Training on Forecasting September 17–18

Политика обработки персональных данных Аналитического Кредитного Рейтингового Агентства (Акционерное общество)

1. Общие положения

1.1.  Политика обработки персональных данных Аналитического Кредитного Рейтингового Агентства (Акционерное общество) (далее – АКРА) разработана в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», а также других федеральных законов, постановлений  правительства РФ, приказов и методических рекомендаций ФСТЭК и ФСБ, нормативных актов Банка России и других нормативно-правовых актов в области обработки персональных данных.

1.2.  Политика определяет особенности обработки и обеспечения безопасности персональных данных (далее – ПДн), а также минимизации ущерба, который может возникнуть вследствие реализации угроз информационной безопасности, приводящих к нарушению безопасности ПДн.

1.3.  Политика распространяется на все технологические процессы АКРА, связанные с обработкой ПДн, а также на всех работников АКРА и работников сторонних организаций, выполняющих работы или оказывающих услуги по обработке ПДн в интересах АКРА на договорной основе.

1.4.  Информация, относящаяся к персональным данным, ставшая известной АКРА, за исключением Общедоступных ПДн, является конфиденциальной информацией, на нее также распространяются требования законодательства РФ и внутренних документов АКРА в отношении обработки конфиденциальной информации, включая требования Политики по работе с конфиденциальной информацией и Положения о режиме конфиденциальности АКРА.

1.5.  Все работники АКРА ознакамливаются под роспись в соответствующих учетных формах с внутренними документами АКРА, определяющими правила обработки и обеспечения безопасности ПДн, а также с основными требованиями законодательства РФ в области обработки ПДн.

1.6.  Политика подлежит опубликованию в информационно-телекоммуникационной сети Интернет на официальном сайте АКРА в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.  Термины и определения

2.1.  АКРА – Аналитическое Кредитное Рейтинговое Агентство (Акционерное общество).

2.2.  Генеральный директор – работник АКРА, осуществляющий функции единоличного исполнительного органа.

2.3.  Директор по комплаенсу – работник АКРА, осуществляющий функции руководителя Службы комплаенса и внутреннего контроля.

2.4.  Информационная система обработки персональных данных (ИСПДн) – автоматизированная система в рамках ИТ-инфраструктуры АКРА, в которой осуществляется обработка персональных данных.

2.5.  Конфиденциальная информация ‑ информация, доступ к которой ограничен в соответствии с международными правовыми нормами (применимыми для РФ), законодательством РФ и внутренними нормативными документами АКРА.

2.6.  Менеджер по информационной безопасности – работник АКРА, ответственный за осуществление мероприятий по информационной безопасности, соблюдение в АКРА режима конфиденциальности информации, требований законодательства РФ, а также требований Банка России к сохранности и защите информации, полученной в процессе деятельности АКРА.

2.7.  Менеджер по ИТ – работник АКРА, ответственный за внедрение и эксплуатацию информационных систем и сервисов, поддержание их работоспособности, установку и настройку корпоративного оборудования и программного обеспечения.

2.8.  Обезличивание персональных данных (Обезличивание ПДн) – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

2.9.  Обработка персональных данных (Обработка ПДн) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.10.  Общедоступные персональные данные (Общедоступные ПДн) – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

2.11.  Оператор ‑ государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.12.  Орган по защите прав субъектов персональных данных ‑ федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.

2.13.  Персональные данные (ПДн) – любая информация, прямо или косвенно относящаяся к определяемому лицу.

2.14.  Политика – Политика обработки персональных данных Аналитического Кредитного Рейтингового Агентства (Акционерное общество) – настоящий документ.

2.15.  Предоставление персональных данных (Предоставление ПДн) – действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц.

2.16.  Зарегистрированный пользователь сайта – лицо, предоставившее АКРА для обработки свои персональные данные посредством официального сайта АКРА в информационно-телекоммуникационной сети Интернет.

2.17.  Система обеспечения информационной безопасности (СОИБ) – комплекс административных и технических мер, внутренних документов, аппаратных и программных средства, главной задачей которых является обеспечение надлежащего уровня информационной безопасности.

2.18.  Служба комплаенса и внутреннего контроля – подразделение АКРА, выполняющее функции органа внутреннего контроля.

2.19.  Субъект – субъект персональных данных – физическое лицо, в отношении персональных данных которого осуществляется их обработка.

2.20.  Трансграничная передача персональных данных ‑ передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.21.  Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.  Принципы обработки ПДн

3.1.  Обработка ПДн в АКРА осуществляется на законной и справедливой основе, АКРА является добросовестным Оператором персональных данных.

3.2.  Обработка ПДн в АКРА ограничивается достижением конкретных, заранее определенных и законных целей, заявленных при сборе ПДн, а также обусловленных полномочиями АКРА и договорными соглашениями.

3.3.  В АКРА не допускается обработка ПДн, несовместимая с целями сбора ПДн.

3.4.  В АКРА не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3.5.  Содержание и объем обрабатываемых в АКРА ПДн соответствуют заявленным целям обработки.

3.6.  В АКРА не допускается обработка ПДн, несовместимых и/или излишних по отношению к заявленным целям обработки.

3.7.  При обработке ПДн в АКРА обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Неполные или неточные данные удаляются или уточняются.

3.8.  Хранение ПДн в АКРА осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен федеральным законом, требованием регулятора, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

3.9.  По достижении целей обработки или в случае утраты необходимости в достижении этих целей в АКРА, персональные данные уничтожаются или обезличиваются, если иное не предусмотрено федеральным законом или требованием регулятора.

4.  Условия обработки ПДн

4.1.  Обработка ПДн в АКРА осуществляется с согласия Субъекта на обработку его персональных данных, кроме законодательно установленных случаев, когда такое согласие не требуется или невозможно.

4.2.  Обработка ПДн в АКРА осуществляется с соблюдением обозначенных в разделе 3 Политики принципов.

4.3.  Обработка ПДн в АКРА осуществляется в случаях, когда это необходимо для:

4.3.1.  исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;

4.3.2.  осуществления прав и законных интересов АКРА или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта;

4.3.3.  статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», при условии обязательного обезличивания ПДн.

4.4.  В АКРА также может осуществляться обработка ПДн, доступ неограниченного круга лиц к которым предоставлен Субъектом либо по его просьбе (далее - Общедоступные ПДн), а также обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.5.  Специальные категории ПДн, а также биометрических ПДн, определенные на основании Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в АКРА не обрабатываются.

5.  Цели обработки ПДн

5.1.  АКРА осуществляет обработку ПДн в следующих целях:

5.1.1.  осуществление своей основной деятельности в соответствии с Федеральным законом от 13.07.2015 г. N 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76.1 Федерального закона "О Центральном Банке Российской Федерации (Банке России)" и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

5.1.2.  заключение договоров, сторонами которых являются Субъекты, а также в целях выполнения условий заключенных договоров с учетом принципов и условий обработки ПДн, обозначенных в разделах 3 и 4 Политики.

5.1.3.  выполнение трудового законодательства РФ, организации учета работников и кандидатов на работу в АКРА для обеспечения соблюдения требований законов и иных нормативно-правовых актов РФ, содействия в трудоустройстве, обучении, добровольном страховании всех видов, использовании различными льготами в соответствии с законодательством РФ и внутренними документами АКРА.

5.1.4.  обеспечение пропускного режима на территории АКРА, а также предоставления доступа работникам и посетителям в информационно-телекоммуникационную сеть Интернет.

5.1.5.  сбор статистической информации о зарегистрированных посетителях официального сайта АКРА в информационно-телекоммуникационной сети Интернет, а также для осуществления тематических рассылок по электронной почте при наличии согласия Субъекта на их получение.

6.  Особенности обработки ПДн и их передачи третьим лицам

6.1.  В случаях, установленных законодательством РФ, обработка ПДн в АКРА осуществляется с согласия Субъекта в письменной форме или путем проставления отметки в электронной форме на официальном сайте АКРА в информационно-телекоммуникационной сети Интернет (с учетом требований ч. 1 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»). Равнозначным содержащему собственноручную подпись Субъекта согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

6.2.  Порядок получения согласия Субъекта, а также форма этого согласия определяются другими внутренними документами АКРА.

6.3.  Порядок обработки ПДн в АКРА, а также сроки действия ограничений доступа к информации определяются в том числе Политикой по работе с конфиденциальной информацией и Положением о режиме конфиденциальности информации.

6.4.  В АКРА используется смешанный режим обработки ПДн, под которым понимается обработка как с использованием средств автоматизации, так и без них.

6.5.  Полученная в ходе обработки ПДн информация может передаваться следующим получателям:

6.5.1.  внутреннему получателю в рамках ИТ-инфраструктуры АКРА;

6.5.2.  внешнему получателю с использованием информационно-телекоммуникационной сети Интернет.

6.6.  АКРА может осуществлять трансграничную передачу ПДн в случаях, предусмотренных законодательством РФ, а также на основании соответствующих соглашений с международными и иностранными организациями.

6.7.  В случае необходимости осуществления трансграничной передачи ПДн в соответствии с требованиями законодательства РФ до начала такой передачи АКРА убеждается в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

6.8.  Предоставление ПДн АКРА третьему лицу, кроме случаев, предусмотренных законодательством РФ, осуществляется с согласия Субъекта.

6.9.  В случае, когда АКРА на основании договора поручает третьему лицу обработку конфиденциальной информации, в состав которой входит ПДн, существенным условием договора или отдельного соглашения о неразглашении конфиденциальной информации является обязанность указанного лица обеспечивать конфиденциальность и безопасность ПДн при их обработке, в том числе как составной части передаваемой конфиденциальной информации, а также выполнение им требований, предъявляемых к защите ПДн в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Указанное третье лицо несет полную ответственность перед АКРА за обработку переданных ПДн.

6.10.  Базы данных, содержащие ПДн граждан РФ, размещаются на территории Российской Федерации.

6.11.  Обеспечение конфиденциальности ПДн не требуется в случае обезличивания ПДн или обработки общедоступных ПДн.

7.  Права субъектов ПДн

7.1.  Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

7.1.1.  подтверждение факта обработки ПДн в АКРА;

7.1.2.  правовые основания и цели обработки ПДн;

7.1.3.  цели и применяемые АКРА способы обработки ПДн;

7.1.4.  наименование и место нахождения АКРА, сведения о лицах (за исключением работников АКРА), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с АКРА или на основании федерального закона;

7.1.5.  обрабатываемые ПДн, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

7.1.6.  сроки обработки ПДн, в том числе сроки их хранения;

7.1.7.  порядок осуществления Субъектом прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

7.1.8.  информацию об осуществленной или о предполагаемой трансграничной передаче данных;

7.1.9.  наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению АКРА, если обработка поручена или будет поручена такому лицу;

7.1.10.  иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

7.2.  Субъект вправе получить запрошенную у АКРА в соответствии с п.7.1 Политики информацию в доступной форме, в ней не будет содержаться ПДн, относящихся к другим Субъектам, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

7.3.  Субъект вправе требовать от АКРА уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.4.  АКРА по требованию Субъекта немедленно прекращает обработку его ПДн, если иное не предусмотрено законодательством РФ или требованиями Роскомнадзора, ФСТЭК России или ФСБ России.

7.5.  Субъект вправе обратиться к АКРА повторно или направить повторный запрос в целях получения сведений, указанных в п. 7.1 Политики, а также в целях ознакомления с обрабатываемыми ПДн до истечения законодательно определенного срока, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен также содержать обоснование направления повторного запроса. АКРА в обязательном порядке рассматривает все обращения Субъектов.

7.6.  В случае, когда Субъект персональных данных считает, что АКРА осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, Субъект кроме обращения в АКРА вправе обжаловать действия или бездействие АКРА в Орган по защите прав субъектов персональных данных или в судебном порядке.

7.7.  Субъекты доступны также иные права, определенные главой 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

8.  Реализованные меры обеспечения безопасности ПДн

8.1.  Для обеспечения безопасности обрабатываемых ПДн АКРА принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.

8.2.  Безопасность ПДн при их обработке в ИСПДн обеспечивается системой защиты персональных данных, которая включает организационные и технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в ИСПДн.

8.3.  В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в АКРА организовано проведение периодических проверок условий обработки ПДн и исполнения требований законодательства РФ и внутренних регламентирующий обработку ПДн документов.

8.4.  Работники АКРА и иные лица, получившие доступ к обрабатываемым ПДн, подписывают обязательство о неразглашении конфиденциальной информации, а также предупреждаются о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.

9.  Заключительные положения

9.1.  Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором АКРА.

9.2.  Контроль за соблюдением положений настоящей Политики осуществляется Службой комплаенса и внутреннего контроля.

9.3.  Если отдельные пункты настоящей Политики вступают в противоречие с изменениями, внесенными в законодательные и нормативно-правовые акты Российской Федерации, эти пункты не применяются.

9.4.  Настоящая Политика пересматривается по мере необходимости, но не реже одного раза в три года.

Log in

Forgot password

Sign up

Reset password

Reset password

Termsofuse

Полное использование материалов сайта разрешается только с письменного согласия правообладателя, АКРА (АО). Частичное использование материалов сайта (не более 30% текста статьи) разрешается только при условии указания гиперссылки на непосредственный адрес материала на сайте www.acra-ratings.ru . Гиперссылка должна быть размещена в подзаголовке или в первом абзаце материала. Размер шрифта гиперссылки не должен быть меньше шрифта текста используемого материала.