ПОЛОЖЕНИЕ

о защите и обработке персональных данных работников

и иных лиц в ООО «Охранное агентство «Ирбис»

Настоящее Положение о защите и обработке персональных данных работников и иных лиц в ООО «Охранное Агентство «Ирбис» (далее – Положение) является локальным нормативным актом Общества с ограниченной ответственностью «Охранное Агентство «Ирбис» (далее – ООО ОА «Ирбис», Организация, работодатель) и регламентирует порядок обработки персональных данных работников в Организации, включая порядок хранения, передачи, блокирования и уничтожения персональных данных, меры по их защите и иные вопросы, связанные с обработкой персональных данных работников и иных субъектов персональных данных, указанных в Положении.

1. Общие положения
1.1. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими нормативными правовыми актами, а также принятой «__» ____________ 2025 года ООО ОА «Ирбис» Политикой обработки персональных данных в целях обеспечения защиты прав и свобод работников и иных лиц при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. В Положении используются термины и определения в соответствии с их значениями, закрепленными в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3. Положение обязательно для соблюдения всеми работниками Организации.
1.4. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, то есть любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.5. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
1.6. К субъектам персональных данных, на которых распространяется действие настоящего Положения, относятся работники Организации; соискатели (кандидаты для приема на работу в Организацию); бывшие работники Организации; клиенты (контрагенты) Организации, их представители.
1.7. Состав персональных данных по категориям субъектов персональных данных:
1.7.1. К персональным данным работников, включая бывших работников, обрабатываемым Организацией, относятся:
- фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве (подданстве);
- знание иностранного языка, сведения автобиографии;
- место постоянной и временной регистрации, место фактического проживания;
- вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа;
- ИНН;
- номер СНИЛС;
- реквизиты полиса ОМС;
- сведения о трудовой деятельности, в том числе сведения, включаемые в трудовую книжку, общий и трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, должность, сведения о назначенных пенсиях;
- сведения о доходах, размер заработной платы, в том числе с предыдущих мест работы;
- сведения о воинской обязанности, реквизиты военного билета;
- сведения об участии в боевых действиях и ликвидации чрезвычайных ситуаций;
- сведения о профессиональном образовании и повышении квалификации или наличие специальных знаний, профессия (специальность), данные аттестаций и характеристик, включая реквизиты документов об образовании;
- номер телефона, адрес электронной почты;
- сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции, о прохождении медицинских профилактических осмотров, о частной или временной нетрудоспособности;
- сведения о пребывании за границей;
- сведения об участии в выборных органах;
- сведения о поощрениях, взысканиях и наградах;
- данные для обеспечения льгот и гарантий;
- данные для обеспечения спецодеждой и средствами индивидуальной защиты;
- другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
1.7.2. К персональным данным соискателя (кандидата для приема на работу в Организацию), обрабатываемым Организацией, относятся:
- фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве (подданстве);
- знание иностранного языка, сведения автобиографии;
- место постоянной и временной регистрации, место фактического проживания;
- вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа;
- сведения о трудовой деятельности, в том числе сведения, включаемые в трудовую книжку, общий и трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, должность, сведения о назначенных пенсиях;
- сведения о доходах, размер заработной платы, в том числе с предыдущих мест работы;
- сведения о воинской обязанности, реквизиты военного билета;
- сведения об участии в боевых действиях и ликвидации чрезвычайных ситуаций;
- сведения о профессиональном образовании и повышении квалификации или наличие специальных знаний, профессия (специальность), данные аттестаций и характеристик, включая реквизиты документов об образовании;
- номер телефона, адрес электронной почты;
- сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции, о прохождении медицинских профилактических осмотров, о частной или временной нетрудоспособности;
- сведения о пребывании за границей;
- сведения об участии в выборных органах;
- сведения о поощрениях, взысканиях и наградах;
- данные для обеспечения льгот и гарантий;
- данные для обеспечения спецодеждой и средствами индивидуальной защиты;
- другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
1.7.3. К персональным данным клиентов (контрагентов) ООО ОА «Ирбис», их представителей, обрабатываемым Организацией, относятся:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- контактные данные;
- замещаемая должность;
- индивидуальный номер налогоплательщика;
- номер расчетного счета;
- иные персональные данные, предоставляемые клиентами и контрагентами, их представителями, необходимые для заключения и исполнения договоров.
1.8. К документам, содержащим персональные данные и обрабатываемым Организацией, кроме трудового договора, дополнительных соглашений к нему и приказов относительно субъекта персональных данных, относятся:
- комплект документов, сопровождающий процесс оформления трудовых отношений при приеме на работу, переводе, увольнении, в том числе копия документа, удостоверяющего личность, личная карточка работника по форме № Т-2, сведения о трудовой деятельности, копия свидетельства о заключении брака, копия свидетельства о рождении ребенка, копия военного билета, копия документа об образовании, копия СНИЛС, копия пенсионного удостоверения;
- комплект материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность, в том числе анкета, заполняемая работником (соискателем);
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела и трудовые книжки;
- дела, содержащие основания к приказу по личному составу;
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации;
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения и организации;
- документы, содержащие персональные данные, формируемые в рамках реализации Организацией своей деятельности в соответствии с Уставом ООО ОА «Ирбис».

2. Обработка персональных данных
2.1. Принципы и условия обработки персональных данных
2.1.1. Обработка персональных данных должна осуществляться с соблюдением следующих принципов:
- персональные данные должны обрабатываться на законной и справедливой основе;
- обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей, которым должны соответствовать содержание и объем обрабатываемых персональных данных. Обрабатывать можно только персональные данные, которые отвечают целям обработки;
- при обработке должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Организация должна принимать необходимые меры по удалению или уточнению неполных или неточных данных либо обеспечивать принятие таких мер;
- хранить персональные данные нужно в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные нужно уничтожить или обезличить по достижении целей обработки или если утрачена необходимость в достижении этих целей, при условии, что иное не предусмотрено федеральным законом.
Не допускается:
- обработка персональных данных, несовместимая с целями сбора персональных данных;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
2.1.2. Все персональные данные работника следует получать у него самого. Если их возможно получить только у третьей стороны, то работника необходимо уведомить об этом заранее и получить от него письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
2.1.3. Работник в случае изменения его персональных данных, подлежащих обработке работодателем, обязан известить его о таких изменениях в течение 3 рабочих дней с момента изменений.
2.1.4. Работодатель не имеет права:
- получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных законом;
- получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом;
- при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их электронного получения.
- получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
2.1.5. Персональные данные обрабатываются без использования средств автоматизации.
2.1.6. Лицо, ответственное за организацию обработки персональных данных, назначается приказом руководителя Организации.
2.1.7. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением Организацией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников Организации положения законодательства Российской Федерации о персональных данных, Политики обработки персональных данных, принятой «__» _________ 2025 года Организацией, настоящего Положения и иных локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, отслеживать изменения в них;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
- участвовать в комиссии по уничтожению персональных данных.
2.1.8. Получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные получены из документов (сведений), предъявляемых при заключении трудового договора либо по результатам обязательного предварительного медицинского осмотра;
- обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации;
- при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- при осуществлении пропускного режима на территории служебных зданий и помещений работодателя;
- при предоставлении сведений в кредитную организацию, обслуживающую платежные карты работников;
- в иных случаях, предусмотренных законодательством Российской Федерации.
2.1.9. Получение работодателем согласия на обработку персональных данных соискателя не требуется, когда от имени соискателя действует кадровое агентство, с которым соискатель заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
2.1.10. Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
2.1.11. Форма согласия работника на обработку персональных данных установлена в Приложении № 1 к настоящему Положению («Форма согласия работника на обработку персональных данных»). 
2.1.12. Форма согласия соискателя на обработку персональных данных установлена в Приложении № 2 к настоящему Положению («Форма согласия соискателя на обработку персональных данных»).

2.2. Хранение персональных данных
2.2.1. Хранение персональных данных, обрабатываемых без использования средств автоматизации:
2.2.1.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
2.2.1.2. Персональные данные, обрабатываемые без использования средств автоматизации, хранятся на следующих материальных носителях:
2.2.1.2.1. Бумажные носители, в том числе:
- трудовая книжка;
- журналы учета трудовых книжек;
- листки нетрудоспособности;
- табель учета рабочего времени;
- личная карточка Т-2;
- входящая и исходящая корреспонденция военного комиссариата, страховой компании, службы судебных приставов и других учреждений и организаций;
- приказы по личному составу;
- анкеты работников;
- локальные нормативные акты;
- другие внутренние документы Организации.
2.2.1.2.2. Электронные (машинные) носители персональных данных:
- база данных по учету работников Организации;
- жесткие диски;
- флеш-накопители;
- файловый сервер;
- персональный компьютер и другое.
2.2.1.3. При фиксации персональных данных на электронных носителях не допускается фиксация на одном электронном носителе персональных данных, цели обработки которых заведомо не совместимы.
В целях обработки различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним, а именно установка сейфов с замками для хранения материальных носителей с персональными данными.
2.2.1.4. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
2.2.2. Персональные данные хранятся в течение срока, установленного законодательством Российской Федерации. Персональные данные, для которых не установлен такой срок, хранятся в течение сроков, установленных Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Росархива от 20 декабря 2019 г. № 236.
2.2.3. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Организации). Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных законодательством Российской Федерации.
2.2.4. Персональные данные на бумажных носителях хранятся в специально предназначенных для этого предметах (шкафы, сейфы и другое).
2.2.5. Документы, находящиеся в работе лица, назначенного в установленном порядке ответственным за сбор, хранение и обработку персональных данных работников и иных лиц в ООО ОА «Ирбис» (далее – кадровый работник) могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся шкафы, сейфы и другое.
2.2.6. Документы соискателей, которые не были приняты на работу, хранятся в запирающихся шкафах в течение 1-го месяца; далее документы подлежат уничтожению.
2.2.7. Персональные данные на электронных носителях должны защищаться паролем доступа, доступ к специализированной программе осуществляется только через личный доступ - пароль, право на использование персональных данных имеют только работники, ответственные за обработку персональных данных (кадровый работник).

2.3. Передача персональных данных 
2.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора лицо, поступающее на работу, предъявляет:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника);
- медицинская справка о прохождении медицинского осмотра (при необходимости);
- водительское удостоверение, если это требуется для выполнения трудовых функций работника;
- другие документы.
2.3.2. При оформлении работника кадровым работником заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство (подданство), образование, профессия, стаж работы, состояние в браке, паспортные данные и другая информация);
- сведения о воинском учете;
- данные о приеме на работу;
- сведения об аттестации;
- сведения о повышенной квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и о контактных телефонах.
2.3.3. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;
- осуществлять передачу персональных данных работника в пределах одной организации в соответствии с Положением, с которым работник должен быть ознакомлен под роспись;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника его представителям в порядке, установленном законом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
2.3.4. Не требуется согласие работника на передачу персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Социальный фонд России в объеме, предусмотренном законом, налоговые органы, военные комиссариаты, в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;
- по мотивированному запросу органов прокуратуры, правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в случаях, связанных с исполнением работником должностных обязанностей (например, при направлении в командировку);
- для предоставления сведений в кредитную организацию, обслуживающую платежные карты работников;
- если обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
- при обработке персональных данных в целях исполнения трудового договора;
- при обработке персональных данных для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
- в иных случаях, предусмотренных законодательством Российской Федерации.
2.3.5. Организация осуществляет распространение персональных данных, разрешенных субъектом персональных данных для распространения, то есть действия, направленные на раскрытие персональных данных неопределенному кругу лиц, с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
2.3.6. Работодатель вправе обрабатывать персональные данные работников с их письменного согласия, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
2.3.7. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, адрес регистрации и фактического проживания;
- наименование (фамилию, имя, отчество) и адрес Организации, получающей согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Организацией способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
2.3.8. Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, установлена в Приложении № 4 к настоящему Положению («Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»).
2.3.9. Организация не осуществляет трансграничную передачу персональных данных.
2.3.10. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
2.3.11. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес Организации или ее представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные действующим законодательством Российской Федерации права субъекта персональных данных.
2.3.12. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (за исключением случаев, указанных в части 8 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»), в том числе содержащей:
- подтверждение факта обработки персональных данных Организацией;
- правовые основания и цели обработки персональных данных и применяемые Организацией способы их обработки;
- наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Организацией обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- иные сведения, предусмотренные федеральными законами.
Такие сведения должны быть предоставлены субъекту персональных данных Организацией в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Указанные сведения предоставляются субъекту персональных данных или его представителю Организацией в течение 10 рабочих дней с момента обращения либо получения Организацией запроса субъекта персональных данных или его представителя. Указанный срок можно продлить, но не более чем на 5 рабочих дней, если Организация направит в адрес субъекта персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
2.3.13. Лица, имеющие доступ к персональным данным:
2.3.13.1. Перечень лиц, имеющих доступ к персональным данным, обрабатываемым Организацией, в целях выполнения ими служебных (трудовых) обязанностей, утверждается приказом Организации.
2.3.13.2. Лица, имеющие доступ к персональным данным, обрабатываемым Организацией, в целях выполнения ими их трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.3.13.3. Работники Организации, имеющие доступ к персональным данным, включая лицо, ответственное за организацию обработки персональных данных, подписывают обязательство о неразглашении персональных данных работников по форме, установленной в Приложении № 3 к настоящему Положению («Форма обязательства о неразглашении персональных данных»).
2.3.14. Работник Организации имеет право:
2.3.14.1. Получать доступ к своим персональным данным и ознакомиться с ними.
2.3.14.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных персональных данных.
2.3.14.3. Получать от работодателя:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
2.3.14.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
2.3.14.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
2.3.15. Работник обязан:
2.3.15.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен действующим законодательством Российской Федерации.
2.3.15.2. Своевременно сообщать работодателю об изменении своих персональных данных в срок, не превышающий 3 рабочих дней с момента изменений.
2.3.15.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с разрешения кадрового работника, в случае отсутствия кадрового работника – у лица, исполняющего обязанности кадрового работника на время отсутствия последнего.

2.4. Блокирование и уничтожение персональных данных
2.4.1 Блокирование персональных данных:
2.4.1.1. Организация должна осуществить блокирование персональных данных в следующих случаях и в следующие сроки:
- в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных - с момента такого обращения или получения указанного запроса на период проверки;
- в случае выявления неточных (недостоверных) персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) - с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Организация на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных;
- в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 статьи 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» - до момента уничтожения.
2.4.1.2. Организация должна также прекратить обработку персональных данных в следующих случаях:
- если устранены причины, вследствие которых осуществлялась обработка специальных категорий персональных данных в случаях, предусмотренных частями 2 и 3 статьи 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», если иное не установлено федеральным законом;
- в случае выявления неправомерной обработки персональных данных, осуществляемой Организацией или лицом, действующим по поручению Организации, - в срок, не превышающий 3 рабочих дней с даты этого выявления;
- в случае достижения цели обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.
2.4.2. Уничтожение персональных данных
2.4.2.1. Организация должна уничтожить персональные данные в следующих случаях и в следующие сроки:
- при достижении целей обработки персональных данных либо в случае утраты необходимости достижения этих целей - в срок, не превышающий 3 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных либо если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами;
- при предъявлении субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, - в срок, не превышающий 7 рабочих дней со дня представления таких сведений;
- в случае выявления неправомерной обработки персональных данных, если невозможно обеспечить правомерность такой обработки, - в срок, не превышающий 3 рабочих дней с даты выявления неправомерной обработки. В случае невозможности устранения допущенных нарушений Организация в срок, не превышающий 3 рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей их обработки, - в срок, не превышающий 3 рабочих дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных, либо в случае, если Организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами;
- достижение максимальных сроков хранения документов, содержащих персональные данные, – в течение 30 дней.
2.4.2.2. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных.
2.4.2.3. Акт об уничтожении персональных данных подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
2.4.2.4. Акт об уничтожении персональных данных должен содержать:
- наименование и адрес Организации;
- в случае поручения Организацией обработки персональных данных другому лицу - наименование юридического лица или фамилию, имя, отчество (при наличии) физического лица, адрес такого лица;
- фамилию, имя, отчество (при наличии) субъекта или иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
- фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
- перечень категорий, уничтоженных персональных данных субъекта персональных данных;
- наименование уничтоженных материальных носителей, содержащих персональные данные субъекта персональных данных, с указанием количества листов в отношении каждого материального носителя в случае обработки персональных данных без использования средств автоматизации;
- наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
- способ уничтожения персональных данных;
- причину уничтожения персональных данных;
- дату уничтожения персональных данных субъекта персональных данных.

3. Защита персональных данных
3.1. Работодатель за счет своих средств обеспечивает защиту персональных данных работников от их неправомерного использования или утраты.
3.2. При обработке персональных данных для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Организация обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие, а именно:
- определять угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система);
- применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
- применять для уничтожения персональных данных средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, в составе которых реализована функция уничтожения информации;
- проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- вести учет машинных носителей персональных данных;
- обеспечивать обнаружение фактов несанкционированного доступа к персональным данным и принимать меры, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
- обеспечивать восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установить правила доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе;
- осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.
3.3. В целях обеспечения сохранности и конфиденциальности персональных данных работников Организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться кадровым работником, осуществляющим данную работу в соответствии со своими служебными обязанностями, зафиксированными в его должностной инструкции.
3.4. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Организации и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках Организации.
3.5. Передача информации, содержащей сведения о персональных данных работников Организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
3.6. Для обеспечения необходимого уровня защищенности персональных данных при их обработке в информационных системах установлены следующие меры:
- в помещения, в которых размещена информационная система персональных данных, доступ ограничен путем установления сигнализации.
- машинные носители персональных данных (персональные компьютеры, в которых содержатся персональные данные) защищены паролями доступа.
3.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Организация обязана с момента выявления такого инцидента им или Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Организацией на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
3.8. По факту неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, Организация должна провести внутреннее расследование и уведомить Роскомнадзор в течение 72 часов с момента установления указанного факта о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
3.9. Организация обязана в Порядке, утвержденном приказом ФСБ России от 13 февраля 2023 г. № 77, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3.10. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:
- на полную информацию об их персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- определять своих представителей для защиты своих персональных данных;
- требовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением требований закона. При отказе работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требовать у работодателя известить всех лиц, которым ранее сообщили неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите персональных данных.

4. Ответственность за нарушение норм,регулирующих обработку персональных данных
4.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

5. Заключительные положения
5.1. Положение вступает в силу с «___» ____________ 2025 года и применяется к отношениям, возникшим после введения его в действие. В отношениях, возникших до введения его в действие, Положение применяется к правам и обязанностям, возникшим после введения его в действие.
5.2. Положение либо отдельные его нормы прекращают свое действие по следующим причинам:
- отмена (признание утратившими силу) Положения либо отдельных его норм другим локальным нормативным актом;
- вступление в силу закона или иного нормативного правового акта, содержащего нормы трудового права, коллективного договора, соглашения (если указанные акты устанавливают более высокий уровень гарантий субъектам персональных данных по сравнению с установленным Положением).
5.3. При приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под подпись с Положением.
5.4. Перечень приложений к Положению:
- Приложение № 1. Форма согласия работника на обработку персональных данных;
- Приложение № 2. Форма согласия соискателя на обработку персональных данных;
- Приложение № 3. Форма обязательства о неразглашении персональных данных работников;
- Приложение № 4. Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

ПОЛИТИКА

ООО «Охранного агентства «Ирбис» в отношении обработки персональных данных

1. Общие положения
1.1. Настоящая Политика ООО «Охранного агентства «Ирбис» в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «Охранное Агентство «Ирбис» (далее – ООО ОА «Ирбис», Оператор).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО ОА «Ирбис» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели обработки персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
- осуществление своей деятельности в соответствии с уставом ООО ОА «Ирбис», в том числе заключение и исполнение договоров с контрагентами;
- исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;
- осуществление пропускного режима.
2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08 февраля 1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 11 марта 1992 г. № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»;
- Федеральный закон от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15 декабря 2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
- устав ООО ОА «Ирбис»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.

4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Соискатели (кандидаты для приема на работу к Оператору) – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
- фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве (подданстве);
- знание иностранного языка, сведения автобиографии;
- место постоянной и временной регистрации, место фактического проживания;
- вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа;
- серия, номер удостоверения частного охранника, документа о повышении квалификации частного охранника, медицинского заключения об отсутствии медицинских противопоказаний к исполнению обязанностей частого охранника; 
- сведения о трудовой деятельности, в том числе сведения, включаемые в трудовую книжку, общий и трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, должность, сведения о назначенных пенсиях;
- сведения о доходах, размер заработной платы, в том числе с предыдущих мест работы;
- сведения о воинской обязанности, реквизиты военного билета;
- сведения об участии в боевых действиях и ликвидации чрезвычайных ситуаций;
- сведения о профессиональном образовании и повышении квалификации или наличие специальных знаний, профессия (специальность), данные аттестаций и характеристик, включая реквизиты документов об образовании;
- номер телефона, адрес электронной почты;
- сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции, о прохождении медицинских профилактических осмотров, о частной или временной нетрудоспособности;
- сведения о пребывании за границей;
- сведения об участии в выборных органах;
- сведения о поощрениях, взысканиях и наградах;
- данные для обеспечения льгот и гарантий;
- данные для обеспечения спецодеждой и средствами индивидуальной защиты;
- другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
4.2.2. Работники и бывшие работники Оператора – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
- фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве (подданстве);
- знание иностранного языка, сведения автобиографии;
- место постоянной и временной регистрации, место фактического проживания;
- вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа;
- индивидуальный номер налогоплательщика;
- номер СНИЛС;
- реквизиты полиса ОМС;
- сведения о трудовой деятельности, в том числе сведения, включаемые в трудовую книжку, общий и трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, должность, сведения о назначенных пенсиях;
- сведения о доходах, размер заработной платы, в том числе с предыдущих мест работы;
- сведения о воинской обязанности, реквизиты военного билета;
- сведения об участии в боевых действиях и ликвидации чрезвычайных ситуаций;
- сведения о профессиональном образовании и повышении квалификации или наличие специальных знаний, профессия (специальность), данные аттестаций и характеристик, включая реквизиты документов об образовании;
- серия, номер удостоверения частного охранника, документа о повышении квалификации частного охранника, медицинского заключения об отсутствии медицинских противопоказаний к исполнению обязанностей частого охранника;
- номер телефона, адрес электронной почты;
- сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции, о прохождении медицинских профилактических осмотров, о частной или временной нетрудоспособности;
- сведения о пребывании за границей;
- сведения об участии в выборных органах;
- сведения о поощрениях, взысканиях и наградах;
- данные для обеспечения льгот и гарантий;
- данные для обеспечения спецодеждой и средствами индивидуальной защиты;
- другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
4.2.3. Клиенты и контрагенты Оператора (их представители) – для целей реализации своей деятельности в соответствии с уставом ООО ОА «Ирбис», осуществления пропускного режима:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- контактные данные;
- замещаемая должность;
- индивидуальный номер налогоплательщика;
- номер расчетного счета;
- иные персональные данные, предоставляемые клиентами и контрагентами (их представителями), необходимые для заключения и исполнения договоров.
4.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется (при необходимости) в соответствии с законодательством Российской Федерации.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Персональные данные обрабатываются без использования средств автоматизации.
5.4. К обработке персональных данных допускаются работники Оператора, назначенные в установленном порядке ответственными за организацию обработки персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в пункте 2.3 настоящей Политики, осуществляется путем:
получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
внесения персональных данных в журналы, реестры и информационные системы Оператора;
использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены приказом Роскомнадзора от 24 февраля 2021 г. № 18.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.9.1. Персональные данные на бумажных носителях хранятся в ООО ОА «Ирбис» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденный приказом Росархива от 20 декабря 2019 г. № 236).
5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.10. Оператор прекращает обработку персональных данных в следующих случаях:
- выявлен факт их неправомерной обработки. Срок – в течение 3 рабочих дней с даты выявления;
- достигнута цель их обработки;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или, поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.12. При обращении субъекта персональных данных к Оператору  с требованием о прекращении обработки персональных данных в срок, не превышающий 3 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных.
5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

6. Актуализация, исправление, удаление, уничтожение
персональных данных, ответы на запросы субъектов на доступ
к персональным данным
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа  к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным  с инцидентом;
в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.5. Порядок уничтожения персональных данных Оператором.
6.5.1. Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в срок, не превышающий 3 рабочих дней с даты достижения цели обработки персональных данных;
- достижение максимальных сроков хранения документов, содержащих персональные данные, – в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в срок, не превышающий 7 рабочих дней со дня представления такого подтверждения;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в срок, не превышающий 3 рабочих дней с даты поступления отзыва.
6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или, поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором  и субъектом персональных данных.
6.5.3. Документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных (при обработке персональных данных без использования средств автоматизации).
6.5.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.

СОГЛАСИЕ

на обработку персональных данных

Настоящим во исполнение требований Федерального закона «О персональных данных» № 152 от 27.07.2006 даю конкретное, предметное, информированное, сознательное и однозначное согласие на обработку своих персональных данных ООО «Охранное агентство «Ирбис» (ИНН 7604369366, ОГРН 12076000015875, далее - Оператор), находящемуся по адресу: 150054, г. Ярославль, ул. Чехова, д. 2, офис 69, на следующих условиях:
- цель предоставления и обработки персональных данных: консультирование, заключение и исполнение договорных обязательств по предоставлению комплекса охранных услуг (далее – Услуга), ведение бухгалтерского учета, формирование статистических отчетов, а также обеспечения соблюдения законов и иных нормативных правовых актов. 
Перечень персональных данных, передаваемых Оператору: фамилия, имя, отчество, гражданство, пол, возраст, дата и место рождения, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, адрес регистрации по месту жительства, адрес фактического проживания, идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета, номер телефона, адрес электронной почты, биометрические персональные данные (фотографии).
Разрешаю Оператору производить автоматизированную, а также осуществляемую без использования средств автоматизации обработку моих персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В случаях, установленных законодательством Российской Федерации, Оператор имеет право передать персональные данные правоохранительным, судебным органам и органам государственной власти по их официальному запросу.
Срок обработки персональных данных: до прекращения правоотношений между Оператором и Субъектом персональных данных либо до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.
Субъект персональных данных по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных.
Обработка персональных данных начинается с момента получения персональных данных. После заполнения всех данных для подачи заявки, лицо, желающее получить Услугу, подтверждает правильность и достоверность указанных им данных и выражает желание подать заявку путем активации поля такого типа как «Далее» или иного, аналогичного ему по функциональному назначению. Одновременно лицо проставляет знак «V» напротив граф такого типа как «Ясогласен с Политикой обработки персональных данных» / «Я даю согласие на обработку персональных данных».
Субъект персональных данных вправе отозвать настоящее согласие на обработку своих персональных данных, письменно уведомив об этом Оператора.