Политика в отношении обработки персональных данных

УТВЕРЖДЕНО
приказом директора колледжа
от 28 августа 2025 г. № 68

1. Общие положения

1.1. Настоящая Политика определяет в автономной некоммерческой организации профессионального образования «Калининградский бизнес колледж» (далее — Колледж), как в организации, являющейся оператором персональных данных (далее — Оператор), общие принципы и правила обработки персональных данных, а также состав обрабатываемых Колледжем персональных данных и цели их обработки.

1.2. Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — федеральный закон).

2. Цели обработки и состав обрабатываемых персональных данных

2.1. Персональные данные обрабатываются с целью осуществления действий, связанных с уставной деятельностью Колледжа.

2.2. Категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных определены в Приложении к настоящей Политике, которое является неотъемлемой частью настоящей Политики.

3. Принципы обработки персональных данных

3.1. Колледж осуществляет обработку персональных данных на законной и справедливой основе, в составе, достаточном и необходимом для достижения заявленных целей обработки.

3.2. Правовым основанием для обработки персональных данных в Колледже является конкретное, предметное, информированное, сознательное и однозначное согласие субъекта персональных данных (далее — Субъект) на обработку персональных данных, предоставляемое Субъектом Колледжу свободно, своей волей и в своем интересе, в любой форме, позволяющей подтвердить факт его получения.

3.3. Обработка персональных данных без согласия Субъекта (в том числе в случае отзыва или истечения срока действия такого согласия) в Колледже не осуществляется, за исключением случаев, в которых возможность такой обработки установлена Трудовым кодексом Российской Федерации и (или) федеральным законодательством.

3.4. Колледж в установленном федеральным законом порядке уведомляет уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Калининградской области) об осуществлении обработки персональных данных, об условиях, целях и способах такой обработки, о составе обрабатываемых персональных данных и о принимаемых мерах защиты персональных данных, а также об изменении данных сведений.

3.5. Колледж самостоятельно принимает меры по обеспечению достаточности, точности и актуальности обрабатываемых персональных данных по отношению к целям их обработки.

3.6. Обработка персональных данных в Колледже осуществляется как автоматизированным способом в информационных системах персональных данных, так и без использования средств автоматизации.

4. Получение и обработка персональных данных

4.1. Все обрабатываемые персональные данные Колледж получает непосредственно от Субъекта, либо от третьих лиц с согласия Субъекта.

4.2. В случае, если Субъект не обладает полной гражданской дееспособностью по причине несовершеннолетия, установления над ним опеки или попечительства, либо в связи с обстоятельствами иного характера, Колледж вправе получить персональные данные Субъекта от его законного представителя, при этом законный представитель самостоятельно принимает решение о предоставлении персональных данных Субъекта и дает Колледжу согласие на их обработку от своего имени.

4.3. При получении персональных данных от законного представителя Субъекта Колледж имеет право и обязан проверить полномочия законного представителя на передачу персональных данных Субъекта и предоставления согласия на их обработку.

4.4. Субъект либо его законный представитель имеют право по собственному желанию отозвать свое согласие на обработку персональных данных, уведомив об этом Колледж в письменном заявлении. Отзыв согласия на обработку персональных данных равнозначен требованию прекращения обработки таких данных. Колледж обязуется прекратить обработку персональных данных Субъекта с момента поступления заявления об отзыве согласия на их обработку.

4.5. В случае, если Колледж поручает обработку персональных данных стороннему лицу, Колледж обязуется заключить с таким лицом договор либо контракт о поручении осуществлять обработку персональных данных, а передачу персональных данных для такой обработки осуществлять исключительно с отдельно оформленного согласия Субъекта, если иной порядок не предусмотрен федеральным законом.

4.6. Колледж несет ответственность перед Субъектом за действия лица, которому поручена обработка персональных данных.

4.7. Перед получением персональных данных Субъекта у третьей стороны, Колледж обязуется уведомить Субъекта о данном намерении. Получение персональных данных у третьей стороны допускается исключительно с письменного согласия Субъекта, оформленного отдельно.

4.8. Вступая в договорные отношения с Субъектом, Колледж не вправе включать в договор или контракт положения, прямо или косвенно ограничивающие предусмотренные федеральным законом права Субъекта.

4.9. Колледж не осуществляет обработку персональных данных о частной жизни, политических, религиозных и иных убеждениях, членстве в общественных объединениях или его профсоюзной деятельности Субъектов.

4.10. Колледж осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных исключительно с использованием баз данных, размещенных на территории Российской Федерации.

5. Хранение персональных данных

5.1. Колледж осуществляет хранение персональных данных как на бумажных (материальных), так и на электронных носителях информации.

5.2. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект.

6. Передача персональных данных

6.1. При передаче персональных данных третьим сторонам Колледж руководствуется следующими принципами:

• персональные данные передаются третьей стороне исключительно с письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных Трудовым кодексом и федеральным законодательством;
• лица, получающие персональные данные Субъекта, обязуются соблюдать требования к конфиденциальности персональных данных и использовать персональные данные только в тех целях, для которых они сообщены;
• передача персональных данных в коммерческих целях без письменного согласия Субъекта не осуществляется;
• персональные данные Субъекта могут быть переданы его законным представителям в порядке, установленном Трудовым кодексом Российской Федерации, в составе, достаточном и необходимом для выполнения указанными представителями их функций;
• запросы третьих лиц на получение у Колледжа персональных данных Субъектов регистрируются в целях контроля правомерности использования данной информации получившими ее лицами.

6.2. Колледж имеет право без согласия Субъекта передавать его персональные данные третьим лицам по их запросу, в случае если права и обязанности таких лиц по доступу к персональным данным установлены федеральным законодательством.

7. Распространение персональных данных

7.1. Размещение персональных данных Субъектов в общедоступных источниках (в том числе на веб-сайтах и информационных стендах), а равно распространение таких персональных данных неограниченному кругу лиц, осуществляется Колледжем исключительно с отдельно оформленного письменного согласия Субъекта на обработку персональных данных, разрешенных для распространения, предусматривающего возможность установления Субъектом условий и запретов, связанных с распространением его персональных данных.

7.2. Согласие на распространение персональных данных Колледж получает непосредственно от Субъекта.

7.3. Колледж обязуется прекратить распространение персональных данных в случае поступления от Субъекта соответствующего требования.

7.4. Установленные Субъектом условия и запреты на обработку персональных данных, разрешенных для распространения, недействительны в случае, если распространение персональных данных неограниченному кругу лиц осуществляется в государственных интересах, определенных законодательством Российской Федерации.

7.5. Размещение изображений Субъекта, включая фотографии, видеозаписи, произведения изобразительного искусства, на официальном сайте Колледжа допускается без согласия Субъекта в следующих случаях:

• использование изображения осуществляется в государственных, общественных или иных публичных интересах;
• изображение Субъекта получено при съемке, проведенной в местах свободного посещения или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования.

7.6. В целях информационного обеспечения в Колледже могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги, другие документы), в которые с согласия Субъекта могут быть включены его персональные данные.

7.7. Колледж обязуется в любое время исключить сведения о Субъекте из общедоступных источников персональных данных по требованию Субъекта либо по решению суда или иных уполномоченных органов.

8. Уничтожение персональных данных

8.1. Уничтожение персональных данных в Колледже осуществляется в течение 3 (трех) дней с момента выполнения одного из следующих условий:

• достижения цели обработки персональных данных;
• утраты необходимости в достижении цели обработки персональных данных;
• отзыва Субъектом согласия на обработку своих персональных данных;
• поступления требования от Субъекта или уполномоченного органа по защите прав субъектов персональных данных в случае выявления неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

8.2. Уничтожение персональных данных осуществляется по решению созданной в Колледже комиссии. При уничтожении персональных данных оформляется акт об уничтожении с подписью ответственных за уничтожение лиц.

8.3. Хранение актов об уничтожении персональных данных осуществляется течение 3 (трех) лет. По истечении срока хранения уничтожение таких актов осуществляется в срок, указанный в п. 8.1, при этом повторно акты об уничтожении на содержащиеся в них персональные данные не составляются.

8.4. Равнозначным акту об уничтожении персональных данных на бумажном носителе является акт об уничтожении в электронной форме, подписанный электронной подписью в соответствии с законодательством Российской Федерации.

8.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 8.1, Колледж осуществляет блокирование таких персональных данных и обеспечивает их дальнейшее уничтожение в срок не более чем 6 (шесть) месяцев.

8.6. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

8.7. После уничтожения персональных данных Колледж в течение десяти рабочих дней направляет Субъекту уведомление об уничтожении персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, направляет уведомление об уничтожении персональных данных в уполномоченный орган по защите прав субъектов персональных данных.

9. Обеспечение безопасности персональных данных

9.1. Колледж принимает организационные и технические меры по обеспечению безопасности обрабатываемых персональных данных в соответствии с требованиями федерального законодательства в области защиты информации, а также нормативных и руководящих документов Федеральной службы по техническому и экспортному контролю Российской Федерации (далее — ФСТЭК России) и Федеральной службы безопасности Российской Федерации (далее — ФСБ России).

9.2. Организационные меры по защите персональных данных, принимаемые Колледж, включают:

• назначение из числа работников Колледжа лиц, ответственных за выполнение организационных и технических мероприятий по защите персональных данных;
• издание локальных нормативных актов и организационно-распорядительных документов, регламентирующих порядок обеспечения безопасности персональных данных, права, обязанности, ответственность и порядок действий работников, непосредственно задействованных в обработке персональных данных, с обязательным ознакомлением таких лиц с данными документами;
• заключение с работниками, осуществляющими обработку персональных данных, соглашения о неразглашении персональных данных, ставших известными таким работниками при исполнении должностных обязанностей;
• заключение со сторонними организациями, осуществляющими обработку персональных данных по поручению Колледжа, договоров поручения на обработку персональных данных, содержащих положения, регламентирующие обязанности и ответственность таких организаций в части обеспечения конфиденциальности персональных данных;
• проведение периодических внутренних проверок информационной безопасности;
• проведение регулярного инструктажа работников, задействованных в обработке персональных данных, в части правил обработки и защиты персональных данных.

9.3. Технические меры по защите персональных данных, принимаемые Колледжем, включают:

• выявление актуальных угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных, в соответствии с нормативными и методическими документами ФСТЭК России;
• обеспечение физической защиты помещений, в которых осуществляется обработка персональных данных, от несанкционированного проникновения;
• обеспечение защиты технических средств информационных систем персональных данных и материальных носителей персональных данных от воздействия негативных факторов природного и техногенного характера;
• разграничение прав доступа работников к обрабатываемым персональным данным в соответствии с локальными нормативными актами Колледжа;
• применение средств криптографической защиты информации, прошедших процедуру сертификации по требованиям ФСБ и ФСТЭК России, при передаче персональных данных по сети Интернет;
• применение средств защиты информации от несанкционированного доступа, прошедших процедуру сертификации по требованиям ФСТЭК России;
• применение средств антивирусной защиты обеспечения с целью выявления и предотвращения реализации угроз безопасности информации, связанных с использованием вредоносного программного обеспечения;
• обеспечение внутриобъектового и пропускного режима на территории Колледжа.

10. Обработка персональных данных на официальном сайте Колледжа

10.1. Под официальным веб-сайтом Колледжа (далее — Официальный сайт) в рамках настоящей Политики подразумевается совокупность информационных ресурсов, доступных в сети Интернет по протоколу https на домене student39.ru и всех его поддоменах.

10.2. Обработка персональных данных с помощью Официального сайта осуществляется с целью приема обращений, осуществления обратной связи, регистрации пользователей на Официальном сайте, а также улучшения качества работы Официального сайта и его содержания.

10.3. Субъектами персональных данных, обрабатываемых с помощью Официального сайта, являются физические лица (далее — Пользователи), самостоятельно инициирующие обращение к Официальному сайту с помощью средств вычислительной техники и получающие доступ к размещенным на нем публичным информационным ресурсам.

10.4. Колледж осуществляет обработку персональных данных Пользователей в следующем составе:

• фамилия, имя, отчество;
• адрес электронной почты;
• логин и пароль;
• контактный номер телефона;
• данные о предпочтениях Пользователя и его действиях на Официальном сайте, получаемые посредством использования сервиса сбора интернет-статистики «Яндекс.Метрика»;
• обезличенные данные об идентификации технических средств пользователя и параметрах подключения к сетям общего пользования, автоматически получаемые при подключении Пользователя к Официальному сайту.

10.5. Пользователи Официального сайта самостоятельно осуществляют передачу Колледжу своих персональных данных, за исключением статистических и обезличенных, путем заполнения специализированных форм отправки персональных данных, размещенных на Официальном сайте.

10.6. Получение статистических и обезличенных персональных данных Пользователей осуществляется в автоматическом режиме.

10.7. Колледж обязан разместить на Официальном сайте в открытом доступе:

• настоящую Политику;
• текст согласия Пользователя на обработку его персональных данных.

10.8. Каждая специализированная форма сбора персональных данных, размещенная на Официальном сайте, снабжена гиперссылками, позволяющими пользователям ознакомиться с настоящей Политикой и текстом согласия Пользователя на обработку персональных данных.

10.9. Пользователь, получая доступ к Официальному сайту, обязуется ознакомиться с указанными документами и прекратить использование Официального сайта в случае своего несогласия с настоящей Политикой либо отказа предоставить согласие на обработку своих персональных данных в соответствии с опубликованной на Официальном сайте формой такого согласия.

10.10. Обрабатывая персональные данные Пользователей, Колледж предполагает, что Пользователь сознательно использует Официальный сайт от своего имени, указывает достоверные сведения о себе в объеме, не превышающем предусмотренный специализированными формами, сознательно определяет и контролирует параметры используемого им программного обеспечения, а также ознакомился и имеет возможность в любой момент ознакомиться с настоящей Политикой.

10.11. Ответственность за правомерность предоставления и достоверность предоставляемых Колледжу персональных данных несет исключительно Пользователь, поскольку Колледж не проводит мероприятий по установлению личности Пользователя или проверке достоверности его персональных данных.

10.12. Срок обработки персональных данных, полученных через Официальный сайт, составляет 1 (один) календарный год включительно со дня получения персональных данных.

10.12.1. Обработка персональных данных при оказании услуг по результату рассмотрения полученного обращения (заявки), осуществляется на основании отдельного согласия субъекта персональных данных, которое может предусматривать иные сроки обработки персональных данных.

10.13. Получая доступ к Официальному сайту, Пользователь выражает свое согласие на использование Колледжем файлов «cookie» — данных, в автоматическом режиме формируемых веб-сервисом Официального сайта и сохраняемых на устройстве Пользователя.

10.13.1. На Официальном сайте используются следующие виды файлов «cookie»:

• обязательные, необходимые для обеспечения работы Официального сайта и функциональности размещенных на нем веб-форм;
• аналитические, формируемые с применением сервиса «Яндекс.Метрика», используемые для сбора анонимной статистики, анализа посещаемости страниц, определения эффективности веб-форм и выявления технических ошибок;
• функциональные, необходимые для повышения удобства использования Официального сайта и запоминания предпочтений Пользователя.

10.13.2. Сроки и условия хранения файлов «cookie» на устройстве Пользователя оправляются Пользователем самостоятельно путем настройки программного обеспечения.

10.14. Обработка сведений, содержащихся в файлах «cookie», используемых сервисом «Яндекс.Метрика», осуществляется в соответствии с Политикой конфиденциальности ООО «Яндекс».

11. Права, обязанности и ответственность субъектов персональных данных

11.1. Субъект имеет право:

• обращаться к Колледжу с целью получения информации, касающейся обработки его персональных данных, и получать такую информацию в составе, установленном федеральным законом;
• требовать от Колледжа уточнения, блокирования или уничтожения своих персональных данных, а также, в случае необходимости, уведомления об этом лиц, которым персональные данные были сообщены;
• дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• получать безвозмездный доступ с целью ознакомления к своим персональным данным, за исключением случаев, предусмотренных п. 8 ст. 14 федерального закона;
• обжаловать действия или бездействие Колледжа в части обработки и защиты персональных данных в уполномоченном органе по защите прав субъектов персональных данных либо в судебном порядке;
• на защиту своих прав и законных интересов, включая возмещение материального и морального ущерба, в случае если такие права и интересы были нарушены вследствие нарушения Колледжем требований по обработке и защите персональных данных.

11.2. Субъект, предоставляя свои персональные данные Колледжу, несет ответственность за их актуальность, точность и достаточность относительно заявленных Колледжем целей их обработки.

11.3. Субъект обязуется своевременно уведомлять Колледж об изменении сведений, составляющих его персональные данные.

12. Обязанности Колледжа при работе с персональными данными

12.1. При получении персональных данных не от Субъекта Колледж до начала обработки таких персональных данных обязуется предоставить Субъекту следующую информацию:

• наименование либо фамилию, имя, отчество и адрес оператора персональных данных или его представителя;
• цель обработки получаемых персональных данных;
• правовое основание обработки персональных данных;
• перечень получаемых персональных данных;
• список предполагаемых пользователей персональных данных;
• установленные федеральным законом права Субъекта;
• источник получения персональных данных.

12.2. В случае установления Колледжем, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов (далее — инцидент), Колледж обязан в сроки, предусмотренные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. № 187, предоставить в уполномоченный орган по защите прав субъектов персональных данных сведения об инциденте и о результатах внутреннего расследования, проведенного по итогам инцидента.