ПОЛИТИКА в отношении обработки персональных данных субъектов персональных данных
(в ред. от 01 сентября 2022г.)

1 Общие положения
        1.1 Назначение документа
Настоящая политика в отношении обработки персональных данных субъектов ПДн (далее – Политика) является основополагающим внутренним документом, регулирующим вопросы обработки персональных данных субъектов ПДн в Обществе с ограниченной ответственностью «ОРАПРО» (далее – Общество). Действие настоящей Политики не распространяется на обработку персональных данных сотрудников Общества, их родственников, соискателей вакантных должностей, иных субъектов ПДн прямо не обозначенных в настоящей Политике, поскольку эти отношения регулируются другими внутренними нормативными актами.
Настоящая Политика разработана в соответствии с пп. 2 ч. 1 статьи 18.1 Федерального закона от 27 июля 2006 года №152 «О персональных данных» и предназначена для ознакомления неограниченного круга лиц путём опубликования на официальном сайте Общества www.petg.ru.
Политика раскрывает категории персональных данных субъектов ПДн, обрабатываемых в Обществе, цели, способы и принципы обработки, права субъектов ПДн, а также перечень мер, применяемых Обществом в целях обеспечения безопасности ПДн.
Настоящая Политика определяет порядок и условия осуществления обработки персональных данных субъектов ПДн, устанавливает процедуры, направленные на обеспечение безопасности персональных данных и предотвращение нарушений законодательства Российской Федерации, устранение последствий нарушений.
Руководство Общества осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных.
Положения настоящей Политики являются основой для разработки внутренних нормативно-методических документов, регламентирующих вопросы обработки и защиты персональных данных в Обществе.
Утверждение и пересмотр Политики проводится каждые три года, а также:
    • при изменении нормативной базы, затрагивающей принципы и (или) процессы обработки персональных данных в Обществе;
    • при создании новых или внесении изменений в существующие процессы обработки персональных данных субъектов ПДн;
    • по результатам контрольных мероприятий по выполнению требований законодательства РФ о персональных.
        1.2  Нормативные ссылки
Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013г. №21 «Об утверждении состава и содержания организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и иные нормативные и ненормативные правовые акты, регулирующие вопросы обработки персональных данных. 
        1.3  Область действия
Действие настоящей Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка персональных данных субъектов ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств. Настоящая Политика распространяется в том числе непосредственно на Сайт, на поддомены Сайта, иные сайты, принадлежащие Обществу, и на информацию, получаемую с их помощью.
Настоящая Политика применяется в частности, но не ограничиваясь:
- при навигации на Сайте без совершения заказа на оказание услуг, а также при пользовании Сервисами, предложенными на Сайте,  в том числе без выполнения регистрации на Сайте; 
- при выполнении регистрации на Сайте; 
- при оформлении заказа на Сайте или в офисе Общества;
- при ином использовании Сайта в соответствии с Пользовательским соглашением.
        1.4  Используемые сокращения
ИСПДн – информационная система персональных данных.
Общество – ООО «ОРАПРО».
ПДн – персональные данные.
РФ – Российская Федерация.
Сайт –  www.petg.ru и иные сайты, которые принадлежат  ООО «ОРАПРО и на которых размещена настоящая Политика или ссылка на нее.
        1.5  Используемые термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 
Конфиденциальность персональных данных – Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – ООО «ОРАПРО» (ОГРН 1197746083303, ИНН 7716931490, 129281, г. Москва, Олонецкий проезд, дом 4, корпус 2, комната 18, этаж 4).
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), являющаяся конфиденциальной информацией ограниченного доступа, не составляющей государственную тайну.
Пользователь — физическое лицо, действующее в своих интересах или в интересах других лиц, акцептовавшее Пользовательское соглашение, размещенное на Сайте, имеющее доступ к Сайту и использующее его, независимо от факта регистрации на Сайте.
Сайт – совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ и сети Интернет.  Сайт Оператора, который находится в сети Интернет по адресу www.petg.ru. и иные сайты, которые принадлежат  ООО «ОРАПРО, и на которых размещена настоящая Политика или ссылка на нее.
Субъект персональных данных – физическое лицо, носитель персональных дынных, чьи персональные данные переданы Обществу для обработки. Применительно к настоящей Политике к субъектам ПДн относятся: Клиент, Пользователь, физическое лицо, чьи ПДн получены Обществом от Заказчика услуг Общества.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Использование персональных данных - действия с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта персональных данных или других лиц либо иными образом затрагивающих права и свободы Субъекта персональных данных или других лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.  Основные нормативные положения
        2.1  Принципы обработки персональных данных 
Обществом обеспечивается правомерность обработки ПДн субъектов ПДн, а также надлежащий уровень безопасности обрабатываемых ПДн.
Обработка ПДн субъектов ПДн в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. 
Обработке подлежат только те ПДн субъектов ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.
Обществом обеспечивается точность обрабатываемых ПДн субъектов ПДн, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки. Общество принимает и обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных ПДн субъектов ПДн. 
Общество в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию во время взаимодействия с Обществом, извещает представителей Общества об изменении своих данных.
Общество хранит ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, и, уничтожает ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
        2.2  Цели обработки персональных данных, Категории ПДн, Перечень ПДн, Категория субъектов ПДн, Способы обработки и хранения ПДн, Сроки обработки и хранения ПДн, Порядок уничтожения
Общество руководствуется конкретными, заранее определенными целями обработки ПДн, в соответствии с которыми ПДн были предоставлены субъектом ПДн. Цели обработки персональных данных, Категории ПДн, Перечень ПДн, Категория субъектов ПДн, Способы обработки и хранения ПДн, Сроки обработки и хранения ПДн, Порядок уничтожения приведены в Табличной части Политики (Приложение 3). 
В Обществе не осуществляется обработка ПДн клиентов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных.
        2.3 Правовые основания обработки персональных данных 
Обработка ПДн субъектов ПДн осуществляется на основании:

• Гражданского кодекса РФ (гл.39 ГК РФ);
• Налогового кодекса РФ;
• Устава Общества;
• Договоров, заключенных между Обществом и субъектом ПДн, в том числе, но не ограничиваясь, опубликованные Оферты и Пользовательское соглашение, размещенное на Сайте;
• Согласия субъекта ПДн на обработку ПДн.

3.  Порядок и условия обработки персональных данных субъектов пдн 
Оператор получает ПДн субъектов ПДн:

• путем личного сообщения клиентом своих данных при оформлении доставки в офисе;
• путем внесения клиентом/Пользователем своих данных на Сайте;
• путем заполнения субъектом ПДн маркетинговых листовок (купонов);
• от третьих лиц (клиентов, контрагентов);

Оператор получает и начинает обработку персональных данных субъекта ПДн с момента возникновения правового основания для обработки.
Согласие на обработку ПДн может быть дано субъектом ПДн в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом ПДн конклюдентных действий.
В случае внесения субъектом ПДн своих данных на Сайте, согласие на обработку ПДн считается предоставленным субъектом ПДн посредством совершения им следующих конклюдентных действий в совокупности: путем проставления специального знака – «галочки» или «веб-метки» в специальном поле на Сайте при заказе обратного звонка, при обращении в форме обратной связи и нажатия соответствующей кнопки расценивается однозначно, как принятие условий Пользовательского соглашения и предоставление согласия на обработку ПДн в объеме, для целей и в порядке, предусмотренных в предлагаемом перед проставлением специального знака для ознакомления тексте (текст Согласия - Приложение № 2). Согласие считается полученным с момента проставления специального знака и действует до момента направления Субъектом ПДн соответствующего заявления о прекращении обработки ПДн по месту нахождения Оператора.
В случае заполнения субъектом ПДн маркетинговых листовок, ставя подпись, Субъект ПДн выражает свое согласие на принятие условий Публичной оферты, изложенных в Договоре возмездного оказания курьерских услуг и Регламенте возмездного оказания курьерских услуг, размещенных на Сайте, что означает в том числе и согласие на обработку ПДн. Договор действует с момента его заключения и до момента его расторжения, отказ от исполнения договора может быть направлен субъектом ПДн по месту нахождения Оператора.
В случае получения ПДн от третьих лиц (клиентов, контрагентов) обязанность по получению согласий на обработку и передачу таких ПДн лежит на этих третьих лицах. 
В случае отсутствия правового основания для обработки ПДн, обработка ПДн Субъекта не осуществляется.
ПДн не могут быть использованы в целях причинения имущественного и морального вреда субъектам  ПДн, затруднения реализации прав и свобод граждан РФ.
Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение ПДн с использованием баз данных, находящихся на территории Российской Федерации. 
Общество в ходе своей деятельности поручает обработку ПДн третьим лицам с согласия субъектов ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, при обязательном условии соблюдения лицом, осуществляющим обработку ПДн по поручению Общества, принципов и правил обработки, а также обеспечения безопасности ПДн, установленных законодательством Российской Федерации. 
В поручении на обработку персональных данных в обязательном порядке определяются:

• перечень ПДн, перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, при этом перечень действий не должен противоречить целям и действиям, заявленным перед Субъектом персональных данных в договоре с Обществом, согласии и иных документах;
• обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
• обязанность по запросу Общества в течение срока действия поручения предоставить документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований. Установленных законодательством;
• обязанность обеспечивать безопасность ПДн при их обработке;
• требования к защите персональных данных;
• порядок и сроки уведомления оператора в отношении инцидентов с ПДн;
• ответственность.

Общество не размещает ПДн субъектов ПДн в общедоступных источниках.
С целью обеспечения безопасности ПДн при их обработке Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
В Обществе назначен ответственный за организацию обработки ПДн, который получает указания непосредственно от генерального директора Общества и подотчетен ему.
Перечень лиц, допущенных к обработке ПДн, определяется распоряжением Исполнительного органа и внутренними локальным нормативными актами Общества. Указанные лица в обязательном порядке до начала работы ознакамливаются:

• с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к порядку защиты ПДн;
• с документами, определяющими действия Оператора в отношении обработки ПДн, в том числе с настоящей Политикой и Положением об обработке и защите ПДн с приложениями и изменениями;
• с локальными актами по вопросам обработки ПДн.

Доступ к ПДн субъектов ПДн предоставляется сотрудникам Оператора в соответствии с их должностными обязанностями. Сотрудники Оператора, осуществляющие обработку ПДн субъектов ПДн, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Оператора. Сотруднику Общества, имеющему право осуществлять обработку ПДн субъектов ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе в установленном порядке. Сведения о присвоенных Сотруднику идентификаторах (логин и пароль) относятся к конфиденциальным и не подлежат передаче Сотрудником третьим лицам. Сотрудник обеспечивает соблюдение требований о конфиденциальности и несет риск последствий, связанных с нарушением таких требований. Процедура аутентификации осуществляется техническим центром Оператора при осуществлении доступа сотрудника в информационную систему путем сопоставления введенных логина и пароля соответствующим присвоенным сотруднику логину и паролю, информация о которых содержится в информационной системе. В случае успешного прохождения процедуры аутентификации Сотрудник получает возможность осуществления операций с ПДн субъекта ПДн в информационной системе. Сотрудник Оператора, имеющий доступ к ПДн в связи с исполнением трудовых обязанностей, обеспечивает хранение информации, содержащей ПДн субъектов ПДн, исключающее доступ к ним третьих лиц. В отсутствие сотрудника на его рабочем месте не должно находиться документов, содержащих ПДн. При уходе в отпуск, служебную командировку и иных случаях длительного отсутствия сотрудника на рабочем месте, он обязан передать документы и иные носители, содержащие ПДн лицу, на которое локальным актом Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие ПДн Субъектов, передаются другому сотруднику, имеющему доступ к ПДн по указанию руководителя соответствующего структурного подразделения Оператора. При увольнении сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому сотруднику, имеющему доступ к ПДн по указанию руководителя структурного подразделения и с уведомлением лица, ответственного за обработку ПДн.
Хранение ПДн субъектов ПДн, цели обработки которых различны, осуществляется раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Оператора.
Хранение ПДн субъектов ПДн осуществляется Обществом в форме, позволяющей определить субъекта ПДн.
Обработка и хранение ПДн осуществляются  не дольше, чем этого требуют цели обработки ПДн, если отсутствуют законные основания для дальнейшей обработки, например, если срок хранения ПДн установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн или согласием субъекта ПДн. 
Обрабатываемые ПДн подлежат уничтожению по достижении целей работки или в случае утраты необходимости в достижении этих целей.
Оператор не осуществляет действий, направленных на раскрытие ПДн неопределенному кругу лиц.

4.  Обработка запросов субъектов персональных данных

Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Обществе разработан и введён порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области персональных данных.
Данный порядок обеспечивает соблюдение следующих прав субъекта ПДн:

• право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
• подтверждение факта обработки ПДн; 
• правовые основания и цели обработки ПДн;
• цели и применяемые Обществом способы обработки ПДн;
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании иных требований Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»; 
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
• информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими требованиями законодательства в области персональных данных;
• информацию о способах исполнения Оператором обязанностей, установленных ст.18.1. Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
• Указанные выше сведения предоставляются Субъекту ПДн в течение 10 рабочих дней с момента обращения либо получения оператором запроса Субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более, чем на 5 рабочих дней в случае направления Оператором а адрес Субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
• право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.