El uso de servicios digitales y software está inevitablemente relacionado con el procesamiento de datos personales. Al trabajar con el software de FoodSoul, muchos clientes y socios ni siquiera piensan que, desde el punto de vista legal, ya están desempeñando el papel de operador de datos personales y tienen ciertas obligaciones.

En este artículo analizaremos:

• quién es un operador de datos personales;

• qué obligaciones tienen los clientes de FoodSoul;

• qué datos se procesan en el marco del uso del software de FoodSoul;

• qué es Roskomnadzor y qué funciones desempeña;

• si es necesario notificar a Roskomnadzor y cómo hacerlo;

• cómo obtener correctamente el consentimiento del usuario si utiliza un formulario externo de recopilación de datos en su sitio web;

• cómo trabajar con cookies, analítica y solicitudes de usuarios.

Quién es un operador de datos personales

Un operador de datos personales es cualquier persona física o jurídica que:

• recoge datos personales;
• almacena, utiliza, transfiere o elimina dichos datos;
• determina de manera independiente los objetivos y métodos de procesamiento.

En pocas palabras, si decide por qué y para qué necesita los datos del usuario, usted es un operador.

Los clientes de FoodSoul se convierten en operadores de datos personales si:

• registran usuarios o empleados;
• trabajan con bases de datos de clientes;
• aceptan pedidos, solicitudes, consultas;
• utilizan cuentas personales y otras funciones del software de FoodSoul.

No importa dónde se almacenen técnicamente los datos: la responsabilidad del operador permanece.

Qué obligaciones tienen los clientes de FoodSoul

Como operador de datos personales, el cliente de FoodSoul tiene las siguientes obligaciones clave:

• procesar datos personales de manera legal y con fines específicos;
• obtener el consentimiento del usuario para el procesamiento de datos (si es necesario);
• informar al usuario sobre qué datos se procesan y por qué;
• garantizar la confidencialidad y seguridad de los datos;
• responder a las solicitudes de los usuarios (modificación, eliminación de datos);
• cumplir con los requisitos de la legislación de la Federación Rusa sobre datos personales.

La existencia de una plataforma de TI no exime al negocio de estas obligaciones. FoodSoul proporciona la parte técnica, pero la responsabilidad legal por la legalidad del procesamiento recae en el socio de FoodSoul.

Qué datos se procesan en el marco del software de FoodSoul

1. Datos proporcionados por el usuario

Esta es la información que el usuario proporciona por sí mismo. Incluye:

• Al registrarse o crear una cuenta: nombre, género, fecha de nacimiento, teléfono de contacto, dirección de correo electrónico (e-mail), foto;
• Al realizar y ejecutar un pedido: nombre, e-mail, datos de tarjetas de pago, otra información de pago, dirección de entrega, teléfono de contacto;
• Al proporcionar retroalimentación, quejas, participar en promociones y programas de lealtad: apellido, nombre, segundo nombre, datos de contacto, información textual y contenido multimedia;
• Al contactar con el servicio de soporte: datos de la cuenta, parámetros técnicos del dispositivo y software.

2. Datos transmitidos automáticamente

Al utilizar el software de FoodSoul, se pueden procesar automáticamente:

• Datos técnicos: dirección IP, encabezados HTTP, datos de cookies, balizas web/etiquetas de píxeles, información sobre el navegador y el sistema operativo, identificador del dispositivo móvil, información sobre hardware y software;
• Datos de uso: fecha y hora de acceso a los Sitios y/o Servicios, historial de pedidos y acciones;
• Datos de geolocalización (si es aplicable y con el consentimiento del usuario).

FoodSoul procesa solo la información necesaria para el funcionamiento del software y la mejora de los servicios.

Qué es Roskomnadzor y qué funciones desempeña

Roskomnadzor es un organismo estatal que supervisa el cumplimiento de la legislación sobre datos personales.

Él:

• mantiene un registro de operadores de datos personales;
• supervisa el cumplimiento de los requisitos legales;
• atiende las quejas de los usuarios;
• realiza inspecciones planificadas y no planificadas;
• emite órdenes para corregir violaciones;
• responsabiliza administrativamente a los operadores.

En pocas palabras, Roskomnadzor se asegura de que las empresas trabajen con datos personales de manera correcta y legal.

¿Es necesario notificar a Roskomnadzor?

En la mayoría de los casos, los clientes de FoodSoul deben notificar a Roskomnadzor sobre el inicio del procesamiento de datos personales. La notificación se presenta antes de comenzar el procesamiento o, si el procesamiento ya está en curso, lo antes posible.

A continuación, se presenta una guía práctica paso a paso para completar el formulario electrónico en el sitio web pd.rkn.gov.ru, con ejemplos basados en su Política de privacidad.

Guía “Cómo completar la notificación de inicio de procesamiento de datos personales”

Paso 1: Información general sobre el operador

• Región de registro / Tipo de operador / Nombre / Dirección / INN, OGRN: Los datos se indican estrictamente de acuerdo con el EGRUL/EGRIP. Verifique la actualidad de la información en el sitio web del FNS.
• Teléfono / Dirección de correo electrónico: Indique los datos de contacto a través de los cuales Roskomnadzor podrá comunicarse con usted.
• Región de procesamiento: Indique las regiones donde su empresa realmente opera y se procesan los datos (por ejemplo, oficina central, sucursales). Si la actividad se lleva a cabo en toda Rusia, puede indicar “Federación Rusa”.

Paso 2: Objetivos del procesamiento de datos personales

Este es el bloque más importante. Debe describir detalladamente cada objetivo. Utilice la sección 5 de su Política de privacidad.

Ejemplo de llenado para el objetivo “Realización y ejecución de pedidos, control de estado, entrega” (basado en los puntos 5.2 y 5.3 de la Política):

• Objetivo del procesamiento: Realización, ejecución, control de estado y entrega de pedidos de bienes/servicios del usuario, interacción con el usuario sobre cuestiones del pedido.
• Categorías de datos personales: apellido, nombre, segundo nombre; número de teléfono; dirección de correo electrónico (e-mail); dirección de entrega; datos de tarjetas de pago/otra información de pago; detalles del pedido.
• Categorías de sujetos: Usuarios que realizan pedidos y solicitan entrega.
• Base legal del procesamiento: Consentimiento del sujeto de datos personales (art. 6 de la Ley Federal “Sobre datos personales”); contrato (Acuerdo de usuario).
• Lista de acciones: Recopilación, grabación, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación), extracción, uso, transferencia (incluida la delegación de procesamiento), anonimización, bloqueo, eliminación, destrucción.
• Métodos de procesamiento: Procesamiento automatizado.

Complete de manera similar otros objetivos de la Política, por ejemplo:

• Registro de cuenta (p. 5.1).
• Comunicaciones de marketing (p. 5.4).
• Retroalimentación y soporte (p. 5.5, 5.7).
• Realización de promociones y programas de lealtad (p. 5.6).
• Mejora del funcionamiento de los servicios, analítica, seguridad (p. 5.9, 5.10, 5.11).

Paso 3: Métodos de procesamiento

Seleccione en las pestañas: “Automatizado”, “Con transferencia a través de la red interna de la persona jurídica”, “Con transferencia a través de la red de Internet”.

Paso 4: Medidas para proteger los datos personales (art. 18.1 y 19 de la Ley Federal-152)

Describa medidas organizativas y técnicas específicas. Puede basarse en la sección 7 de su Política.

Ejemplo de llenado:

1. Se han designado responsables de la organización del procesamiento y de garantizar la seguridad de los datos personales.

2. Se ha desarrollado y aprobado una Política en relación con el procesamiento de datos personales.

3. Los empleados que realizan el procesamiento están familiarizados con las disposiciones de la legislación de la Federación Rusa sobre datos personales y los actos locales.

4. Se gestiona el acceso a los sistemas de información (cuentas, contraseñas).

5. Se utilizan medios técnicos de protección: cortafuegos (firewall), software antivirus, medios de detección de intrusiones.

6. Se garantiza la copia de seguridad de la información.

7. Se lleva a cabo el registro y la contabilidad de las acciones de los usuarios en los sistemas de información.

8. Al transferir datos a través de la red de Internet, se utiliza una conexión segura (protocolo HTTPS/TLS).

Paso 5: Uso de medios de cifrado (criptográficos)

Indicar si se utilizan / no se utilizan.

Si se utilizan, indicar la clase de SKZI y el nombre, fabricantes, números de serie de los medios de cifrado.

Por ejemplo:

• Clase de SKZI: KS2; KS3.
• Nombre, fabricantes, números de serie de los medios de cifrado: SKZI CryptoPro CSP, PAK “AK-servidor”, VipNet CSP.

Paso 6: Fechas y condiciones

• Fecha de inicio del procesamiento: Indique la fecha en que realmente comenzó a trabajar con los datos personales de los clientes (puede coincidir con la fecha de registro de la empresa).
• Plazo o condición de finalización del procesamiento: Seleccione en la pestaña: “Condición de finalización”. Luego indique:  “Liquidación o reorganización de la persona jurídica”.

Paso 7: Transferencia transfronteriza

Si no transfiere datos fuera de la Federación Rusa, indique “No se realiza”.

Paso 8: Información sobre la ubicación de la base de datos

Este es un punto críticamente importante para los clientes de FoodSoul. OOO «FoodSoul» aloja la infraestructura tecnológica de la plataforma (equipos de servidor) en el territorio de la Federación Rusa en un centro de procesamiento de datos (CPD) subcontratado. Además, si utiliza su propio CPD, agregue la información y complete la Base de datos Nº2 con información sobre su propio CPD.

Ejemplo de llenado de información sobre el lugar de almacenamiento de datos:

• País: Rusia
• Dirección del CPD: 123060, Moscú, calle Berzarina, edificio 36, estructura 3
• CPD propio: no

Información sobre la organización responsable del almacenamiento de datos:

• Tipo de organización: persona jurídica

• Forma organizativa y legal: SA

• Nombre de la organización: Sociedad Anónima "Selectel"

• OGRN: 1247800067790

• INN: 7810962785

• País de ubicación: Rusia

• Dirección de ubicación: 196006, San Petersburgo, calle Tsvetochnaya, edificio 21, lit. A (de acuerdo con el EGRUL)

* Si también se utiliza un CPD propio, agregue la Base Nº2 e ingrese los datos de su organización de acuerdo con el EGRUL.

Paso 9: Información sobre las personas que tienen acceso y/o realizan el procesamiento de datos personales en sistemas de información estatales y municipales en virtud de un contrato.

Aquí se indican terceros a los que el operador transfiere datos, que tienen acceso a los sistemas de información, o que procesan datos en virtud de un contrato (art. 6 de la Ley Federal-152). Es necesario enumerar los nombres/FIO, INN, dirección y objetivo del procesamiento. Estos incluyen empresas de TI que mantienen GIS/MIS, operadores de telecomunicaciones, contratistas involucrados, proveedores de nube a los que se transfieren datos personales.

Si no tiene tales sistemas, debe eliminar el conjunto de campos utilizando el botón “Eliminar” debajo de la lista de campos con los detalles de contacto.

Paso 10: Información sobre la seguridad de los datos personales

Aquí se indica la lista de medidas implementadas por usted para cumplir con los requisitos establecidos por el decreto del Gobierno de la Federación Rusa del 01.11.2012 Nº&nb