ПОЛИТИКА обработки персональных данных в ООО «Гипер»   1 Область применения Настоящая Политика является открытым документом и предназначена для ознакомления неограниченного круга лиц. 2 Нормативные ссылки При разработке настоящего документа учитывались требования следующих действующих нормативных правовых актов:  Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;  Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»;  Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;  Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».   3 Термины и определения № п/п Термин Определение 1 2 3 1 Автоматизированная обработка персональных данных Обработка персональных данных с помощью средств вычислительной техники 2 Безопасность персональных данных Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных 3 Информационная система персональных данных Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 4 Конфиденциальность персональных данных Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания 5 Криптосредство Шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну 6 Обезличивание персональных данных Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных 7 Обработка персональных данных Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных 8 Объем одновременно обрабатываемых персональных данных Количество субъектов ПДн, персональные данные которых по состоянию на определенный момент времени обрабатываются в информационной системе 9 Оператор (персональных данных) Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными 10 Персональные данные Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) 11 Пользователь информационной системы персональных данных Лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования 12 Технические средства информационной системы персональных данных Технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации) 4 Обозначения и сокращения № п/п Сокращение Расшифровка 1 2 3 1 ИС Информационная система 2 ИСПДн Информационная система персональных данных 3 ООО Общество с ограниченной ответственностью 4 ПДн Персональные данные 5 СЗИ Средство защиты информации 6 СКЗИ Средство криптографической защиты информации 5 Общие положения 5.1 Целью настоящей Политики является обеспечение соответствия порядка обработки ПДн в ООО «Гипер» требованиям действующего законодательства Российской Федерации о ПДн, обеспечение безопасности ПДн, обрабатываемых ООО «Гипер», от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизации ущерба субъектам ПДн от возможной реализации угроз безопасности ПДн. 5.2 Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия. 5.3 При обработке ПДн ООО «Гипер» придерживается следующих принципов:  соблюдение законности получения, обработки, хранения, а также иных действий, совершаемых с ПДн;  обработка ПДн исключительно в законных целях, перечисленных в п. 7 настоящей Политики;  хранение ПДн, обработка которых осуществляется с несвязанными между собой целями, в различных базах данных;  сбор только тех ПДн, которые минимально необходимы для достижения заявленных целей обработки;  выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;  соблюдение прав субъекта ПДн на доступ к его ПДн;  соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей. 5.4 В ООО «Гипер» принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не производится. 6 Обрабатываемые персональне данне 6.1 В ООО «Гипер» осуществляется обработка ПДн следующих категорий субъектов ПДн:  работников ООО «Гипер» (в том числе бывших работников);  лиц, связанных с работниками, чьи данные необходимо обрабатывать в соответствии с трудовым и иным законодательством (для выплаты алиментов по решению суда, в целях заполнения унифицированной формы № Т-2 в соответствии с трудовым законодательством и т.д.);  соискателей на замещение вакантных должностей;  лиц, связанных с соискателями, предоставление информации о которых предусмотрено типовой формой анкеты кандидата;  контрагентов, с которыми заключены договоры гражданско-правового характера (представителей организаций, физических лиц, индивидуальных предпринимателей);  бенефициаров контрагентов (конечных собственников, выгодоприобретателей - физических лиц);  физических лиц – клиентов ООО «Гипер». 6.2 Под обработкой ПДн в ООО «Гипер» понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн. 6.3 В ООО «Гипер» не допускается обработка ПДн, касающихся:  национальной принадлежности;  расовой принадлежности;  политических взглядов;  религиозных и философских убеждений;  интимной жизни. 6.4 Обработка ПДн о судимости в ООО «Гипер» допускается только в случаях и в порядке, которые определяются в соответствии с федеральными законами. 6.5 Обработка ПДн о состоянии здоровья допускается только в случаях, установленных законодательством Российской Федерации, или с письменного согласия субъекта ПДн. 6.6 Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи может осуществляться только при условии предварительного согласия субъекта ПДн. По требованию субъекта ПДн ООО «Гипер» обязуется немедленно прекратить обработку ПДн, осуществляемую в данных целях. 7 Цели сбора и обработки персональных данных 7.1 Цели обработки ПДн определены в соответствии с действующим законодательством. Обработка ПДн осуществляется для достижения следующих целей:  исполнение обязанностей перед работниками, как работодателя: содействие в трудоустройстве, обучении и продвижении по службе, ведение кадрового делопроизводства, обеспечение личной безопасности работника, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, обеспечение медицинского и социального страхования, охраны труда, организация командирования работников и т.д. Исполнение обязанностей ООО «Гипер» перед работниками осуществляется в соответствии с трудовым, налоговым и семейным кодексами Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования» и другими нормативными правовыми актами, регулирующими отношения между ООО «Гипер» и работниками;  подбора кандидатов на вакантные должности ООО «Гипер» и ведения кадрового резерва;  заключения и исполнения договоров гражданско-правого характера с контрагентами (физическими лицами, индивидуальными предпринимателями, юридическими лицами);  создания общедоступных источников для информационного обеспечения ООО «Гипер» в процессе осуществления его деятельности;  организации пропускного и внутриобъектового режимов на объектах ООО «Гипер»;  архивного хранения документов в соответствии с законодательством Российской Федерации. 8 Условия обработки персональных данных и их передачи третьим лицам 8.1 Обработка персональных данных 8.1.1 Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». 8.1.2 Обработка ПДн происходит как неавтоматизированным, так и автоматизированным способом. 8.1.3 К обработке ПДн допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:  ознакомление сотрудника под роспись с локальными нормативными актами ООО «Гипер» (положения, инструкции и т.д.), строго регламентирующими порядок и процедуры работы с ПДн;  взятие с сотрудника обязательства о конфиденциальности и неразглашении ПДн при работе с ними, а также при прекращении обработки ПДн, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора;  получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим ПДн. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в ИСПДн. 8.1.4 Сотрудники, имеющие доступ к ПДн, получают только те ПДн, которые необходимы им для выполнения конкретных трудовых функций. 8.2 Хранение персональных данных 8.2.1 ПДн хранятся в электронном виде и на бумажных носителях. В электронном виде ПДн хранятся в ИСПДн, а также в архивных копиях баз данных ИСПДн. В бумажном виде ПДн хранятся в составе документов и их копий, содержащих информацию о субъектах ПДн. 8.2.2 При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К указанным мерам относятся:  назначение сотрудников, ответственных за организацию обработки ПДн;  назначение должностных лиц (работника), ответственных за обеспечение безопасности ПДн в ИСПДн;  применение утвержденной и поддерживаемой в актуальном состоянии организационно-распорядительной документации;  организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, ограничение физического доступа к техническим средствам ИСПДн, средствам защиты информации, средствам обеспечения функционирования, местам хранения носителей ПДн;  утверждение ООО «Гипер» документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;  учет всех информационных систем, машинных носителей, а также архивных копий ПДн;  применение сертифицированных средств защиты информации и средств криптографической защиты информации (далее - СКЗИ). 8.2.3 Места хранения носителей ПДн, порядок хранения, учета, уничтожения и предоставления доступа к ним регламентируются внутренними документами, утверждаемыми единоличным исполнительным органом ООО «Гипер». 8.3 Передача персональных данных 8.3.1 Для целей обработки данных ООО «Гипер» может передавать ПДн исключительно своим сотрудникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений. 8.3.2 Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у ООО «Гипер» наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае ООО «Гипер» ограничивает передачу ПДн запрошенным объемом. 8.3.3 При передаче ПДн в электронном виде третьим лицам по открытым каналам связи ООО «Гипер» обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-методических документов в области защиты ПДн. 8.3.4 Трансграничная передача ПДн ООО «Гипер» не производится. 8.4 Поручение обработки персональных данных 8.4.1 ООО «Гипер» вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн (в согласие включаются: наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ООО «Гипер»), если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом в поручении ООО «Гипер» определяет перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки ПДн, устанавливает обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указывает требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». 8.4.2 Лицо, осуществляющее обработку ПДн по поручению, в соответствии с договором обязуется соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В случае поручения обработки ПДн другому лицу ООО «Гипер» несет ответственность перед субъектом ПДн за действия указанного лица. 8.5 Уничтожение персональных данных 8.5.1 Под уничтожением ПДн понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн. 8.5.2 ООО «Гипер» обязуется прекратить обработку ПДн в сроки, установленные законодательством Российской Федерации, и уничтожить собранные ПДн, если иное не установлено законодательством Российской Федерации, в следующих случаях:  по достижении целей обработки ПДн или при утрате необходимости в их достижении;  по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;  при отзыве субъектом ПДн согласия на обработку своих ПД, если такое согласие требуется в соответствии с законодательством Российской Федерации;  при невозможности устранения ООО «Гипер» допущенных в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» нарушений при обработке ПДн. 8.5.3 Уничтожение ПДн производится ООО «Гипер» в соответствии с порядком, установленным внутренними документами. 9 Защита персональных данных 9.1 Обеспечение безопасности ПДн в ООО «Гипер» достигается следующими мерами:  реализацией системы защиты ПДн;  назначением сотрудников, ответственных за организацию обработки ПДн;  назначением должностных лиц (работников), ответственных за обеспечение безопасности ПДн в ИСПДн, а также ответственных пользователей криптосредств;  проведением аудита ИСПДн, содержащих ПДн, и определением требуемых уровней защищенности ПДн, обрабатываемых в ИСПДн;  определением угроз безопасности ПДн при их обработке в ИСПДн и принятие мер для нейтрализации актуальных угроз безопасности ПДн;  утверждением единоличным исполнительным органом ООО «Гипер» перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;  организацией режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;  обеспечением сохранности носителей ПДн, а также учетом машинных носителей ПДн;  определением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;  обнаружением фактов несанкционированного доступа к ПДн и принятием мер;  восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;  разработкой и утверждением локальных нормативных, регламентирующих порядок обработки ПДн, а также разработкой для пользователей и ответственных лиц рабочих инструкций;  контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в ИСПДн;  проведением периодического обучения и повышением осведомленности сотрудников в области защиты ПДн, ознакомлением сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику ООО «Гипер» в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;  реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных средств защиты информации и СКЗИ;  проведением периодических проверок состояния защищенности ПДн в ООО «Гипер». 10 Согласие субъекта на обработку его персональных данных 10.1 Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. 10.2 Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн ООО «Гипер» вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». 10.3 Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. 10.4 В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. 10.5 В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн. 10.6 В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни. 10.7 ПДн могут быть получены ООО «Гипер» от лица, не являющегося субъектом ПДн, при условии предоставления ООО «Гипер» подтверждения наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных». 11 Права субъекта персональных данных 11.1 Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к ПДн может быть ограничено в соответствии с федеральными законами. 11.2 В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:  подтверждение факта обработки ПДн;  правовые основания и цели обработки ПДн;  цели и применяемые способы обработки ПДн;  сведения о лицах (за исключением сотрудников ООО «ГИПЕР»), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона;  обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;  сроки обработки ПДн, в том числе сроки их хранения;  порядок осуществления субъектом ПДн своих прав;  иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими нормативно-правовыми актами Российской Федерации. 11.3 Получить данную информацию субъект ПДн может, обратившись с письменным запросом в ООО «Гипер». Содержание запроса должно соответствовать требованиям п. 3 ст. 14 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней. 11.4 Порядок обработки запросов субъектов ПДн по выполнению их законных прав в ООО «Гипер» производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты ПДн и подконтролен сотруднику, ответственному за организацию обработки ПДн. 12 Обязанности ООО «Гипер» 12.1 ООО «Гипер» обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». ООО «Гипер» обязано предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». 12.2 При сборе ПДн ООО «Гипер» обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п. 11 настоящей Политики. В случае если предоставление ПДн является обязательным в соответствии с федеральным законом, ООО «Гипер» обязуется разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн. 12.3 Если ПДн получены не от субъекта ПДн, ООО «Гипер» до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». В случаях если ООО «Гипер» не является оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены. 12.4 ООО «Гипер» при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. 12.5 ООО «Гипер» обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства. 12.6 В случае предоставления субъектом ПДн либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, ООО «Гипер» обязуется устранить данные нарушения или обеспечить их устранение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «Гипер») в течение 7 рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах. 12.7 В случае достижения целей обработки ПДн ООО «Гипер» обязуется прекратить обработку ПДн и уничтожить ПДн или обеспечить ее прекращение и уничтожение ПДн (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «Гипер») в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением между ООО «Гипер» и субъектом ПДн либо если ООО «Гипер» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами. 12.8 В случае отзыва субъектом ПДн согласия на обработку его ПДн ООО «Гипер» обязуется прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «Гипер» обеспечить ее прекращение и уничтожение ПДн) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ООО «Гипер» и субъектом ПДн либо если ООО «Гипер» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами. 12.9 В случае выявления неправомерной обработки ПДн, осуществляемой ООО «Гипер» или лицом, действующим по поручению ООО «Гипер», ООО «Гипер» в срок, не превышающий 3 рабочих дней с даты этого выявления, обязуется прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению ООО «Гипер». В случае если обеспечить правомерность обработки ПДн невозможно, ООО «Гипер» в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязуется уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ООО «Гипер» обязуется уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган. 12.10 В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 12 настоящей Политики, ООО «Гипер» обязуется осуществить блокирование таких ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «Гипер») и обеспечить уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами. 12.11 ООО «Гипер» обязуется уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом Российской Федерации от 27.07. 2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений ООО «Гипер» обязуется предоставлять актуализированные сведения в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн. 13 Ответственность 13.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн в ООО «Гипер», привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством. 14 Изменение политики 14.1 В целях обеспечения пригодности, адекватности и эффективности, настоящая Политика подлежит пересмотру не реже одного раза в год с момента ее опубликования. 14.2 Политика подлежит внеплановому пересмотру в случае существенных изменений деятельности ООО «Гипер», изменений в законодательстве в области защиты ПДн и иных подобных случаях.