Политика в отношении обработки персональных данных

Настоящая Политика конфиденциальности (Далее – Политика) определяет порядок обработки персональных данных пользователей сайта https://if-uc.ru/ (а также его поддоменов) (Далее – Сайт) и меры безопасности персональных данных, предпринимаемые Автономной некоммерческой профессиональной образовательной организации среднего профессионального образования «Ижевский Финансово-юридический колледж» (Далее – Колледж, Оператор).

1. Правовые основания обработки персональных данных. Общие положения 

Обработка персональных данных Оператором осуществляется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»,  ст. 24.1  Закона РФ от 27.12.1991 № 2124-1 «О средствах массовой информации», и иными нормативно-правовыми актами в области защиты персональных данных, согласием Пользователя Сайта с уведомлением об использовании файлов cookies и использования сервисов интернет-статистики (Яндекс.Метрика и  top.mail.ru), согласием Пользователя Сайта на обработку его персональных данных.

На Сайте возможна обработка персональных данных, полученных из сторонних источников путем заполнения субъектом персональных данных форм обратной связи на соответствующих ресурсах. Информация, которая собирается сторонними сервисами, в том числе платежными системами, хранится и обрабатывается указанными сервисами в соответствии Пользовательским соглашением и Политикой конфиденциальности каждого конкретного стороннего ресурса соответственно. Колледж не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте Колледжа. 

Посещая страницы и разделы Сайта, а также заполняя формы ввода данных, Пользователь выражает своё согласие с настоящей Политикой и условиями обработки персональных данных Пользователя в соответствии с настоящей Политикой, целями обработки его персональных данных.

2. Основные понятия, используемые в Политике

2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю Сайта Колледжа.

2.2. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики оператором является Колледж.

2.3. Пользователи Сайта — лица, имеющие доступ к Сайту Колледжа посредством сети Интернет, посещающие его страницы и разделы и (или) пользующиеся формами ввода данных, расположенными на Сайте. Пользователь Сайта является субъектом персональных данных.

2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.6. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.7. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

2.8. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.10. Конфиденциальность персональных данных — обязанность Операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицами и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.11. Сооkіеs-файлы — небольшой фрагмент данных, хранимый на устройстве (компьютере, планшете, смартфоне и т. д.) Пользователя, и который содержит техническую информацию об активности Пользователя.

3. Принципы обработки персональных данных Оператором

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.

3.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных.

3.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

3.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

4. Основные права и обязанности Оператора 

 4.1.1. Колледж, как Оператор персональных данных, имеет право:

– получать от Пользователя достоверную информацию, содержащую персональные данные;

– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом или другими федеральными законами;

– предоставлять персональные данные Пользователя третьим лицам, если это предусмотрено действующим законодательством (в том числе с целью пресечения мошеннических действий, устранения технических неполадок или проблем с безопасностью).

Кроме указанных прав в вопросах обработки персональных данных Пользователя Колледж обладает другими правами, предоставленными ему действующим законодательством Российской Федерации.

4.1.2. Колледж, как Оператор персональных данных, обязан:

– запрашивать и использовать полученную информацию исключительно в объеме, необходимом для достижения целей, указанных в разделе 5 Политики;

– принимать необходимые правовые, организационные и технические меры, направленные на обеспечение безопасности персональных данных при их обработке;

– предоставлять Пользователю по его просьбе информацию, касающуюся обработки его персональных данных;

– организовывать обработку персональных данных Пользователя в порядке, установленном действующим законодательством РФ;

– осуществлять иные действия и проводить иные мероприятия по обработке и защите персональных данных Пользователя в соответствии с законодательством Российской Федерации.

4.2. Основные права и обязанности Пользователя

 4.2.1. Пользователь имеет право:

– на получение от Оператора достоверной информации об обработке его персональных данных, в том числе: подтверждение факта обработки Колледжем персональных данных; правовые основания и цели обработки персональных данных; применяемые Колледжем способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию о способах исполнения Колледжем обязанностей, установленных статьей 18.1 Закона; иные сведения, предусмотренные Законом или другими федеральными законами;

– требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

– на осуществление иных прав, предусмотренных законодательством Российской Федерации.

4.2.2. Пользователь обязан:

– передавать достоверные, необходимые для достижения целей обработки, персональные данные;

– в случае изменения персональных данных, необходимых для достижения целей обработки, сообщать Оператору уточненные персональные данные;

– осуществлять иные действия в соответствии с законодательством Российской Федерации.

5. Цели обработки персональных данных Пользователя 

Для целей обработки персональных данных могут быть использованы следующие системы: CRM-система AMO-CRM, сервис коллтрекинга Calltouch, интегратор CRM-системы с мессенджерами I2CRM, платформа BotHelp, телеграмм-бот tgtrack, социальная сеть ВКонтакте, мессенджер Телеграмм.  Обработка персональных данных проводится с учетом Политики обработки персональных данных соответствующих систем. 

К таким ресурсам относятся: 

5.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются Пользователем путём заполнения форм на Сайте Колледжа, в чат-боте в социальной сети ВКонтакте, в чат-боте в мессенджере Телеграм, и с помощью платформы Bothelp https://bothelp.io/ru. При этом, социальная сеть ВКонтакте, мессенджеры, платформа Bothelp вправе запрашивать иные персональные данные для обработки в собственных целях в соответствии с Политикой обработки персональных данных каждого ресурса.

5.2. Обработка персональных данных субъектов персональных данных осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов РФ, предоставления информации и услуг, коммуникации с пользователями.

5.3. Оператор собирает, хранит и обрабатывает только те персональные данные, которые необходимы для оказания вышеуказанных услуг и для осуществления своей деятельности, а также для обеспечения прав и законных интересов третьих лиц при условии, что при этом не нарушаются права субъекта персональных данных.

5.4.1. С  целью обеспечения своевременного и в полном объеме рассмотрения электронных обращений по вопросам, относящихся к компетенции Колледжа, а также подготовки и отправки ответов на них, предоставления доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://if-uc.ru/, обрабатываются персональные данные Пользователя, которые включают в себя следующую информацию:

– фамилия, имя, отчество (последнее — при наличии);
– адрес электронной почты;
– контактный телефон;
– пол;
– фио родителей или законных представителей, если Пользователь не достиг возраста 18-ти лет;
– группа, специальность (при необходимости);
– ID пользователя в социальной сети ВКонтакте и/или в мессенджере Телеграм;
– ссылка на профиль в соц. сетях.

Сведения об отправителях обращений не раскрываются и не публикуются на Сайте.

5.4.2. С целью идентификации Пользователя, оставившего свои персональные данные в формах обратной связи и дальнейшей связи с ним (в том числе для записи на обучение), обрабатываются персональные данные Пользователя, которые включают в себя следующую информацию:

– фамилия, имя, отчество (последнее — при наличии);
– адрес электронной почты;
– контактный телефон.

5.4.3. С целью предоставления Пользователю доступа к персонализированным сервисам Сайта, информации (в том числе оплата онлайн, если такое потребуется), обрабатываются персональные данные Пользователя, которые включают в себя следующую информацию:

– фамилия, имя, отчество (последнее — при наличии);
– адрес электронной почты;
– контактный телефон Пользователя (при необходимости);
– группа, специальность (при необходимости).

5.4.4. С целью информирования Пользователя посредством отправки электронных писем, информационных или рекламных (рассылок), обрабатываются персональные данные Пользователя, которые включают в себя следующую информацию:

– фамилия, имя, отчество (последнее — при наличии);
– адрес электронной почты;
– контактный телефон;
– пол;
– группа, специальность (при необходимости);
– ID пользователя в социальной сети ВКонтакте и/или в мессенджере Телеграм;
– ссылка на профиль в соц. сетях.

5.5. Обрабатываемые в рамках указанных целях персональные данные не относятся к специальным или биометрическим и обрабатываются автоматизированным способом.

5.6. Также на Сайте Колледжа осуществляется сбор и обработка обезличенных данных о Пользователе (в т.ч. файлов «cookies») с помощью сервисов интернет-статистики Яндекс.Метрика и  top.mail.ru,с целью оценки посещаемости, повышения удобства использования Сайта Колледжа и улучшения его производительности.

Собираемые счетчиками Яндекс.Метрики и top.mail.ru технические обезличенные данные: технические данные пользователей сайта (URL страницы, её заголовок и URL реферера,браузер: название, версия, язык, размеры экрана и viewport, операционная система, временная зона, скорость соединения, время загрузки страницы, наличие блокировщика рекламы, время просмотра страницы, глубина просмотра, локальный идентификатор пользователя (ClientID), источник трафика, статистика просмотров и сессий: количество, глубина, продолжительность, возвраты, поисковые запросы, через которые пришёл трафик, и их позиции в результатах выдачи.

5.7. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты if-uc@mail.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

5.8. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

6. Обработка персональных данных

6.1. Обработка персональных данных осуществляется Оператором с согласия субъектов персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

6.2. По мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства персональные данные субъекта без его согласия могут быть переданы:

– в судебные органы в связи с осуществлением правосудия;
– органы федеральной службы безопасности;
– в органы прокуратуры;
– в органы полиции;
– в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.3. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

До начала обработки таких персональных данных Оператор предоставляет субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) перечень персональных данных;

4) предполагаемые пользователи персональных данных;

5) установленные права субъекта персональных данных;

6) источник получения персональных данных.

6.4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в действующем законодательстве.

6.5. Уничтожение документов, содержащих персональные данные, производится любым способом, исключающим возможность ознакомления посторонними лицами с уничтожаемыми материалами и возможность восстановления их текста, в том числе, но не ограничиваясь, применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации.

6.6 Согласие на обработку персональных данных предоставляется на срок 1 (один) год, либо до момента письменного отзыва такого согласия субъектом персональных данных.

7. Конфиденциальность персональных данных

7.1. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством РФ в области защиты персональных данных.

7.2. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, выполнения положений договора гражданско-правового характера, стороной которого является субъект персональных данных, и в связи с оказанием Оператором услуг, является конфиденциальной информацией и охраняется действующим законодательством РФ.

7.2. Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.

7.3. Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.

7.4. Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

При этом, Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.

8. Обеспечение безопасности персональных данных

8.1. Оператор принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

8.2. К таким мерам, в частности, относится:

– определение типа угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– разработка на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;

– реализация разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах;

– контроль обновления системного, прикладного программного обеспечения и средств защиты информации (в том числе обновлений антивирусных баз, сигнатур сценариев вторжений, информации об уязвимостях);

– обеспечение функционирования и поддержания работоспособности в информационных системах:

а) системы защиты информации от несанкционированного доступа; 

б) системы обнаружения и предотвращения вторжений;

в) системы антивирусной защиты.

– реализация парольной политики;

– реализация разделения прав доступа к информационным системам;

– принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

– проведение оценки вреда, который может быть причинен Пользователю в случае нарушения Закона;

– организация охраны и физической защиты помещений Колледжа, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

– организация пропускного и внутриобъектового режимов на объектах Колледжа.

9. Заключительные положения

Меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных ст. 18.1., 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

9.1. Применяются предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.

9.2. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9.3. Производится ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.

9.4. Оператор несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

9.5. Для обеспечения неограниченного доступа к Политике Оператора в отношении обработки персональных данных и к сведениям о реализованных мерах по защите персональных данных текст настоящей Политики опубликован на сайте Оператора.