Rəqəmsal xidmətlərdən və proqram təminatından istifadə qaçılmaz olaraq şəxsi məlumatların işlənməsi ilə bağlıdır. FoodSoul proqram təminatı ilə işləyərkən bir çox müştərilər və tərəfdaşlar qanun baxımından artıq şəxsi məlumatların operatoru rolunu oynadıqlarını və müəyyən öhdəliklər daşıdıqlarını düşünmürlər.

Bu məqalədə müzakirə edəcəyik:

• şəxsi məlumatların operatoru kimdir;

• FoodSoul müştərilərinin hansı öhdəlikləri yaranır;

• FoodSoul proqram təminatından istifadə çərçivəsində hansı məlumatlar işlənir;

• Roskomnadzor nədir və hansı funksiyaları yerinə yetirir;

• Roskomnadzoru xəbərdar etmək lazımdırmı və necə;

• saytınızda xarici məlumat toplama forması istifadə edirsinizsə, istifadəçinin razılığını necə düzgün əldə etmək olar;

• cookie, analitika və istifadəçi sorğuları ilə necə işləmək olar.

Şəxsi məlumatların operatoru kimdir

Şəxsi məlumatların operatoru — bu, hər hansı fiziki və hüquqi şəxsdir ki:

• şəxsi məlumatları toplayır;
• onları saxlayır, istifadə edir, ötürür və ya silir;
• emalın məqsəd və üsullarını müstəqil müəyyən edir.

Sadə dildə desək, əgər siz istifadəçi məlumatlarının nə üçün lazım olduğunu qərarlaşdırırsınızsa, siz operator sayılırsınız.

FoodSoul müştəriləri şəxsi məlumatların operatoru olurlar, əgər onlar:

• istifadəçiləri və ya işçiləri qeydiyyatdan keçirirlər;
• müştəri bazaları ilə işləyirlər;
• sifarişlər, müraciətlər, sorğular qəbul edirlər;
• FoodSoul proqram təminatının şəxsi kabinetləri və digər funksiyalarından istifadə edirlər.

Bu zaman məlumatların texniki olaraq harada saxlanması əhəmiyyət daşımır: operatorun məsuliyyəti qalır.

FoodSoul müştərilərinin hansı öhdəlikləri yaranır

Şəxsi məlumatların operatoru olaraq, FoodSoul müştərisinin aşağıdakı əsas öhdəlikləri yaranır:

• şəxsi məlumatları qanuni və konkret məqsədlər üçün emal etmək;
• məlumatların emalı üçün istifadəçinin razılığını almaq (əgər tələb olunursa);
• istifadəçini hansı məlumatların və nə üçün emal edildiyi barədə məlumatlandırmaq;
• məlumatların məxfiliyini və təhlükəsizliyini təmin etmək;
• istifadəçi sorğularına (məlumatların dəyişdirilməsi, silinməsi) cavab vermək;
• RF şəxsi məlumatlar haqqında qanunvericiliyinin tələblərinə riayət etmək.

IT-platformanın mövcudluğu biznesi bu öhdəliklərdən azad etmir. FoodSoul texniki hissəni təmin edir, lakin emalın qanuniliyinə görə hüquqi məsuliyyət FoodSoul tərəfdaşında qalır.

FoodSoul proqram təminatı çərçivəsində hansı məlumatlar işlənir

1. İstifadəçi tərəfindən təqdim edilən məlumatlar

Bu, istifadəçinin özü tərəfindən göstərilən məlumatlardır. Bunlara daxildir:

• Qeydiyyat və ya hesab yaradılması zamanı: ad, cins, doğum tarixi, əlaqə telefonu, elektron poçt ünvanı (e-mail), fotoşəkil;
• Sifarişin rəsmiləşdirilməsi və icrası zamanı: ad, e-mail, ödəniş kartlarının məlumatları, digər ödəniş məlumatları, çatdırılma ünvanı, əlaqə telefonu;
• Əlaqə, şikayətlər, aksiyalar və sadiqlik proqramlarında iştirak zamanı: soyad, ad, ata adı, əlaqə məlumatları, mətn məlumatları və media məzmunu;
• Dəstək xidmətinə müraciət zamanı: hesab məlumatları, cihazın və proqram təminatının texniki parametrləri.

2. Avtomatik olaraq ötürülən məlumatlar

FoodSoul proqram təminatından istifadə zamanı avtomatik olaraq işlənə bilər:

• Texniki məlumatlar: IP-ünvan, HTTP başlıqları, cookie fayllarının məlumatları, veb-mayaklar/piksel etiketləri, brauzer və əməliyyat sistemi haqqında məlumatlar, mobil cihazın identifikatoru, aparat və proqram təminatı haqqında məlumatlar;
• İstifadə haqqında məlumatlar: saytlara və/və ya xidmətlərə giriş tarixi və vaxtı, sifariş və fəaliyyət tarixi;
• Geolokasiya məlumatları (əgər tətbiq olunursa və istifadəçinin razılığı ilə).

FoodSoul yalnız proqram təminatının işləməsi və xidmətlərin yaxşılaşdırılması üçün lazım olan məlumatları emal edir.

Roskomnadzor nədir və hansı funksiyaları yerinə yetirir

Roskomnadzor — bu, şəxsi məlumatlar haqqında qanunvericiliyin icrasına nəzarət edən dövlət orqanıdır.

O:

• şəxsi məlumatların operatorlarının reyestrini aparır;
• qanun tələblərinə riayət olunmasına nəzarət edir;
• istifadəçi şikayətlərini nəzərdən keçirir;
• planlı və qeyri-planlı yoxlamalar aparır;
• pozuntuların aradan qaldırılması barədə göstərişlər verir;
• operatorları inzibati məsuliyyətə cəlb edir.

Sadə dildə desək, Roskomnadzor biznesin şəxsi məlumatlarla düzgün və qanuni işləməsinə nəzarət edir.

Roskomnadzoru xəbərdar etmək lazımdırmı

Əksər hallarda FoodSoul müştəriləri şəxsi məlumatların işlənməsinə başlamazdan əvvəl Roskomnadzoru xəbərdar etməlidirlər. Xəbərdarlıq işlənməyə başlamazdan əvvəl və ya əgər işlənmə artıq aparılırsa, — mümkün qədər tez təqdim edilir.

Aşağıda sizin Məxfilik Siyasətinizə əsaslanan nümunələrlə pd.rkn.gov.ru saytında elektron formanın doldurulması üçün praktiki addım-addım təlimat verilmişdir.

“Şəxsi məlumatların işlənməsinə başlanması barədə bildirişin doldurulması” təlimatı

Addım 1: Operator haqqında ümumi məlumatlar

• Qeydiyyat regionu / Operator növü / Adı / Ünvan / VÖEN, OGRN: Məlumatlar YEGRYUL/YEGIP-ə tam uyğun olaraq göstərilir. Məlumatların aktuallığını FNS saytında yoxlayın.
• Telefon / Elektron poçt ünvanı: Roskomnadzorun sizinlə əlaqə saxlaya biləcəyi əlaqə məlumatlarını göstərin.
• İşlənmə regionu: Şirkətinizin faktiki olaraq fəaliyyət göstərdiyi və məlumatların işlənildiyi regionları göstərin (məsələn, baş ofis, filiallar). Əgər fəaliyyət bütün Rusiya üzrə aparılırsa, “Rusiya Federasiyası” göstərə bilərsiniz.

Addım 2: Şəxsi məlumatların işlənmə məqsədləri

Bu ən vacib blokdur. Hər bir məqsədi ətraflı təsvir etmək lazımdır. Məxfilik Siyasətinizin 5-ci bölməsindən istifadə edin.

“Sifarişlərin rəsmiləşdirilməsi və icrası, statusun nəzarəti, çatdırılma” məqsədi üçün doldurma nümunəsi (Siyasətin 5.2 və 5.3 bəndlərinə əsasən):

• İşlənmə məqsədi: İstifadəçinin sifariş etdiyi malların/xidmətlərin rəsmiləşdirilməsi, icrası, statusun nəzarəti və çatdırılması, sifarişlə bağlı istifadəçi ilə qarşılıqlı əlaqə.
• Şəxsi məlumatların kateqoriyaları: soyad, ad, ata adı; telefon nömrəsi; elektron poçt ünvanı (e-mail); çatdırılma ünvanı; ödəniş kartlarının məlumatları/digər ödəniş məlumatları; sifarişin detalları.
• Subyektlərin kateqoriyaları: Sifariş verən və çatdırılma sifariş edən istifadəçilər.
• İşlənmənin hüquqi əsası: Şəxsi məlumatların subyektinin razılığı (RF “Şəxsi məlumatlar haqqında” qanunun 6-cı maddəsi); müqavilə (İstifadəçi razılaşması).
• Əməliyyatların siyahısı: Toplama, yazma, sistemləşdirmə, yığma, saxlama, dəqiqləşdirmə (yeniləmə, dəyişdirmə), çıxarma, istifadə, ötürmə (emalın tapşırılması daxil olmaqla), anonimləşdirmə, bloklama, silmə, məhv etmə.
• İşlənmə üsulları: Avtomatlaşdırılmış  işlənmə.

Siyasətdən digər məqsədləri də eyni şəkildə doldurun, məsələn:

• Hesabın qeydiyyatı (b. 5.1).
• Marketinq kommunikasiyaları (b. 5.4).
• Əlaqə və dəstək (b. 5.5, 5.7).
• Aksiyaların və sadiqlik proqramlarının keçirilməsi (b. 5.6).
• Xidmətlərin işinin yaxşılaşdırılması, analitika, təhlükəsizlik (b. 5.9, 5.10, 5.11).

Addım 3: İşlənmə üsulları

“Avtomatlaşdırılmış”, “Hüquqi şəxsin daxili şəbəkəsi ilə ötürmə”, “İnternet şəbəkəsi ilə ötürmə” bölmələrində seçin.

Addım 4: Şəxsi məlumatların qorunması tədbirləri (RF-152 qanunun 18.1 və 19-cu maddələri)

Konkretdir təşkilati və texniki tədbirləri təsvir edin. Siyasətinizin 7-ci bölməsini əsas götürə bilərsiniz.

Doldurma nümunəsi:

1. Şəxsi məlumatların işlənməsinin və təhlükəsizliyinin təmin edilməsinin təşkilinə cavabdeh şəxslər təyin edilmişdir.

2. Şəxsi məlumatların işlənməsi ilə bağlı Siyasət hazırlanmış və təsdiq edilmişdir.

3. İşlənmə aparan işçilər RF şəxsi məlumatlar haqqında qanunvericiliyin və yerli aktların müddəaları ilə tanış edilmişdir.

4. İnformasiya sistemlərinə girişin idarə edilməsi həyata keçirilir (hesablar, parollar).

5. Müdafiə texniki vasitələri tətbiq edilir: firewall, antivirus proqram təminatı, müdaxilələrin aşkarlanması vasitələri.

6. Məlumatların ehtiyat nüsxəsi təmin edilir.

7. İnformasiya sistemlərində istifadəçilərin hərəkətlərinin protokollaşdırılması və uçotu həyata keçirilir.

8. Məlumatların İnternet şəbəkəsi ilə ötürülməsi zamanı qorunan əlaqə (HTTPS/TLS protokolu) istifadə edilir.

Addım 5: Şifrləmə (kriptografik) vasitələrin istifadəsi

İstifadə edilir / istifadə edilmir göstərmək.

Əgər istifadə edilirsə, SKZİ sinfi və adı, istehsalçıları, şifrləmə vasitələrinin seriya nömrələrini göstərmək.

Məsələn:

• SKZİ sinfi: KS2; KS3.
• Şifrləmə vasitələrinin adı, istehsalçıları, seriya nömrələri: SKZİ KryptoPro CSP, PAK “AK-server”, VipNet CSP.

Addım 6: Tarixlər və şərtlər

• İşlənmənin başlama tarixi: Müştəri məlumatları ilə faktiki olaraq işləməyə başladığınız tarixi göstərin (şirkətin qeydiyyat tarixi ilə üst-üstə düşə bilər).
• İşlənmənin dayandırılması müddəti və ya şərti: “Bitmə şərti” bölməsində seçin. Sonra göstərilir:  “Hüquqi şəxsin ləğvi və ya yenidən təşkil edilməsi”.

Addım 7: Transsərhəd ötürmə

Əgər məlumatları RF-dən kənara ötürmürsünüzsə, “Həyata keçirilmir” göstərin.

Addım 8: Məlumat bazasının yerləşmə yeri haqqında məlumatlar

Bu, FoodSoul müştəriləri üçün kritik əhəmiyyətli bir məqamdır. “FudSoul” MMC platformanın texnoloji infrastrukturunu (server avadanlığı) Rusiya Federasiyası ərazisində yerləşdirir. Əgər əlavə olaraq öz məlumat mərkəzinizdən istifadə edirsinizsə, məlumatları əlavə edin və öz məlumat mərkəziniz haqqında məlumatlarla Baza №2-ni doldurun.

Məlumatların saxlanma yeri haqqında məlumatların doldurulma nümunəsi:

• Ölkə: Rusiya
• Məlumat mərkəzinin ünvanı: 123060, Moskva şəhəri, Berzarina küçəsi, ev 36, bina 3
• Öz məlumat mərkəzi: yox

Məlumatların saxlanmasına cavabdeh təşkilat haqqında məlumatlar:

• Təşkilat növü: hüquqi şəxs

• Təşkilatın hüquqi forması: ASC

• Təşkilatın adı: “Selektel” Açıq Səhmdar Cəmiyyəti

• OGRN: 1247800067790

• VÖEN: 7810962785

• Yerləşmə ölkəsi: Rusiya

• Yerləşmə ünvanı: 196006, Sankt-Peterburq şəhəri, Tsvetochnaya küçəsi, ev 21, bina A (YEGRYUL-ə uyğun olaraq)

* Əgər öz məlumat mərkəzinizdən də istifadə edirsinizsə — Baza №2-ni əlavə edin və YEGRYUL-ə uyğun olaraq öz təşkilatınızın məlumatlarını daxil edin.

Addım 9: Dövlət və bələdiyyə informasiya sistemlərində saxlanılan şəxsi məlumatların işlənməsini həyata keçirən və ya müqavilə əsasında işlənməni həyata keçirən şəxslər haqqında məlumatlar.

Burada operatorun məlumatları ötürdüyü, İS-ə giriş imkanı olan və ya müqavilə əsasında işlənməni həyata keçirən üçüncü şəxslər göstərilir (RF-152 qanunun 6-cı maddəsi). Adlar/FİO, VÖEN, ünvan və işlənmə məqsədini sadalamaq lazımdır. Bunlara IT-şirkətlər, GİS/MİS xidmət edən operatorlar, cəlb olunan kontragentlər, şəxsi məlumatların ötürüldüyü bulud provayderləri daxildir.

Əgər belə sistemləriniz yoxdursa, əlaqə məlumatları ilə sahələrin siyahısının altındakı “Sil” düyməsi ilə sahə dəstini silmək lazımdır.

Addım 10: Şəxsi məlumatların təhlükəsizliyinin təmin edilməsi haqqında məlumatlar

Burada Rusiya Federasiyası Hökumətinin 01.11.2012 tarixli № 1119 “Şəxsi məlumatların işlənməsi zamanı onların qorunması tələblərinin təsdiqi haqqında” qərarı ilə müəyyən edilmiş tələblərin icrası məqsədilə həyata keçirilən tədbirlərin siyahısı göstərilir. Bu bölmədə göstərilə bilər:

Operator məlumatların qorunması tələblərinin icrasını “FudSoul” MMC (VÖEN 4345369685) tərəfindən təqdim edilən bulud platformasından istifadə etməklə təmin edir, hansı ki, aşağıdakı tələblərə cavab verir:

1. Təşkilati tədbirlər:

• Platformanın sahibi ilə müqavilə bağlanmışdır (“FudSoul” MMC), hansı ki, onun işlənməni tapşırıq əsasında həyata keçirən operator kimi öhdəliklərini müəyyən edir.
• Operatorun işçilərinin platformanın funksionallığına giriş hüquqları minimal imtiyazlar prinsipinə əsasən məhdudlaşdırılır (rol əsaslı giriş modeli).
• İşçilərin hesabları unikal parollarla qorunur.

2. Texniki tədbirlər:

• Platformaya giriş və istifadəçi ilə sistem arasında məlumatların ötürülməsi yalnız HTTPS/TLS protokolları (şifrləmə) istifadə edilərək qorunan əlaqə kanalları vasitəsilə həyata keçirilir.
• İstifadəçilərin autentifikasiyası və avtorizasiyası platformanın öz vasitələri ilə təmin edilir.
• Zərərli koddan qorunma (antivirus qorunması) və firewall platformanın sahibinin infrastrukturunda həyata keçirilir.
• Platformanın sahibi məlumatların müntəzəm ehtiyat nüsxəsini çıxarır və server avadanlığının fiziki qorunmasını RF ərazisindəki məlumat mərkəzlərində təmin edir.
• Platformanın təqdim etdiyi funksionallıq çərçivəsində təhlükəsizlik hadisələrinin qeydiyyatı təmin edilir (hərəkətlərin logları).

3. Tədbirlərin icrasına nəzarət:

• Operator platformanın sahibi tərəfindən müqavilə şərtlərinə, şəxsi məlumatların təhlükəsizliyinin təmin edilməsi ilə bağlı riayət olunmasına nəzarət edir.

Addım 11: Bildirişi formalaşdıran şəxs haqqında məlumatlar

Roskomnadzora bu bildirişi göndərən şəxsin FİO, vəzifəsi və əlaqə məlumatlarını göstərin.

Addım 12: Bildirişin imzalanması və göndərilməsi

Variant 1. Kağız formatında

Kağız formatında formalaşdırılmış bildiriş forması təşkilatın rəhbəri və ya sənədləri imzalamaq hüququ olan şəxs tərəfindən imzalanmalı, tarix və möhür (əgər varsa) qoyulmalı, Roskomnadzorun ərazi idarəsinə poçt göndərişi ilə göndərilməli və ya şəxsən çatdırılmalıdır.

Variant 2. Gücləndirilmiş kvalifikasiyalı elektron imzadan istifadə edərək elektron formatda

Formanı doldurub elektron imza ilə imzalaya bilərsiniz. Bu halda kağız formatında təqdimat tələb olunmayacaq. Sizdə KryptoPro ECP Browser plug-in quraşdırılmış olmalıdır və onunla iş qurulmalıdır.

Variant 3. ESIA autentifikasiya vasitələrindən istifadə edərək elektron formatda

Dövlət xidmətləri portalında autentifikasiyadan keçin, formu doldurun və elektron formatda göndərin. Sizdə təsdiqlənmiş hesab olmalıdır. Bu halda kağız formatında surətin göndərilməsi tələb olunmayacaq. Əgər siz təşkilat üçün bildiriş təqdim edirsinizsə, hesabınız dövlət xidmətləri portalında həmin təşkilata bağlı olmalıdır.

HAZIRDIR! Uğurlu göndərilmədən sonra operatorlar reyestrinə daxil ediləcəksiniz. Bildirişin nömrəsini və açarını saxlayın.

Roskomnadzora bildirişin uğurlu göndərilməsindən və operatorlar reyestrinə daxil edilməsindən sonra şəxsi məlumatlarla düzgün gündəlik iş təmin edilməlidir. Bu işin əsas praktiki aspektləri cookie fayllarının və analitikanın istifadəsi, həmçinin istifadəçilərin sorğularının işlənməsidir.

Xarici məlumat toplama formalarından istifadə edərkən razılığın alınması mexanizmi

Bir çox FoodSoul müştəriləri müştəriləri cəlb etmək üçün öz saytlarında xarici məlumat toplama formaları (vidjetlər) yerləşdirirlər — məsələn, geri zəng sifarişi və ya texniki dəstək üçün müraciət formaları. Anlamaq vacibdir ki, belə inteqrasiyalar müştərilər tərəfindən müstəqil olaraq sayta quraşdırılır.

Bu formalar vasitəsilə məlumatların toplanmasının qanuni olması üçün iki şərt yerinə yetirilməlidir:

1. Mətn razılığı. Məlumat toplama formasının (vidjetin) altında istifadəçiyə aydın olan bir ifadə yerləşdirilməlidir ki, göndərmə düyməsini basaraq, o, şəxsi məlumatlarının işlənməsinə razılıq verir.

2. Sənədlərə hiperlinklər. Bu ifadə iki sənədə aktiv (kliklənə bilən) keçidlər içərməlidir:

   • Xidmətlərin göstərilməsi şərtlərinin təsvir edildiyi İstifadəçi razılaşması (və ya Təklif müqaviləsi).

   • Hansı məlumatların toplandığı, nə üçün və necə işlənildiyi ətraflı təsvir edilən Məxfilik siyasəti.

Formanın altında yerləşdirilməsi üçün tövsiyə olunan ifadə:

““Göndər” düyməsini basaraq, siz İstifadəçi razılaşmasının şərtlərini qəbul edir və Məxfilik siyasətinə uyğun olaraq şəxsi məlumatların işlənməsinə razılıq verirsiniz”.

Bu sadə tədbir sizi nəzarət orqanlarının iddialarından qoruyacaq və istifadəçinin şüurlu və könüllü hərəkət etdiyini sübut edəcək.

Cookie, analitika və istifadəçi sorğuları ilə necə işləmək olar

Cookie və analitika

FoodSoul proqram təminatı cookie fayllarını və sayğacları (əgər tətbiq olunursa) istifadə edir:

• xidmətlərin işləkliyini təmin etmək üçün;
• funksiyaların fərdiləşdirilməsi üçün;
• analitika və statistika üçün;
• proqram təminatının keyfiyyətinin yaxşılaşdırılması üçün;
• reklamın fərdiləşdirilməsi üçün.

Bu məlumatlar da şəxsi məlumatlardır və onların işlənməsi yuxarıda təsvir edildiyi kimi bildirişdə əks olunmalıdır. İstifadəçinin brauzer parametrlərində cookie istifadəsini qadağan edə biləcəyini, lakin bu halda xidmətin bəzi funksiyalarının əlçatan olmayacağını unutmayın.

İstifadəçi sorğuları

Operatorun birbaşa öhdəliklərindən biri şəxsi məlumatların subyektlərinin müraciətlərinə vaxtında cavab verməkdir. İstifadəçi hüququna malikdir:

• öz məlumatlarının işlənməsi haqqında məlumat tələb etmək;
• öz şəxsi məlumatlarını dəyişdirmək;
• məlumatları silmək, sorğunu info@fs.me ünvanına göndərməklə.

Öz hüquqlarını həyata keçirmək üçün istifadəçi operatora (FoodSoul müştərisinə) müraciət edə bilər və ya şəxsi kabinetin funksionallığından istifadə edə bilər (əgər tətbiq olunursa). Hesabın silinməsi və ya razılığın geri alınması müvafiq Xidmətlərdən istifadəni qeyri-mümkün edə bilər.

Eyni zamanda qanunvericilik operatoru müəyyən məlumatları müəyyən müddət ərzində saxlamağa və ya dövlət orqanlarına ötürməyə məcbur edə bilər.

Nəticə

FoodSoul proqram təminatından istifadə edərək, biznes rahat və təhlükəsiz bir alət əldə edir, lakin bununla yanaşı şəxsi məlumatların operatoru statusunu qəbul edir. Öz öhdəliklərini anlamaq, məlumatlarla düzgün işləmək və istifadəçilərlə şəffaf qaydalarla qarşılıqlı əlaqə qurmaq — bu, formalizm deyil, hüquqi riskləri azaltmaq və müştərilərin etibarını artırmaq üçün real bir yoldur.

Hələ reyestrdə deyilsiniz? Təlimatımızla bildiriş təqdim edin — bu, göründüyündən daha asandır!
FoodSoul hər addımda sizinlədir.

Hörmətlə,

FoodSoul komandası