1. Общие положения
1.1. Настоящий Порядок Осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Порядок) разработан в соответствии с Политикой обработки персональных данных Аналитического Кредитного Рейтингового Агентства (Акционерное общество) (далее – АКРА), и определяет порядок осуществления субъектами ПДн прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», описывает механизмы взаимодействия субъектов ПДн с АКРА по вопросам осуществления субъектами ПДн их прав, предусмотренных законодательством РФ по обработке ПДн.
1.2. Настоящий Порядок предназначен для информирования Субъектов ПДн о механизмах реализации их прав, предусмотренных Федеральным Законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и распространяется на все процессы обработки ПДн в АКРА.
2. Термины и определения
2.1. АКРА – Аналитическое Кредитное Рейтинговое Агентство (Акционерное общество).
2.2. Директор по комплаенсу – работник АКРА, осуществляющий функции руководителя Службы комплаенса и внутреннего контроля.
2.3. Обезличивание персональных данных (Обезличивание ПДн) – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
2.4. Обработка персональных данных (Обработка ПДн) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Общедоступные персональные данные (Общедоступные ПДн) – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
2.6. Оператор ‑ государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.7. Персональные данные (ПДн) – любая информация, прямо или косвенно относящаяся к определяемому лицу.
2.8. Порядок – Порядок Осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» – настоящий документ.
2.9. Предоставление персональных данных (Предоставление ПДн) – действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц.
2.10. Служба комплаенса и внутреннего контроля – подразделение АКРА, выполняющее функции органа внутреннего контроля.
2.11. Субъект – субъект персональных данных – физическое лицо, в отношении персональных данных которого осуществляется их обработка.
2.12. Трансграничная передача персональных данных ‑ передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.13. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Права субъекта ПДн
3.1. Субъект персональных данных (далее – Субъект) в рамках взаимодействия с АКРА имеет право на:
3.1.1. получение информации об обработке в АКРА своих ПДн,
3.1.2. уточнение, блокирование или уничтожение своих ПДн, обрабатываемых в АКРА;
3.1.3. отзыв своего согласия на обработку своих ПДн в АКРА;
3.1.4. другие действия в соответствии с Федеральным законом от от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4. Ограничение права Субъекта на доступ к своим ПДн
4.1. Право Субъекта на доступ к его ПДн может быть ограничено в соответствии с Федеральными законами, в том числе если:
4.1.1. обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
4.1.2. обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4.1.3. доступ Субъекта к его ПДн нарушает права и законные интересы третьих лиц.
4.2. В случае предоставления Субъекту запрашиваемых им сведений об обработке его ПДн в АКРА, Субъект вправе направить повторный запрос/заявление на получение информации об обработке его ПДн в АКРА не ранее, чем через 30 (тридцать) календарных дней с момента направления первоначального запроса/заявления, если иное не предусмотрено Законодательством РФ или условиями заключенного с Субъектом договора.
4.3. Субъект вправе направить в АКРА повторный запрос в целях получения сведений об обработке его ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в п.5.2 настоящего Порядка, в случае, если запрошенные сведения и/или обрабатываемые ПДн не были ему предоставлены по результатам первичного обращения в полном объеме. В повторном запросе/заявлении в обязательном порядке должно содержаться обоснование его направления.
4.4. АКРА вправе мотивированно отказать Субъекту в выполнении повторного запроса, не соответствующего пунктам 5.2 и 5.3 настоящего Порядка.
5. Заключительные положения
5.1. Настоящий Порядок вступает в силу с момента его утверждения Генеральным директором АКРА.
5.2. Контроль за соблюдением положений настоящего Порядка, рассмотрение поступающих от Субъектов запросов/заявлений, касающихся ПДН, а также назначение ответственного исполнителя для таких запросов/заявлений осуществляется Службой комплаенса и внутреннего контроля.
5.3. Если отдельные пункты настоящего Порядка вступают в противоречие с изменениями, внесенными в законодательные и нормативно-правовые акты Российской Федерации, эти пункты не применяются.
5.4. Настоящий Порядок пересматривается по мере необходимости, но не реже одного раза в три года.