УТВЕРЖДЕНА

   приказом директора

ООО «ЧОП «Дозор-Плюс»

№ 276 от «18» августа 2025 года

Положение

(Политика)

 об обработке персональных данных в Обществе с ограниченной ответственностью "Частное охранное предприятие "Дозор-Плюс"

1. Общие положения

1.1. Настоящее Положение принято в ООО «ЧОП «Дозор-Плюс» (далее - Общество) для обеспечения сохранности и конфиденциальности персональных данных в Обществе в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными в Обществе.
1.2. Настоящее Положение разработано в соответствии с Уставом Организации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации.
1.3. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение и в соответствии с которыми Общество осуществляет такую обработку. К ним относятся:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";
- Федеральный закон N 149-ФЗ от 27.07.2006 "Об информации, информационных технологиях и о защите информации";
- Федеральный закон N 152-ФЗ от 27.07.2006 "О персональных данных" (далее - Закон о персональных данных);
- Закон РФ № 2487-1 от 11.03.1992 «О частной детективной и охранной деятельности в Российской Федерации»;
- Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете";
- иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
- устав Общества;
- договоры, заключаемые Обществом с субъектами персональных данных;
- согласие субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда оно не требуется в соответствии с законодательством).
1.4. Настоящее Положение обязательно для соблюдения всеми работниками Общества.
1.5. Настоящее Положение вступает в действие с 01 сентября 2025 года и действует до утверждения нового Положения (политики). 
1.6. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом директора Общества. 
1.7. Предприятие публикует Положение в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети «Интернет».

2. Понятие и состав персональных данных

2.1. Основные понятия, используемые в настоящем Положении:
2.1.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.3. Субъекты персональных данных: 
- кандидаты на замещение вакантных должностей;
- работники Общества;
- бывшие работники Общества;
- родственники работников Общества - в случаях, когда согласно законодательству сведения о них предоставляются работником;
- представители/работники контрагентов Общества (юридических лиц);
- пользователи официального сайта Общества;
- иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с законодательством Российской Федерации, а также в соответствии с заключенными Обществом договорами на оказание охранных услуг.
2.1.4. Оператор персональных данных (оператор) – ООО «ЧОП «Дозор-Плюс».
2.1.5. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.
2.1.6. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.1.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.1.10. Уничтожение персональных данных - действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.11. Обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.12. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Критерии отнесения информации к персональным данным
 
3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
3.2. Персональные данные обрабатываются Обществом с целью применения и исполнения трудового законодательства РФ в рамках трудовых и иных непосредственно связанных с ними отношений, а также при заключении гражданско-правовых договоров с контрагентами Общества, в том числе при:
- содействии в трудоустройстве;
- ведении кадрового и бухгалтерского учета;
- содействии работникам в получении образования и продвижении по службе;
- оформлении награждений и поощрений;
- предоставлении со стороны Общества установленных законодательством условий труда, гарантий и компенсаций;
- заполнении и передаче в уполномоченные органы требуемых форм отчетности;
- обеспечении личной безопасности работников и сохранности имущества;
- прохождении медицинского осмотра;
- публичном поздравлении с днем рождения и государственными праздниками;
- публичном обращении;
- оформлении визы, приглашении на въезд в иностранные государства, приобретении авиа и железнодорожных билетов, бронировании гостиниц;
- предоставлении сведений в компетентные органы Российской Федерации, уполномоченные осуществлять правовую поддержку граждан за рубежом;
- осуществлении контроля за количеством и качеством выполняемой работы;
- экстренной связи с лицами, совместно проживающими с работником;
- согласовании с Заказчиком охранных услуг кандидатов на замещение вакантных должностей;
- при осуществлении внутриобъектового и пропускного режимов на охраняемых объектах;
- в других случаях, когда Общество обязано обрабатывать персональные данные в соответствии с законодательством Российской Федерации.
3.3. Перечень персональных данных, обрабатываемых в Обществе, зависит от категории субъекта персональных данных.
3.4. К персональным данным соискателя, обрабатываемым Обществом в целях содействия в трудоустройстве (подбор персонала) и соблюдения законодательства, к персональным данным работников, а также родственников работников (членов их семей), обрабатываемым Обществом в целях осуществления трудовых и иных непосредственно связанных с трудовыми отношений, в том числе ведения кадрового и бухгалтерского учета и соблюдения законодательства, относятся:
- фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
- пол;
- дата (число, месяц, год) и место рождения;
- фотографическое изображение;
- сведения о гражданстве;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика (ИНН);
- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
- сведения об образовании и (или) квалификации или наличии специальных знаний, профессиональной подготовке (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация);
- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации;
- сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета;
- сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы ;
- сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
- сведения, содержащиеся в разрешении на временное проживание, виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
- сведения о доходах, обязательствах по исполнительным документам;
- номера расчетного счета, банковской карты;
- сведения о состоянии здоровья и о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
- сведения о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ;
- сведения о социальных льготах, инвалидности;
- материалы по служебным расследованиям, а также по привлечению работников к дисциплинарной ответственности, об их поощрении;
- иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством РФ, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.2 Положения;
- иные персональные данные, которые пожелал сообщить о себе субъект персональных данных и обработка которых соответствует цели обработки, предусмотренной п. 3.2 Положения.
3.5. К персональным данным работников контрагентов Общества, иных физических и юридических лиц, обрабатываемым Обществом в целях осуществления его хозяйственной и профессиональной деятельности, в том числе заключения, исполнения и прекращения договоров с его контрагентами, а также соблюдения законодательства, относятся:
- фамилия, имя, отчество;
- дата рождения;
- место работы; 
- должность;
- табельный номер (при наличии);
- фотографическое изображение.
3.6. Указанные в пунктах 3.4, 3.5 настоящего Положения сведения носят конфиденциальный характер. 
3.7. Документами, содержащими персональные данные, являются:
- комплект документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплект материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р);
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних служебных расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы, СБИС и др.);
- копии отчетов, направляемые в государственные контролирующие органы;
- др. документы, содержащие персональные данные работника.
3.8. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах как:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда Общество является для работника первым работодателем) ;
- свидетельство пенсионного страхования;
- военный билет и иные документы воинского учета;
- диплом об образовании, документы о повышении квалификации;
- свидетельство о наличии ИНН;
- СНИЛС;
- акты ЗАГС;
- иные документы, которые рассматриваются как носители достоверных персональных данных.
3.9. Отдел кадров обеспечивает проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
3.10. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. Операции с персональными данными
    
4.1. Настоящее Положение устанавливает, что ООО «ЧОП «Дозор-Плюс» осуществляет следующие операции с персональными данными работников: 
-получение (сбор);
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление доступа);
- блокирование;
- удаление;
- уничтожение.
Организация не осуществляет трансграничную передачу персональных данных.
4.2. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах. 
Сбор персональных данных осуществляется в пределах установленного объема, необходимого для каждой категории субъектов, с которыми взаимодействует Общество, и не может превышать указанный объем. 
4.3. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом Общества. 
4.4. Под передачей персональных данных понимается операция: 
- по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют работники Общества, а также третьи лица в соответствии с действующим законодательством Российской Федерации; 
- по размещению персональных данных в источниках внутрикорпоративного документооборота.
4.5. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах Общества, в случаях, предусмотренных положениями локальных правовых актов Общества и законодательства РФ. 
4.6. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах Общества. 
4.7. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
4.8. Персональные данные обрабатываются Обществом с использованием средств автоматизации и без использования средств автоматизации.
4.9. Передача персональных данных работника осуществляется с учетом специфики конкретной информационной системы:
- в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты; 
- в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Общества, имеющих доступ к соответствующей информационной системе.
4.10. Персональные данные субъектов персональных данных размещаются Обществом в следующих информационных системах:
- информационная система персональных данных работников Общества;
- информационная система персональных данных лиц, не являющихся работниками Общества, но персональные данные которых Общество должно обрабатывать в соответствии с трудовым законодательством;
- информационная система персональных данных контрагентов Организации (физических лиц) и представителей контрагентов Общества (физических и юридических лиц).
4.11. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.12. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
В целях обработки различных категорий персональных данных для каждой категории используется отдельный материальный носитель.
4.11. Обработка персональных данных работника может осуществляться только с его письменного согласия, за исключением тех случаев, которые предусмотрены пп. 2 - 11 п. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

5. Организация доступа к персональным данным

5.1. Доступ к персональным данным предоставляется следующим должностным лицам Предприятия:
- директору;
- заместителям директора;
- работникам отдела кадров;
- работникам бухгалтерии;
- работнику по охране труда - к тем данным, которые необходимы для выполнения конкретных функций;
- работнику по направлению лицензионно-разрешительной работы - к тем данным, которые необходимы для выполнения конкретных функций;
- юрисконсульту - к тем данным, которые необходимы для выполнения конкретных функций;
- сотрудникам технической службы - к тем данным, которые необходимы для выполнения конкретных функций;
- начальникам охраны объектов (доступ к личным данным только работников своего подразделения);
- работникам, предоставившим Обществу свои персональные данные;
- иным сотрудникам - к тем данным, которые необходимы для выполнения конкретных функций, на основании приказа директора.
Работники Общества, допущенные к персональным данным, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных они не допускаются.
5.2. Все сведения о передаче персональных данных работника учитываются для контроля правомерности использования данной информации лицами, ее получившими.
5.3. Не требуется согласия на обработку персональных данных:
- при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным Трудовым кодексом РФ (передача данных в Социальный фонд России, суды, прокуратуру, банки, налоговые органы, военные комиссариаты, Росгвардию и др.);
- при обработке специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции в рамках трудового законодательства;
- при обработке персональных данных для осуществления внутриобъектового или пропускного режимом на охраняемой территории.
5.4. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

6. Права субъекта персональных данных

6.1. Субъекты персональных данных, передавшие Обществу свои персональные данные, имеют право:
- на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;
- получение от Общества информации о лицах, имеющих доступ к персональным данным;
- получение от Общества информации о дополнительной обработке, блокировании или уничтожении персональных данных, осуществленных по инициативе Общества;
- предоставление сведений, указанных в ч. 7 ст. 14 Федерального закона от 27.07.2006        №  152-ФЗ "О персональных данных";
- предоставление информации о наличии персональных данных, относящихся к субъекту персональных данных, и предоставление возможности ознакомления с этими персональными данными;
- уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требование от Общества прекратить обработку его персональных данных.
6.2. Общество предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения соответствующего запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, если Общество направит в адрес субъекта персональных данных мотивированное уведомление с указанием причин продления срока.
Указанные сведения Общество предоставляет субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
6.3. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных, дату выдачи, наименование выдавшего органа;
- номер основного документа, удостоверяющего личность представителя субъекта персональных данных, дату выдачи, наименование выдавшего органа;
- сведения, подтверждающие факт обработки персональных данных субъекта персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.

7. Обязанности субъекта персональных данных

7.1. Работник обязан:
- передавать сотрудникам отдела кадров комплект достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ и которые необходимы как для исполнения трудовой функции, так и для получения различного рода льгот, влияющих на размер пособия по нетрудоспособности (например, информация об инвалидности и др.);
- документы об изменении персональных данных представлять в течение 3 рабочих дней с даты регистрации/получения документов об изменении персональных данных. В случае невозможности представить данные сведения лично в указанный срок (отпуск, болезнь и т.п.), работник направляет их по электронной почте: chop_yaroslavl@dozorplus.ru, либо иным способом, связавшись с сотрудником отдела кадров по телефонам (4852) 27-47-61, 27-47-75.
7.2. Работники Общества и другие лица, имеющие доступ к персональным данным, обязаны:
- осуществлять операции с персональными данными при соблюдении норм, установленных настоящей Положением, а также действующим законодательством РФ; 
- информировать своего непосредственного руководителя и директора Общества о нештатных ситуациях, связанных с операциями с персональными данными; 
- обеспечивать конфиденциальность операций с персональными данными; 
- обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения. 

8. Актуализация (уточнение), блокирование, уничтожение и хранение персональных данных

8.1. Актуализация (уточнение) персональных данных.
8.1.1. В случае подтверждения факта неточности, а также недостоверности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.2. Блокирование персональных данных.
8.2.1. Общество должно осуществить блокирование персональных данных в следующих случаях и в следующие сроки:
- если выявлена неправомерная обработка персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа - с момента такого обращения или получения указанного запроса на период проверки;
- если выявлены неточные персональные данные при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа - с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
- если отсутствует возможность уничтожения персональных данных в течение срока, указанного в ч. ч. 3 - 5.1 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", - до момента уничтожения.
8.3. Общество должно прекратить обработку персональных данных в следующих случаях:
- если устранены причины, вследствие которых осуществлялась обработка специальных категорий персональных данных в случаях, предусмотренных ч. 2 и ч. 3 ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
- если выявлена неправомерная обработка персональных данных, осуществляемая Обществом, - в срок не более 3 рабочих дней с даты этого выявления;
- если достигнуты цели обработки персональных данных;
- если субъект персональных данных отозвал согласие на обработку его персональных данных;
- если субъект персональных данных обратился в Общество с требованием о прекращении обработки - в срок не более 10 рабочих дней с даты получения соответствующего требования. Этот срок может быть продлен, но не более чем на 5 рабочих дней, если Общество направит субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
8.4. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
8.5. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8.6. Уничтожение персональных данных.
8.6.1. Общество должно уничтожить персональные данные в следующих случаях и в следующие сроки: 
- если достигнуты цели обработки персональных данных либо утрачена необходимость их достижения - в срок не более 30 дней с даты достижения указанных целей, если иное не предусмотрено договором, соглашением, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- если субъект персональных данных или его представитель предъявил сведения, подтверждающие, что такие персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в срок не более 7 рабочих дней со дня представления таких сведений;
- если выявлена неправомерная обработка персональных данных при условии, что невозможно обеспечить ее правомерность, - в срок не более 10 рабочих дней с даты выявления неправомерной обработки;
- если субъект персональных данных отозвал согласие на обработку его персональных данных при условии, что сохранение таких данных более не требуется для целей их обработки, - в срок не более 30 дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, соглашением, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.6.2. Уничтожение осуществляется в следующем порядке:
При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных.
При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
При обработке персональных данных одновременно с использованием средств автоматизации и без использования средств автоматизации документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала.
Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
Уничтожение персональных данных осуществляет комиссия, созданная приказом директора, в следующем порядке:
- комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению;
- персональные данные на бумажных носителях уничтожаются с использованием уничтожителя бумаги (шредера). Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации;
- комиссия подтверждает уничтожение персональных данных актом об уничтожении персональных данных.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

9. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

9.1. Без письменного согласия субъекта персональных данных Общество не вправе раскрывать третьим лицам и передавать персональные данные, если иное не предусмотрено федеральным законом.
9.2. Передача информации, содержащей сведения о персональных данных работников, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
9.3. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Общества и в том количестве, который позволяет не разглашать излишний объем персональных сведений.
9.4 Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении, в том числе по незащищенным каналам связи (включая иностранные сегменты электронной почты, мессенджеры и социальные сети, серверы которых расположены за пределами территории Российской Федерации). 
9.5. Материальные носители персональных данных хранятся в шкафах (сейфах), запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. 
9.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
9.6. В Обществе используется сертифицированное (лицензионное) антивирусное программное обеспечение с регулярно обновляемыми базами, предназначенными для защиты компьютеров и других устройств от вредоносных программ.
9.7. С целью минимизации утечки информации по персональным данным сотрудниками технической службы обеспечивается установка и обслуживание лицензионного программного обеспечения; для возможности восстановления утраченной информации осуществляется ее резервное копирование.
9.8. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
9.9. В Обществе проводятся внутренние расследования в следующих ситуациях:
- при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в иных случаях, предусмотренных законодательством в области персональных данных.
9.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
- за соответствием указанных актов требованиям законодательства в области персональных данных.
9.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
9.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:
- об произошедшем инциденте, его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области утечки персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
9.11.2. В течение 72 часов Общество обязано сделать следующее:
- уведомить Роскомнадзор о результатах внутреннего расследования;
- предоставить сведения о лицах, действия которых стали причиной инцидента (при налич