個人資料處理政策
在莫斯科衛生局「V.M. 布亞諾夫市臨床醫院」國家預算醫療機構

1. 總則
1.1 政策目的
1.1.1. 為了遵守俄羅斯聯邦有關個人資料處理和安全保障的法律法規，並維護莫斯科市國家預算醫療機構「莫斯科市衛生局V.M.布亞諾夫市立臨床醫院」（簡稱：莫斯科市衛生局國家預算醫療機構「V.M.布亞諾夫市立臨床醫院」（以下簡稱「預算機構」），INN：724598964598 KPP：772401001，OGRN：7724598966，法定地址：115516，莫斯科，巴金斯卡婭街26號，諮詢郵寄地址：115516，莫斯科，巴金斯卡婭街26號）的商業聲譽，本機構認為其任務是在處理個人資料時遵守合法性，並確保其保密和處理的原則。
1.1.2. 本預算機構個人資料處理政策（以下簡稱「本政策」）是根據 2006 年 7 月 27 日第 152-FZ 號聯邦法律「關於個人資料」（以下簡稱「個人資料法」）制定的。
1.1.3. 該政策定義如下：
– 處理個人資料的基本原則、目的、條件和方法；
– 預算機構處理的對象和個人資料清單，預算機構在處理個人資料方面的功能；
– 個人資料主體的權利；
– 預算機構實施的個人資料保護要求。
1.1.4. 本政策的要求是製定預算機構內部文件以規範個人資料處理的基礎。
1.1.5. 本政策為公開文件。根據《個人資料法》第 18.1 條第 2 款的規定，本政策自批准之日起 10 天內，在預算機構網站 https://gkb-buyanova.ru/（以下簡稱「網站」）上公開發布，並在收集個人資料的每個位置發布。
1.1.6. 本政策適用於預算機構處理的所有個人資料。
1.1.7. 本保單任何部分的無效不應導致整個保單無效。
1.1.8. 預算機構是個人資料的經營者；它獨立或與他人共同組織和進行個人資料的處理，確定處理個人資料的目的、處理個人資料的組成、對個人資料執行的操作，並確保在處理個人資料時保護資料主體的權利和自由，並採取措施確保履行《個人資料法》和個人資料保護領域其他監管文件規定的義務。
1.1.9. 本政策不得包含限制個人資料主體權利和自由的條款，也不得包含允許使用者不作為訂立協議/表示同意的條件的條款。
1.1.10. 該政策自預算機構首席醫師批准之日起生效。
1.1.11. 該政策在預算機構管理層的定期分析中以及俄羅斯聯邦法律發生變化時，均需進行修訂。
1.1.12. 預算機構負責組織個人資料處理的授權人員將監督本政策要求的遵守情況。

1.2 政策目標
1.2.1. 本政策的目的是確保在預算機構處理個人資料時，個人資料主體的權利和自由得到保護，包括保護隱私權、個人、家庭和醫療秘密權，以及確定有權存取個人資料的機構員工因未能遵守個人資料處理和保護規則的要求而應承擔的責任。

1.3 基本概念
1.3.1. 為便於理解本政策，使用以下概念：
個人資料自動化處理－利用電腦技術處理個人資料；
個人資料封鎖－暫時停止處理個人資料（為澄清個人資料而必須處理的情況除外）；
網站——圖形和資訊材料以及電腦程式和資料庫的集合，確保它們可以透過運營商的網路位址 https://gkb-buyanova.ru/ 在互聯網上存取；
存取個人資料－某些人員（包括僱員）在遵守保密義務的前提下，了解預算機構處理的個人資料；
資訊保密－對已取得某些資訊的人員的強制性要求，即未經資訊所有者同意，不得將此類資訊轉移給第三方；
醫療活動 – 提供醫療保健、進行身體檢查、衛生防疫措施和與器官和（或）組織移植（再植）、供血和（或）其成分用於醫療目的相關的專業活動。
個人資料處理－指使用自動化工具或不使用自動化工具對個人資料進行的任何操作或一系列操作，包括收集、記錄、系統化、累積、儲存、澄清（更新、修改）、提取、使用、傳輸（分發、提供、存取）、阻止、刪除、銷毀個人資料；
運營者－指獨立或與他人共同組織和（或）進行個人資料處理的國家機關、市政機關、法人或個人，以及確定個人資料處理的目的、待處理的個人資料的組成以及對個人資料執行的操作（操作）的機關、市政機關、法人或個人；
病人－指正在接受醫療照護或已申請醫療照護的個人，不論其是否患病或患有何種疾病；
個人資料－與直接或間接識別或可識別的個人（個人資料主體）有關的任何資訊；
經個人資料主體同意，允許分發的個人資料－個人資料主體透過同意處理個人數據，允許無限數量的人員存取的個人數據，按照《聯邦個人資料法》規定的方式分發；
網站使用者（以下簡稱使用者）－使用預算機構網站及其服務的具有完全民事行為能力的個人。
訪客－指佔用預算機構的保全辦公大樓和場所，但沒有永久進入權，需要一次性通行證的個人；
提供個人資料－旨在向特定個人或特定群體揭露個人資料的行為；
僱員－指與預算機構建立僱傭關係的個人；
個人資料傳播－旨在向不確定數量的人員揭露個人資料的行為；
僱員親屬－預算機構僱員的近親屬，其個人資料的處理由聯邦法律規定，預算機構作為雇主，也依照國家統計機構的要求進行處理。
申請人（候選人）－申請預算機構空缺職位的個人。
個人資料主體－指能夠直接或間接透過個人資料識別或可識別的個人；
跨境個人資料傳輸－將個人資料傳輸到外國領土，傳輸物件為外國政府機構、外國個人或外國法人實體；
個人資料銷毀－指導致個人資料資訊系統中的個人資料內容無法恢復，和（或）導致個人資料的物質載體被銷毀的行為；
Cookie 是文字文件，通常體積很小，或者說是一些資訊片段，當您造訪網站時，這些資訊可能會儲存在您的電腦記憶體中。

1.4 範圍
1.4.1. 本政策的規定適用於預算機構所進行的所有與個人資料處理相關的關係：
– 使用自動化工具（包括在資訊和電信網路中）或不使用此類工具，如果不使用此類工具處理個人資料與使用自動化工具對個人資料執行的操作（操作）的性質相符，即允許根據給定的演算法搜尋記錄在有形媒體上並包含在卡片索引或其他系統化個人資料集合中的個人資料，和（或）存取此類個人資料；
– 無需使用自動化工具。
1.4.2. 預算機構所有處理個人資料或有權存取個人資料的員工都必須遵守本政策。

2. 個人資料處理的目的
2.1. 個人資料的處理僅限於實現特定、預定和合法的目的。
2.2. 不允許處理與收集個人資料的目的不符的個人資料。
2.3. 預算機構處理個人資料的目的如下：
– 確保遵守俄羅斯勞動法規；
– 維護人事及會計記錄；
– 確保遵守俄羅斯醫療保健領域的法律法規；
– 確保遵守俄羅斯聯邦國家社會救助相關法律法規；
– 確保遵守俄羅斯退休金法律；
– 確保遵守俄羅斯稅法；
– 選拔人員（申請人）填補空缺操作員職位；
– 遵守兵役登記法律；
– 民事契約的擬定、訂定及執行；
– 組織員工接受職業教育，以及完成職業訓練、進階培訓、再培訓和短期培訓計畫；
– 向個人資料主體發送有關預算機構所提供服務的通知；
– 透過使用 cookies 確保機構網站的功能和分析能力；
– 在組織網站上發布數據，以便提供有關醫療專家的資訊；
– 在預算機構網站上發表評論。

3. 處理個人資料的法律依據
– 俄羅斯聯邦憲法；
– 1994 年 11 月 30 日俄羅斯聯邦民法典第 51-FZ 號；
– 俄羅斯聯邦稅法典 2000 年 8 月 5 日第 117-FZ 號；
– 俄羅斯聯邦勞動法典 2001 年 12 月 30 日第 197-FZ 號；
– 2005 年 12 月 19 日第 160-FZ 號聯邦法律「關於批准歐洲委員會關於在自動處理個人資料方面保護個人的公約」；
– 俄羅斯聯邦政府 2012 年 11 月 1 日第 1119 號決議「關於批准在個人資料資訊系統中處理個人資料時保護個人資料的要求」；
– 俄羅斯聯邦政府2008年9月15日第687號決議「關於批准在不使用自動化工具的情況下進行個人資料處理的具體規定」；
– 俄羅斯聯邦退休基金理事會2006年7月31日第192p號決議「關於強制性退休保險制度中個人（個人化）會計憑證的形式和填寫說明」；
– 2006 年 7 月 27 日第 149-FZ 號聯邦法律「關於資訊、資訊科技與資訊保護」；
– 2011年12月6日第402-FZ號聯邦法律「關於會計」；
– 2011年11月21日第323-FZ號聯邦法律《俄羅斯聯邦公民健康保護基本原則》，包括第79條第1款第7項；
– 2006 年 7 月 27 日第 152-FZ 號聯邦法律《關於個人資料》；
– 2010 年 11 月 29 日第 326-FZ 號聯邦法律《俄羅斯聯邦強制醫療保險法》；
– 俄羅斯聯邦衛生部 2014 年 12 月 30 日第 956n 號命令「關於對醫療機構提供的服務品質進行獨立評估所需的信息，以及在俄羅斯聯邦衛生部、俄羅斯聯邦主體國家機關、地方政府和醫療機構的官方網站上，透過資訊通訊網路『網路』發布醫療機構活動資訊的內容和形式的要求」；
– 2001年12月15日第167-FZ號聯邦法律《俄羅斯聯邦強制養老保險法》；
– 2013年4月5日第44-FZ號聯邦法律「關於在採購貨物、工程、服務以滿足國家和市政需求領域實行合約制度」；
– 2010年4月12日第61-FZ號聯邦法律《藥品流通法》；
– 2011年4月6日第63-F3號聯邦法律「關於電子簽名」；
– 1998 年 3 月 28 日第 53-F3 號聯邦法律「關於兵役和兵役」；
– 2006年5月2日第59-FZ號聯邦法律《關於審理俄羅斯聯邦公民上訴的程序》；
– 俄羅斯聯邦 1992 年 2 月 7 日第 2300-I 號法律《關於保護消費者權益》；
– 俄羅斯聯邦衛生部 2012 年 8 月 3 日第 66n 號命令「關於批准通過在教育和科研機構的額外專業教育計劃中培訓來提高醫務人員和藥劑師的專業知識和技能的程序和期限」；
– 俄羅斯聯邦政府2023年5月11日第736號決議“關於批准醫療機構提供有償醫療服務的規則、修改俄羅斯聯邦政府某些法令以及承認俄羅斯聯邦政府2012年10月4日第1006號決議無效”
– 俄羅斯聯邦衛生部 2021 年 11 月 12 日第 1050n 號命令「關於批准讓病人或其法定代表人了解反映病人健康狀況的醫療文件的程序」；
– 俄羅斯聯邦政府2022年5月20日第911號決議「關於允許人員從事麻醉藥品和精神藥物相關工作以及與麻醉藥品和精神藥物前體流通有關的活動」；
– 俄羅斯聯邦衛生部 2020 年 9 月 7 日第 947n 號命令「關於批准在醫療保健領域建立以電子文檔形式保存醫療記錄的文件管理系統的程序」；
– 俄羅斯聯邦衛生部 2023 年 8 月 3 日第 408 號命令「關於批准俄羅斯聯邦衛生部及其下屬機構在活動中產生的文件清單，並註明保存期限」；
– 聯邦檔案局 2019 年 12 月 20 日第 236 號命令「關於批准國家機關、地方政府和組織在活動過程中產生的標準管理檔案文件清單，並註明其保存期限」；
– 俄羅斯聯邦行政違法法典 2001 年 12 月 30 日第 195-FZ 號；
– 醫療活動許可證 L041-01137-77/00555076，日期為 2021 年 1 月 25 日；
– 預算機構章程；
– 預算機構的地方性規章；
– 預算機構與個人資料主體之間所訂立的協議；
– 個人資料主體同意處理個人資料（在俄羅斯聯邦法律未明確規定，但符合業者權限的情況下）；
——以及俄羅斯聯邦立法制定的其他監管法律文件。
預算機構重組或清算時，個人資料的處理應停止。

4. 處理的個人資料的數量和類別，個人資料主體的類別
4.1. 預算機構處理個人資料的物件類別、處理的個人資料類別和清單、處理和儲存方法、期限等信息，請參閱本政策附錄 1。
4.2. 個人資料的組成由俄羅斯聯邦法律和其他規範預算機構活動的法律文件批准的文件程序和會計表格確定。
4.3. 預算機構個人資料的保存期限，按照國家機關、地方政府機關和組織活動過程中產生的標準管理檔案文件清單（其中指明了保存期限，該清單由聯邦檔案局於2019年12月20日第236號令批准）以及俄羅斯聯邦衛生部及其下屬機構活動過程中產生的文件清單（其中183年

5. 個人資料的組成和所有權
5.1. 預算機構處理的個人資料主體包括：
– 員工、前員工、其家庭成員和近親；
– 空缺職位候選人；
– 網站訪客；
– 病人及其家屬；
– 已故患者的親屬，他們已申請領取已故患者的物質資產、文件、個人物品）；
– 根據俄羅斯聯邦衛生部2021年11月12日第1050n號令《關於批准患者或其法定代表人了解反映患者健康狀況的醫療文件的程序》，申請查閱反映患者健康狀況的醫療文件的公民；
– 要求提供醫療文件（副本）及其摘錄的患者的法定代表人；
– 合約和協議各方的代表 – 法人實體；
– 向預算機構提出申訴和請求的公民。
合約和協議的當事人均為自然人。
6. 個人資料處理操作清單，以及個人資料處理的存取說明
6.1. 使用個人資料執行的操作清單：
– 收集個人資料；
– 個人資料記錄；
– 個人資料系統化：
– 個人資料的累積；
– 個人資料的儲存；
– 澄清（更新、更改）個人資料；
– 個人資料的使用；
– 個人資料的轉移（分發、提供、存取）；
– 阻止個人資料；
– 刪除個人資料；
– 銷毀個人資料。
個人資料的處理由以下機構執行：
– 直接從個人資料主體處以口頭和（或）書面形式獲取包含個人資料的資訊；
– 個人資料主體提供必要文件的原件和影本；
– 影印文件；
– 在向政府機關、國家預算外基金、其他政府機關、商業和非商業組織、個人發送請求時，按照俄羅斯聯邦法律規定的情況和方式獲取個人資料；
– 從其他醫療機構接收（傳輸）個人資料；
– 在日記帳、書籍、登記冊和其他會計表格中記錄（登記）個人資料；
– 將個人資料輸入個人資料資訊系統；
– 使用其他方式和方法記錄在進行活動過程中獲得的個人資料。
6.2. 個人資料處理的訪問
只有預算機構中因履行工作職責而必須接觸個人資料的員工才被允許處理個人資料。這些員工僅有權接收履行工作職責所需的個人數據，且接收範圍僅限於此。
預算機構授權處理個人資料的員工被告知處理個人資料的條款和條件、個人資料資訊系統的保護方式以及儲存個人資料有形媒體的程序。
預算機構的員工以書面形式承諾不洩露個人資料並遵守醫療保密規定。
根據俄羅斯聯邦法律的要求或經個人資料主體同意，向不確定數量的人員傳播個人資料。

7. 個人資料處理的程序和條件
7.1 個人資料處理原則
預算機構依照《個人資料法》規定的以下原則和規則處理個人數據，並考慮到需要確保保護個人資料主體的權利和自由，包括保護隱私權、個人和家庭秘密，如下：
– 個人資料的處理是在合法、公平的基礎上進行的；
– 個人資料的處理僅限於實現特定、預先確定和合法的目的；不允許處理與收集個人資料的目的不符的個人資料；
– 不允許合併包含個人資料的資料庫，如果這些資料的處理目的彼此不相容；
只有符合處理目的的個人資料才會被處理；
– 所處理的個人資料的內容和數量與既定的處理目的相符；所處理的個人資料相對於其既定的處理目的而言並不過分；
– 在處理個人資料時，確保個人資料的準確性、充分性，以及在必要時與處理個人資料的目的的相關性；預算機構採取必要措施或確保採取必要措施，刪除或澄清不完整或不準確的資料；
– 確保所處理個人資料的保密性；
– 個人資料的可靠性，其對處理目的的充分性，以及處理個人資料超出收集個人資料時所述目的的不可接受性；
– 個人資料以能夠識別個人資料主體的形式存儲，儲存時間不得超過處理個人資料所需的時間，除非聯邦法律、個人資料主體作為一方、受益人或擔保人的協議規定了個人資料的儲存期限；
– 處理後的個人資料在達到處理目的或不再需要達到這些目的時予以銷毀，除非聯邦法律另有規定。
7.2 個人資料處理條款
7.2.1. 除俄羅斯聯邦法律另有規定外，對個人資料主體的其他類別個人資料的處理，均須經個人資料主體同意方可進行。
7.2.2. 在下列情況下，根據《個人資料法》的規定，無需徵得接受體檢、醫學研究和治療的受試者的同意即可處理其個人資料：
7.2.2.1. 根據《個人資料法》的要求：
– 處理個人資料對於履行個人資料主體作為一方當事人、受益人或擔保人的協議是必要的，對於應個人資料主體的請求訂立協議或個人資料主體將作為受益人或擔保人的協議也是必要的。與個人資料主體訂立的協議不得包含限制個人資料主體權利和自由的條款，不得包含處理未成年人個人資料的條款（除非俄羅斯聯邦法律另有規定），也不得包含允許個人資料主體不作為訂立協議條件的條款；
– 為保護個人資料主體的生命、健康或其他重要利益，在無法取得個人資料主體同意的情況下，處理個人資料是必要的；
– 處理個人資料是為了醫療和預防目的，為了進行醫療診斷，提供醫療和社會醫療服務，前提是處理個人資料的人員是專業從事醫療活動的人員，並且根據俄羅斯聯邦法律有義務維護醫療保密性；
– 個人資料的處理是依照國家社會救助法、勞動法、俄羅斯聯邦國家退休金規定下的退休金法、勞動退休金法進行的；
– 個人資料的處理是按照強制性保險類型法規和保險法規進行的。
7.2.2.2. 根據 2001 年 12 月 30 日俄羅斯聯邦勞動法第 197-F 號的規定，預算機構在未經僱員同意的情況下處理僱員的個人數據，以確保遵守法律和其他監管法律文件，幫助僱員尋找工作、接受教育和職業發展，確保僱員的人身安全，監督工作的數量和質量，以及確保財產安全。
7.2.3. 向第三方披露和傳播個人數據，以及有關公民請求醫療援助的事實、健康狀況和診斷以及在醫療檢查和治療期間獲得的其他信息，均須經個人數據主體同意，除非俄羅斯聯邦聯邦法律另有規定。
7.2.4. 對學生、研究生和居民的個人資料的處理，須經個人資料主體同意方可進行，除非俄羅斯聯邦聯邦法律另有規定。
7.3. 特殊類別個人資料的處理條件
7.3.1. 預算機構不處理有關個人種族、國籍、政治觀點、宗教或哲學信仰或私生活等特殊類別的個人資料。預算機構不處理員工的社團成員資格或工會活動等個人數據，但《俄羅斯聯邦勞動法》或其他聯邦法律另有規定的除外。
7.3.2. 在預算機構中，處理有關主體健康狀況的特殊類別個人數據，須經主體書面同意，或在俄羅斯聯邦法律規定的情況下，無需主體同意。
7.3.3. 如果進行特殊類別個人資料處理的理由已經消除，則應立即停止處理該等個人數據，除非俄羅斯聯邦法律另有規定。
7.4. 預算機構不使用位於俄羅斯聯邦境外的資料庫來處理個人資料。
7.5. 處理生物辨識個人資料的條件
7.5.1. 透過對個人生物特徵個人資料進行數學轉換而獲得的個人數據，基於該轉換可以創建向量並確定其身份，預算機構不進行處理。
7.5.2. 除以下情況外，處理生物特徵個人資料必須獲得個人資料主體的書面同意：與俄羅斯聯邦關於重新接納的國際條約的執行有關；與司法行政和司法行為的執行有關；與強制性國家指紋採集有關；以及俄羅斯聯邦關於國防、安全、反恐、運輸安全、反腐敗、行動調查活動、公務人員、俄羅斯聯邦立法、俄羅斯身分的執行立法、政府身分的執行法律。
7.6. 個人資料處理說明
7.6.1. 經個人資料主體同意，預算機構可依已簽訂的協議，委託其他法人或自營商處理個人資料。代表該機構處理個人資料的法人或自僱人士有義務遵守俄羅斯個人資料領域法律規定的個人資料處理原則和規則，並確保個人資料在處理過程中的保密性和安全性。
7.6.2. 代表預算機構處理個人資料的人員應遵守本政策規定的個人資料處理原則和規則，維護個人資料的機密性，並採取必要措施以確保履行《聯邦個人資料法》規定的義務。預算機構的指令規定了個人資料清單、個人資料處理者將對個人資料執行的操作清單、處理方法和目的，確立了該處理者對個人資料保密的義務，以及《個人資料法》第18條第5款和第18.1條規定的要求。該指令還規定，在預算機構指令有效期內，包括處理個人資料之前，該處理者有義務應預算機構的要求提供文件和其他信息，以證明其已採取措施並遵守《個人資料法》第6條第3款規定的要求，從而執行預算機構的指令，確保個人資料在處理過程中的安全。此外，該指令還具體規定了對正在處理的個人資料的保護要求，包括要求將《個人資料法》第21條第3.1款規定的情況告知預算機構。
7.6.3. 當預算機構委託他人處理個人資料時，該機構應對該委託人的行為向個人資料主體承擔責任。代表預算機構處理個人資料的人員應對預算機構負責。
7.6.4. 如果預算機構將個人資料的處理委託給外國個人或外國法人實體，則預算機構和代表預算機構處理個人資料的人員應對個人資料主體對該等人員的行為承擔責任。
7.7 個人資料的保密性
7.7.1. 預算機構工作人員已獲得個人數據，以及有關公民請求醫療援助的事實、健康狀況和診斷以及在醫療檢查和治療過程中獲得的其他信息，未經個人數據主體同意，不得向第三方披露或分發個人數據，除非俄羅斯聯邦聯邦法律另有規定。

7.8 個人資料的傳輸
7.8.1. 在下列情況下，未經預算機構僱員同意，可以轉移其個人資料：
– 根據 2001 年 12 月 30 日俄羅斯聯邦勞動法第 197-FZ 號的規定，在為防止對僱員的生命和健康構成威脅而有必要的情況下，以及根據該法或其他聯邦法律規定的其他情況，可以採取相應措施。
– 根據 2000 年 8 月 5 日俄羅斯聯邦稅法第 117-FZ 號的規定，個人上一納稅年度的收入資訊以及本納稅年度應計、扣繳和轉入俄羅斯聯邦預算系統的金額，應向其登記地的稅務機關提交。
– 根據《俄羅斯聯邦勞動法》第22條第2款第15項、1999年7月16日第165-FZ號聯邦法律《關於強制性社會保險基本原則》第12條第2款、1996年4月1日第27-FZ號聯邦法律《關於強制性養老保險和強制性社會保險制度中的個人（個人化）會計》第15條第2款、2001年12月15日第167-FZ號聯邦法律《關於俄羅斯聯邦強制性養老保險》第14條第2款的規定，向俄羅斯社會基金提供法律規定的金額的信息；
– 應工會要求，為監督雇主遵守勞動法規的情況；
– 應檢察官辦公室的合理請求；
預算 機構可以建立公開的醫療專家個人資料來源（例如公告欄、網站資訊等）。公開的個人資料來源可以包括醫療專家的姓氏、名字、父名、所屬單位、職位、資格資訊以及服務年限，而無需徵得個人資料主體的同意。
– 送往軍事後勤部門；
– 應執法機構和安全機構的合理要求；
– 應國家勞動監察員的要求，在進行監督和控制活動時；
– 應法院要求；
– 俄羅斯聯邦通訊、資訊科技與大眾傳播媒體監理局及其地方機構（《個人資料法》第20條第4款）
– 向必須被告知重大事故（包括致命事故）情況的相關當局和組織發出通知。須被告知的當局名單以及事故通知的截止日期由《俄羅斯聯邦勞動法》第228.1條規定；
– 與員工履行工作職責有關的情況（例如，被派往出差時）；
– 如果雇主的集體協議或其他地方監管文件中規定了相關的報酬形式和製度，則向為員工支付卡提供服務的信貸機構提供資訊。
7.8.2. 在下列情況下，未經個人資料主體同意，可將正在接受體檢、醫學研究和治療的個人資料主體的個人資料傳輸給第三方：
7.8.2.1. 根據 2010 年 11 月 29 日第 326 號聯邦法律《俄羅斯聯邦強制醫療保險法》的規定以及實體（雇主）與保險公司簽訂的協議，為了維護被保險人接受醫療服務的個人記錄信息，將個人數據主體的信息傳輸至強制醫療保險、自願醫療保險和非政府保險公司的地區基金。
7.8.2.2. 根據2011年11月21日第323-FZ號聯邦法律《俄羅斯聯邦公民健康保護基本原則》的要求：
– 為對因身體狀況而無法表達意願的公民進行醫學檢查和治療；
– 發生傳染病傳播、大規模中毒和傷害的威脅時；
– 應調查偵查機關、法院在調查或審判中的要求，應檢察機關在行使檢察監督權中的要求，應刑罰機關在執行刑事判決和對緩刑人員、暫緩執行刑罰的罪犯以及假釋人員的行為進行監督中的要求；
– 如果要向未成年人提供醫療援助，應通知其父母之一或其他法定代表人；
– 為向內部事務機關通報有充分理由相信因非法行為而導致健康受到損害的病人入院情況；
– 為應聯邦行政機構的軍事後勤部門、人事部門和軍事醫療（醫療飛行）委員會的要求進行軍事體檢，這些機構的軍事和同等服務由聯邦法律規定；
– 為調查工業事故和職業病，以及學生在進行教育活動的機構中發生的事故；
– 在醫療機構之間交換資訊（包括在醫療資訊系統中發布的資訊）以提供醫療服務時，應考慮到俄羅斯聯邦個人資料法律的要求；
– 用於強制性社會保險制度的會計與控制；
– 為了依照本聯邦法律監測醫療活動的品質和安全（向區域醫療支援局、區域醫療專家委員會、中央醫療專家委員會報告）；
– 以便按照聯邦行政機關規定的類型、形式、時間框架和數量提交報告。
7.9. 公開可用的個人資料來源。
7.9.1. 預算機構不建立公開可用的個人資料來源。
7.10. 個人資料主體對其個人資料處理的同意。
7.10.1. 如果需要確保處理個人資料主體的個人資料的條件，可以要求個人資料主體同意處理其個人資料。
7.10.2. 個人資料主體自願、出於自身意願並為了自身利益而決定提供其個人資料並同意對其進行處理。對個人資料處理的同意必須是具體的、客觀的、知情的、清醒的且明確的。
7.10.3. 除聯邦法律另有規定外，個人資料主體或其代表可以以任何能夠確認收到同意的形式表示同意處理個人資料。如果個人資料處理的同意來自個人資料主體的代表，則預算機構應核實該代表代表個人資料主體授予同意的權限。
7.10.4. 個人資料主體可以撤回其對個人資料處理的同意。如果個人資料主體撤回了對個人資料處理的同意，預算機構有權在符合《個人資料法》第6條第1款第2至11項、第10條第2款第2至10項以及第11條第2款規定的理由的情況下，繼續處理個人資料，而無需取得個人資料主體的同意。
7.10.5. 提供已取得個人資料主體同意處理其個人資料的證明，或提供《個人資料法》第6條第1款第2-11項、第10條第2款第2-10項及第11條第2款所規定的理由的證明的義務，應由預算機構承擔。
7.10.6. 在《個人資料法》規定的情況下，處理個人資料必須獲得個人資料主體的書面同意。根據聯邦法律，以電子簽名簽署的電子文件形式的同意，與包含個人資料主體親筆簽名的紙本書面同意具有同等效力。個人資料主體對其個人資料處理的書面同意必須特別包括：
– 個人資料主體的姓氏、名字、父名、地址、證明其身分的主要文件編號、該文件的簽發日期以及簽發機構資訊；
– 個人資料主體代表的姓氏、名字、父名、地址、證明其身分的主要文件的編號、該文件的簽發日期和簽發機構資訊、授權委託書或其他確認該代表權限的文件的詳細資訊（在收到個人資料主體代表的同意後）；
– 預算機構的名稱或姓氏、名字、父名和地址；
– 處理個人資料的目的；
– 個人資料主體同意處理的個人資料清單；
– 如果將個人資料處理委託給預算機構的代表，則需提供該代表的個人資料處理者的姓名、姓氏、名字、父名和地址；
– 已獲得同意的個人資料操作清單，預算機構使用的個人資料處理方法的一般說明；
– 個人資料主體的同意的有效期限以及撤銷同意的方式，除非聯邦法律另有規定；
– 個人資料主體的簽章。
7.10.7. 如果個人資料主體喪失行為能力，則由個人資料主體的法定代理人同意處理其個人資料。
7.10.8. 如果個人資料主體死亡，則由個人資料主體的繼承人同意處理其個人數據，除非個人資料主體生前已同意處理其個人資料。
7.10.9. 預算機構可以從非個人資料主體的人員收到個人數據，但前提是預算機構已收到《個人資料法》第6條第1款第2至11項、第10條第2款第2至10項和第11條第2款規定的理由存在的確認。
7.11. 個人資料的跨境傳輸
7.11.1. 預算機構不進行個人資料的跨國傳輸。
7.12. 個人資料處理的特點，允許個人資料主體分發。
7.12.1. 經個人資料主體同意，對允許分發的個人資料進行處理。
7.12.2. 個人資料主體允許分發的個人資料處理同意書，與個人資料主體對其個人資料處理的其他同意書分開起草。
7.12.3. 該同意書包含個人資料清單，其中列明了個人資料處理同意書中規定的每類個人數據，並允許個人資料主體分發。
7.12.4. 個人資料處理同意書，由個人資料主體允許分發，直接提供給預算機構。
7.12.5. 個人資料主體的沉默或不作為不應被視為同意處理個人資料主體允許分發的個人資料。
7.12.6. 個人資料主體同意處理其允許公開的個人資料時，有權禁止預算機構將該等個人資料傳輸（允許存取除外）給無限數量的人員，並有權禁止無限數量的人員處理該等個人或設定處理條件（允許存取除外）。預算機構不得拒絕個人資料主體根據《個人資料法》第10.1條提出的禁止和條件要求。
7.12.7. 個人資料主體對傳輸（提供存取除外）以及處理或處理條件（獲取存取除外）所規定的禁止事項，對於根據俄羅斯聯邦法律確定的國家利益和其他公共利益處理個人資料的情況，不適用。
7.12.8. 經個人資料主體授權的個人資料的傳輸（傳播、提供、存取）應在個人資料主體提出請求後隨時終止。此要求必須包含個人資料主體的姓氏、名字、父名（如有）、聯絡方式（電話號碼、電子郵件地址或郵寄地址），以及一份要求終止處理的個人資料清單。此請求中指定的個人資料只能由預算機構處理。
7.12.9. 個人資料主體同意處理個人數據，並允許分發個人數據，該同意在預算機構收到相關請求時終止。
7.12.10. 上述規定不適用於為履行俄羅斯聯邦法律賦予國家機關、市政機關以及隸屬於這些機關的組織所賦予的職能、權力和職責而處理個人資料的情況。
7.12.11. 公佈有關醫療活動和醫務人員的資訊。
7.12.11.1. 根據 2011 年 11 月 21 日第 323-FZ 號聯邦法律《俄羅斯聯邦公民健康保護基本原則》第 79 條第 1 款第 7項的規定，預算機構有義務以易於獲取的形式（包括使用互聯網）告知公民有關醫療機構開展的醫療活動、醫療機構的醫務人員、他們的教育水平和資格，並提供其他必要信息，以便對醫療機構提供的服務質量進行獨立評估。
7.12.11.2. 作為對本法律規定的例外，俄羅斯衛生部2014年12月30日第956n號令批准了俄羅斯衛生部、俄羅斯聯邦主體國家機關、地方政府和醫療機構官方網站上發布的醫療機構活動信息的內容和格式要求。未經個人資料主體同意，不得處理本法未涵蓋的個人數據，也不得處理超過該令規定數量的個人資料。
• 根據俄羅斯衛生部2014年12月30日第956n號命令確定的個人資料量：
• 醫護人員的姓氏、名字、父名（如有）、職務；
• 學歷證書上的資訊（學歷程度、頒發學歷證書的機構、頒發年份、專業、資格證書）；
• 專科證書上的資訊（與所擔任職位對應的專科、有效期限）；
• 醫護人員的工作安排及接待時間。
7.13. 不使用自動化工具進行的個人資料處理
7.13.1. 總則。
7.13.1.1. 如果對個人資料資訊系統中包含的個人資料或從該系統中提取的個人資料的處理，在涉及每個個人資料主體的情況下，使用、澄清、分發和銷毀個人資料等操作均由個人直接參與進行，則該處理應視為未使用自動化工具（非自動化）進行。
7.13.2. 不使用自動化工具進行個人資料處理的組織特性。
7.13.2.1. 個人資料在不使用自動化工具進行處理時，應與其他資訊分開，特別是透過將其記錄在單獨的有形個人資料載體（以下簡稱有形載體）、特殊部分或表格欄位（空白處）。
7.13.2.2. 在有形媒體上記錄個人資料時，禁止在同一有形媒體上記錄處理目的明顯不相容的個人資料。在不使用自動化手段處理不同類別的個人資料時，應為每類個人資料使用不同的有形媒體。
7.13.2.3. 不使用自動化工具處理個人資料的人員（包括預算機構的僱員或根據與預算機構簽訂的協議進行此類處理的人員）應被告知其正在處理由預算機構在不使用自動化工具的情況下進行的個人資料處理的事實、正在處理的個人資料類別，以及根據俄羅斯聯邦執行機關、俄羅斯聯邦主體執行機關的規章
7.13.2.4. 使用標準格式的文件時，如果文件中包含的資訊性質預設或允許包含個人資料（以下簡稱標準格式），則應遵守以下條件：
– 標準表格或相關文件（填寫說明、卡片、登記冊和日誌）包含以下資訊：在不使用自動化工具的情況下處理個人資料的目的；預算機構的名稱（職稱）和地址；個人資料主體的姓氏、名字、父名和地址；獲取個人資料的來源；處理個人資料的期限；在處理過程中將對個人預算資料執行的一般操作；
– 標準表格提供了一個字段，個人資料主體可以在其中表示同意在不使用自動化工具的情況下處理個人數據，如果需要獲得處理個人資料的書面同意；
– 標準表格的製定方式使得文件中包含的每個個人資料主體都有機會了解文件中包含的自己的個人數據，同時又不侵犯其他個人資料主體的權利和合法利益；
– 標準表格排除了用於輸入個人資料的欄位組合，因為處理這些資料的目的顯然是不相容的。
7.13.2.5. 如果記錄在同一有形介質上的個人資料的處理目的不一致，且該有形介質不允許將個人資料與記錄在同一媒體上的其他個人資料分開處理，則應採取措施確保個人資料的分開處理，特別是：
– 如果必須將某些個人資料與位於同一有形介質上的其他個人資料分開使用或分發，則應以排除同時複製不屬於分發和使用範圍的個人資料的方式複製要分發或使用的個人數據，並且應使用（分發）該個人資料的副本；
– 如果需要銷毀或屏蔽部分個人數據，則在銷毀或屏蔽物理介質之前，先複製不需要銷毀或屏蔽的信息，但不會同時複製需要銷毀或屏蔽的個人數據。
7.13.2.6. 如果儲存媒體允許，銷毀某些個人資料的方式應能阻止對這些個人資料的進一步處理，同時保留處理記錄在該儲存媒體上的其他資料的能力（刪除、清除）。如果需要確保對記錄在相同儲存媒體上的個人資料和非個人資料進行單獨處理，則上述規則同樣適用。
7.13.2.7. 個人資料在處理過程中應透過更新或更改有形媒體上的資料來更新，而無需使用自動化手段；如果該有形媒體的技術特性不允許這樣做，則應在同一有形媒體上記錄有關更改的信息，或製作包含更新後的個人資料的新有形媒體。
7.13.2.8. 確保在不使用自動化工具的情況下處理個人資料流程中安全性的措施
7.13.2.8.1. 不使用自動化工具進行的個人資料處理，應能確定每類個人資料的儲存位置（物質媒體），並建立處理個人資料或有權存取個人資料的人員名單。
7.13.2.8.2. 確保對用於各種目的的個人資料（物質媒體）進行單獨儲存。
7.13.2.8.3. 儲存有形媒體時，必須遵守確保個人資料安全並防止未經授權存取的條件。確保這些條件所需的措施清單、實施程序以及負責執行這些措施的人員名單由預算機構制定。
7.14. Cookie 處理。
7.14.1. 預算機構對 cookie 的處理是通用的，絕不與使用者的個人資訊關聯。
7.14.2. 預算機構的網站使用網路分析工具，這些工具可能會使用 cookie 技術（見表 1）。網路分析工具用於分析預算機構網站的使用情況並改善其效能。
網址 網路分析工具
https://gkb-buyanova.ru/ Yandex.Metrica

表 1. 網路分析工具
7.14.3 . 使用指標系統（例如 Yandex.Metrica (https://yandex.ru/legal/confidential, YANDEX LLC, 119021, Russia, Moscow, L. Tolstoy St., 16)）的功能，我們可以識別網站的唯一訪問者，並產生有關他們在網站上的偏好和行為的信息。
7.14.4. 使用本網站時，會處理以下個人資料：
– 全名；
電話 號碼；
– 電子郵件地址；
郵寄 地址；
– 透過指標程序收集的資訊。
7.14.5. 可對個人資料執行的操作：收集、記錄、系統化、累積、儲存、澄清（更新、修改）、使用、傳輸、阻止、刪除、銷毀個人數據，使用位於俄羅斯聯邦境內的資料庫。
7.14.6. 預算機構僅在使用者透過預算機構網站上的特殊表格獨立填寫和/或提交個人資料時才會處理使用者的個人資料。
7.14.7. 使用者造訪網站 https://gkb-buyanova.ru/ 時，點選資訊視窗中的「接受」按鈕，即表示同意依照本政策所述條款處理 Cookie 和指標資料。此同意自提供之日起生效，並在使用者使用網站期間持續有效。
7.14.8. 預算機構網站的使用者有權禁止其設備接收此類數據，或透過在瀏覽器中進行相應設定來限制此類數據的接收。如果您拒絕接收此類資料或限制其接收，則 https://gkb-buyanova.ru/ 網站的某些功能可能無法正常運作。
7.14.9. 透過填寫相關表格和/或向預算機構發送個人數據，即視為使用者透過執行隱含行為（即在網站表格中填寫「我同意處理個人資料」文字旁的特殊欄位中放置一個特殊標記－「網路標籤」）來同意處理個人數據，前提是使用者在每次收集個人資料時都有機會了解本政策的全文。
7.14.1. 禁止在預算機構網站上使用 Google Analytics 和其他外國分析系統。
7.14.2. 關於 cookie 技術。
7.14.2.1. Cookie 是由預算機構伺服器發送並儲存在使用者裝置上的資料片段。此類文件的內容可能構成個人數據，也可能不構成個人數據，這取決於該文件包含的是個人數據還是匿名化的技術數據。使用者有權禁止其設備接收此類資料或限制其接收。如果使用者拒絕接收此類資料或限制其接收，網站的某些功能可能無法正常運作。使用者承諾配置其設備，以確保 Cookie 的運作模式和資料保護等級符合其偏好，預算機構不就此類事項提供技術或法律建議。
7.14.2.2. 預算機構可出於以下目的使用以下類型的 cookie：
• 技術性 cookie：這些檔案對於網站的正常運作和功能的提供是必要的；除其他事項外，它們允許識別硬體和軟體，包括瀏覽器類型，以便網站在特定使用者的裝置上正常運作。
• 用於儲存設定和偏好的 cookie：這些 cookie 可讓您儲存使用者的偏好，例如所選語言、位置和網站外觀設定。
• 統計/分析型 Cookie：這些 Cookie 使我們能夠識別使用者、統計使用者數量並收集信息，例如在網站上執行的交易，包括有關使用者造訪的網站頁面以及使用者最感興趣的內容的資訊。業者使用此類 Cookie 來收集、分析和整理網站的統計數據和分析數據，並改善網站；
• 行為 cookie：這些 cookie 收集有關使用者如何與網站互動的信息，這使我們能夠識別錯誤並測試新功能，以提高網站的效能；
• 表單 cookie：當您透過聯絡表單提交資料時，可能會使用 cookie 來記住使用者以便將來聯繫。
Cookie 的使用受下列規定約束：
• cookie 的內容完全由業者決定和處理，並依照本政策的條款處理；
• 由第三方（例如運營商使用的第三方軟體或服務的提供者）確定和處理的 cookie，將根據本政策的條款以及該第三方的隱私文件的條款進行處理，這些文件除其他事項外，還包含該方的名稱、使用 cookie 的程序和條件以及個人資料主體查詢的聯絡資訊。
7.14.3. 各站點的具體位置如表 2。

網站位址： 擁有該主機服務的組織的名稱和位址
https://gkb-buyanova.ru/ 股份公司「區域網路資訊中心」（125315，莫斯科，內城區機場區，列寧格勒大街72號，3號樓）
表2

8. 更新、更正、刪除和銷毀個人數據，回應資料主體對個人資料的存取請求，個人資料主體的權利，運營者的責任。
8.1. 個人資料主體有權存取其個人資料。
8.1.1. 個人資料主體有權取得與其個人資料處理相關的資訊（以下簡稱「主體請求的資訊」），包括：
– 確認預算機構處理個人資料的事實；
– 處理個人資料的法律依據和目的；
– 預算機構處理個人資料的目的和方法；
– 預算機構的名稱和所在地，以及根據與預算機構的協議或聯邦法律可以存取個人資料或向其披露個人資料的人員（預算機構的僱員除外）的資訊；
– 處理與相關個人資料主體有關的個人數據，以及其接收來源，除非聯邦法律另有規定；
– 處理個人資料的條款，包括其儲存條款；
– 個人資料主體行使《聯邦個人資料法》規定的權利的程序；
– 已完成或計劃進行的跨境資料傳輸訊息；
– 如果處理個人資料的工作已經或將要委託給代表預算機構處理個人資料的人員，則需提供該人員的姓名、姓氏、名字、父名和地址；
– 關於履行《個人資料法》第 18.1 條規定的預算機構義務的方法的資訊；
– 聯邦法律《個人資料法》或其他聯邦法律規定的其他資訊。
8.1.2. 個人資料主體有權獲得其所請求的信息，但下列情況除外：
– 處理個人數據，包括透過行動搜查、反間諜和情報活動獲得的個人數據，是為了國防、國家安全和維護法律秩序的目的；
– 個人資料的處理由以下機構進行：因涉嫌犯罪而拘留個人資料主體的機構；或在刑事案件中對個人資料主體提起訴訟的機構；或在提起訴訟前對個人資料主體採取預防措施的機構；但俄羅斯聯邦刑事訴訟法規定的情況除外，如果允許嫌疑人或被告人了解此類個人資料；
– 個人資料的處理是按照打擊洗錢和資助恐怖主義的法律進行的；
– 存取個人資料主體的個人資料侵犯了第三方的權利和合法利益；
– 根據俄羅斯聯邦交通安全法規定的情況，為了確保交通運輸體系的穩定安全運行，保護個人、預算機構和國家在交通運輸領域的利益免受非法幹預行為的影響，對個人資料進行處理。
8.1.3. 個人資料主體有權要求預算機構澄清其個人數據，如果個人資料不完整、過時、不準確、非法取得或與既定處理目的無關，則有權要求阻止或銷毀該個人數據，並且有權採取法律規定的措施來保護其權利。
8.1.4. 預算機構必須以易於理解的形式向個人數據主體提供其所要求的信息，並且不得包含與其他個人數據主體相關的個人數據，除非有法律依據披露此類個人數據。
8.1.5. 預算機構應在收到個人資料主體或其代表的請求後十個工作天內，向其提供所請求的資訊。如預算機構向個人資料主體發出說明延期理由的通知，則該期限可延長，但延長期限不得超過五個工作天。
8.1.6. 請求必須包含證明個人資料主體或其代表身分的主要文件的編號、該文件的簽發日期和簽發機構的資訊、確認個人資料主體參與預算機構關係的資訊（合約編號、合約簽訂日期、約定的口頭名稱和（或）其他資訊），或以其他方式確認預算機構處理個人資料的事實的資訊、個人資料主體或其所代表的資訊）。
8.1.7. 請求可以以電子文檔的形式提交，並根據俄羅斯聯邦法律使用電子簽名進行簽署。除非請求或查詢另有規定，預算機構將以提交相關請求或查詢的形式向個人資料主體或其代表提供所請求的資訊。
8.1.8. 如果資料主體請求的資訊以及正在處理的個人資料已應其請求提供給資料主體進行查閱，則資料主體有權在首次請求或首次請求發出後至少三十天（以下簡稱「標準請求期限」）內向預算機構重新申請或再次發出請求，以獲取其請求的資訊並查閱此類個人資料，除非聯邦法律、根據該法律規定的法律規定的法律或受益人或根據該法律規定的法律文件或委託人的法律條款確定。
8.1.9. 如果個人資料主體在首次請求審查後未獲得完整的資訊和/或正在處理的個人資料供其查閱，則其有權在標準請求期限屆滿前向預算機構重新提出申請或提交後續請求，以獲取其所請求的資訊以及查閱正在處理的個人資料。後續請求及其所需資訊必須包含後續請求的理由。
8.1.10. 預算機構有權拒絕個人資料主體重複提出的不符合條件的請求。此類拒絕必須說明理由。預算機構有責任提供證據證明其拒絕重複請求的合理性。
8.1.11. 個人資料主體在為推廣市場上的商品、作品和服務以及為政治宣傳目的而處理其個人資料時的權利
8.1.11.1. 預算機構不會為了透過通訊工具直接聯繫潛在消費者，向市場推廣商品、作品和服務，或為了政治宣傳而處理個人資料。
8.1.12. 個人資料主體在僅基於其個人資料的自動化處理做出決定時的權利。
8.1.12.1. 預算機構不得僅基於對個人資料的自動化處理作出對個人資料主體產生法律後果或以其他方式影響其權利和合法利益的決定。
8.1.13. 對預算機構的行為或不作為提出上訴的權利。
8.1.13.1. 如果個人資料主體認為預算機構處理其個人資料違反了個人資料法的規定，或者以其他方式侵犯了其權利和自由，則個人資料主體有權就預算機構的行為或不作為向個人資料主體權利保護授權機構或法院提起訴訟。
8.1.14. 個人資料主體有權在法庭上保護其權利和合法利益，包括獲得損害賠償和/或精神傷害賠償。
8.2 預算機構的職責
8.2.1. 預算機構在收集個人資料時的責任。
8.2.1.1. 收集個人資料時，預算機構應根據個人資料主體的要求，按照《個人資料法》第 14 條第 7 款的規定，向其提供有關處理其個人資料的請求資訊。
8.2.1.2. 如果根據聯邦法律規定，提供個人資料和（或）預算機構收到處理個人資料的同意是強制性的，則預算機構應向個人資料主體解釋拒絕提供其個人資料和（或）拒絕同意處理其個人資料的法律後果。
8.2.1.3. 如果個人資料並非來自個人資料主體，預算機構應在開始處理此類個人資料之前，向個人資料主體提供以下資訊（以下簡稱「非來自個人資料主體的個人資料接收時所告知的資訊」）：
– 預算機構或預算機構代表的名稱或姓氏、名字、父名和地址；
– 處理個人資料的目的及其法律依據；
– 個人資料清單；
– 個人資料的預期用戶；
– 聯邦《個人資料法》規定的個人資料主體的權利；
– 個人資料來源。
8.1.2.4. 在下列情況下，預算機構不得向資料主體提供並非來自資料主體本人的個人資料所傳遞的資訊：
– 個人資料主體被告知預算機構正在處理其個人資料；
– 預算機構根據聯邦法律或與執行個人資料主體作為一方、受益人或擔保人的協議有關的個人資料；
– 經個人資料主體允許，對用於分發的個人資料進行處理，是按照《個人資料法》第 10.1 條規定的禁止事項和條件進行的；
– 預算機構為統計或其他研究目的處理個人數據，為記者或科學、文學或其他創作活動開展專業活動，但前提是這不侵犯個人數據主體的權利和合法利益；
– 向個人資料主體提供並非來自個人資料主體的個人資料訊息，侵犯了第三方的權利和合法利益。
8.2.2. 旨在確保預算機構履行職責的措施。
8.2.2.1. 預算機構應採取必要且充分的措施，以確保履行其義務。除聯邦法律另有規定外，預算機構應自行決定為確保履行其義務所必需且充分的措施的組成和清單。此類措施尤其應包括：
8.2.2.2. 指定負責組織個人資料處理的人員；
8.2.2.3. 公佈政策、個人資料處理的地方法規以及旨在預防和發現違反俄羅斯聯邦法律的行為並消除此類違法行為後果的地方法規。此類文件和地方法規不得包含限制個人資料主體權利或對預算機構施加俄羅斯聯邦法律未規定的權力和義務的條款；
8.2.2.4. 採取法律、組織和技術措施，確保個人資料安全；
8.2.2.5. 實施內部控制和（或）審計個人資料處理是否符合個人資料保護要求、政策和預算機構的地方法規；
8.2.2.6. 評估違反《個人資料法》可能對個人資料主體造成的損害，以及該損害與預算機構為確保履行《聯邦個人資料法》規定的義務而採取的措施之間的關係；
8.2.2.7. 使直接參與個人資料處理的預算機構員工熟悉俄羅斯聯邦個人資料法律的規定，包括個人資料保護要求、文件、政策、關於個人資料處理問題的地方法規，和（或）對這些員工進行培訓。
8.2.3. 確保個人資料在處理過程中安全的措施。
8.2.3.1. 預算機構在處理個人資料時，應採取必要的法律、組織和技術措施，或確保採取這些措施，以保護個人資料免遭未經授權或意外的存取、破壞、修改、阻止、複製、提供、分發，以及免遭與個人資料相關的其他非法行為。
8.2.3.2. 確保個人資料安全，尤其要做到：
– 識別在個人資料資訊系統中處理個人資料時對個人資料安全構成的威脅；
– 採取組織和技術措施，確保在個人資料資訊系統中處理個人資料時的安全，以滿足個人資料保護的要求，這些措施的實施可確保達到俄羅斯聯邦政府制定的個人資料保護水準；
– 使用經過既定程序評估資訊合規性的資訊安全工具；
– 在個人資料資訊系統投入運作之前，評估為確保個人資料安全所採取的措施的有效性；
– 考慮到個人資料的機器可讀媒體；
– 查明未經授權存取個人資料的事實並採取措施；
– 恢復因未經授權存取而被修改或銷毀的個人資料；
– 制定個人資料資訊系統中處理的個人資料的存取規則，並確保對個人資料資訊系統中所有與個人資料相關的操作進行登記和記錄；
– 控制為確保個人資料安全和個人資料資訊系統保護等級所採取的措施。
8.2.3.3. 在個人資料資訊系統之外使用和儲存生物特徵個人數據，只能在有形資訊載體上進行，並採用能夠確保這些資料免受未經授權或意外存取、銷毀、修改、阻止、複製、提供和分發的儲存技術。
8.2.3.4. 個人資料主體向預算機構提出申請或收到個人資料主體或其代表的請求時，預算機構的義務，以及個人資料主體權利保護授權機構的義務。
8.2.3.4.1. 預算機構應依照既定程序，通知個人資料主體或其代表有關該個人資料的可用性，並應在個人資料主體或其代表提出請求後，或在收到請求之日起十個工作天內，提供查閱該個人資料的途徑。如果預算機構向個人資料主體發出說明理由的通知，闡明延長提供所請求資訊期限的原因，則該期限可以延長，但延長期限不得超過五個工作天。
8.2.3.4.2. 如預算機構拒絕應個人資料主體或其代表的要求或收到其要求提供關於相關個人資料主體的個人資料可用性資訊或個人數據，則應在收到個人資料主體或其代表的請求之日起或收到請求之日起不超過十個工作日內，以書面形式提供理由充分的答覆。如預算機構向個人資料主體發出說明延長提供所請求資訊期限理由的通知，則該期限可延長，但延長期限不得超過五個工作天。
8.2.3.4.3. 預算機構應向個人資料主體或其代表免費提供查閱與其相關的個人資料的機會。自個人資料主體或其代表提供資訊確認個人資料不完整、不準確或已過時之日起不超過七個工作天內，預算機構應進行必要的更正。自個人資料主體或其代表提供資訊確認此類個人資料係非法取得或並非為既定處理目的所必需之日起不超過七個工作天內，預算機構應銷毀此類個人資料。預算機構應將所做的更改和採取的措施通知個人資料主體或其代表，並應採取合理措施通知已接收該資料主體個人資料的第三方。
8.2.3.4.4. 預算機構應個人資料保護授權機構的要求，在收到該機構的請求後十個工作天內，將所需資訊通知該機構。如果預算機構向個人資料保護授權機構發出說明理由的通知，解釋延長提供所需資訊期限的原因，則該期限可以延長，但延長的期限不得超過五個工作天。
8.2.3.5. 預算機構有義務消除在處理個人資料過程中發生的違法行為，並有義務澄清、阻止和銷毀個人資料。
8.2.3.5.1. 如果個人資料主體或其代表提出申請，或個人資料主體或其代表提出請求，或個人資料主體權利保護授權機構提出請求，發現存在非法處理個人資料的情況，則預算機構應自收到該申請或請求之日起，在核查期間內，阻止與該個人資料主體相關的非法處理的個人資料，或確保此機構已阻止的如果個人資料主體或其代表提出申請或請求，或經授權保護個人資料主體權利的機構提出請求，發現個人資料不準確，則預算機構應自收到該申請或請求之日起，在核實期間內，阻止與該個人資料主體相關的個人數據，或確保阻止該個人資料（如果個人資料是由代表預算機構行事的其他人處理的），除非第三方資料不侵犯個人資料或不侵犯個人資料。
8.2.3.5.2. 如果確認個人資料不準確，預算機構應根據個人資料主體或其代表或個人資料主體權利保護授權機構提供的資訊或其他必要文件，在收到該資訊之日起七個工作日內澄清個人資料或確保澄清個人資料（如果個人資料的處理是由代表預算機構行事的其他人進行的），並解除對個人資料的封鎖。
8.2.3.5.3. 如發現預算機構或其代理人存在非法處理個人資料的行為，該預算機構應在發現之日起三個工作天內停止非法處理個人數據，或確保其代理人停止非法處理個人資料。如無法確保個人資料處理的合法性，該預算機構應在發現非法處理個人資料之日起十個工作天內銷毀該等個人數據，或確保其被銷毀。該預算機構應將違規行為的糾正或個人資料的銷毀情況通知個人資料主體或其代表；如個人資料主體或其代表已向個人資料保護機構提出申訴或請求，則該預算機構也應將上述情況通知該機構。
8.2.3.5.4. 如果確定存在非法或意外轉移（提供、分發、存取）個人資料的事實，導致個人資料主體的權利受到侵犯，則預算機構應自發現此類事件之時起，立即通知個人資料主體權利保護授權機構或其他相關方：
– 在二十四小時內，就所發生的事件、導致個人資料主體權利受到侵犯的所謂原因、對個人資料主體權利造成的所謂損害、為消除相關事件後果而採取的措施，以及預算機構授權與個人資料主體權利保護授權機構就已確定的事件相關問題進行溝通的人員進行溝通；
– 在 72 小時內，公佈對已查明事件的內部調查結果，以及導致已查明事件的人員（如有）的情況。
8.2.3.6. 如果處理個人資料的目的已實現，預算機構應停止處理個人資料或確保終止處理（如果個人資料的處理是由代表預算機構行事的其他人進行的），並應在個人資料處理目的實現之日起不超過三十天的期限內銷毀個人資料或確保銷毀（如果個人資料的處理是由代表預算機構行事的其他人進行的），除非個人資料主體作為一方、受益人或擔保人的協議另有規定，或者預算機構與個人資料主體之間另有協議另有規定，或者預算機構根據《個人資料法》或其他聯邦法律規定的理由，無權在未經個人資料主體同意的情況下處理個人資料。
8.2.3.7. 如果個人資料主體撤回其對處理個人資料的同意，預算機構應停止處理該個人數據，或確保終止該處理（如果個人資料是由代表預算機構行事的其他人處理），並且如果出於處理個人資料的目的不再需要儲存個人資料，則應在收到上述撤回通知之日起不超過三十天的期限內銷毀該個人資料，或確毀該個人資料，或確毀該個人資料，或確毀該保銷毀該個人資料（如果個人資料是由代表預算機構行事的其他人處理），除非個人資料主體作為一方、受益人或擔保人的協議另有規定，或者預算機構與個人資料主體之間另有協議另有規定，或者如果根據《個人資料法》或其他聯邦法律規定的理由，預算機構無權在未經個人資料主體同意的情況下處理個人資料。
8.2.3.8. 如果個人資料主體要求終止處理其個人數據，預算機構應在收到相關請求之日起不超過十個工作天內停止處理該個人數據，或確保終止該處理（如果該處理由個人資料處理者進行），但《個人資料法》第六條第一款第2至11項、第十個第二款和第十個第二款規定的情況除外。如果預算機構向個人資料主體發出說明理由的通知，解釋延長提供所請求資訊期限的原因，則該期限可以延長，但延長期限不得超過五個工作天。
8.2.3.9. 如果在規定的期限內無法銷毀個人數據，預算機構應封鎖此類個人數據，或確保封鎖此類個人數據（如果個人數據的處理是由代表預算機構行事的其他人進行的），並確保在不超過六個月的期限內銷毀個人數據，除非聯邦法律另有規定。
8.2.4. 個人資料處理（處理意向）通知
8.2.4.1. 除《聯邦個人資料法》規定的情況外，預算機構應在開始處理個人資料之前，將其處理個人資料的意圖通知個人資料主體權利保護授權機構。
8.2.4.2. 通知應以紙本或電子形式發送，並由授權人員簽署。通知應包含以下資訊：
– 預算機構的名稱（姓氏、名字、父名）、地址；
– 處理個人資料的目的；
– 對措施進行描述，包括加密（密碼）手段的可用性資訊以及這些手段的名稱；
– 個人的姓氏、名字、父名或負責組織處理個人資料的法人實體的名稱，以及他們的聯絡電話號碼、郵寄地址和電子郵件地址；
– 個人資料處理開始日期；
– 終止處理個人資料的期限或條件；
– 關於個人資料處理過程中是否有跨境傳輸的資訊；
– 關於存放俄羅斯聯邦公民個人資料的資料庫位置的資訊；
– 根據協議，有權存取和（或）處理國家和市政資訊系統中包含的個人資料的個人的姓氏、名字、父名或法人實體的名稱；
– 根據俄羅斯聯邦政府制定的個人資料保護要求，提供有關確保個人資料安全的資訊。
8.2.5. 如果所述資訊發生變更，預算機構應在變更發生月份的次月15日之前，將所有變更情況通知個人資料主體權利保護主管機關。如果預算機構停止處理個人數據，則應在停止處理之日起十個工作天內通知個人資料主體權利保護主管機關。

9. 職責範圍。
9.1. 負責組織處理個人資料的人員。
預算機構指定一名負責人負責組織個人資料的處理。
負責組織個人資料處理的人員特別履行以下職責：
– 對預算機構及其工作人員遵守俄羅斯聯邦個人資料相關法律法規（包括個人資料保護要求）的情況進行內部控制；
– 讓預算機構員工了解俄羅斯聯邦關於個人資料的法律規定、地方性個人資料處理法規以及個人資料保護要求；
– 組織接收和處理個人資料主體或其代表的請求和詢問，並且（或）對接收和處理此類請求和詢問行使控制權。

9.2 責任
– 違反《個人資料法》規定的人員，應依照俄羅斯聯邦法律的規定承擔法律責任。
《 個人資料法》規定的個人資料處理規則或違反根據《個人資料法》制定的個人資料保護要求而對個人資料主體造成的精神損害，應根據俄羅斯聯邦法律予以賠償。精神損害賠償獨立於個人資料主體所遭受的財產損失賠償。

10. 主要結果
10.1. 目標達成後，預期取得以下結果：
– 確保預算機構在處理個人資料時，個人資料主體的權利和自由受到保護；
– 提高預算機構的整體資訊安全水準；
——最大限度地降低預算機構的法律風險。

11. 有關係的政客。
缺乏連貫的政策。

12. 最後條款。
12.1. 本政策的規定對預算機構所有能夠接觸個人資料的員工具有強制性。
12.2. 個人資料主體可以就其個人資料處理相關的任何問題獲得澄清，並可透過以下方式向預算機構索取有關個人資料處理的書面資訊：以列印或電子形式，並附上電子簽名；或向電子郵件地址 gkb12@zdrav.mos.ru 發送通知。通知中應註明全名、聯絡資訊、主要身分證明文件號碼、指定文件的簽發日期和簽發機構、確認個人資料主體與預算機構之間存在關係的信息，或以其他方式確認預算機構處理其個人資料的事實，並由個人資料主體簽署。
12.3. 預算機構應在收到個人資料主體以相關請求形式提出的請求之日起十個工作天內，提供有關個人資料處理的資訊。
12.4. 預算機構保留對本政策進行修改的權利。
12.5. 政策如有變更，目前版本將包含最後更新日期。新版政策自發佈於預算機構網站日起生效。已撤銷的版本可在政策中指定的存檔位址查閱。
12.6. 本政策的條款可能因下列原因進行修訂：
– 如果俄羅斯聯邦有關個人資料處理領域關係的監管法律發生變更；
– 修改內部規章制度時；
– 在發現影響個人資料處理的差異的情況下；
– 根據對個人資料處理和保護要求的遵守情況進行監測的結果。
12.7. 當制定新的法規或修改現有的法規來規範個人資料處理程序時，本政策將繼續有效，直到作出相關的修改和補充，但以不與這些修改和補充相抵觸為限。
12.8. 根據俄羅斯聯邦法律，預算機構及其工作人員對未遵守個人資料處理原則和條件，以及披露或非法使用個人數據，承擔民事、行政和刑事責任。
12.9. 現行政策版本可在預算機構網站 https://gkb-buyanova.ru/ 查閱。