Şəxsi məlumatlar və biznes: FoodSoul müştərilərinin bilməli olduğu vacib məqamlar

Rəqəmsal xidmətlərdən və proqram təminatından istifadə şəxsi məlumatların işlənməsi ilə qaçılmaz şəkildə bağlıdır. FoodSoul proqram təminatı ilə işləyərkən bir çox müştərilər və tərəfdaşlar qanun baxımından artıq şəxsi məlumatların operatoru rolunu oynadıqlarını və müəyyən öhdəliklər daşıdıqlarını düşünmürlər.

Bu məqalədə müzakirə edəcəyik:

• şəxsi məlumatların operatoru kimdir;
• FoodSoul müştərilərinin hansı öhdəlikləri yaranır;
• FoodSoul proqram təminatından istifadə çərçivəsində hansı məlumatlar işlənir;
• Roskomnadzor nədir və hansı funksiyaları yerinə yetirir;
• Roskomnadzoru xəbərdar etmək lazımdırmı və necə;
• saytınızda xarici məlumat toplama forması istifadə edirsinizsə, istifadəçinin razılığını necə düzgün əldə etmək olar;
• cookie, analitika və istifadəçi sorğuları ilə necə işləmək olar.

Şəxsi məlumatların operatoru kimdir

Şəxsi məlumatların operatoru — bu, hər hansı fiziki və hüquqi şəxsdir ki:

• şəxsi məlumatları toplayır;
• onları saxlayır, istifadə edir, ötürür və ya silir;
• emalın məqsəd və üsullarını müstəqil müəyyən edir.

Sadə dildə desək, əgər siz istifadəçi məlumatlarının nə üçün və hansı məqsədlə lazım olduğunu qərarlaşdırırsınızsa, siz operator sayılırsınız.

FoodSoul müştəriləri şəxsi məlumatların operatoru olurlar, əgər onlar:

• istifadəçiləri və ya işçiləri qeydiyyatdan keçirirlər;
• müştəri bazaları ilə işləyirlər;
• sifarişlər, müraciətlər, sorğular qəbul edirlər;
• FoodSoul proqram təminatının şəxsi kabinetləri və digər funksiyalarından istifadə edirlər.

Bu zaman məlumatların texniki olaraq harada saxlanması əhəmiyyət daşımır: operatorun məsuliyyəti qalır.

FoodSoul müştərilərinin hansı öhdəlikləri yaranır

Şəxsi məlumatların operatoru olaraq, FoodSoul müştərisinin aşağıdakı əsas öhdəlikləri yaranır:

• şəxsi məlumatları qanuni və konkret məqsədlərlə emal etmək;
• məlumatların emalı üçün istifadəçinin razılığını almaq (əgər tələb olunursa);
• istifadəçini hansı məlumatların və nə üçün emal edildiyi barədə məlumatlandırmaq;
• məlumatların məxfiliyini və təhlükəsizliyini təmin etmək;
• istifadəçi sorğularına cavab vermək (məlumatların dəyişdirilməsi, silinməsi);
• RF şəxsi məlumatlar haqqında qanunvericiliyinin tələblərinə riayət etmək.

IT-platformanın mövcudluğu biznesi bu öhdəliklərdən azad etmir. FoodSoul texniki hissəni təmin edir, lakin emalın qanuniliyinə görə hüquqi məsuliyyət FoodSoul tərəfdaşında qalır.

FoodSoul proqram təminatı çərçivəsində hansı məlumatlar işlənir

1. İstifadəçi tərəfindən təqdim edilən məlumatlar

Bu, istifadəçinin özü tərəfindən göstərilən məlumatlardır. Bunlara daxildir:

• Qeydiyyat və ya hesab yaradılması zamanı: ad, cins, doğum tarixi, əlaqə telefonu, elektron poçt ünvanı (e-mail), fotoşəkil;
• Sifarişin rəsmiləşdirilməsi və icrası zamanı: ad, e-mail, ödəniş kartlarının məlumatları, digər ödəniş məlumatları, çatdırılma ünvanı, əlaqə telefonu;
• Əlaqə, şikayətlər, aksiyalar və loyallıq proqramlarında iştirak zamanı: soyad, ad, ata adı, əlaqə məlumatları, mətn məlumatları və media məzmunu;
• Dəstək xidmətinə müraciət zamanı: hesab məlumatları, cihazın və proqram təminatının texniki parametrləri.

2. Avtomatik olaraq ötürülən məlumatlar

FoodSoul proqram təminatından istifadə zamanı avtomatik olaraq işlənə bilər:

• Texniki məlumatlar: IP ünvanı, HTTP başlıqları, cookie fayllarının məlumatları, veb-mayaklar/piksel etiketləri, brauzer və əməliyyat sistemi haqqında məlumatlar, mobil cihazın identifikatoru, aparat və proqram təminatı haqqında məlumatlar;
• İstifadə haqqında məlumatlar: saytlara və/və ya xidmətlərə giriş tarixi və vaxtı, sifarişlərin və hərəkətlərin tarixi;
• Coğrafi yer haqqında məlumatlar (əgər tətbiq olunursa və istifadəçinin razılığı ilə).

FoodSoul yalnız proqram təminatının işləməsi və xidmətlərin yaxşılaşdırılması üçün lazım olan məlumatları emal edir.

Roskomnadzor nədir və hansı funksiyaları yerinə yetirir

Roskomnadzor — bu, şəxsi məlumatlar haqqında qanunvericiliyin icrasına nəzarət edən dövlət orqanıdır.

O:

• şəxsi məlumatların operatorlarının reyestrini aparır;
• qanun tələblərinə riayət olunmasına nəzarət edir;
• istifadəçi şikayətlərini nəzərdən keçirir;
• planlı və plandankənar yoxlamalar aparır;
• pozuntuların aradan qaldırılması barədə göstərişlər verir;
• operatorları inzibati məsuliyyətə cəlb edir.

Sadə dildə desək, Roskomnadzor biznesin şəxsi məlumatlarla düzgün və qanuni işləməsinə nəzarət edir.

Roskomnadzoru xəbərdar etmək lazımdırmı

Əksər hallarda FoodSoul müştəriləri şəxsi məlumatların işlənməsinə başlamazdan əvvəl Roskomnadzoru xəbərdar etməlidirlər. Xəbərdarlıq işlənməyə başlamazdan əvvəl və ya əgər işlənmə artıq aparılırsa, — mümkün qədər tez verilir.

Aşağıda sizin Məxfilik Siyasətinizə əsaslanan nümunələrlə pd.rkn.gov.ru saytında elektron formanı doldurmaq üçün praktiki addım-addım təlimat verilmişdir.

“Şəxsi məlumatların işlənməsinə başlanması barədə bildirişin doldurulması” üzrə bələdçi

Addım 1: Operator haqqında ümumi məlumatlar

• Qeydiyyat regionu / Operatorun növü / Adı / Ünvanı / VÖEN, OGRN: Məlumatlar YEGRYUL/YEGIP-ə uyğun olaraq ciddi şəkildə göstərilir. Məlumatların aktuallığını FNS saytında yoxlayın.
• Telefon / Elektron poçt ünvanı: Roskomnadzorun sizinlə əlaqə saxlaya biləcəyi əlaqə məlumatlarını göstərin.
• İşlənmə regionu: Şirkətinizin faktiki olaraq fəaliyyət göstərdiyi və məlumatların işlənildiyi regionları göstərin (məsələn, baş ofis, filiallar). Əgər fəaliyyət bütün Rusiya üzrə aparılırsa, “Rusiya Federasiyası” göstərə bilərsiniz.

Addım 2: Şəxsi məlumatların işlənmə məqsədləri

Bu ən vacib blokdur. Hər bir məqsədi ətraflı təsvir etmək lazımdır. Məxfilik Siyasətinizin 5-ci bölməsindən istifadə edin.

“Sifarişlərin rəsmiləşdirilməsi və icrası, statusun nəzarəti, çatdırılma” məqsədi üçün doldurma nümunəsi (Siyasətin 5.2 və 5.3 bəndlərinə əsasən):

• İşlənmə məqsədi: İstifadəçinin malların/xidmətlərin sifarişlərinin rəsmiləşdirilməsi, icrası, statusun nəzarəti və çatdırılması, sifarişlə bağlı istifadəçi ilə qarşılıqlı əlaqə.
• Şəxsi məlumatların kateqoriyaları: soyad, ad, ata adı; telefon nömrəsi; elektron poçt ünvanı (e-mail); çatdırılma ünvanı; ödəniş kartlarının məlumatları/digər ödəniş məlumatları; sifarişin detalları.
• Subyektlərin kateqoriyaları: Sifariş verən və çatdırılma sifariş edən istifadəçilər.
• İşlənmənin hüquqi əsası: Şəxsi məlumatların subyektinin razılığı (RF “Şəxsi məlumatlar haqqında” qanunun 6-cı maddəsi); müqavilə (İstifadəçi razılaşması).
• Əməliyyatların siyahısı: Toplama, yazma, sistemləşdirmə, yığma, saxlama, dəqiqləşdirmə (yeniləmə, dəyişdirmə), çıxarma, istifadə, ötürmə (emalın tapşırılması daxil olmaqla), anonimləşdirmə, bloklama, silmə, məhv etmə.
• İşlənmə üsulları: Avtomatlaşdırılmış  işlənmə.

Siyasətdən digər məqsədləri də eyni şəkildə doldurun, məsələn:

• Hesabın qeydiyyatı (b. 5.1).
• Marketinq kommunikasiyaları (b. 5.4).
• Əlaqə və dəstək (b. 5.5, 5.7).
• Aksiyaların və loyallıq proqramlarının keçirilməsi (b. 5.6).
• Xidmətlərin işinin yaxşılaşdırılması, analitika, təhlükəsizlik (b. 5.9, 5.10, 5.11).

Addım 3: İşlənmə üsulları

Tablarda seçirsiniz: “Avtomatlaşdırılmış”, “Hüquqi şəxsin daxili şəbəkəsi ilə ötürmə”, “İnternet şəbəkəsi ilə ötürmə”.

Addım 4: Şəxsi məlumatların qorunması tədbirləri (RF-152 qanunun 18.1 və 19-cu maddələri)

Konkretdən təşkilati və texniki tədbirləri təsvir edin. Siyasətinizin 7-ci bölməsini əsas götürə bilərsiniz.

Doldurma nümunəsi:

1. Şəxsi məlumatların işlənməsinin və təhlükəsizliyinin təmin edilməsinin təşkilinə cavabdeh şəxslər təyin edilmişdir.
2. Şəxsi məlumatların işlənməsi ilə bağlı Siyasət hazırlanmış və təsdiq edilmişdir.
3. İşlənməni həyata keçirən işçilər RF şəxsi məlumatlar haqqında qanunvericiliyin və yerli aktların müddəaları ilə tanış edilmişdir.
4. İnformasiya sistemlərinə girişin idarə edilməsi həyata keçirilir (hesablar, parollar).
5. Texniki müdafiə vasitələri tətbiq edilir: firewall, antivirus proqram təminatı, müdaxilələrin aşkarlanması vasitələri.
6. Məlumatların ehtiyat nüsxəsi təmin edilir.
7. İnformasiya sistemlərində istifadəçilərin hərəkətlərinin protokollaşdırılması və uçotu həyata keçirilir.
8. İnternet şəbəkəsi ilə məlumatların ötürülməsi zamanı qorunan əlaqə (HTTPS/TLS protokolu) istifadə olunur.

Addım 5: Şifrləmə (kriptografik) vasitələrin istifadəsi

İstifadə olunur / istifadə olunmur göstərmək.

Əgər istifadə olunursa, SKZİ sinfi və adı, istehsalçıları, şifrləmə vasitələrinin seriya nömrələrini göstərmək.

Məsələn:

• SKZİ sinfi: KS2; KS3.
• Şifrləmə vasitələrinin adı, istehsalçıları, seriya nömrələri: SKZİ KryptoPro CSP, PAK “AK-server”, VipNet CSP.

Addım 6: Tarixlər və şərtlər

• İşlənmənin başlama tarixi: Müştərilərin şəxsi məlumatları ilə faktiki olaraq işləməyə başladığınız tarixi göstərin (şirkətin qeydiyyat tarixi ilə üst-üstə düşə bilər).
• İşlənmənin dayandırılması müddəti və ya şərti: Tabda seçirsiniz: “Bitmə şərti”. Sonra göstərilir:  “Hüquqi şəxsin ləğvi və ya yenidən təşkil edilməsi”.

Addım 7: Transsərhəd ötürmə

Əgər məlumatları RF-dən kənara ötürmürsünüzsə, “Həyata keçirilmir” göstərin.

Addım 8: Məlumat bazasının yerləşmə yeri haqqında məlumatlar

Bu, FoodSoul müştəriləri üçün kritik əhəmiyyətli bir məqamdır. “FudSoul” MMC platformanın texnoloji infrastrukturunu (server avadanlığı) Rusiya Federasiyası ərazisində yerləşdirir. Əgər əlavə olaraq öz məlumat mərkəzinizdən istifadə edirsinizsə, məlumatları əlavə edirsiniz və öz məlumat mərkəziniz haqqında məlumatlarla Baza №2-ni doldurursunuz.

Məlumatların saxlanma yeri haqqında məlumatların doldurulma nümunəsi:

• Ölkə: Rusiya
• Məlumat mərkəzinin ünvanı: 123060, Moskva şəhəri, Berzarina küçəsi, ev 36, bina 3
• Öz məlumat mərkəzi: yox

Məlumatların saxlanmasına cavabdeh təşkilat haqqında məlumatlar:

• Təşkilatın növü: hüquqi şəxs
• Təşkilatın hüquqi forması: ASC
• Təşkilatın adı: “Selektel” Açıq Səhmdar Cəmiyyəti
• OGRN: 1247800067790
• VÖEN: 7810962785
• Yerləşmə ölkəsi: Rusiya
• Yerləşmə ünvanı: 196006, Sankt-Peterburq şəhəri, Tsvetochnaya küçəsi, ev 21, bina A (YEGRYUL-a uyğun olaraq)

* Əgər öz məlumat mərkəzinizdən də istifadə olunursa — Baza №2-ni əlavə edirsiniz və YEGRYUL-a uyğun olaraq öz təşkilatınızın məlumatlarını daxil edirsiniz.

Addım 9: Dövlət və bələdiyyə informasiya sistemlərində saxlanılan şəxsi məlumatların işlənməsini həyata keçirən və ya müqavilə əsasında işlənməsini həyata keçirən şəxslər haqqında məlumatlar.

Burada operatorun məlumatları ötürdüyü, İS-ə giriş imkanı olan və ya müqavilə əsasında işlənməni həyata keçirən üçüncü şəxslər göstərilir (RF-152 qanunun 6-cı maddəsi). Adlar/FİO, VÖEN, ünvan və işlənmə məqsədi göstərilməlidir. Bunlara GİS/MİS xidmət edən IT-şirkətlər, əlaqə operatorları, cəlb olunan kontragentlər, şəxsi məlumatların ötürüldüyü bulud provayderləri daxildir.

Əgər belə sistemləriniz yoxdursa, əlaqə məlumatlarının rekvizitləri ilə sahələrin siyahısının altındakı “Sil” düyməsi ilə sahələr dəstini silmək lazımdır.

Addım 10: Şəxsi məlumatların təhlükəsizliyinin təmin edilməsi haqqında məlumatlar

Burada Rusiya Federasiyası Hökumətinin 01.11.2012 tarixli № 1119 “Şəxsi məlumatların informasiya sistemlərində işlənməsi zamanı onların qorunması tələblərinin təsdiqi haqqında” qərarı ilə müəyyən edilmiş tələblərin icrası məqsədilə sizin tərəfinizdən həyata keçirilən tədbirlərin siyahısı göstərilir. Bu bölmədə göstərilə bilər:

Operator məlumatların qorunması tələblərinin icrasını “FudSoul” MMC (VÖEN 4345369685) tərəfindən təqdim edilən bulud platformasından istifadə etməklə təmin edir, hansı ki, aşağıdakı tələblərə cavab verir:

1. Təşkilati tədbirlər:

• Platformanın sahibi (MMC “FudSoul”) ilə onun tapşırıq üzrə işlənməni həyata keçirən operator kimi öhdəliklərini müəyyən edən müqavilə bağlanmışdır.
• Operatorun işçilərinin platformanın funksionallığına giriş hüquqları minimal imtiyazlar prinsipinə əsasən məhdudlaşdırılır (rol modeli ilə giriş).
• İşçilərin hesabları unikal parollarla qorunur.

2. Texniki tədbirlər:

• Platformaya giriş və istifadəçi ilə sistem arasında məlumatların ötürülməsi yalnız HTTPS/TLS protokolları (şifrləmə) istifadə edilərək qorunan əlaqə kanalları vasitəsilə həyata keçirilir.
• İstifadəçilərin autentifikasiyası və avtorizasiyası platformanın öz vasitələri ilə təmin edilir.
• Zərərli koddan qorunma (antivirus qorunması) və firewall platformanın sahibinin infrastrukturunda həyata keçirilir.
• Platformanın sahibi məlumatların müntəzəm ehtiyat nüsxəsini çıxarılmasını və server avadanlığının fiziki qorunmasını RF ərazisindəki məlumat mərkəzlərində təmin edir.
• Platformanın təqdim etdiyi funksionallıq çərçivəsində təhlükəsizlik hadisələrinin qeydiyyatı təmin edilir (hərəkətlərin logları).

3. Tədbirlərin icrasına nəzarət:

• Operator platformanın sahibi tərəfindən şəxsi məlumatların təhlükəsizliyinin təmin edilməsi ilə bağlı müqavilə şərtlərinə riayət olunmasına nəzarət edir.

Addım 11: Bildirişi formalaşdıran şəxs haqqında məlumatlar

Roskomnadzora bu bildirişi göndərən şəxsin FİO, vəzifəsi və əlaqə məlumatlarını göstərin.

Addım 12: Bildirişin imzalanması və göndərilməsi

Variant 1. Kağız formatında

Kağız formatında formalaşdırılmış bildiriş forması təşkilatın rəhbəri və ya sənədləri imzalamaq hüququ olan şəxs tərəfindən imzalanmalı, tarix və möhür (əgər varsa) qoyulmalı, poçt göndərişi ilə və ya şəxsən Roskomnadzorun ərazi idarəsinə göndərilməlidir.

Variant 2. Gücləndirilmiş kvalifikasiyalı elektron imza ilə elektron formatda

Formanı doldurub elektron imza ilə imzalaya bilərsiniz. Bu halda kağız formatında təqdimat tələb olunmayacaq. Sizdə CryptoPro ECP Browser plug-in quraşdırılmış olmalıdır və onunla iş qurulmalıdır.

Variant 3. ESIA autentifikasiya vasitələrindən istifadə edərək elektron formatda

Dövlət xidmətləri portalında autentifikasiyadan keçin, formu doldurun və elektron formatda göndərin. Sizdə təsdiqlənmiş hesab olmalıdır. Bu halda kağız formatında surətin göndərilməsi tələb olunmayacaq. Əgər siz təşkilat üçün bildiriş təqdim edirsinizsə, hesabınız dövlət xidmətləri portalında həmin təşkilata bağlı olmalıdır.

HAZIRDIR! Uğurlu göndərilmədən sonra operatorlar reyestrinə daxil ediləcəksiniz. Bildirişin nömrəsini və açarını saxlayın.

Roskomnadzora bildirişin uğurlu göndərilməsindən və operatorlar reyestrinə daxil edilməsindən sonra şəxsi məlumatlarla düzgün gündəlik işin təmin edilməsi lazımdır. Bu işin əsas praktiki aspektləri cookie fayllarının və analitikanın istifadəsi, həmçinin istifadəçilərin sorğularının işlənməsidir.

Xarici məlumat toplama formalarından istifadə edərkən razılığın alınması mexanizmi

Bir çox FoodSoul müştəriləri müştəriləri cəlb etmək üçün öz saytlarında xarici məlumat toplama formaları (vidjetlər) yerləşdirirlər — məsələn, geri zəng sifarişi və ya texniki dəstək üçün müraciət formaları. Anlamaq vacibdir ki, belə inteqrasiyalar müştərilər tərəfindən müstəqil olaraq sayta quraşdırılır.

Bu formalar vasitəsilə məlumatların toplanmasının qanuni olması üçün iki şərt yerinə yetirilməlidir:

1. Mətn razılığı. Məlumat toplama formasının (vidjetin) dərhal altında istifadəçiyə aydın olan bir ifadə yerləşdirilməlidir ki, göndərmə düyməsini basaraq, o, şəxsi məlumatlarının işlənməsinə razılıq verir.
2. Sənədlərə hiperlinklər. Bu ifadə iki sənədə aktiv (kliklənə bilən) linklər içərməlidir:
   • Xidmətlərin göstərilməsi şərtlərinin təsvir edildiyi İstifadəçi razılaşması (və ya Təklif müqaviləsi).
   • Hansı məlumatların toplandığı, nə üçün və necə işlənildiyi ətraflı təsvir edilən Məxfilik siyasəti.

Formanın altında yerləşdirilməsi üçün tövsiyə olunan ifadə:

“Göndər” düyməsini basaraq, siz İstifadəçi razılaşmasının şərtlərini qəbul edirsiniz və Məxfilik siyasətinə uyğun olaraq şəxsi məlumatların işlənməsinə razılıq verirsiniz”.

Bu sadə tədbir sizi nəzarət orqanlarının iddialarından qoruyacaq və istifadəçinin şüurlu və könüllü hərəkət etdiyini sübut edəcək.

Cookie, analitika və istifadəçi sorğuları ilə necə işləmək olar

Cookie və analitika

FoodSoul proqram təminatı cookie fayllarını və sayğacları (əgər tətbiq olunursa) istifadə edir:

• xidmətlərin işləkliyini təmin etmək üçün;
• funksiyaların fərdiləşdirilməsi üçün;
• analitika və statistika üçün;
• proqram təminatının keyfiyyətinin yaxşılaşdırılması üçün;
• reklamın fərdiləşdirilməsi üçün.

Bu məlumatlar da şəxsi məlumatlardır və onların işlənməsi yuxarıda təsvir edildiyi kimi bildirişdə əks olunmalıdır. İstifadəçinin brauzer parametrlərində cookie istifadəsini qadağan edə biləcəyini, lakin bu halda xidmətin bəzi funksiyalarının əlçatan olmayacağını unutmayın.

İstifadəçi sorğuları

Operatorun birbaşa vəzifələrindən biri şəxsi məlumatların subyektlərinin müraciətlərinə vaxtında cavab verməkdir. İstifadəçi hüququna malikdir:

• öz məlumatlarının işlənməsi haqqında məlumat tələb etmək;
• öz şəxsi məlumatlarını dəyişdirmək;
• məlumatları silmək, sorğunu info@fs.me ünvanına göndərməklə.

Öz hüquqlarını həyata keçirmək üçün istifadəçi operatora (FoodSoul müştərisinə) müraciət edə bilər və ya şəxsi kabinetin funksionallığından istifadə edə bilər (əgər tətbiq olunursa). Hesabın silinməsi və ya razılığın geri alınması müvafiq Xidmətlərdən istifadəni qeyri-mümkün edə bilər.

Eyni zamanda, qanunvericilik operatoru müəyyən məlumatları müəyyən müddət ərzində saxlamağa və ya dövlət orqanlarına ötürməyə məcbur edə bilər.

Nəticə

FoodSoul proqram təminatından istifadə edərək, biznes rahat və təhlükəsiz bir alət əldə edir, lakin bununla yanaşı, şəxsi məlumatların operatoru statusunu qəbul edir. Öz öhdəliklərini anlamaq, məlumatlarla düzgün işləmək və istifadəçilərlə şəffaf qarşılıqlı əlaqə qaydaları — bu, formalizm deyil, hüquqi riskləri azaltmaq və müştərilərin etibarını artırmaq üçün real bir yoldur.

Hələ reyestrdə deyilsiniz? Bizim bələdçimizlə bildiriş verin — bu, göründüyündən daha asandır!
FoodSoul hər addımda sizinlədir.

Hörmətlə,

FoodSoul Komandası