Používání digitálních služeb a softwaru je nevyhnutelně spojeno se zpracováním osobních údajů. Při práci se softwarem FoodSoul si mnoho klientů a partnerů ani neuvědomuje, že z právního hlediska již plní roli operátora osobních údajů a nesou určité povinnosti.

V tomto článku se podíváme na:

• kdo je operátor osobních údajů;

• jaké povinnosti vznikají klientům FoodSoul;

• jaké údaje se zpracovávají v rámci používání softwaru FoodSoul;

• co je Roskomnadzor a jaké funkce plní;

• zda je nutné informovat Roskomnadzor a jakým způsobem;

• jak správně získat souhlas uživatele, pokud používáte externí formulář pro sběr dat na svém webu;

• jak pracovat s cookies, analytikou a požadavky uživatelů.

Kdo je operátor osobních údajů

Operátor osobních údajů je jakákoli fyzická nebo právnická osoba, která:

• shromažďuje osobní údaje;
• ukládá, používá, předává nebo maže je;
• samostatně určuje cíle a způsoby zpracování.

Jednoduše řečeno, pokud rozhodujete, proč a k čemu potřebujete údaje uživatele, jste operátor.

Klienti FoodSoul se stávají operátory osobních údajů, pokud:

• registrují uživatele nebo zaměstnance;
• pracují s klientskými databázemi;
• přijímají objednávky, žádosti, dotazy;
• používají osobní účty a další funkce softwaru FoodSoul.

Přitom nezáleží na tom, kde jsou data technicky uložena: odpovědnost operátora zůstává.

Jaké povinnosti vznikají klientům FoodSoul

Jako operátor osobních údajů má klient FoodSoul následující klíčové povinnosti:

• zpracovávat osobní údaje legálně a pro konkrétní účely;
• získat souhlas uživatele se zpracováním údajů (pokud je to vyžadováno);
• informovat uživatele o tom, jaké údaje a proč se zpracovávají;
• zajistit důvěrnost a bezpečnost údajů;
• reagovat na požadavky uživatelů (změna, smazání údajů);
• dodržovat požadavky legislativy RF o osobních údajích.

Přítomnost IT platformy neosvobozuje podnikání od těchto povinností. FoodSoul zajišťuje technickou část, ale právní odpovědnost za legálnost zpracování zůstává na partnerovi FoodSoul.

Jaké údaje se zpracovávají v rámci softwaru FoodSoul

1. Údaje poskytované uživatelem

To jsou informace, které uživatel uvádí sám. Patří sem:

• Při registraci nebo vytvoření účtu: jméno, pohlaví, datum narození, kontaktní telefon, e-mailová adresa, fotografie;
• Při zadávání a plnění objednávky: jméno, e-mail, údaje o platebních kartách, další platební informace, adresa doručení, kontaktní telefon;
• Při zpětné vazbě, stížnostech, účasti v akcích a programech loajality: příjmení, jméno, prostřední jméno, kontaktní údaje, textové informace a mediální obsah;
• Při kontaktování podpory: údaje o účtu, technické parametry zařízení a softwaru.

2. Údaje předávané automaticky

Při používání softwaru FoodSoul mohou být automaticky zpracovávány:

• Technické údaje: IP adresa, HTTP hlavičky, údaje o cookies, webové majáky/pixelové tagy, informace o prohlížeči a operačním systému, identifikátor mobilního zařízení, informace o hardwaru a softwaru;
• Údaje o používání: datum a čas přístupu na weby a/nebo služby, historie objednávek a akcí;
• Údaje o geolokaci (pokud je to relevantní a se souhlasem uživatele).

FoodSoul zpracovává pouze ty informace, které jsou nezbytné pro fungování softwaru a zlepšení služeb.

Co je Roskomnadzor a jaké funkce plní

Roskomnadzor je státní orgán, který dohlíží na dodržování legislativy o osobních údajích.

On:

• vede rejstřík operátorů osobních údajů;
• kontroluje dodržování požadavků zákona;
• projednává stížnosti uživatelů;
• provádí plánované a neplánované kontroly;
• vydává příkazy k odstranění porušení;
• přivádí operátory k administrativní odpovědnosti.

Jednoduše řečeno, Roskomnadzor dohlíží na to, aby podnikání správně a legálně pracovalo s osobními údaji.

Je nutné informovat Roskomnadzor

Ve většině případů jsou klienti FoodSoul povinni informovat Roskomnadzor o zahájení zpracování osobních údajů. Oznámení se podává před zahájením zpracování nebo, pokud již zpracování probíhá, co nejdříve.

Níže je praktický krok za krokem průvodce vyplněním elektronického formuláře na webu pd.rkn.gov.ru, s příklady založenými na vaší Politice ochrany osobních údajů.

Průvodce “Jak vyplnit oznámení o zahájení zpracování osobních údajů”

Krok 1: Obecné informace o operátorovi

• Region registrace / Typ operátora / Název / Adresa / DIČ, IČO: Údaje se uvádějí přesně podle obchodního rejstříku. Zkontrolujte aktuálnost informací na webu daňového úřadu.
• Telefon / E-mailová adresa: Uveďte kontaktní údaje, na které se s vámi může Roskomnadzor spojit.
• Region zpracování: Uveďte regiony, kde vaše společnost skutečně působí a kde se zpracovávají údaje (například hlavní kancelář, pobočky). Pokud činnost probíhá po celé Rusku, můžete uvést “Ruská federace”.

Krok 2: Účely zpracování osobních údajů

To je nejdůležitější blok. Je třeba podrobně popsat každý účel. Využijte oddíl 5 vaší Politiky ochrany osobních údajů.

Příklad vyplnění pro účel “Zadání a plnění objednávek, kontrola stavu, doručení” (na základě bodů 5.2 a 5.3 Politiky):

• Účel zpracování: Zadání, plnění, kontrola stavu a doručení objednávek zboží/služeb uživatele, komunikace s uživatelem ohledně objednávky.
• Kategorie osobních údajů: příjmení, jméno, prostřední jméno; telefonní číslo; e-mailová adresa; adresa doručení; údaje o platebních kartách/další platební informace; detaily objednávky.
• Kategorie subjektů: Uživatelé, kteří zadávají objednávky a objednávají doručení.
• Právní základ zpracování: Souhlas subjektu osobních údajů (čl. 6 zákona “O osobních údajích”); smlouva (Uživatelská smlouva).
• Seznam akcí: Sběr, záznam, systematizace, akumulace, ukládání, upřesnění (aktualizace, změna), extrakce, použití, předání (včetně pověření zpracování), anonymizace, blokování, mazání, zničení.
• Způsoby zpracování: Automatizované  zpracování.

Podobně vyplňte další účely z Politiky, například:

• Registrace účtu (bod 5.1).
• Marketingová komunikace (bod 5.4).
• Zpětná vazba a podpora (bod 5.5, 5.7).
• Provádění akcí a programů loajality (bod 5.6).
• Zlepšení práce služeb, analytika, bezpečnost (bod 5.9, 5.10, 5.11).

Krok 3: Způsoby zpracování

Vyberte v záložkách: “Automatizované”, “S přenosem po vnitřní síti právnické osoby”, “S přenosem po síti Internet”.

Krok 4: Opatření na ochranu osobních údajů (čl. 18.1 a 19 zákona 152-FZ)

Popište konkrétní organizační a technická opatření. Můžete vycházet z oddílu 7 vaší Politiky.

Příklad vyplnění:

1. Jsou jmenováni odpovědní za organizaci zpracování a za zajištění bezpečnosti osobních údajů.

2. Byla vypracována a schválena Politika ohledně zpracování osobních údajů.

3. Zaměstnanci, kteří provádějí zpracování, jsou seznámeni s ustanoveními legislativy RF o osobních údajích a místními akty.

4. Je zajištěno řízení přístupu k informačním systémům (uživatelské účty, hesla).

5. Používají se technické prostředky ochrany: firewall, antivirový software, prostředky detekce průniků.

6. Je zajištěno zálohování informací.

7. Je zajištěno protokolování a evidence akcí uživatelů v informačních systémech.

8. Při přenosu dat po síti Internet se používá zabezpečené připojení (protokol HTTPS/TLS).

Krok 5: Použití šifrovacích (kryptografických) prostředků

Uveďte, zda se používají / nepoužívají.

Pokud se používají, uveďte třídu SZZI a název, výrobce, sériová čísla šifrovacích prostředků.

Například:

• Třída SZZI: KS2; KS3.
• Název, výrobce, sériová čísla šifrovacích prostředků: SZZI CryptoPro CSP, PAK “AK-server”, VipNet CSP.

Krok 6: Data a podmínky

• Datum zahájení zpracování: Uveďte datum, kdy jste skutečně začali pracovat s osobními údaji klientů (může se shodovat s datem registrace společnosti).
• Doba nebo podmínka ukončení zpracování: Vyberte v záložce: “Podmínka ukončení”. Dále uveďte:  “Likvidace nebo reorganizace právnické osoby”.

Krok 7: Přeshraniční přenos

Pokud nepředáváte údaje mimo RF, uveďte “Neprovádí se”.

Krok 8: Informace o umístění databáze

To je kriticky důležitý bod pro klienty FoodSoul. Společnost “FoodSoul” umisťuje technologickou infrastrukturu platformy (serverové vybavení) na území Ruské federace v outsourcingovém datovém centru (DC). Pokud navíc používáte vlastní DC, přidejte informace a vyplňte Databázi č. 2 s informacemi o svém vlastním DC.

Příklad vyplnění informací o místě uložení dat:

• Země: Rusko
• Adresa DC: 123060, Moskva, ul. Berzarina, d. 36, str. 3
• Vlastní DC: ne

Informace o organizaci odpovědné za uložení dat:

• Typ organizace: právnická osoba

• Organizačně-právní forma: AO

• Název organizace: Akciová společnost "Selectel"

• IČO: 1247800067790

• DIČ: 7810962785

• Země umístění: Rusko

• Adresa umístění: 196006, Petrohrad, ul. Cvetočnaja, d. 21, lit. A (podle obchodního rejstříku)

* Pokud se používá také vlastní DC — přidejte Databázi č. 2 a zadejte údaje své organizace podle obchodního rejstříku.

Krok 9: Informace o osobách, které mají přístup a/nebo provádějí na základě smlouvy zpracování osobních údajů obsažených ve státních a obecních informačních systémech.

Zde se uvádějí třetí osoby, kterým operátor předává údaje, které mají přístup k IS, nebo které zpracovávají údaje na základě smlouvy (čl. 6 zákona 152-FZ). Je třeba uvést názvy/FIO, DIČ, adresu a účel zpracování. Patří sem IT společnosti, které obsluhují GIS/MIS, operátoři spojení, najatí kontrahenti, cloudoví poskytovatelé, kterým se předávají osobní údaje.

Pokud nemáte takové systémy, je třeba odstranit sadu polí pomocí tlačítka “Odstranit” pod seznamem polí s kontaktními údaji.

Krok 10: Informace o zajištění bezpečnosti osobních údajů

Zde se uvádí seznam opatření, která realizujete za účelem splnění požadavků stanovených nařízením vlády Ruské federace ze dne 01.11.2012 č. 1119 “O schválení požadavků na ochranu osobních údajů při jejich zpracování v informačních systémech osobních údajů”. V této části můžete uvést:

Operátor zajišťuje plnění požadavků na ochranu dat pomocí cloudové platformy poskytované společností “FoodSoul” (DIČ 4345369685), která splňuje následující požadavky:

1. Organizační opatření:

• Byla uzavřena smlouva s vlastníkem platformy (společnost “FoodSoul”), která určuje jeho povinnosti jako operátora, který provádí zpracování na základě pověření.
• Je zajištěno rozdělení práv přístupu zaměstnanců operátora k funkčnosti platformy na základě principu minimálních privilegií (role-based access control).
• Uživatelské účty zaměstnanců jsou chráněny unikátními hesly.

2. Technická opatření:

• Přístup k platformě a přenos dat mezi uživatelem a systémem se provádí výhradně po zabezpečených komunikačních kanálech s použitím protokolů HTTPS/TLS (šifrování).
• Autentizace a autorizace uživatelů je zajištěna prostředky samotné platformy.
• Ochrana před škodlivým kódem (antivirová ochrana) a firewally (Firewall) jsou realizovány na straně infrastruktury vlastníka platformy.
• Vlastník platformy zajišťuje pravidelné zálohování dat a fyzickou ochranu serverového vybavení v datových centrech na území RF.
• Je zajištěna registrace bezpečnostních událostí v rámci funkcionality poskytované platformou (logy akcí).

3. Kontrola plnění opatření:

• Operátor kontroluje dodržování podmínek smlouvy vlastníkem platformy v části zajištění bezpečnosti osobních údajů.

Krok 11: Údaje osoby, která vytvořila oznámení

Uveďte jméno, příjmení, pozici a kontaktní informace osoby, která zasílá toto oznámení Roskomnadzoru.

Krok 12: Podpis a odeslání oznámení

Varianta 1. V tištěné podobě

Vytvořená tištěná forma Oznámení v tištěné podobě musí být podepsána vedoucím organizace nebo osobou, která má právo podepisovat dokumenty, musí být uvedeno datum a razítko (pokud je k dispozici), a zaslána na územní Úřad Roskomnadzoru poštou nebo doručena osobně.

Varianta 2. V elektronické podobě s použitím posíleného kvalifikovaného elektronického podpisu

Můžete vyplnit formulář a podepsat jej elektronickým podpisem. V tomto případě nebude nutné podání v tištěné podobě. Musíte mít nainstalovaný plugin CryptoPro ECP Browser plug-in a nastavenou práci s ním.

Varianta 3. V elektronické podobě s použitím prostředků autentizace ESIA

Proveďte autentizaci na portálu Státních služeb, vyplňte formulář a odešlete jej v elektronické podobě. Musíte mít potvrzený účet. Odeslání kopie v tištěné podobě v tomto případě nebude nutné. Pokud podáváte oznámení za organizaci, váš účet musí být připojen k této organizaci na portálu Státních služeb.

HOTOVO! Po úspěšném odeslání budete zapsáni do rejstříku operátorů. Uložte si číslo a klíč oznámení.

Po úspěšném odeslání oznámení Roskomnadzoru a zařazení do rejstříku operátorů je třeba zajistit správnou každodenní práci s osobními údaji. Klíčovými praktickými aspekty této práce jsou používání souborů cookie a analytiky, stejně jako zpracování požadavků od samotných uživatelů.

Mechanismus získání souhlasu při používání externích formulářů pro sběr dat

Mnoho klientů FoodSoul pro přilákání zákazníků umisťuje na své weby externí formuláře pro sběr dat (widgety) — například formuláře pro objednání zpětného volání nebo pro kontaktování technické podpory. Je důležité pochopit, že takové integrace na web instalují klienti sami.

Aby byl sběr dat prostřednictvím těchto formulářů legální, je třeba splnit dvě podmínky:

1. Textový souhlas. Přímo pod formulářem (widgetem) pro sběr dat je třeba umístit uživatelsky srozumitelnou formulaci o tom, že stisknutím tlačítka odeslání dává souhlas se zpracováním jeho osobních údajů.

2. Hyperlinky na dokumenty. Tato formulace by měla obsahovat aktivní (klikatelné) odkazy na dva dokumenty:

   • Uživatelskou smlouvu (nebo Smlouvu o nabídce), kde jsou popsány podmínky poskytování služeb.

   • Politiku ochrany osobních údajů, kde je podrobně popsáno, jaké údaje se shromažďují, proč a jak se zpracovávají.

Doporučená formulace pro umístění pod formulář:

“Stisknutím tlačítka “Odeslat” přijímáte podmínky Uživatelské smlouvy a dáváte souhlas se zpracováním osobních údajů podle Politiky ochrany osobních údajů”.

Toto jednoduché opatření vás ochrání před nároky ze strany kontrolních orgánů a prokáže, že uživatel jednal vědomě a dobrovolně.

Jak pracovat s cookies, analytikou a požadavky uživatelů

Cookies a analytika

Software FoodSoul používá soubory cookie a počítadla (pokud je to relevantní) pro:

• zajištění funkčnosti služeb;
• personalizaci funkcí;
• analytiku a statistiku;
• zlepšení kvality softwaru;
• personalizaci reklamy.

Tyto údaje jsou také osobní a jejich zpracování by mělo být uvedeno v oznámení, jak bylo popsáno výše. Je důležité si uvědomit, že uživatel může zakázat používání cookies v nastavení prohlížeče, přičemž některé funkce služby mohou být nedostupné.

Požadavky uživatelů

Jednou z přímých povinností operátora je včas reagovat na žádosti subjektů osobních údajů. Uživatel má právo:

• požadovat informace o zpracování svých údajů;
• měnit své osobní údaje;
• smazat údaje, zasláním žádosti na info@fs.me.

Pro realizaci svých práv se uživatel může obrátit na operátora (klienta FoodSoul) nebo použít funkce osobního účtu (kde je to relevantní). Smazání účtu nebo odvolání souhlasu může vést k nemožnosti dalšího používání příslušných služeb.

Přitom legislativa může operátora zavazovat k uchovávání určitých údajů po stanovenou dobu nebo k jejich předání státním orgánům.

Závěr

Používáním softwaru FoodSoul získává podnikání pohodlný a bezpečný nástroj, ale zároveň přijímá status operátora osobních údajů. Pochopení svých povinností, správná práce s údaji a transparentní pravidla interakce s uživateli nejsou formalitou, ale skutečným způsobem, jak snížit právní rizika a zvýšit důvěru klientů.

Ještě nejste v rejstříku? Podejte oznámení s naším průvodcem — je to jednodušší, než se zdá!
FoodSoul je s vámi na každém kroku.

S úctou,

Tým FoodSoul