:
– تتم معالجة البيانات الشخصية على أساس قانوني وعادل؛
– يقتصر معالجة البيانات الشخصية على تحقيق أغراض محددة ومحددة مسبقًا ومشروعة؛ ولا يُسمح بمعالجة البيانات الشخصية التي تتعارض مع أغراض جمع البيانات الشخصية؛
– لا يجوز دمج قواعد البيانات التي تحتوي على بيانات شخصية، والتي تتم معالجتها لأغراض غير متوافقة مع بعضها البعض؛
– لا تخضع للمعالجة إلا البيانات الشخصية التي تفي بأغراض معالجتها؛
– يتوافق محتوى وحجم البيانات الشخصية التي تتم معالجتها مع الأغراض المعلنة للمعالجة؛ ولا تكون البيانات الشخصية التي تتم معالجتها مفرطة بالنسبة للأغراض المعلنة لمعالجتها؛
– عند معالجة البيانات الشخصية، يتم ضمان دقة البيانات الشخصية وكفايتها، وعند الضرورة، مدى ملاءمتها لأغراض معالجة البيانات الشخصية؛ وتتخذ المؤسسة المالية التدابير اللازمة أو تضمن اعتمادها لحذف أو توضيح البيانات غير الكاملة أو غير الدقيقة؛
– ضمان سرية البيانات الشخصية التي تتم معالجتها؛
– موثوقية البيانات الشخصية، وكفايتها لأغراض المعالجة، وعدم جواز معالجة البيانات الشخصية التي تتجاوز الحد المسموح به فيما يتعلق بالأغراض المذكورة عند جمع البيانات الشخصية؛
– يتم تخزين البيانات الشخصية بشكل يسمح بتحديد هوية صاحب البيانات الشخصية، لفترة لا تتجاوز المدة المطلوبة لأغراض معالجة البيانات الشخصية، ما لم يتم تحديد فترة تخزين البيانات الشخصية بموجب القانون الاتحادي، أو اتفاقية يكون صاحب البيانات الشخصية طرفًا فيها أو مستفيدًا منها أو ضامنًا لها؛
– تخضع البيانات الشخصية المعالجة للتدمير عند تحقيق أغراض المعالجة أو في حالة فقدان الحاجة إلى تحقيق هذه الأغراض، ما لم ينص القانون الاتحادي على خلاف ذلك.
7.2. شروط معالجة البيانات الشخصية
7.2.1. تتم معالجة الفئات الأخرى من البيانات الشخصية لأصحاب البيانات الشخصية بموافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية، ما لم ينص تشريع الاتحاد الروسي على خلاف ذلك.
7.2.2. تتم معالجة البيانات الشخصية للأفراد الخاضعين للفحوصات الطبية والبحوث الطبية والعلاج دون موافقة أصحاب البيانات الشخصية وفقًا لمتطلبات قانون البيانات الشخصية في الحالات التالية:
7.2.2.1. وفقًا لمتطلبات قانون البيانات الشخصية:
– تُعد معالجة البيانات الشخصية ضرورية لتنفيذ اتفاقية يكون صاحب البيانات الشخصية طرفًا فيها أو مستفيدًا منها أو ضامنًا لها، وكذلك لإبرام اتفاقية بمبادرة من صاحب البيانات الشخصية أو اتفاقية يكون بموجبها صاحب البيانات الشخصية مستفيدًا أو ضامنًا لها. ولا يجوز أن تتضمن الاتفاقية المبرمة مع صاحب البيانات الشخصية أحكامًا تقيّد حقوقه وحرياته، أو تنص على حالات معالجة البيانات الشخصية للقاصرين، ما لم ينص تشريع الاتحاد الروسي على خلاف ذلك، وكذلك أحكامًا تسمح بعدم اتخاذ صاحب البيانات الشخصية أي إجراء كشرط لإبرام الاتفاقية.
– معالجة البيانات الشخصية ضرورية لحماية حياة أو صحة أو مصالح حيوية أخرى لصاحب البيانات الشخصية، إذا كان الحصول على موافقة صاحب البيانات الشخصية مستحيلاً؛
– تتم معالجة البيانات الشخصية لأغراض طبية ووقائية، ولغرض وضع تشخيص طبي، وتقديم الخدمات الطبية والاجتماعية الطبية، شريطة أن تتم معالجة البيانات الشخصية من قبل شخص يعمل بشكل احترافي في الأنشطة الطبية وملزم، وفقًا لتشريعات الاتحاد الروسي، بالحفاظ على السرية الطبية؛
– تتم معالجة البيانات الشخصية وفقًا للتشريعات المتعلقة بالمساعدة الاجتماعية الحكومية، وتشريعات العمل، وتشريعات الاتحاد الروسي بشأن المعاشات التقاعدية بموجب أحكام المعاشات التقاعدية الحكومية، وبشأن معاشات العمل؛
– تتم معالجة البيانات الشخصية وفقًا للتشريعات المتعلقة بأنواع التأمين الإلزامي، مع تشريعات التأمين.
7.2.2.2. وفقًا لمتطلبات قانون العمل للاتحاد الروسي الصادر في 30 ديسمبر 2001، رقم 197-F، تتم معالجة البيانات الشخصية لموظفي المؤسسة المالية دون موافقتهم من أجل ضمان الامتثال للقوانين وغيرها من اللوائح القانونية، ومساعدة الموظفين في إيجاد فرص عمل، والحصول على التعليم والتقدم الوظيفي، وضمان السلامة الشخصية للموظفين، ومراقبة كمية ونوعية العمل المنجز، وضمان سلامة الممتلكات.
7.2.3. يتم الكشف عن البيانات الشخصية ونشرها لأطراف ثالثة، وكذلك المعلومات المتعلقة بطلب المواطن للمساعدة الطبية، وحالته الصحية وتشخيصه، وغيرها من المعلومات التي تم الحصول عليها أثناء فحصه الطبي وعلاجه، بموافقة صاحب البيانات الشخصية، ما لم ينص التشريع الاتحادي للاتحاد الروسي على خلاف ذلك.
7.2.4. تتم معالجة البيانات الشخصية للطلاب وطلاب الدراسات العليا والمقيمين بموافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية، ما لم ينص التشريع الاتحادي للاتحاد الروسي على خلاف ذلك.
7.3. شروط معالجة الفئات الخاصة من البيانات الشخصية
7.3.1. لا تعالج المؤسسة المالية فئات خاصة من البيانات الشخصية للأفراد فيما يتعلق بعرقهم أو جنسيتهم أو آرائهم السياسية أو معتقداتهم الدينية أو الفلسفية أو حياتهم الخاصة. كما لا تعالج المؤسسة المالية البيانات الشخصية للموظفين فيما يتعلق بعضويتهم في الجمعيات أو أنشطتهم النقابية، إلا في الحالات المنصوص عليها في قانون العمل للاتحاد الروسي أو غيره من القوانين الاتحادية.
7.3.2. تتم معالجة فئة خاصة من البيانات الشخصية المتعلقة بالحالة الصحية للأفراد في المؤسسة المالية بموافقة خطية من الأفراد أو بدون موافقتهم في الحالات المنصوص عليها في تشريعات الاتحاد الروسي.
7.3.3. يجب إنهاء معالجة الفئات الخاصة من البيانات الشخصية على الفور إذا تم القضاء على الأسباب التي تم من أجلها إجراء المعالجة، ما لم ينص تشريع الاتحاد الروسي على خلاف ذلك.
7.4. لا تستخدم المؤسسة المالية قواعد البيانات الموجودة خارج حدود الاتحاد الروسي لمعالجة البيانات الشخصية.
7.5. شروط معالجة البيانات الشخصية البيومترية
7.5.1. لا تتم معالجة البيانات الشخصية التي تم الحصول عليها نتيجة للتحويل الرياضي للبيانات البيومترية الشخصية للفرد، والتي يمكن على أساسها إنشاء متجه وتحديد هويته، من قبل المؤسسة المالية.
7.5.2. لا يجوز معالجة البيانات الشخصية البيومترية إلا بموافقة خطية من صاحب البيانات الشخصية، باستثناء الحالات المتعلقة بتنفيذ المعاهدات الدولية للاتحاد الروسي بشأن إعادة القبول، وفيما يتعلق بإدارة العدالة وتنفيذ الأحكام القضائية، وفيما يتعلق ببصمات الأصابع الحكومية الإلزامية، وكذلك في الحالات المنصوص عليها في تشريعات الاتحاد الروسي بشأن الدفاع والأمن ومكافحة الإرهاب وأمن النقل ومكافحة الفساد والأنشطة العملياتية والتحقيقية والخدمة المدنية والتشريعات الجنائية التنفيذية للاتحاد الروسي، وتشريعات الاتحاد الروسي بشأن إجراءات مغادرة الاتحاد الروسي ودخول الاتحاد الروسي، وبشأن جنسية الاتحاد الروسي.
7.6. تعليمات معالجة البيانات الشخصية
7.6.1. يجوز للمؤسسة المالية، بموجب اتفاقية مبرمة، أن توكل معالجة البيانات الشخصية إلى كيان قانوني آخر أو صاحب عمل فردي بموافقة أصحاب البيانات. ويلتزم الكيان القانوني أو صاحب العمل الفردي الذي يعالج البيانات الشخصية نيابةً عن المؤسسة بالامتثال للمبادئ والقواعد الخاصة بمعالجة البيانات الشخصية المنصوص عليها في التشريعات الروسية في هذا المجال، وبضمان سرية وأمن البيانات الشخصية أثناء معالجتها.
7.6.2. يجب على الشخص الذي يعالج البيانات الشخصية نيابة عن المؤسسة المالية الالتزام بالمبادئ والقواعد الخاصة بمعالجة البيانات الشخصية المنصوص عليها في هذه السياسة، والحفاظ على سرية البيانات الشخصية، واتخاذ التدابير اللازمة لضمان الوفاء بالالتزامات المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”. تحدد تعليمات المؤسسة المالية قائمة البيانات الشخصية، وقائمة الإجراءات (العمليات) التي سيقوم بها الشخص الذي يعالج البيانات الشخصية، وطرق وأغراض معالجتها، وتحدد التزام هذا الشخص بالحفاظ على سرية البيانات الشخصية، والمتطلبات المنصوص عليها في الجزء 5 من المادة 18 والمادة 18.1 من قانون البيانات الشخصية، والالتزام، بناءً على طلب المؤسسة المالية، خلال مدة سريان تعليمات المؤسسة المالية، بما في ذلك قبل معالجة البيانات الشخصية، بتقديم المستندات والمعلومات الأخرى التي تؤكد اتخاذ التدابير والامتثال للمتطلبات المنصوص عليها وفقًا للجزء 3 من المادة 6 من قانون البيانات الشخصية لغرض تنفيذ تعليمات المؤسسة المالية، وضمان أمن البيانات الشخصية أثناء معالجتها، كما تحدد متطلبات حماية البيانات الشخصية التي تتم معالجتها، بما في ذلك شرط إخطار المؤسسة المالية بالحالات المنصوص عليها في الجزء 3.1 من المادة 21 من قانون البيانات الشخصية.
7.6.3. عند إسناد معالجة البيانات الشخصية إلى شخص آخر، تكون المؤسسة المالية مسؤولة أمام صاحب البيانات الشخصية عن تصرفات ذلك الشخص. ويكون الشخص الذي يعالج البيانات الشخصية نيابةً عن المؤسسة المالية مسؤولاً أمامها.
7.6.4. إذا عهدت المؤسسة المالية بمعالجة البيانات الشخصية إلى فرد أجنبي أو كيان قانوني أجنبي، فإن المؤسسة المالية والشخص الذي يعالج البيانات الشخصية نيابة عن المؤسسة المالية يكونان مسؤولين أمام صاحب البيانات الشخصية عن أفعال هؤلاء الأشخاص.
7.7. سرية البيانات الشخصية
7.7.1. لا يجوز لموظفي المؤسسة المالية الذين حصلوا على حق الوصول إلى البيانات الشخصية، وكذلك المعلومات المتعلقة بطلب المواطن للمساعدة الطبية، وحالته الصحية وتشخيصه، وغيرها من المعلومات التي تم الحصول عليها أثناء فحصه الطبي وعلاجه، الكشف عن البيانات الشخصية لأطراف ثالثة أو توزيعها دون موافقة صاحب البيانات الشخصية، ما لم ينص القانون الاتحادي للاتحاد الروسي على خلاف ذلك.
7.8. نقل البيانات الشخصية
7.8.1. يتم نقل البيانات الشخصية لموظفي مؤسسة تابعة للميزانية دون موافقتهم في الحالات التالية:
– وفقًا لمتطلبات قانون العمل للاتحاد الروسي الصادر في 30 ديسمبر 2001 رقم 197-FZ في الحالات التي يكون فيها ذلك ضروريًا لمنع تهديد حياة وصحة الموظف، وكذلك في الحالات الأخرى المنصوص عليها في هذا القانون أو القوانين الاتحادية الأخرى.
– وفقًا لمتطلبات قانون الضرائب للاتحاد الروسي الصادر في 5 أغسطس 2000 رقم 117-FZ، يتم تقديم معلومات عن دخل الأفراد للفترة الضريبية الماضية والمبالغ المستحقة والمقتطعة والمحولة إلى نظام الميزانية للاتحاد الروسي لهذه الفترة الضريبية إلى السلطة الضريبية في مكان تسجيلهم.
– وفقًا لمتطلبات الفقرة 15، الجزء 2، المادة 22 من قانون العمل للاتحاد الروسي، البند 2، المادة 12 من القانون الاتحادي رقم 165-FZ الصادر بتاريخ 16.07.1999 “بشأن أسس التأمين الاجتماعي الإلزامي”، الجزء 2، المادة 15 من القانون الاتحادي رقم 27-FZ الصادر بتاريخ 01.04.1996 “بشأن المحاسبة الفردية (الشخصية) في أنظمة التأمين التقاعدي الإلزامي والتأمين الاجتماعي الإلزامي”، البند 2، المادة 14 من القانون الاتحادي رقم 167-FZ الصادر بتاريخ 15.12.2001 “بشأن التأمين التقاعدي الإلزامي في الاتحاد الروسي”، يتم تقديم المعلومات إلى الصندوق الاجتماعي الروسي بالمبلغ المنصوص عليه في القانون؛
– بناءً على طلب النقابات العمالية لغرض مراقبة امتثال صاحب العمل لتشريعات العمل؛
– بناءً على طلب مبرر من مكتب المدعي العام؛
– وفقًا للفقرة 5 من المادة 19 والفقرة 1 من المادة 21 من القانون الاتحادي رقم 323-FZ الصادر في 21 نوفمبر 2011 بعنوان “حول أساسيات حماية صحة المواطنين في الاتحاد الروسي”، يجوز للمؤسسة الحكومية، بهدف توفير المعلومات للمرضى، إنشاء مصادر بيانات شخصية متاحة للجمهور عن الأخصائيين الطبيين (لوحة إعلانات، معلومات على الموقع الإلكتروني، إلخ). وتشمل هذه المصادر اسم العائلة، والاسم الأول، واسم الأب، والوحدة التنظيمية، والمنصب، ومعلومات عن مؤهلات الأخصائي الطبي، ومدة الخدمة، وذلك دون الحصول على موافقة صاحب البيانات الشخصية.
– إلى المفوضيات العسكرية؛
– بناءً على طلب مبرر من وكالات إنفاذ القانون والوكالات الأمنية؛
– بناءً على طلب مفتشي العمل الحكوميين عندما يقومون بأنشطة الإشراف والرقابة؛
– بناءً على طلب المحكمة؛
– روسكومنادزور وهيئاتها الإقليمية (الجزء 4 من المادة 20 من قانون البيانات الشخصية)
– إلى السلطات والمنظمات التي يجب إخطارها بوقوع حادث خطير، بما في ذلك الحادث المميت. يتم تحديد قائمة السلطات التي يجب إخطارها والمواعيد النهائية لإرسال الإخطارات المتعلقة بالحادث بموجب المادة 228.1 من قانون العمل للاتحاد الروسي؛
– في الحالات المتعلقة بأداء الموظف لواجباته الوظيفية (على سبيل المثال، عند إرساله في رحلة عمل)؛
– تقديم المعلومات إلى مؤسسة ائتمانية تقدم خدمات بطاقات الدفع للموظفين، إذا تم تحديد الشكل ونظام الأجور ذي الصلة في اتفاقية جماعية أو أي قانون تنظيمي محلي آخر لصاحب العمل.
7.8.2. يتم نقل البيانات الشخصية للأفراد الذين يخضعون لفحوصات طبية وبحوث طبية وعلاج إلى أطراف ثالثة دون موافقة صاحب البيانات الشخصية في الحالات التالية:
7.8.2.1. وفقًا لمتطلبات القانون الاتحادي رقم 326 الصادر في 29 نوفمبر 2010 “بشأن التأمين الطبي الإلزامي في الاتحاد الروسي” والاتفاقيات المبرمة بين الكيانات (أصحاب العمل) وشركات التأمين، ولغرض الاحتفاظ بسجلات شخصية للمعلومات المتعلقة بالرعاية الطبية المقدمة للأشخاص المؤمن عليهم، يتم نقل المعلومات المتعلقة بموضوع البيانات الشخصية إلى الصناديق الإقليمية للتأمين الطبي الإلزامي والتأمين الطبي الطوعي وشركات التأمين غير الحكومية.
7.8.2.2. وفقًا لمتطلبات القانون الاتحادي رقم 323-FZ الصادر في 21 نوفمبر 2011 “بشأن أساسيات الحماية الصحية للمواطنين في الاتحاد الروسي”:
– لغرض إجراء فحص طبي وعلاج مواطن غير قادر على التعبير عن إرادته نتيجة لحالته؛
– في حالة وجود خطر انتشار الأمراض المعدية والتسمم الجماعي والإصابات؛
– بناءً على طلب هيئات التحقيق والاستقصاء، والمحكمة فيما يتعلق بالتحقيق أو المحاكمة، وبناءً على طلب مكتب المدعي العام فيما يتعلق بممارسة الإشراف القضائي، وبناءً على طلب هيئة النظام العقابي فيما يتعلق بتنفيذ الحكم الجنائي وممارسة الرقابة على سلوك الشخص المحكوم عليه بشروط، والشخص المدان الذي تم تأجيل تنفيذ الحكم بحقه، والشخص المفرج عنه بكفالة؛
– في حالة تقديم المساعدة الطبية لقاصر، إبلاغ أحد والديه أو ممثله القانوني الآخر؛
– لغرض إبلاغ وكالات الشؤون الداخلية بشأن دخول مريض توجد بشأنه أسباب كافية للاعتقاد بأن الضرر الذي لحق بصحته قد حدث نتيجة لأفعال غير قانونية؛
– لغرض إجراء الفحوصات الطبية العسكرية بناءً على طلب من المفوضيات العسكرية وخدمات الأفراد واللجان الطبية العسكرية (الطيران الطبي) للهيئات التنفيذية الفيدرالية التي ينص القانون الفيدرالي فيها على الخدمة العسكرية وما يعادلها؛
– لغرض التحقيق في حادث صناعي ومرض مهني، وكذلك حادث يتعلق بطالب أثناء إقامته في منظمة تقوم بأنشطة تعليمية؛
– عند تبادل المعلومات بين المنظمات الطبية، بما في ذلك المعلومات المنشورة في أنظمة المعلومات الطبية، لغرض تقديم الرعاية الطبية، مع مراعاة متطلبات تشريعات الاتحاد الروسي بشأن البيانات الشخصية؛
– لغرض المحاسبة والرقابة في نظام التأمين الاجتماعي الإلزامي؛
– لغرض مراقبة جودة وسلامة الأنشطة الطبية وفقًا لهذا القانون الاتحادي (إلى المديرية الإقليمية للدعم الطبي، إلى اللجنة الإقليمية للخبراء الطبيين، إلى اللجنة المركزية للخبراء الطبيين)؛
– لغرض تقديم التقارير بالأنواع والأشكال والأطر الزمنية والأحجام التي تحددها الهيئة التنفيذية الاتحادية المعتمدة.
7.9. مصادر البيانات الشخصية المتاحة للجمهور.
7.9.1. لا تقوم المؤسسة المالية بإنشاء مصادر متاحة للجمهور للبيانات الشخصية.
7.10. موافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية.
7.10.1. إذا كان من الضروري ضمان شروط معالجة البيانات الشخصية للموضوع، فيجوز تقديم موافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية.
7.10.2. يتخذ صاحب البيانات الشخصية قرار تقديم بياناته الشخصية ويوافق على معالجتها طواعيةً، وبكامل إرادته الحرة، وبما يخدم مصالحه. ويجب أن تكون الموافقة على معالجة البيانات الشخصية محددة وموضوعية ومستنيرة وواعية وواضحة لا لبس فيها.
7.10.3. يجوز لصاحب البيانات الشخصية أو ممثله منح الموافقة على معالجة البيانات الشخصية بأي شكل يسمح بتأكيد استلامها، ما لم ينص القانون الاتحادي على خلاف ذلك. وفي حال استلام الموافقة على معالجة البيانات الشخصية من ممثل صاحب البيانات الشخصية، تتحقق المؤسسة المالية من صلاحية هذا الممثل في منح الموافقة نيابةً عن صاحب البيانات الشخصية.
7.10.4. يجوز لصاحب البيانات الشخصية سحب موافقته على معالجة بياناته الشخصية. وفي حال سحب صاحب البيانات الشخصية موافقته على معالجة بياناته الشخصية، يحق للمؤسسة المالية الاستمرار في معالجة البيانات الشخصية دون موافقة صاحب البيانات الشخصية إذا توفرت الأسباب المنصوص عليها في الفقرات من 2 إلى 11 من الجزء 1 من المادة 6، والفقرات من 2 إلى 10 من الجزء 2 من المادة 10، والجزء 2 من المادة 11 من قانون حماية البيانات الشخصية.
7.10.5. يُعهد إلى المؤسسة المالية بتقديم دليل على الحصول على موافقة صاحب البيانات الشخصية على معالجة بياناته الشخصية أو دليل على وجود الأسباب المحددة في الفقرات من 2 إلى 11 من الجزء 1 من المادة 6، والفقرات من 2 إلى 10 من الجزء 2 من المادة 10 والجزء 2 من المادة 11 من قانون البيانات الشخصية.
7.10.6. في الحالات المنصوص عليها في قانون حماية البيانات الشخصية، لا يجوز معالجة البيانات الشخصية إلا بموافقة خطية من صاحب البيانات. وتُعتبر الموافقة المقدمة في شكل وثيقة إلكترونية موقعة بتوقيع إلكتروني وفقًا للقانون الاتحادي مُكافئة للموافقة الخطية المكتوبة على ورق والتي تحمل توقيع صاحب البيانات بخط يده. ويجب أن تتضمن الموافقة الخطية من صاحب البيانات على معالجة بياناته الشخصية، على وجه الخصوص، ما يلي:
– اسم العائلة، والاسم الأول، واسم الأب، وعنوان صاحب البيانات الشخصية، ورقم الوثيقة الرئيسية التي تثبت هويته، ومعلومات حول تاريخ إصدار الوثيقة المذكورة والجهة التي أصدرتها؛
– اسم العائلة، والاسم الأول، واسم الأب، وعنوان ممثل صاحب البيانات الشخصية، ورقم الوثيقة الرئيسية التي تثبت هويته، ومعلومات حول تاريخ إصدار الوثيقة المذكورة والجهة التي أصدرتها، وتفاصيل التوكيل الرسمي أو أي وثيقة أخرى تؤكد سلطة هذا الممثل (عند استلام موافقة ممثل صاحب البيانات الشخصية)؛
– اسم المؤسسة المالية أو لقبها، واسمها الأول، واسم والدها، وعنوانها؛
– الغرض من معالجة البيانات الشخصية؛
– قائمة بالبيانات الشخصية التي يوافق صاحب البيانات الشخصية على معالجتها؛
– اسم أو لقب، واسم العائلة، واسم الأب، وعنوان الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المؤسسة المالية، إذا تم إسناد المعالجة إلى هذا الشخص؛
– قائمة بالإجراءات المتعلقة بالبيانات الشخصية التي يتم منح الموافقة عليها، ووصف عام لأساليب معالجة البيانات الشخصية التي تستخدمها المؤسسة المالية؛
– الفترة التي يكون فيها موافقة صاحب البيانات الشخصية سارية، وكذلك طريقة إلغائها، ما لم ينص القانون الاتحادي على خلاف ذلك؛
– توقيع صاحب البيانات الشخصية.
7.10.7. في حالة عدم أهلية صاحب البيانات الشخصية، يتم منح الموافقة على معالجة بياناته الشخصية من قبل الممثل القانوني لصاحب البيانات الشخصية.
7.10.8. في حالة وفاة صاحب البيانات الشخصية، يتم منح الموافقة على معالجة بياناته الشخصية من قبل ورثة صاحب البيانات الشخصية، ما لم يكن صاحب البيانات الشخصية قد منح هذه الموافقة خلال حياته.
7.10.9. يجوز للمؤسسة المالية أن تتلقى البيانات الشخصية من شخص ليس هو موضوع البيانات الشخصية، شريطة أن يتم تزويد المؤسسة المالية بتأكيد على وجود الأسباب المحددة في الفقرات 2-11 من الجزء 1 من المادة 6، والفقرات 2-10 من الجزء 2 من المادة 10 والجزء 2 من المادة 11 من قانون البيانات الشخصية.
7.11. نقل البيانات الشخصية عبر الحدود
7.11.1. لا تقوم المؤسسة المالية بنقل البيانات الشخصية عبر الحدود.
7.12. خصائص معالجة البيانات الشخصية المسموح بتوزيعها من قبل صاحب البيانات الشخصية.
7.12.1. تتم معالجة البيانات الشخصية المسموح بتوزيعها من قبل صاحب البيانات الشخصية على أساس الموافقة ذات الصلة لصاحب البيانات الشخصية.
7.12.2. يتم إعداد الموافقة على معالجة البيانات الشخصية، التي يسمح بها صاحب البيانات الشخصية للتوزيع، بشكل منفصل عن الموافقات الأخرى لصاحب البيانات الشخصية على معالجة بياناته الشخصية.
7.12.3. تتضمن الموافقة قائمة بالبيانات الشخصية لكل فئة من فئات البيانات الشخصية المحددة في الموافقة على معالجة البيانات الشخصية، والمسموح بتوزيعها من قبل صاحب البيانات الشخصية.
7.12.4. يتم تقديم الموافقة على معالجة البيانات الشخصية، التي يسمح بها صاحب البيانات الشخصية للتوزيع، مباشرة إلى المؤسسة المالية.
7.12.5. لا يُعتبر صمت أو عدم قيام صاحب البيانات الشخصية بأي إجراء بمثابة موافقة على معالجة البيانات الشخصية التي يسمح بها صاحب البيانات الشخصية للتوزيع.
7.12.6. عند الموافقة على معالجة البيانات الشخصية المسموح بنشرها من قبل صاحب البيانات، يحق لصاحب البيانات الشخصية وضع قيود على نقل هذه البيانات (باستثناء منح حق الوصول) من قبل المؤسسة المالية إلى عدد غير محدود من الأشخاص، وكذلك قيود على معالجة هذه البيانات أو شروط معالجتها (باستثناء الحصول على حق الوصول) من قبل عدد غير محدود من الأشخاص. ولا يجوز للمؤسسة المالية رفض طلبات صاحب البيانات الشخصية المتعلقة بالقيود والشروط المنصوص عليها في المادة 10.1 من قانون حماية البيانات الشخصية.
7.12.7. لا تنطبق المحظورات التي يحددها صاحب البيانات الشخصية بشأن نقل البيانات (باستثناء توفير الوصول إليها)، وكذلك بشأن معالجة البيانات الشخصية أو شروط معالجتها (باستثناء الحصول على الوصول إليها) التي يسمح صاحب البيانات الشخصية بتوزيعها، على حالات معالجة البيانات الشخصية في الدولة والمصالح العامة الأخرى التي يحددها تشريع الاتحاد الروسي.
7.12.8. يجب إنهاء نقل (نشر، توفير، الوصول) البيانات الشخصية المصرح بنشرها من قبل صاحب البيانات الشخصية في أي وقت بناءً على طلبه. يجب أن يتضمن هذا الطلب اسم العائلة، والاسم الأول، واسم الأب (إن وجد)، ومعلومات الاتصال (رقم الهاتف، أو عنوان البريد الإلكتروني، أو العنوان البريدي) لصاحب البيانات الشخصية، بالإضافة إلى قائمة بالبيانات الشخصية التي يخضع معالجتها للإنهاء. لا يجوز معالجة البيانات الشخصية المحددة في هذا الطلب إلا من قبل المؤسسة المالية.
7.12.9. تنتهي موافقة صاحب البيانات الشخصية على معالجة البيانات الشخصية، التي يسمح بها صاحب البيانات الشخصية للتوزيع، عند استلام المؤسسة المالية للطلب ذي الصلة.
7.12.10. لا تنطبق المتطلبات المحددة أعلاه في حالة معالجة البيانات الشخصية لغرض تنفيذ الوظائف والصلاحيات والواجبات التي يفرضها تشريع الاتحاد الروسي على الهيئات الحكومية والهيئات البلدية وكذلك على المنظمات التابعة لهذه الهيئات.
7.12.11. نشر المعلومات المتعلقة بالأنشطة الطبية والعاملين في المجال الطبي.
7.12.11.1. وفقًا للفقرة 7 من الجزء 1 من المادة 79 من القانون الاتحادي رقم 323-FZ الصادر بتاريخ 21.11.2011 “بشأن أساسيات حماية صحة المواطنين في الاتحاد الروسي”، فإن المؤسسة المالية ملزمة بإبلاغ المواطنين بشكل يسهل الوصول إليه، بما في ذلك استخدام الإنترنت، عن الأنشطة الطبية التي يتم تنفيذها وعن العاملين الطبيين في المنظمات الطبية، وعن مستوى تعليمهم ومؤهلاتهم، وكذلك تقديم معلومات أخرى ضرورية لإجراء تقييم مستقل لجودة الخدمات التي تقدمها المنظمات الطبية.
7.12.11.2. استثناءً من هذا الحكم القانوني، أقرّ الأمر رقم 956ن الصادر عن وزارة الصحة الروسية بتاريخ 30/12/2014 متطلبات محتوى وشكل المعلومات المتعلقة بأنشطة المنظمات الطبية المنشورة على المواقع الإلكترونية الرسمية لوزارة الصحة الروسية، وهيئات الدولة في الكيانات المكونة للاتحاد الروسي، والحكومات المحلية، والمنظمات الطبية على الإنترنت. ولا يُسمح بمعالجة البيانات الشخصية للأفراد غير المشمولين بهذا القانون، وكذلك معالجة فئات البيانات الشخصية التي تتجاوز الحجم المحدد في الأمر، إلا بموافقة صاحب البيانات الشخصية.
• حجم البيانات الشخصية المحدد بموجب أمر وزارة الصحة الروسية بتاريخ 30.12.2014 رقم 956ن:
• اسم العائلة، الاسم الأول، اسم الأب (إن وجد) للعامل الطبي، والمنصب الذي يشغله؛
• معلومات من الوثيقة التعليمية (مستوى التعليم، المنظمة التي أصدرت الوثيقة التعليمية، سنة الإصدار، التخصص، المؤهل)؛
• معلومات من شهادة التخصص (التخصص الذي يتوافق مع المنصب الذي تم شغله، وفترة الصلاحية)؛
• جدول عمل وساعات استقبال العاملين في المجال الطبي.
7.13. معالجة البيانات الشخصية التي تتم دون استخدام أدوات الأتمتة
7.13.1. أحكام عامة.
7.13.1.1. تعتبر معالجة البيانات الشخصية الموجودة في نظام معلومات البيانات الشخصية أو المستخرجة من هذا النظام تتم دون استخدام أدوات الأتمتة (غير مؤتمتة) إذا تم تنفيذ إجراءات مثل استخدام البيانات الشخصية وتوضيحها وتوزيعها وإتلافها فيما يتعلق بكل فرد من أصحاب البيانات الشخصية بمشاركة مباشرة من شخص ما.
7.13.2. خصائص تنظيم معالجة البيانات الشخصية التي تتم دون استخدام أدوات الأتمتة.
7.13.2.1. يتم فصل البيانات الشخصية، عند معالجتها دون استخدام أدوات الأتمتة، عن المعلومات الأخرى، ولا سيما عن طريق تسجيلها على وسائط بيانات شخصية مادية منفصلة (يشار إليها فيما يلي باسم الوسائط المادية)، في أقسام خاصة أو في حقول النماذج (الفراغات).
7.13.2.2. عند تسجيل البيانات الشخصية على وسائط مادية، يُحظر تسجيل بيانات شخصية على نفس الوسائط المادية إذا كانت أغراض معالجتها غير متوافقة بشكل واضح. ولغرض معالجة فئات مختلفة من البيانات الشخصية دون استخدام الأتمتة، تُستخدم وسائط مادية منفصلة لكل فئة من فئات البيانات الشخصية.
7.13.2.3. يتم إبلاغ الأشخاص الذين يعالجون البيانات الشخصية دون استخدام أدوات الأتمتة (بما في ذلك موظفي المؤسسة المالية أو الأشخاص الذين يقومون بهذه المعالجة بموجب اتفاقية مع المؤسسة المالية) بحقيقة أنهم يعالجون بيانات شخصية، تتم معالجتها من قبل المؤسسة المالية دون استخدام أدوات الأتمتة، وفئات البيانات الشخصية التي تتم معالجتها، بالإضافة إلى خصائص وقواعد تنفيذ هذه المعالجة المنصوص عليها في القوانين التنظيمية للهيئات التنفيذية الاتحادية، والهيئات التنفيذية للكيانات المكونة للاتحاد الروسي، وكذلك القوانين المحلية للمؤسسة المالية.
7.13.2.4. عند استخدام النماذج القياسية للوثائق، والتي تفترض طبيعة المعلومات فيها أو تسمح بإدراج البيانات الشخصية (المشار إليها فيما يلي بالنموذج القياسي)، يتم مراعاة الشروط التالية:
– نموذج قياسي أو وثائق ذات صلة (تعليمات لملئه، بطاقات، سجلات ومذكرات) تحتوي على معلومات حول الغرض من معالجة البيانات الشخصية التي تتم دون استخدام أدوات الأتمتة، واسم (لقب) وعنوان المؤسسة المالية، واسم العائلة، والاسم الأول، واسم الأب، وعنوان صاحب البيانات الشخصية، ومصدر الحصول على البيانات الشخصية، وشروط معالجة البيانات الشخصية، وقائمة بالإجراءات المتعلقة بالبيانات الشخصية التي سيتم تنفيذها في عملية معالجتها، ووصف عام لأساليب معالجة البيانات الشخصية التي تستخدمها المؤسسة المالية؛
– يوفر النموذج القياسي حقلاً يمكن فيه لصاحب البيانات الشخصية الإشارة إلى موافقته على معالجة البيانات الشخصية التي تتم دون استخدام أدوات الأتمتة، إذا كان من الضروري الحصول على موافقة كتابية على معالجة البيانات الشخصية؛
– يتم صياغة النموذج القياسي بطريقة تتيح لكل فرد من أفراد مجموعة البيانات الشخصية الواردة في الوثيقة فرصة التعرف على بياناته الشخصية الواردة في الوثيقة دون انتهاك حقوق ومصالح الأفراد الآخرين من أصحاب البيانات الشخصية؛
– يستبعد النموذج القياسي مجموعة الحقول المخصصة لإدخال البيانات الشخصية، والتي تكون أغراض معالجتها غير متوافقة بشكل واضح.
7.13.2.5. في حالة عدم توافق أغراض معالجة البيانات الشخصية المسجلة على وسيط مادي واحد، إذا كان الوسيط المادي لا يسمح بمعالجة البيانات الشخصية بشكل منفصل عن البيانات الشخصية الأخرى المسجلة على نفس الوسيط، فيجب اتخاذ تدابير لضمان المعالجة المنفصلة للبيانات الشخصية، وعلى وجه الخصوص:
– إذا كان من الضروري استخدام أو توزيع بيانات شخصية معينة بشكل منفصل عن البيانات الشخصية الأخرى الموجودة على نفس الوسيط المادي، يتم نسخ البيانات الشخصية الخاضعة للتوزيع أو الاستخدام بطريقة تستبعد النسخ المتزامن للبيانات الشخصية غير الخاضعة للتوزيع والاستخدام، ويتم استخدام نسخة من البيانات الشخصية (توزيعها)؛
– إذا كان من الضروري إتلاف أو حظر جزء من البيانات الشخصية، يتم إتلاف الوسيط المادي أو حظره مع النسخ المسبق للمعلومات التي لا تخضع للإتلاف أو الحظر، بطريقة تستبعد النسخ المتزامن للبيانات الشخصية الخاضعة للإتلاف أو الحظر.
7.13.2.6. يجوز إتلاف بعض البيانات الشخصية، إذا سمحت بذلك الوسيلة المادية، بطريقة تمنع معالجة هذه البيانات الشخصية لاحقًا مع الحفاظ على إمكانية معالجة البيانات الأخرى المسجلة على الوسيلة المادية (الحذف، المحو). تسري هذه القواعد أيضًا إذا كان من الضروري ضمان معالجة منفصلة للبيانات الشخصية المسجلة على نفس الوسيلة المادية والمعلومات التي لا تُعتبر بيانات شخصية.
7.13.2.7. يجب تحديث البيانات الشخصية أثناء المعالجة دون استخدام وسائل آلية عن طريق تحديث أو تغيير البيانات على وسيط مادي، وإذا لم تسمح بذلك الخصائص التقنية للوسيط المادي، فيجب تسجيل معلومات حول التغييرات التي تم إجراؤها على نفس الوسيط المادي أو عن طريق إنتاج وسيط مادي جديد بالبيانات الشخصية المحدثة.
7.13.2.8. تدابير لضمان أمن البيانات الشخصية أثناء معالجتها دون استخدام أدوات الأتمتة
7.13.2.8.1. تتم معالجة البيانات الشخصية التي يتم تنفيذها دون استخدام أدوات التشغيل الآلي بطريقة تسمح بتحديد مواقع تخزين البيانات الشخصية (الوسائط المادية) لكل فئة من فئات البيانات الشخصية، وإنشاء قائمة بالأشخاص الذين يعالجون البيانات الشخصية أو لديهم حق الوصول إليها.
7.13.2.8.2. يتم ضمان التخزين المنفصل للبيانات الشخصية (الوسائط المادية) التي تتم معالجتها لأغراض مختلفة.
7.13.2.8.3. عند تخزين الوسائط المادية، يجب مراعاة الشروط التي تضمن أمن البيانات الشخصية وتمنع الوصول غير المصرح به إليها. وتتولى المؤسسة المالية تحديد قائمة التدابير اللازمة لضمان هذه الشروط، وإجراءات اعتمادها، وقائمة الأشخاص المسؤولين عن تنفيذها.
7.14. معالجة ملفات تعريف الارتباط.
7.14.1. تتم معالجة ملفات تعريف الارتباط بواسطة المؤسسة المالية بشكل عام ولا ترتبط أبدًا بالمعلومات الشخصية للمستخدمين.
7.14.2. يستخدم موقع المؤسسة المالية أدوات تحليل الويب التي قد تستخدم تقنيات ملفات تعريف الارتباط (المدرجة في الجدول 1). تُستخدم أدوات تحليل الويب لتحليل استخدام موقع المؤسسة المالية وتحسين أدائه.
عنوان الموقع الإلكتروني | أدوات تحليل الويب
https://gkb-buyanova.ru/ Yandex.Metrica
الجدول 1. أدوات تحليل المواقع الإلكترونية
7.14.3 . إن استخدام وظائف أنظمة القياس، مثل Yandex.Metrica (https://yandex.ru/legal/confidential، YANDEX LLC، 119021، روسيا، موسكو، شارع ل. تولستوي، 16)، يسمح لنا بتحديد زوار الموقع الفريدين وتوليد معلومات حول تفضيلاتهم وسلوكهم على الموقع.
7.14.4. عند استخدام الموقع الإلكتروني، تتم معالجة البيانات الشخصية التالية:
– الاسم الكامل؛
– رقم التليفون؛
– عنوان البريد الإلكتروني؛
– العنوان البريدي؛
– المعلومات التي يتم جمعها من خلال البرامج القياسية.
7.14.5. الإجراءات التي يمكن القيام بها فيما يتعلق بالبيانات الشخصية: جمع وتسجيل وتنظيم وتجميع وتخزين وتوضيح (تحديث وتعديل) واستخدام ونقل وحظر وحذف وتدمير البيانات الشخصية باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي.
7.14.6. لا تقوم المؤسسة المالية بمعالجة البيانات الشخصية للمستخدم إلا إذا قام المستخدم بتعبئتها و/أو تقديمها بشكل مستقل من خلال نماذج خاصة موجودة على موقع المؤسسة المالية الإلكتروني.
7.14.7. بزيارة الموقع الإلكتروني https://gkb-buyanova.ru/، يوافق المستخدم على معالجة ملفات تعريف الارتباط والبيانات الإحصائية وفقًا للشروط المنصوص عليها في هذه السياسة، وذلك بالنقر على زر “موافق” في نافذة المعلومات أثناء زيارته الأولى للموقع. تسري هذه الموافقة من لحظة تقديمها وتستمر طوال فترة استخدام المستخدم للموقع.
7.14.8. يحق لمستخدمي موقع المؤسسة المالية منع أجهزتهم من استقبال هذه البيانات أو تقييد استقبالها عن طريق تحديد الإعدادات المناسبة في متصفحهم. في حال رفض استقبال هذه البيانات أو تقييد استقبالها، قد لا تعمل بعض ميزات موقع https://gkb-buyanova.ru/ بشكل صحيح.
7.14.9. من خلال ملء النماذج ذات الصلة و/أو إرسال بياناتك الشخصية إلى المؤسسة المالية، يُعتبر المستخدم موافقًا على معالجة البيانات الشخصية من خلال القيام بإجراءات ضمنية، وتحديدًا عن طريق وضع علامة خاصة – “علامة ويب” – في حقل خاص عند ملء نموذج على الموقع الإلكتروني بجوار النص “أوافق على معالجة البيانات الشخصية”، شريطة أن تُتاح للمستخدم فرصة الاطلاع على النص الكامل لهذه السياسة في كل نقطة من نقاط جمع البيانات الشخصية.
7.14.1. يُحظر استخدام Google Analytics وأنظمة التحليلات الأخرى للدول الأجنبية على موقع المؤسسة المالية.
7.14.2. حول تقنية ملفات تعريف الارتباط.
7.14.2.1. ملف تعريف الارتباط هو جزء من البيانات يُرسله خادم المؤسسة المالية ويُخزن على جهاز المستخدم. قد يحتوي هذا الملف على بيانات شخصية أو لا، وذلك بحسب ما إذا كان يحتوي على بيانات شخصية أو بيانات تقنية مجهولة المصدر. يحق للمستخدم منع جهازه من استقبال هذه البيانات أو تقييد استقبالها. في حال رفض المستخدم استقبال هذه البيانات أو تقييد استقبالها، قد لا تعمل بعض وظائف الموقع الإلكتروني بشكل صحيح. يتعهد المستخدم بضبط إعدادات جهازه لضمان وضع التشغيل ومستوى حماية بيانات ملفات تعريف الارتباط بما يتناسب مع تفضيلاته، ولا تقدم المؤسسة المالية أي استشارات تقنية أو قانونية في هذا الشأن.
7.14.2.2. يجوز للمؤسسة المالية استخدام أنواع ملفات تعريف الارتباط التالية للأغراض التالية:
• ملفات تعريف الارتباط التقنية: هذه الملفات ضرورية للتشغيل العادي للموقع وتوفير وظائفه؛ من بين أمور أخرى، فهي تسمح بتحديد الأجهزة والبرامج، بما في ذلك نوع المتصفح، بحيث يعمل الموقع بشكل صحيح على جهاز مستخدم معين.
• ملفات تعريف الارتباط لتخزين الإعدادات والتفضيلات: تسمح لك ملفات تعريف الارتباط هذه بحفظ تفضيلات المستخدم، مثل اللغة والموقع والإعدادات الخاصة بمظهر الموقع.
• ملفات تعريف الارتباط الإحصائية/التحليلية: تسمح لنا هذه الملفات بالتعرف على المستخدمين، وحساب عددهم، وجمع معلومات مثل المعاملات التي تتم على الموقع، بما في ذلك معلومات حول صفحات الموقع التي تمت زيارتها والمحتوى الأكثر إثارة لاهتمام المستخدم. يستخدم المشغل هذه الملفات لجمع وتحليل وتنظيم إحصائيات الموقع وتحسينه.
• ملفات تعريف الارتباط السلوكية: تجمع ملفات تعريف الارتباط هذه معلومات حول كيفية تفاعل المستخدمين مع الموقع، مما يسمح لنا بتحديد الأخطاء واختبار الميزات الجديدة لتحسين أداء الموقع؛
• ملفات تعريف الارتباط الخاصة بالنماذج: عند إرسال البيانات من خلال نموذج الاتصال، قد يتم استخدام ملفات تعريف الارتباط لتذكر المستخدم للمراسلات المستقبلية.
يتم تنظيم استخدام ملفات تعريف الارتباط على النحو التالي:
• تتم معالجة ملفات تعريف الارتباط، التي يتم تحديد محتواها ومعالجتها حصريًا بواسطة المشغل، وفقًا لأحكام هذه السياسة؛
• تتم معالجة ملفات تعريف الارتباط، التي يتم تحديد محتواها ومعالجتها بواسطة طرف ثالث – على سبيل المثال، مزود برامج الطرف الثالث أو خدمة يستخدمها المشغل – وفقًا لأحكام هذه السياسة، وكذلك وفقًا لأحكام وثائق الخصوصية الخاصة بهذا الطرف الثالث، والتي تتضمن، من بين أمور أخرى، اسم هذا الطرف، والإجراءات والشروط الخاصة بالعمل مع ملفات تعريف الارتباط ومعلومات الاتصال للاستفسارات من أصحاب البيانات الشخصية.
7.14.3. تم تحديد موقع المواقع في الجدول 2.
عنوان الموقع الإلكتروني، اسم وعنوان المؤسسة المالكة لخدمة الاستضافة
https://gkb-buyanova.ru/ شركة مساهمة “مركز معلومات الشبكة الإقليمية” (125315، موسكو، المنطقة البلدية الداخلية للمطار، شارع لينينغرادسكي، 72، المبنى 3)
الجدول 2
8. تحديث البيانات الشخصية وتصحيحها وحذفها وإتلافها، والاستجابة لطلبات الأفراد للوصول إلى البيانات الشخصية، وحقوق صاحب البيانات الشخصية، ومسؤوليات المشغل.
8.1. حق صاحب البيانات الشخصية في الوصول إلى بياناته الشخصية.
8.1.1. يحق لصاحب البيانات الشخصية الحصول على معلومات (يشار إليها فيما يلي باسم المعلومات التي طلبها صاحب البيانات) تتعلق بمعالجة بياناته الشخصية، بما في ذلك ما يلي:
– تأكيد حقيقة معالجة البيانات الشخصية من قبل مؤسسة تابعة للميزانية؛
– الأسس القانونية وأغراض معالجة البيانات الشخصية؛
– أغراض وأساليب معالجة البيانات الشخصية التي تستخدمها المؤسسة المالية؛
– اسم وموقع المؤسسة المالية، ومعلومات عن الأشخاص (باستثناء موظفي المؤسسة المالية) الذين لديهم حق الوصول إلى البيانات الشخصية أو الذين قد يتم الكشف عن البيانات الشخصية لهم على أساس اتفاقية مع المؤسسة المالية أو على أساس القانون الاتحادي؛
– البيانات الشخصية المعالجة المتعلقة بالموضوع ذي الصلة بالبيانات الشخصية، ومصدر استلامها، ما لم ينص القانون الاتحادي على إجراء آخر لتقديم هذه البيانات؛
– شروط معالجة البيانات الشخصية، بما في ذلك شروط تخزينها؛
– إجراءات ممارسة صاحب البيانات الشخصية للحقوق المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”؛
– معلومات عن عمليات نقل البيانات عبر الحدود المكتملة أو المزمع إجراؤها؛
– اسم أو لقب، واسم العائلة، واسم الأب، وعنوان الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المؤسسة المالية، إذا كانت المعالجة موكلة أو سيتم إسنادها إلى هذا الشخص؛
– معلومات عن أساليب الوفاء بالتزامات المؤسسة المالية المنصوص عليها في المادة 18.1 من قانون البيانات الشخصية؛
– معلومات أخرى منصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية” أو القوانين الاتحادية الأخرى.
8.1.2. يحق لصاحب البيانات الشخصية الحصول على المعلومات التي طلبها، باستثناء الحالات التالية:
– تتم معالجة البيانات الشخصية، بما في ذلك البيانات الشخصية التي تم الحصول عليها نتيجة لأنشطة البحث العملياتي ومكافحة التجسس والاستخبارات، لأغراض الدفاع الوطني وأمن الدولة وحماية القانون والنظام؛
– تتم معالجة البيانات الشخصية من قبل السلطات التي احتجزت صاحب البيانات الشخصية للاشتباه في ارتكابه جريمة، أو وجهت اتهامات ضد صاحب البيانات الشخصية في قضية جنائية، أو طبقت إجراءً وقائياً على صاحب البيانات الشخصية قبل توجيه الاتهامات، باستثناء الحالات المنصوص عليها في تشريعات الإجراءات الجنائية للاتحاد الروسي، إذا سُمح للمشتبه به أو المتهم بالاطلاع على هذه البيانات الشخصية؛
– تتم معالجة البيانات الشخصية وفقًا للتشريعات المتعلقة بمكافحة إضفاء الشرعية (غسل) عائدات الجريمة وتمويل الإرهاب؛
– إن وصول صاحب البيانات الشخصية إلى بياناته الشخصية ينتهك حقوق ومصالح الأطراف الثالثة المشروعة؛
– تتم معالجة البيانات الشخصية في الحالات المنصوص عليها في تشريعات الاتحاد الروسي بشأن أمن النقل، وذلك لضمان التشغيل المستقر والآمن لمجمع النقل، وحماية مصالح الفرد والمؤسسة المالية والدولة في مجال مجمع النقل من أعمال التدخل غير القانوني.
8.1.3. يحق لصاحب البيانات الشخصية أن يطلب من المؤسسة المالية توضيح بياناته الشخصية، أو حجبها أو إتلافها إذا كانت البيانات الشخصية غير كاملة أو قديمة أو غير دقيقة أو تم الحصول عليها بشكل غير قانوني أو لم تكن ضرورية للغرض المحدد للمعالجة، وكذلك اتخاذ التدابير المنصوص عليها في القانون لحماية حقوقه.
8.1.4. يجب على المؤسسة المالية تزويد صاحب البيانات الشخصية بالمعلومات المطلوبة من قبل صاحب البيانات الشخصية بشكل يسهل الوصول إليه، ويجب ألا تحتوي على بيانات شخصية تتعلق بأصحاب بيانات شخصية آخرين، إلا في الحالات التي توجد فيها أسباب قانونية للكشف عن هذه البيانات الشخصية.
8.1.5. تُقدّم المؤسسة المالية المعلومات المطلوبة إلى صاحب البيانات الشخصية أو ممثله خلال عشرة أيام عمل من تاريخ تقديم الطلب أو استلام المؤسسة المالية له. ويجوز تمديد هذه المدة، على ألا تتجاوز خمسة أيام عمل، إذا أرسلت المؤسسة المالية إلى صاحب البيانات الشخصية إشعارًا مُسببًا يوضح أسباب تمديد مهلة تقديم المعلومات المطلوبة.
8.1.6. يجب أن يتضمن الطلب رقم الوثيقة الرئيسية التي تثبت هوية صاحب البيانات الشخصية أو ممثله، ومعلومات عن تاريخ إصدار الوثيقة المذكورة والجهة المصدرة، ومعلومات تؤكد مشاركة صاحب البيانات الشخصية في علاقات مع المؤسسة المالية (رقم العقد، وتاريخ إبرام العقد، والتسمية الشفهية التقليدية و/أو معلومات أخرى)، أو معلومات أخرى تؤكد حقيقة معالجة البيانات الشخصية من قبل المؤسسة المالية، وتوقيع صاحب البيانات الشخصية أو ممثله (يشار إليها فيما يلي بالمعلومات المطلوبة للطلب).
8.1.7. يجوز تقديم الطلب في شكل مستند إلكتروني وتوقيعه بتوقيع إلكتروني وفقًا لقانون الاتحاد الروسي. وستقوم المؤسسة المالية بتزويد صاحب البيانات الشخصية أو ممثله بالمعلومات المطلوبة بنفس الشكل الذي قُدِّم به الطلب أو الاستفسار، ما لم يُنص على خلاف ذلك في الطلب أو الاستفسار.
8.1.8. إذا تم تقديم المعلومات المطلوبة من قبل صاحب البيانات، بالإضافة إلى البيانات الشخصية التي تتم معالجتها، للمراجعة لصاحب البيانات الشخصية بناءً على طلبه، يحق لصاحب البيانات الشخصية إعادة تقديم طلب إلى المؤسسة المالية أو إرسال طلب متكرر من أجل الحصول على المعلومات المطلوبة ومراجعة هذه البيانات الشخصية في موعد لا يقل عن ثلاثين يومًا (يشار إليها فيما يلي بفترة الطلب القياسية) بعد الطلب الأولي أو إرسال الطلب الأولي، ما لم يتم تحديد فترة أقصر بموجب القانون الاتحادي أو قانون تنظيمي معتمد وفقًا له أو اتفاقية يكون صاحب البيانات الشخصية طرفًا فيها أو مستفيدًا منها أو ضامنًا لها.
8.1.9. يحق لصاحب البيانات الشخصية إعادة تقديم طلب إلى المؤسسة المالية أو تقديم طلب متابعة للحصول على المعلومات المطلوبة، وكذلك مراجعة البيانات الشخصية التي تتم معالجتها، قبل انقضاء فترة الطلب القياسية، إذا لم يتم تزويده بهذه المعلومات و/أو البيانات الشخصية التي تتم معالجتها بالكامل بعد مراجعة الطلب الأولي. يجب أن يتضمن طلب المتابعة، إلى جانب المعلومات المطلوبة، مبرراً له.
8.1.10. يحق للمؤسسة المالية رفض طلب صاحب البيانات الشخصية بتلبية طلب متكرر لا يستوفي شروطه. ويجب أن يكون هذا الرفض مبرراً. وتتحمل المؤسسة المالية مسؤولية تقديم الأدلة التي تبرر رفض تلبية الطلب المتكرر.
8.1.11. حقوق أصحاب البيانات الشخصية عند معالجة بياناتهم الشخصية لغرض الترويج للسلع والأعمال والخدمات في السوق، وكذلك لأغراض الحملات السياسية.
8.1.11.1. لا تقوم المؤسسة المالية بمعالجة البيانات الشخصية لغرض الترويج للسلع والأعمال والخدمات في السوق عن طريق الاتصال المباشر بالمستهلكين المحتملين عبر أدوات الاتصال، أو لغرض الحملات السياسية.
8.1.12. حقوق أصحاب البيانات الشخصية عند اتخاذ القرارات بناءً على المعالجة الآلية لبياناتهم الشخصية فقط.
8.1.12.1. لا يجوز للمؤسسة المالية اتخاذ قرارات تستند فقط إلى المعالجة الآلية للبيانات الشخصية التي تولد آثارًا قانونية فيما يتعلق بصاحب البيانات الشخصية أو تؤثر على حقوقه ومصالحه المشروعة.
8.1.13. الحق في الطعن في إجراءات أو تقاعس مؤسسة الميزانية.
8.1.13.1. إذا اعتقد صاحب البيانات الشخصية أن المؤسسة المالية تعالج بياناته الشخصية بما يخالف متطلبات قانون البيانات الشخصية أو تنتهك حقوقه وحرياته بأي شكل آخر، فله الحق في الطعن في إجراءات أو امتناع المؤسسة المالية عن العمل لدى الهيئة المختصة بحماية حقوق أصحاب البيانات الشخصية أو أمام المحكمة.
8.1.14. يحق لصاحب البيانات الشخصية حماية حقوقه ومصالحه المشروعة، بما في ذلك التعويض عن الأضرار و/أو الضرر المعنوي، في المحكمة.
8.2. مسؤوليات المؤسسة المسؤولة عن الميزانية
8.2.1. مسؤوليات المؤسسة المالية عند جمع البيانات الشخصية.
8.2.1.1. عند جمع البيانات الشخصية، يجب على المؤسسة المالية تزويد صاحب البيانات الشخصية، بناءً على طلبه، بالمعلومات المطلوبة بشأن معالجة بياناته الشخصية وفقًا للجزء 7 من المادة 14 من قانون البيانات الشخصية.
8.2.1.2. إذا كان تقديم البيانات الشخصية و/أو حصول المؤسسة المالية على موافقة على معالجة البيانات الشخصية إلزاميًا وفقًا للقانون الاتحادي، فعلى المؤسسة المالية أن توضح لصاحب البيانات الشخصية العواقب القانونية المترتبة على رفض تقديم بياناته الشخصية و/أو الموافقة على معالجتها.
8.2.1.3. إذا لم يتم استلام البيانات الشخصية من صاحب البيانات الشخصية، فعلى المؤسسة المالية، قبل البدء في معالجة هذه البيانات الشخصية، تزويد صاحب البيانات الشخصية بالمعلومات التالية (يشار إليها فيما يلي بالمعلومات التي يتم إبلاغها عند استلام البيانات الشخصية ليس من صاحب البيانات الشخصية):
– اسم أو لقب المؤسسة المالية أو ممثلها، واسم العائلة، والاسم الأول، واسم الأب، وعنوان المؤسسة المالية؛
– الغرض من معالجة البيانات الشخصية وأساسها القانوني؛
– قائمة البيانات الشخصية؛
– المستخدمون المقصودون للبيانات الشخصية؛
– حقوق صاحب البيانات الشخصية المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”؛
– مصدر البيانات الشخصية.
8.1.2.4. لا يجوز للمؤسسة المالية تزويد الشخص المعني بالمعلومات التي تم إبلاغه بها عند استلام البيانات الشخصية من غير الشخص المعني بالبيانات الشخصية في الحالات التالية:
– يتم إخطار صاحب البيانات الشخصية بمعالجة بياناته الشخصية من قبل المؤسسة المالية؛
– تم استلام البيانات الشخصية من قبل مؤسسة ميزانية على أساس قانون اتحادي أو فيما يتعلق بتنفيذ اتفاقية يكون فيها موضوع البيانات الشخصية طرفًا أو مستفيدًا أو ضامنًا؛
– تتم معالجة البيانات الشخصية التي يسمح بها صاحب البيانات الشخصية للتوزيع وفقًا للمحظورات والشروط المنصوص عليها في المادة 10.1 من قانون البيانات الشخصية؛
– تقوم مؤسسة تابعة للميزانية بمعالجة البيانات الشخصية لأغراض إحصائية أو بحثية أخرى، أو لتنفيذ الأنشطة المهنية للصحفي أو الأنشطة العلمية أو الأدبية أو الإبداعية الأخرى، إذا لم ينتهك ذلك حقوق ومصالح صاحب البيانات الشخصية المشروعة؛
– إن تزويد صاحب البيانات الشخصية بالمعلومات التي يتم إبلاغها عند استلام البيانات الشخصية ليس من صاحب البيانات الشخصية ينتهك حقوق ومصالح الأطراف الثالثة المشروعة.
8.2.2. التدابير التي تهدف إلى ضمان الوفاء بواجبات المؤسسة المالية.
8.2.2.1. تتخذ المؤسسة المالية التدابير اللازمة والكافية لضمان الوفاء بالتزاماتها. وتحدد المؤسسة المالية بشكل مستقل مكونات وقائمة التدابير اللازمة والكافية لضمان الوفاء بالتزاماتها، ما لم تنص القوانين الاتحادية على خلاف ذلك. وتشمل هذه التدابير، على وجه الخصوص:
8.2.2.2. تعيين شخص مسؤول عن تنظيم معالجة البيانات الشخصية؛
8.2.2.3. نشر السياسة واللوائح المحلية المتعلقة بمعالجة البيانات الشخصية، بالإضافة إلى اللوائح المحلية التي تحدد الإجراءات الرامية إلى منع انتهاكات تشريعات الاتحاد الروسي والكشف عنها، وإزالة آثار هذه الانتهاكات. لا يجوز أن تتضمن هذه الوثائق واللوائح المحلية أحكامًا تحد من حقوق أصحاب البيانات الشخصية أو تفرض صلاحيات والتزامات على المؤسسة المالية غير المنصوص عليها في تشريعات الاتحاد الروسي.
8.2.2.4. تطبيق التدابير القانونية والتنظيمية والتقنية لضمان أمن البيانات الشخصية؛
8.2.2.5. تنفيذ الرقابة الداخلية و/أو تدقيق امتثال معالجة البيانات الشخصية لمتطلبات حماية البيانات الشخصية والسياسة واللوائح المحلية للمؤسسة المالية؛
8.2.2.6. تقييم الضرر الذي قد يلحق بأصحاب البيانات الشخصية في حالة انتهاك قانون البيانات الشخصية، والعلاقة بين الضرر المذكور والتدابير التي اتخذتها المؤسسة المالية بهدف ضمان الوفاء بالالتزامات المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”؛
8.2.2.7. إطلاع موظفي المؤسسة المالية المعنيين مباشرة بمعالجة البيانات الشخصية على أحكام تشريعات الاتحاد الروسي بشأن البيانات الشخصية، بما في ذلك متطلبات حماية البيانات الشخصية، والوثائق، والسياسة، واللوائح المحلية المتعلقة بقضايا معالجة البيانات الشخصية، و/أو تدريب هؤلاء الموظفين.
8.2.3. تدابير لضمان أمن البيانات الشخصية أثناء معالجتها.
8.2.3.1. عند معالجة البيانات الشخصية، يجب على المؤسسة المالية اتخاذ التدابير القانونية والتنظيمية والتقنية اللازمة أو ضمان اعتمادها لحماية البيانات الشخصية من الوصول غير المصرح به أو العرضي، والتدمير، والتعديل، والحظر، والنسخ، والتوفير، وتوزيع البيانات الشخصية، وكذلك من الإجراءات غير القانونية الأخرى المتعلقة بالبيانات الشخصية.
8.2.3.2. ضمان تحقيق أمن البيانات الشخصية، ولا سيما:
– تحديد التهديدات التي تواجه أمن البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية؛
– تطبيق التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية، وهو أمر ضروري لتلبية متطلبات حماية البيانات الشخصية، ويضمن تنفيذها مستويات حماية البيانات الشخصية التي وضعتها حكومة الاتحاد الروسي؛
– استخدام أدوات أمن المعلومات التي خضعت للإجراءات المعمول بها لتقييم مدى توافق المعلومات؛
– تقييم فعالية التدابير المتخذة لضمان أمن البيانات الشخصية قبل تشغيل نظام معلومات البيانات الشخصية؛
– مع الأخذ في الاعتبار الوسائط القابلة للقراءة آلياً للبيانات الشخصية؛
– الكشف عن حالات الوصول غير المصرح به إلى البيانات الشخصية واتخاذ التدابير اللازمة؛
– استعادة البيانات الشخصية التي تم تعديلها أو إتلافها بسبب الوصول غير المصرح به إليها؛
– وضع قواعد للوصول إلى البيانات الشخصية التي تتم معالجتها في نظام معلومات البيانات الشخصية، بالإضافة إلى ضمان تسجيل ومحاسبة جميع الإجراءات التي يتم تنفيذها باستخدام البيانات الشخصية في نظام معلومات البيانات الشخصية؛
– السيطرة على التدابير المتخذة لضمان أمن البيانات الشخصية ومستوى حماية أنظمة معلومات البيانات الشخصية.
8.2.3.3. لا يجوز استخدام وتخزين البيانات الشخصية البيومترية خارج أنظمة معلومات البيانات الشخصية إلا على وسائط معلومات مادية وباستخدام تقنية تخزين تضمن حماية هذه البيانات من الوصول غير المصرح به أو العرضي إليها، ومن تدميرها أو تعديلها أو حظرها أو نسخها أو توفيرها أو توزيعها.
8.2.3.4. التزامات المؤسسة المالية عندما يتقدم إليها صاحب البيانات الشخصية أو عند تلقي طلب من صاحب البيانات الشخصية أو ممثله، وكذلك الهيئة المخولة بحماية حقوق أصحاب البيانات الشخصية.
8.2.3.4.1. يتعين على المؤسسة المالية، وفقًا للإجراءات المتبعة، إخطار صاحب البيانات الشخصية أو ممثله بتوفر البيانات الشخصية المتعلقة به، كما يتعين عليها إتاحة الوصول إلى هذه البيانات بناءً على طلب صاحب البيانات الشخصية أو ممثله، أو في غضون عشرة أيام عمل من تاريخ استلام الطلب. ويجوز تمديد هذه المدة، على ألا تتجاوز خمسة أيام عمل، إذا أرسلت المؤسسة المالية إشعارًا مسببًا إلى صاحب البيانات الشخصية يوضح فيه أسباب تمديد فترة تقديم المعلومات المطلوبة.
8.2.3.4.2. في حال رفض تقديم معلومات حول توافر البيانات الشخصية المتعلقة بصاحب البيانات المعني، أو البيانات الشخصية نفسها، لصاحب البيانات أو ممثله بناءً على طلبه أو عند استلام طلب منه أو من ممثله، يتعين على المؤسسة المالية تقديم رد كتابي مسبب خلال مدة لا تتجاوز عشرة أيام عمل من تاريخ تقديم الطلب أو تاريخ استلامه. ويجوز تمديد هذه المدة، على ألا تتجاوز خمسة أيام عمل، إذا أرسلت المؤسسة المالية إشعارًا مسببًا إلى صاحب البيانات يوضح فيه أسباب تمديد فترة تقديم المعلومات المطلوبة.
8.2.3.4.3. تُتيح المؤسسة المالية لصاحب البيانات الشخصية أو ممثله فرصة الوصول إلى بياناته الشخصية مجانًا. وفي غضون مدة لا تتجاوز سبعة أيام عمل من تاريخ تقديم صاحب البيانات الشخصية أو ممثله معلومات تُؤكد أن البيانات الشخصية غير كاملة أو غير دقيقة أو قديمة، تُجري المؤسسة المالية التعديلات اللازمة عليها. وفي غضون مدة لا تتجاوز سبعة أيام عمل من تاريخ تقديم صاحب البيانات الشخصية أو ممثله معلومات تُؤكد أن هذه البيانات الشخصية قد تم الحصول عليها بطريقة غير قانونية أو أنها غير ضرورية للغرض المُحدد من معالجتها، تُتلف المؤسسة المالية هذه البيانات الشخصية. وتُخطر المؤسسة المالية صاحب البيانات الشخصية أو ممثله بالتغييرات التي أُجريت والإجراءات المتخذة، وتتخذ التدابير المعقولة لإخطار الأطراف الثالثة التي نُقلت إليها البيانات الشخصية لهذا الشخص.
8.2.3.4.4. يتعين على المؤسسة المالية إخطار الجهة المختصة بحماية حقوق أصحاب البيانات الشخصية، بناءً على طلبها، بالمعلومات المطلوبة في غضون عشرة أيام عمل من تاريخ استلام الطلب. ويجوز تمديد هذه المدة، على ألا تتجاوز خمسة أيام عمل، إذا أرسلت المؤسسة المالية إشعارًا مسببًا إلى الجهة المختصة بحماية حقوق أصحاب البيانات الشخصية، توضح فيه أسباب تمديد مهلة تقديم المعلومات المطلوبة.
8.2.3.5. التزامات المؤسسة المالية بإزالة انتهاكات القانون التي ارتكبت أثناء معالجة البيانات الشخصية، وتوضيح البيانات الشخصية وحظرها وتدميرها.
8.2.3.5.1. في حالة اكتشاف معالجة غير قانونية للبيانات الشخصية بناءً على طلب من صاحب البيانات الشخصية أو ممثله، أو بناءً على طلب من صاحب البيانات الشخصية أو ممثله، أو جهة مخولة بحماية حقوق أصحاب البيانات الشخصية، تقوم المؤسسة المالية بحظر البيانات الشخصية التي تمت معالجتها بشكل غير قانوني والمتعلقة بصاحب البيانات الشخصية هذا أو ضمان حظرها (إذا تمت معالجة البيانات الشخصية من قبل شخص آخر يعمل نيابة عن المؤسسة المالية) من لحظة تقديم هذا الطلب أو استلام الطلب المذكور لفترة التحقق. في حال اكتشاف بيانات شخصية غير دقيقة بناءً على طلب من صاحب البيانات الشخصية أو ممثله، أو بناءً على طلبه، أو بناءً على طلب من جهة مخولة بحماية حقوق أصحاب البيانات الشخصية، تقوم المؤسسة المالية بحظر البيانات الشخصية المتعلقة بهذا الشخص أو ضمان حظرها (إذا تمت معالجة البيانات الشخصية من قبل شخص آخر يعمل نيابة عن المؤسسة المالية) من لحظة تقديم هذا الطلب أو استلام الطلب المذكور لفترة التحقق، ما لم ينتهك حظر البيانات الشخصية حقوق ومصالح صاحب البيانات الشخصية أو الأطراف الثالثة المشروعة.
8.2.3.5.2. في حالة التأكد من عدم دقة البيانات الشخصية، تقوم المؤسسة المالية، بناءً على المعلومات المقدمة من صاحب البيانات الشخصية أو ممثله أو الهيئة المخولة بحماية حقوق أصحاب البيانات الشخصية، أو غيرها من المستندات اللازمة، بتوضيح البيانات الشخصية أو ضمان توضيحها (إذا تمت معالجة البيانات الشخصية من قبل شخص آخر يعمل نيابة عن المؤسسة المالية) في غضون سبعة أيام عمل من تاريخ تقديم هذه المعلومات، وتزيل الحظر المفروض على البيانات الشخصية.
8.2.3.5.3. في حال اكتشاف معالجة غير قانونية للبيانات الشخصية من قِبل مؤسسة تابعة للميزانية أو شخص يعمل نيابةً عنها، يتعين على المؤسسة التابعة للميزانية، في غضون مدة لا تتجاوز ثلاثة أيام عمل من تاريخ الاكتشاف، التوقف عن المعالجة غير القانونية للبيانات الشخصية أو ضمان توقفها من قِبل الشخص الذي يعمل نيابةً عنها. إذا تعذر ضمان قانونية معالجة البيانات الشخصية، يتعين على المؤسسة التابعة للميزانية، في غضون مدة لا تتجاوز عشرة أيام عمل من تاريخ اكتشاف المعالجة غير القانونية، إتلاف هذه البيانات الشخصية أو ضمان إتلافها. تُخطر المؤسسة التابعة للميزانية صاحب البيانات الشخصية أو ممثله بتصحيح المخالفات المرتكبة أو بإتلاف البيانات الشخصية، وفي حال إرسال طلب صاحب البيانات الشخصية أو ممثله أو طلب الجهة المختصة بحماية حقوق أصحاب البيانات الشخصية من قِبل تلك الجهة، تُخطر الجهة المختصة أيضًا.
8.2.3.5.4. في حالة ثبوت واقعة النقل غير القانوني أو العرضي (توفير، توزيع، وصول) للبيانات الشخصية، مما يؤدي إلى انتهاك حقوق أصحاب البيانات الشخصية، يتعين على المؤسسة المالية، من لحظة اكتشاف هذا الحادث، إخطار الجهة المختصة بحماية حقوق أصحاب البيانات الشخصية، أو أي طرف معني آخر:
– خلال أربع وعشرين ساعة بشأن الحادث الذي وقع، والأسباب المزعومة التي أدت إلى انتهاك حقوق أصحاب البيانات الشخصية، والضرر المزعوم الذي لحق بحقوق أصحاب البيانات الشخصية، والتدابير المتخذة لإزالة عواقب الحادث ذي الصلة، وكذلك بشأن الشخص المخول من قبل المؤسسة المالية بالتفاعل مع الهيئة المخولة بحماية حقوق أصحاب البيانات الشخصية بشأن المسائل المتعلقة بالحادث المحدد؛
– في غضون 72 ساعة، حول نتائج التحقيق الداخلي في الحادث المحدد، وكذلك حول الأشخاص الذين تسببت أفعالهم في الحادث المحدد (إن وجد).
8.2.3.6. إذا تحقق الغرض من معالجة البيانات الشخصية، يتعين على المؤسسة المالية التوقف عن معالجة البيانات الشخصية أو ضمان إنهائها (إذا تمت معالجة البيانات الشخصية من قبل شخص آخر يعمل نيابة عن المؤسسة المالية)، وعليها إتلاف البيانات الشخصية أو ضمان إتلافها (إذا تمت معالجة البيانات الشخصية من قبل شخص آخر يعمل نيابة عن المؤسسة المالية) في غضون مدة لا تتجاوز ثلاثين يومًا من تاريخ تحقيق الغرض من معالجة البيانات الشخصية، ما لم ينص على خلاف ذلك اتفاق يكون صاحب البيانات الشخصية طرفًا فيه أو مستفيدًا منه أو ضامنًا له، أو اتفاق آخر بين المؤسسة المالية وصاحب البيانات الشخصية، أو إذا لم يكن للمؤسسة المالية الحق في معالجة البيانات الشخصية دون موافقة صاحب البيانات الشخصية للأسباب المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية” أو القوانين الاتحادية الأخرى.
8.2.3.7. في حال سحب صاحب البيانات الشخصية موافقته على معالجة بياناته الشخصية، تتوقف المؤسسة المالية عن معالجتها أو تضمن إنهاء هذه المعالجة (إذا كانت البيانات الشخصية تُعالج من قبل شخص آخر يعمل نيابة عن المؤسسة المالية)، وإذا لم يعد تخزين البيانات الشخصية مطلوبًا لأغراض معالجتها، تقوم المؤسسة المالية بإتلاف البيانات الشخصية أو تضمن إتلافها (إذا كانت البيانات الشخصية تُعالج من قبل شخص آخر يعمل نيابة عن المؤسسة المالية) في غضون مدة لا تتجاوز ثلاثين يومًا من تاريخ استلام طلب السحب المذكور، ما لم ينص على خلاف ذلك اتفاق يكون صاحب البيانات الشخصية طرفًا فيه أو مستفيدًا منه أو ضامنًا له، أو اتفاق آخر بين المؤسسة المالية وصاحب البيانات الشخصية، أو إذا لم يكن للمؤسسة المالية الحق في معالجة البيانات الشخصية دون موافقة صاحب البيانات الشخصية للأسباب المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية” أو القوانين الاتحادية الأخرى.
8.2.3.8. إذا طلب صاحب البيانات الشخصية إنهاء معالجة بياناته، فعلى المؤسسة المالية، في غضون مدة لا تتجاوز عشرة أيام عمل من تاريخ استلام الطلب، التوقف عن معالجة البيانات الشخصية أو ضمان إنهاء هذه المعالجة (إذا كانت تتم من قبل الشخص الذي يقوم بمعالجة البيانات الشخصية)، باستثناء الحالات المنصوص عليها في الفقرات من 2 إلى 11 من الجزء 1 من المادة 6، والجزء 2 من المادة 10، والجزء 2 من المادة 11 من قانون البيانات الشخصية. ويجوز تمديد هذه المدة، على ألا تتجاوز خمسة أيام عمل، إذا أرسلت المؤسسة المالية إشعارًا مسببًا إلى صاحب البيانات الشخصية يوضح أسباب تمديد فترة تقديم المعلومات المطلوبة.
8.2.3.9. إذا كان من المستحيل إتلاف البيانات الشخصية خلال الفترة المحددة، فعلى المؤسسة المالية حجب هذه البيانات الشخصية أو ضمان حجبها (إذا تمت معالجة البيانات الشخصية من قبل شخص آخر يعمل نيابة عن المؤسسة المالية) وضمان إتلاف البيانات الشخصية في غضون فترة لا تزيد عن ستة أشهر، ما لم يتم تحديد فترة أخرى بموجب القوانين الاتحادية.
8.2.4. الإخطار بمعالجة (نية المعالجة) البيانات الشخصية
8.2.4.1. يجب على المؤسسة المالية، باستثناء الحالات المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”، إخطار الهيئة المختصة بحماية حقوق أصحاب البيانات الشخصية بنيتها معالجة البيانات الشخصية قبل البدء في معالجة البيانات الشخصية.
8.2.4.2. يُرسل الإشعار بنسخة ورقية أو إلكترونية، ويُوقّع عليه شخص مُخوّل. ويتضمن الإشعار المعلومات التالية:
– الاسم (اسم العائلة، الاسم الأول، اسم الأب)، عنوان المؤسسة المالية؛
– الغرض من معالجة البيانات الشخصية؛
– وصف التدابير، بما في ذلك معلومات عن توافر وسائل التشفير (التشفيرية) وأسماء هذه الوسائل؛
– اسم العائلة، والاسم الأول، واسم الأب للشخص أو اسم الكيان القانوني المسؤول عن تنظيم معالجة البيانات الشخصية، وأرقام هواتف الاتصال الخاصة بهم وعناوينهم البريدية وعناوين بريدهم الإلكتروني؛
– تاريخ بدء معالجة البيانات الشخصية؛
– الشرط أو الحكم الخاص بإنهاء معالجة البيانات الشخصية؛
– معلومات حول وجود أو عدم وجود نقل عبر الحدود للبيانات الشخصية أثناء معالجتها؛
– معلومات حول موقع قاعدة البيانات التي تحتوي على البيانات الشخصية لمواطني الاتحاد الروسي؛
– اسم العائلة، أو الاسم الأول، أو اسم الأب لشخص أو اسم كيان قانوني لديه حق الوصول إلى و/أو معالجة البيانات الشخصية الموجودة في أنظمة المعلومات الحكومية والبلدية على أساس اتفاقية؛
– معلومات حول ضمان أمن البيانات الشخصية وفقًا لمتطلبات حماية البيانات الشخصية التي وضعتها حكومة الاتحاد الروسي.
8.2.5. في حال طرأت تغييرات على المعلومات المحددة، يتعين على المؤسسة المالية إخطار الجهة المختصة بحماية حقوق أصحاب البيانات الشخصية بجميع التغييرات التي حدثت خلال الفترة المحددة، وذلك في موعد أقصاه اليوم الخامس عشر من الشهر التالي للشهر الذي حدثت فيه هذه التغييرات. وفي حال توقف المؤسسة المالية عن معالجة البيانات الشخصية، يتعين عليها إخطار الجهة المختصة بحماية حقوق أصحاب البيانات الشخصية في غضون عشرة أيام عمل من تاريخ التوقف عن المعالجة.
9. مجالات المسؤولية.
9.1. الأشخاص المسؤولون عن تنظيم معالجة البيانات الشخصية.
تقوم المؤسسة المالية بتعيين شخص مسؤول عن تنظيم معالجة البيانات الشخصية.
يقوم الشخص المسؤول عن تنظيم معالجة البيانات الشخصية، على وجه الخصوص، بالوظائف التالية:
– يقوم بإجراء رقابة داخلية على امتثال المؤسسة المالية وموظفيها لتشريعات الاتحاد الروسي بشأن البيانات الشخصية، بما في ذلك متطلبات حماية البيانات الشخصية؛
– يلفت انتباه موظفي المؤسسة المالية إلى أحكام تشريعات الاتحاد الروسي بشأن البيانات الشخصية، واللوائح المحلية المتعلقة بمعالجة البيانات الشخصية، ومتطلبات حماية البيانات الشخصية؛
– ينظم استقبال ومعالجة الطلبات والاستفسارات من أصحاب البيانات الشخصية أو ممثليهم و/أو يمارس الرقابة على استقبال ومعالجة هذه الطلبات والاستفسارات.
9.2. المسؤولية
– يتحمل الأشخاص المذنبون بانتهاك متطلبات قانون البيانات الشخصية المسؤولية وفقًا لما ينص عليه تشريع الاتحاد الروسي.
تخضع الأضرار المعنوية التي تلحق بصاحب البيانات الشخصية نتيجة انتهاك حقوقه، أو مخالفة قواعد معالجة البيانات الشخصية المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”، أو متطلبات حماية البيانات الشخصية المنصوص عليها في القانون الاتحادي “بشأن البيانات الشخصية”، للتعويض وفقًا لتشريعات الاتحاد الروسي. ويُقدم التعويض عن الأضرار المعنوية بشكل مستقل عن التعويض عن الأضرار المادية والخسائر التي يتكبدها صاحب البيانات الشخصية.
10. النتائج الرئيسية
10.1. عند تحقيق الأهداف، من المتوقع تحقيق النتائج التالية:
– ضمان حماية حقوق وحريات أصحاب البيانات الشخصية أثناء معالجة بياناتهم الشخصية من قبل مؤسسة تابعة للميزانية؛
– زيادة المستوى العام لأمن المعلومات في المؤسسة المالية؛
– تقليل المخاطر القانونية للمؤسسة المالية.
11. سياسيون ذوو نفوذ.
لا توجد سياسات متماسكة.
12. الأحكام الختامية.
12.1. أحكام هذه السياسة إلزامية لجميع موظفي المؤسسة المالية الذين لديهم حق الوصول إلى البيانات الشخصية.
12.2. يجوز لصاحب البيانات الشخصية الحصول على أي توضيحات بشأن المسائل التي تهمه فيما يتعلق بمعالجة بياناته الشخصية، وكذلك طلب معلومات مكتوبة بشأن معالجة البيانات الشخصية عن طريق الاتصال بالمؤسسة المالية بشكل مطبوع أو إلكتروني، موقعة بتوقيع إلكتروني، عن طريق إرسال إشعار إلى عنوان البريد الإلكتروني gkb12@zdrav.mos.ru، مع ذكر الاسم الكامل ومعلومات الاتصال ورقم وثيقة الهوية الرئيسية ومعلومات عن تاريخ إصدار الوثيقة المحددة والجهة المصدرة، ومعلومات تؤكد مشاركة صاحب البيانات الشخصية في علاقات مع المؤسسة المالية، أو معلومات أخرى تؤكد حقيقة معالجة المؤسسة المالية للبيانات الشخصية، موقعة من قبل صاحب البيانات الشخصية.
12.3. يجب على المؤسسة المالية تقديم معلومات تتعلق بمعالجة البيانات الشخصية في غضون عشرة أيام عمل من تاريخ استلام الطلب من صاحب البيانات الشخصية بالشكل الذي تم إرسال الطلب ذي الصلة به.
12.4. تحتفظ المؤسسة المالية بالحق في إجراء تغييرات على هذه السياسة.
١٢.٥. عند إجراء أي تغييرات، يتضمن الإصدار الحالي تاريخ آخر تحديث. يسري مفعول الإصدار الجديد من السياسة فور نشره على الموقع الإلكتروني للمؤسسة المالية. تتوفر الإصدارات الملغاة في الأرشيف على العنوان المحدد في السياسة.
12.6. يجوز مراجعة أحكام هذه السياسة للأسباب التالية:
– في حالة حدوث تغييرات في القوانين التنظيمية للاتحاد الروسي التي تحكم العلاقات في مجال معالجة البيانات الشخصية؛
– عند تغيير اللوائح الداخلية؛
– في الحالات التي يتم فيها تحديد اختلافات تؤثر على معالجة البيانات الشخصية؛
– بناءً على نتائج مراقبة الامتثال لمتطلبات معالجة وحماية البيانات الشخصية.
12.7. عند اعتماد لوائح جديدة أو تعديل اللوائح الحالية التي تحكم إجراءات معالجة البيانات الشخصية، تظل هذه السياسة سارية المفعول حتى يتم إجراء التعديلات والإضافات ذات الصلة إلى الحد الذي لا يتعارض معها.
12.8. تتحمل المؤسسة المالية، وكذلك موظفوها، وفقًا لتشريعات الاتحاد الروسي، المسؤولية المدنية والإدارية والجنائية عن عدم الامتثال لمبادئ وشروط معالجة البيانات الشخصية، وكذلك عن الكشف عن البيانات الشخصية أو استخدامها بشكل غير قانوني.
12.9. توجد النسخة الحالية من السياسة على موقع المؤسسة المالية https://gkb-buyanova.ru/.