Persönliche Daten und Geschäft: Was Kunden von FoodSoul wissen sollten

Die Nutzung digitaler Dienste und Software ist unweigerlich mit der Verarbeitung personenbezogener Daten verbunden. Bei der Arbeit mit der Software von FoodSoul denken viele Kunden und Partner nicht einmal darüber nach, dass sie aus rechtlicher Sicht bereits die Rolle eines Betreibers personenbezogener Daten übernehmen und bestimmte Pflichten tragen.

In diesem Artikel werden wir klären:

• wer ein Betreiber personenbezogener Daten ist;
• welche Pflichten die Kunden von FoodSoul haben;
• welche Daten im Rahmen der Nutzung der FoodSoul-Software verarbeitet werden;
• was Roskomnadzor ist und welche Funktionen es erfüllt;
• ob und wie Roskomnadzor benachrichtigt werden muss;
• wie man die Zustimmung des Nutzers richtig einholt, wenn man ein externes Formular zur Datenerfassung auf seiner Website verwendet;
• wie man mit Cookies, Analysen und Nutzeranfragen umgeht.

Wer ist ein Betreiber personenbezogener Daten

Ein Betreiber personenbezogener Daten ist jede natürliche oder juristische Person, die:

• personenbezogene Daten sammelt;
• diese speichert, nutzt, überträgt oder löscht;
• die Zwecke und Mittel der Verarbeitung eigenständig bestimmt.

Einfach ausgedrückt: Wenn Sie entscheiden, warum und wofür Sie die Daten eines Nutzers benötigen, sind Sie ein Betreiber.

Kunden von FoodSoul werden zu Betreibern personenbezogener Daten, wenn sie:

• Nutzer oder Mitarbeiter registrieren;
• mit Kundendatenbanken arbeiten;
• Bestellungen, Anfragen, Anträge entgegennehmen;
• persönliche Konten und andere Funktionen der FoodSoul-Software nutzen.

Dabei spielt es keine Rolle, wo die Daten technisch gespeichert werden: Die Verantwortung des Betreibers bleibt bestehen.

Welche Pflichten haben die Kunden von FoodSoul

Als Betreiber personenbezogener Daten haben die Kunden von FoodSoul folgende Hauptpflichten:

• personenbezogene Daten rechtmäßig und zu bestimmten Zwecken zu verarbeiten;
• die Zustimmung des Nutzers zur Datenverarbeitung einzuholen (falls erforderlich);
• den Nutzer darüber zu informieren, welche Daten und zu welchem Zweck verarbeitet werden;
• die Vertraulichkeit und Sicherheit der Daten zu gewährleisten;
• auf Anfragen von Nutzern zu reagieren (Änderung, Löschung von Daten);
• die Anforderungen der russischen Gesetzgebung zu personenbezogenen Daten einzuhalten.

Das Vorhandensein einer IT-Plattform entbindet das Unternehmen nicht von diesen Pflichten. FoodSoul stellt den technischen Teil bereit, während die rechtliche Verantwortung für die Rechtmäßigkeit der Verarbeitung beim Partner von FoodSoul bleibt.

Welche Daten werden im Rahmen der FoodSoul-Software verarbeitet

1. Vom Nutzer bereitgestellte Daten

Dies sind Informationen, die der Nutzer selbst angibt. Dazu gehören:

• Bei der Registrierung oder Erstellung eines Kontos: Name, Geschlecht, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Foto;
• Bei der Bestellung und Ausführung: Name, E-Mail, Zahlungsinformationen, Lieferadresse, Telefonnummer;
• Bei Rückmeldungen, Beschwerden, Teilnahme an Aktionen und Treueprogrammen: Nachname, Vorname, Patronym, Kontaktdaten, Textinformationen und Medieninhalte;
• Bei Kontaktaufnahme mit dem Support: Kontodaten, technische Parameter des Geräts und der Software.

2. Automatisch übermittelte Daten

Bei der Nutzung der FoodSoul-Software können automatisch verarbeitet werden:

• Technische Daten: IP-Adresse, HTTP-Header, Cookie-Daten, Web-Beacons/Pixeltags, Informationen über Browser und Betriebssystem, Geräte-ID, Informationen über Hardware und Software;
• Nutzungsdaten: Datum und Uhrzeit des Zugriffs auf die Websites und/oder Dienste, Bestell- und Aktionshistorie;
• Geolokationsdaten (falls zutreffend und mit Zustimmung des Nutzers).

FoodSoul verarbeitet nur die Informationen, die für den Betrieb der Software und die Verbesserung der Dienste erforderlich sind.

Was ist Roskomnadzor und welche Funktionen erfüllt es

Roskomnadzor ist eine staatliche Behörde, die die Einhaltung der Gesetzgebung zu personenbezogenen Daten überwacht.

Es:

• führt ein Register der Betreiber personenbezogener Daten;
• überwacht die Einhaltung der gesetzlichen Anforderungen;
• bearbeitet Beschwerden von Nutzern;
• führt planmäßige und außerplanmäßige Überprüfungen durch;
• erteilt Anordnungen zur Beseitigung von Verstößen;
• zieht Betreiber zur administrativen Verantwortung.

Einfach ausgedrückt: Roskomnadzor sorgt dafür, dass Unternehmen korrekt und gesetzeskonform mit personenbezogenen Daten arbeiten.

Muss Roskomnadzor benachrichtigt werden

In den meisten Fällen sind die Kunden von FoodSoul verpflichtet, Roskomnadzor über den Beginn der Verarbeitung personenbezogener Daten zu informieren. Die Benachrichtigung erfolgt vor Beginn der Verarbeitung oder, wenn die Verarbeitung bereits läuft, so schnell wie möglich.

Nachfolgend finden Sie eine praktische Schritt-für-Schritt-Anleitung zum Ausfüllen des elektronischen Formulars auf der Website pd.rkn.gov.ru, mit Beispielen, die auf Ihrer Datenschutzrichtlinie basieren.

Leitfaden „Wie man die Benachrichtigung über den Beginn der Verarbeitung personenbezogener Daten ausfüllt“

Schritt 1: Allgemeine Informationen über den Betreiber

• Registrierungsregion / Betreibertyp / Name / Adresse / INN, OGRN: Die Daten müssen streng gemäß EGRUL/EGRIP angegeben werden. Überprüfen Sie die Aktualität der Informationen auf der Website der FNS.
• Telefon / E-Mail-Adresse: Geben Sie Kontaktdaten an, über die Roskomnadzor Sie erreichen kann.
• Verarbeitungsregion: Geben Sie die Regionen an, in denen Ihr Unternehmen tatsächlich tätig ist und Daten verarbeitet werden (z. B. Hauptsitz, Filialen). Wenn die Tätigkeit in ganz Russland ausgeübt wird, können Sie „Russische Föderation“ angeben.

Schritt 2: Zwecke der Verarbeitung personenbezogener Daten

Dies ist der wichtigste Block. Jede Zielsetzung muss detailliert beschrieben werden. Nutzen Sie Abschnitt 5 Ihrer Datenschutzrichtlinie.

Beispiel für das Ausfüllen für den Zweck „Bestellung und Ausführung von Bestellungen, Statuskontrolle, Lieferung“ (basierend auf Punkt 5.2 und 5.3 der Richtlinie):

• Zweck der Verarbeitung: Bestellung, Ausführung, Statuskontrolle und Lieferung von Waren/Dienstleistungen des Nutzers, Interaktion mit dem Nutzer in Bezug auf die Bestellung.
• Kategorien personenbezogener Daten: Nachname, Vorname, Patronym; Telefonnummer; E-Mail-Adresse; Lieferadresse; Zahlungsinformationen; Bestelldetails.
• Kategorien von Subjekten: Nutzer, die Bestellungen aufgeben und Lieferungen anfordern.
• Rechtsgrundlage der Verarbeitung: Zustimmung des Subjekts personenbezogener Daten (Art. 6 des Gesetzes „Über personenbezogene Daten“); Vertrag (Nutzungsvereinbarung).
• Liste der Aktionen: Sammlung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Aktualisierung (Erneuerung, Änderung), Extraktion, Nutzung, Übertragung (einschließlich Auftragsverarbeitung), Anonymisierung, Blockierung, Löschung, Vernichtung.
• Verarbeitungsmethoden: Automatisierte Verarbeitung.

Füllen Sie analog andere Ziele aus der Richtlinie aus, zum Beispiel:

• Registrierung eines Kontos (Punkt 5.1).
• Marketingkommunikation (Punkt 5.4).
• Rückmeldungen und Support (Punkt 5.5, 5.7).
• Durchführung von Aktionen und Treueprogrammen (Punkt 5.6).
• Verbesserung der Dienste, Analytik, Sicherheit (Punkt 5.9, 5.10, 5.11).

Schritt 3: Verarbeitungsmethoden

Wählen Sie in den Registerkarten: „Automatisiert“, „Mit Übertragung im internen Netzwerk der juristischen Person“, „Mit Übertragung über das Internet“.

Schritt 4: Maßnahmen zum Schutz personenbezogener Daten (Art. 18.1 und 19 des Gesetzes-152)

Beschreiben Sie konkrete organisatorische und technische Maßnahmen. Sie können Abschnitt 7 Ihrer Richtlinie als Grundlage nehmen.

Beispiel für das Ausfüllen:

1. Verantwortliche für die Organisation der Verarbeitung und für die Gewährleistung der Sicherheit personenbezogener Daten wurden ernannt.
2. Eine Richtlinie zur Verarbeitung personenbezogener Daten wurde entwickelt und genehmigt.
3. Mitarbeiter, die die Verarbeitung durchführen, sind mit den Bestimmungen der russischen Gesetzgebung zu personenbezogenen Daten und den lokalen Vorschriften vertraut.
4. Der Zugang zu Informationssystemen wird verwaltet (Benutzerkonten, Passwörter).
5. Technische Schutzmaßnahmen werden angewendet: Firewalls, Antivirensoftware, Intrusion-Detection-Systeme.
6. Es wird eine regelmäßige Datensicherung durchgeführt.
7. Die Protokollierung und Erfassung von Benutzeraktionen in Informationssystemen wird durchgeführt.
8. Bei der Übertragung von Daten über das Internet wird eine sichere Verbindung verwendet (Protokoll HTTPS/TLS).

Schritt 5: Verwendung von Verschlüsselungs- (kryptografischen) Mitteln

Angeben, ob sie verwendet werden / nicht verwendet werden.

Wenn sie verwendet werden, geben Sie die Klasse der Krypto-Mittel und die Bezeichnung, Hersteller, Seriennummern der Verschlüsselungsmittel an.

Zum Beispiel:

• Klasse der Krypto-Mittel: KCS2; KCS3.
• Bezeichnung, Hersteller, Seriennummern der Verschlüsselungsmittel: KryptoPro CSP, PAK „AK-Server“, VipNet CSP.

Schritt 6: Daten und Bedingungen

• Datum des Beginns der Verarbeitung: Geben Sie das Datum an, an dem Sie tatsächlich mit der Verarbeitung personenbezogener Daten von Kunden begonnen haben (kann mit dem Datum der Unternehmensregistrierung übereinstimmen).
• Frist oder Bedingung für die Beendigung der Verarbeitung: Wählen Sie in der Registerkarte: „Bedingung für das Ende“. Geben Sie dann an: „Liquidation oder Reorganisation der juristischen Person“.

Schritt 7: Grenzüberschreitende Übertragung

Wenn Sie keine Daten außerhalb der Russischen Föderation übertragen, geben Sie „Nicht durchgeführt“ an.

Schritt 8: Informationen über den Standort der Datenbank

Dies ist ein kritischer Punkt für Kunden von FoodSoul. OOO „FoodSoul“ platziert die technologische Infrastruktur der Plattform (Serverausrüstung) auf dem Gebiet der Russischen Föderation in einem ausgelagerten Rechenzentrum. Wenn Sie zusätzlich Ihr eigenes Rechenzentrum verwenden, fügen Sie die Informationen hinzu und füllen die Datenbank Nr. 2 mit Informationen über Ihr eigenes Rechenzentrum aus.

Beispiel für das Ausfüllen der Informationen über den Speicherort der Daten:

• Land: Russland
• Adresse des Rechenzentrums: 123060, Moskau, Berzarina-Straße 36, Gebäude 3
• Eigenes Rechenzentrum: nein

Informationen über die Organisation, die für die Speicherung der Daten verantwortlich ist:

• Organisationstyp: juristische Person
• Rechtsform: AG
• Name der Organisation: Aktiengesellschaft "Selectel"
• OGRN: 1247800067790
• INN: 7810962785
• Land des Standorts: Russland
• Adresse des Standorts: 196006, St. Petersburg, Tsvetochnaya-Straße 21, Lit. A (gemäß EGRUL)

* Wenn auch ein eigenes Rechenzentrum verwendet wird, fügen Sie die Datenbank Nr. 2 hinzu und geben die Daten Ihrer Organisation gemäß EGRUL ein.

Schritt 9: Informationen über Personen, die Zugang haben und/oder auf der Grundlage eines Vertrags personenbezogene Daten in staatlichen und kommunalen Informationssystemen verarbeiten.

Hier werden Dritte angegeben, denen der Betreiber Daten überträgt, die Zugang zu IS haben oder die Daten im Auftrag auf der Grundlage eines Vertrags verarbeiten (Art. 6 des Gesetzes-152). Es ist erforderlich, die Namen/FIO, INN, Adresse und den Zweck der Verarbeitung aufzulisten. Dazu gehören IT-Unternehmen, die GIS/MIS warten, Telekommunikationsbetreiber, beauftragte Vertragspartner, Cloud-Anbieter, an die personenbezogene Daten übermittelt werden.

Wenn Sie solche Systeme nicht haben, müssen Sie den Satz von Feldern mit der Schaltfläche „Löschen“ unter der Liste der Felder mit den Kontaktinformationen entfernen.

Schritt 10: Informationen über die Gewährleistung der Sicherheit personenbezogener Daten

Hier wird eine Liste von Maßnahmen angegeben, die Sie zur Erfüllung der Anforderungen umsetzen, die durch die Verordnung der Regierung der Russischen Föderation vom 01.11.2012 Nr. 1119 „Über die Genehmigung der Anforderungen an den Schutz personenbezogener Daten bei deren Verarbeitung in Informationssystemen personenbezogener Daten“ festgelegt sind. In diesem Abschnitt können Sie angeben:

Der Betreiber gewährleistet die Erfüllung der Anforderungen zum Schutz der Daten durch die Nutzung der Cloud-Plattform, die von OOO „FoodSoul“ (INN 4345369685) bereitgestellt wird, die den folgenden Anforderungen entspricht:

1. Organisatorische Maßnahmen:

• Ein Vertrag mit dem Plattforminhaber (OOO „FoodSoul“) wurde abgeschlossen, der seine Pflichten als Betreiber, der die Verarbeitung im Auftrag durchführt, festlegt.
• Es wird eine Zugangsbeschränkung der Mitarbeiter des Betreibers zur Funktionalität der Plattform auf der Grundlage des Prinzips der minimalen Privilegien (rollenbasierte Zugriffssteuerung) gewährleistet.
• Benutzerkonten der Mitarbeiter sind durch einzigartige Passwörter geschützt.

2. Technische Maßnahmen:

• Der Zugang zur Plattform und die Datenübertragung zwischen dem Nutzer und dem System erfolgt ausschließlich über gesicherte Kommunikationskanäle unter Verwendung der Protokolle HTTPS/TLS (Verschlüsselung).
• Authentifizierung und Autorisierung der Nutzer werden durch die Mittel der Plattform selbst gewährleistet.
• Schutz vor schädlichem Code (Antivirenschutz) und Firewalls sind auf der Seite der Infrastruktur des Plattforminhabers implementiert.
• Der Plattforminhaber gewährleistet regelmäßige Datensicherungen und physischen Schutz der Serverausrüstung in Rechenzentren auf dem Gebiet der Russischen Föderation.
• Es wird eine Registrierung von Sicherheitsereignissen im Rahmen der von der Plattform bereitgestellten Funktionalität (Aktionsprotokolle) gewährleistet.

3. Kontrolle der Umsetzung der Maßnahmen:

• Der Betreiber kontrolliert die Einhaltung der Vertragsbedingungen durch den Plattforminhaber in Bezug auf die Gewährleistung der Sicherheit personenbezogener Daten.

Schritt 11: Daten der Person, die die Benachrichtigung erstellt hat

Geben Sie den Namen, die Position und die Kontaktdaten der Person an, die diese Benachrichtigung an Roskomnadzor sendet.

Schritt 12: Unterzeichnung und Versand der Benachrichtigung

Option 1. In Papierform

Das erstellte gedruckte Formular der Benachrichtigung in Papierform muss vom Leiter der Organisation oder einer Person, die das Recht hat, Dokumente zu unterzeichnen, unterschrieben, datiert und gestempelt (falls vorhanden) werden und per Post an die territoriale Verwaltung von Roskomnadzor gesendet oder persönlich überbracht werden.

Option 2. In elektronischer Form mit qualifizierter elektronischer Signatur

Sie können das Formular ausfüllen und mit einer elektronischen Signatur unterzeichnen. In diesem Fall ist keine Einreichung in Papierform erforderlich. Sie müssen das KryptoPro ECP Browser-Plug-in installiert haben und damit arbeiten können.

Option 3. In elektronischer Form mit ESIA-Authentifizierungsmitteln

Authentifizieren Sie sich auf dem Portal der staatlichen Dienste, füllen Sie das Formular aus und senden Sie es elektronisch. Sie müssen ein bestätigtes Konto haben. In diesem Fall ist keine Kopie in Papierform erforderlich. Wenn Sie die Benachrichtigung im Namen einer Organisation einreichen, muss Ihr Konto mit dieser Organisation auf dem Portal der staatlichen Dienste verknüpft sein.

FERTIG! Nach erfolgreichem Versand werden Sie in das Register der Betreiber aufgenommen. Speichern Sie die Nummer und den Schlüssel der Benachrichtigung.

Nach erfolgreichem Versand der Benachrichtigung an Roskomnadzor und der Aufnahme in das Register der Betreiber muss die korrekte tägliche Arbeit mit personenbezogenen Daten sichergestellt werden. Die wichtigsten praktischen Aspekte dieser Arbeit sind die Verwendung von Cookies und Analysen sowie die Bearbeitung von Anfragen der Nutzer selbst.

Mechanismus zur Einholung der Zustimmung bei Verwendung externer Formulare zur Datenerfassung

Viele Kunden von FoodSoul platzieren zur Kundenakquise auf ihren Websites externe Formulare zur Datenerfassung (Widgets) — zum Beispiel Formulare für Rückrufanfragen oder zur Kontaktaufnahme mit dem Support. Es ist wichtig zu verstehen, dass solche Integrationen von den Kunden selbst auf der Website installiert werden.

Damit die Datenerfassung über diese Formulare legal ist, müssen zwei Bedingungen erfüllt sein:

1. Textliche Zustimmung. Unmittelbar unter dem Formular (Widget) zur Datenerfassung muss eine für den Nutzer verständliche Formulierung platziert werden, dass er durch Klicken auf die Schaltfläche zur Übermittlung seine Zustimmung zur Verarbeitung seiner personenbezogenen Daten gibt.
2. Hyperlinks zu Dokumenten. Diese Formulierung muss aktive (anklickbare) Links zu zwei Dokumenten enthalten:
   • Nutzungsvereinbarung (oder Vertragsangebot), in der die Bedingungen der Dienstleistungserbringung beschrieben sind.
   • Datenschutzrichtlinie, in der detailliert beschrieben wird, welche Daten gesammelt werden, warum und wie sie verarbeitet werden.

Empfohlene Formulierung zur Platzierung unter dem Formular:

„Durch Klicken auf „Senden“ akzeptieren Sie die Bedingungen der Nutzungsvereinbarung und geben Ihre Zustimmung zur Verarbeitung personenbezogener Daten gemäß der Datenschutzrichtlinie.“

Diese einfache Maßnahme schützt Sie vor Ansprüchen der Aufsichtsbehörden und beweist, dass der Nutzer bewusst und freiwillig gehandelt hat.

Wie man mit Cookies, Analysen und Nutzeranfragen umgeht

Cookies und Analysen

Die FoodSoul-Software verwendet Cookies und Zähler (falls zutreffend) für:

• die Gewährleistung der Funktionsfähigkeit der Dienste;
• die Personalisierung von Funktionen;
• Analysen und Statistiken;
• die Verbesserung der Softwarequalität;
• die Personalisierung von Werbung.

Diese Daten sind ebenfalls personenbezogen, und ihre Verarbeitung muss in der Benachrichtigung, wie oben beschrieben, reflektiert werden. Es ist wichtig zu beachten, dass der Nutzer die Verwendung von Cookies in den Browsereinstellungen untersagen kann, wobei bestimmte Funktionen des Dienstes möglicherweise nicht verfügbar sind.

Nutzeranfragen

Einer der direkten Pflichten des Betreibers ist es, rechtzeitig auf Anfragen von Subjekten personenbezogener Daten zu reagieren. Der Nutzer hat das Recht:

• Informationen über die Verarbeitung seiner Daten anzufordern;
• seine personenbezogenen Daten zu ändern;
• Daten zu löschen, indem er eine Anfrage an info@fs.me sendet.

Um seine Rechte auszuüben, kann der Nutzer sich an den Betreiber (Kunden von FoodSoul) wenden oder die Funktionalität des persönlichen Kontos nutzen (wo zutreffend). Die Löschung des Kontos oder der Widerruf der Zustimmung kann zur Unmöglichkeit der weiteren Nutzung der entsprechenden Dienste führen.

Gleichzeitig kann die Gesetzgebung den Betreiber verpflichten, bestimmte Daten für einen festgelegten Zeitraum zu speichern oder sie an staatliche Stellen zu übermitteln.

Fazit

Durch die Nutzung der FoodSoul-Software erhält das Unternehmen ein bequemes und sicheres Werkzeug, übernimmt jedoch gleichzeitig den Status eines Betreibers personenbezogener Daten. Das Verständnis seiner Pflichten, die korrekte Arbeit mit Daten und transparente Regeln für die Interaktion mit Nutzern sind keine Formalität, sondern ein realer Weg, um rechtliche Risiken zu minimieren und das Vertrauen der Kunden zu erhöhen.

Sie sind noch nicht im Register? Reichen Sie die Benachrichtigung mit unserem Leitfaden ein – es ist einfacher, als es scheint!
FoodSoul ist bei jedem Schritt an Ihrer Seite.

Mit freundlichen Grüßen,

Das FoodSoul-Team