Digitaalsete teenuste ja tarkvara kasutamine on paratamatult seotud isikuandmete töötlemisega. FoodSoul tarkvaraga töötades ei mõtle paljud kliendid ja partnerid isegi sellele, et seaduse seisukohalt täidavad nad juba isikuandmete töötleja rolli ja neil on teatud kohustused.

Selles artiklis käsitleme:

• kes on isikuandmete töötleja;

• millised kohustused tekivad FoodSouli klientidel;

• milliseid andmeid töödeldakse FoodSouli tarkvara kasutamise raames;

• mis on Roskomnadzor ja milliseid funktsioone see täidab;

• kas Roskomnadzorit tuleb teavitada ja kuidas seda teha;

• kuidas õigesti saada kasutaja nõusolek, kui kasutate oma veebisaidil väliseid andmete kogumise vorme;

• kuidas töötada küpsiste, analüütika ja kasutajate päringutega.

Kes on isikuandmete töötleja

Isikuandmete töötleja on iga füüsiline või juriidiline isik, kes:

• kogub isikuandmeid;
• salvestab, kasutab, edastab või kustutab neid;
• määrab iseseisvalt töötlemise eesmärgid ja meetodid.

Lihtsamalt öeldes, kui otsustate, miks ja milleks vajate kasutaja andmeid, olete töötleja.

FoodSouli kliendid saavad isikuandmete töötlejateks, kui nad:

• registreerivad kasutajaid või töötajaid;
• töötavad kliendibaasidega;
• võtavad vastu tellimusi, taotlusi, pöördumisi;
• kasutavad isiklikke kontosid ja muid FoodSouli tarkvara funktsioone.

Seejuures ei ole oluline, kus andmeid tehniliselt hoitakse: töötleja vastutus jääb alles.

Millised kohustused tekivad FoodSouli klientidel

Isikuandmete töötlejana on FoodSouli kliendil järgmised peamised kohustused:

• töödelda isikuandmeid seaduslikult ja kindlatel eesmärkidel;
• saada kasutaja nõusolek andmete töötlemiseks (kui see on vajalik);
• teavitada kasutajat, milliseid andmeid ja miks töödeldakse;
• tagada andmete konfidentsiaalsus ja turvalisus;
• reageerida kasutajate päringutele (andmete muutmine, kustutamine);
• järgida Venemaa Föderatsiooni isikuandmete seaduse nõudeid.

IT-platvormi olemasolu ei vabasta ettevõtet nendest kohustustest. FoodSoul tagab tehnilise osa, kuid juriidiline vastutus seadusliku töötlemise eest jääb FoodSouli partnerile.

Milliseid andmeid töödeldakse FoodSouli tarkvara raames

1. Kasutaja poolt esitatud andmed

See on teave, mille kasutaja ise esitab. Sinna kuuluvad:

• Registreerimisel või konto loomisel: nimi, sugu, sünniaeg, kontakttelefon, e-posti aadress (e-mail), foto;
• Tellimuse vormistamisel ja täitmisel: nimi, e-mail, maksekaardi andmed, muu makseinfo, kohaletoimetamise aadress, kontakttelefon;
• Tagasiside, kaebuste, kampaaniate ja lojaalsusprogrammides osalemise korral: perekonnanimi, eesnimi, isanimi, kontaktandmed, tekstiline teave ja meediasisu;
• Klienditoega ühenduse võtmisel: konto andmed, seadme ja tarkvara tehnilised parameetrid.

2. Automaatselt edastatavad andmed

FoodSouli tarkvara kasutamisel võidakse automaatselt töödelda:

• Tehnilised andmed: IP-aadress, HTTP-päised, küpsiste andmed, veebimajakad/pikslisildid, teave brauseri ja operatsioonisüsteemi kohta, mobiilseadme identifikaator, teave riist- ja tarkvara kohta;
• Kasutusandmed: juurdepääsu kuupäev ja kellaaeg veebisaitidele ja/või teenustele, tellimuste ja tegevuste ajalugu;
• Asukohaandmed (kui see on kohaldatav ja kasutaja nõusolekul).

FoodSoul töötleb ainult seda teavet, mis on vajalik tarkvara tööks ja teenuste parandamiseks.

Mis on Roskomnadzor ja milliseid funktsioone see täidab

Roskomnadzor on riigiasutus, mis kontrollib isikuandmete seaduse järgimist.

See:

• peab isikuandmete töötlejate registrit;
• kontrollib seaduse nõuete järgimist;
• vaatab läbi kasutajate kaebusi;
• viib läbi plaanilisi ja erakorralisi kontrolle;
• annab ettekirjutusi rikkumiste kõrvaldamiseks;
• toob töötlejad haldusvastutusele.

Lihtsamalt öeldes jälgib Roskomnadzor, et ettevõtted töötaksid isikuandmetega korrektselt ja seaduslikult.

Kas Roskomnadzorit tuleb teavitada

Enamikul juhtudel on FoodSouli kliendid kohustatud teavitama Roskomnadzorit isikuandmete töötlemise alustamisest. Teade esitatakse enne töötlemise alustamist või, kui töötlemine on juba käimas, — võimalikult kiiresti.

Allpool on praktiline samm-sammuline juhend elektroonilise vormi täitmiseks veebisaidil pd.rkn.gov.ru, koos näidetega, mis põhinevad teie privaatsuspoliitikal.

Juhend “Kuidas täita teade isikuandmete töötlemise alustamise kohta”

Samm 1: Üldandmed töötleja kohta

• Registreerimispiirkond / Töötleja tüüp / Nimetus / Aadress / INN, OGRN: Andmed tuleb esitada täpselt vastavalt EGRUL/EGRIP-ile. Kontrollige teabe ajakohasust FNS-i veebisaidil.
• Telefon / E-posti aadress: Esitage kontaktandmed, mille kaudu Roskomnadzor saab teiega ühendust võtta.
• Töötlemispiirkond: Esitage piirkonnad, kus teie ettevõte tegelikult töötab ja andmeid töödeldakse (näiteks peakontor, filiaalid). Kui tegevus toimub kogu Venemaal, võib märkida “Vene Föderatsioon”.

Samm 2: Isikuandmete töötlemise eesmärgid

See on kõige olulisem plokk. Iga eesmärk tuleb üksikasjalikult kirjeldada. Kasutage oma privaatsuspoliitika jaotist 5.

Näide täitmisest eesmärgi “Tellimuste vormistamine ja täitmine, staatuse jälgimine, kohaletoimetamine” jaoks (põhineb p. 5.2 ja 5.3 poliitikas):

• Töötlemise eesmärk: Kasutaja tellimuste/teenuste vormistamine, täitmine, staatuse jälgimine ja kohaletoimetamine, suhtlemine kasutajaga tellimuse küsimustes.
• Isikuandmete kategooriad: perekonnanimi, eesnimi, isanimi; telefoninumber; e-posti aadress (e-mail); kohaletoimetamise aadress; maksekaardi andmed/muu makseinfo; tellimuse üksikasjad.
• Subjektide kategooriad: Kasutajad, kes vormistavad tellimusi ja tellivad kohaletoimetamist.
• Töötlemise õiguslik alus: Isikuandmete subjekti nõusolek (art. 6 FZ “Isikuandmete kohta”); leping (Kasutajaleping).
• Toimingute loetelu: Kogumine, salvestamine, süstematiseerimine, kogumine, säilitamine, täpsustamine (uuendamine, muutmine), väljavõtmine, kasutamine, edastamine (sealhulgas töötlemise volitamine), anonüümseks muutmine, blokeerimine, kustutamine, hävitamine.
• Töötlemise meetodid: Automatiseeritud töötlemine.

Täitke sarnaselt teised poliitika eesmärgid, näiteks:

• Konto registreerimine (p. 5.1).
• Turunduskommunikatsioonid (p. 5.4).
• Tagasiside ja tugi (p. 5.5, 5.7).
• Kampaaniate ja lojaalsusprogrammide läbiviimine (p. 5.6).
• Teenuste töö parandamine, analüütika, turvalisus (p. 5.9, 5.10, 5.11).

Samm 3: Töötlemise meetodid

Valige vahekaartidel: “Automatiseeritud”, “Edastamine juriidilise isiku sisevõrgu kaudu”, “Edastamine Interneti kaudu”.

Samm 4: Isikuandmete kaitse meetmed (art. 18.1 ja 19 FZ-152)

Kirjeldage konkreetseid organisatsioonilisi ja tehnilisi meetmeid. Võite aluseks võtta oma poliitika jaotise 7.

Näide täitmisest:

1. Määratud on isikuandmete töötlemise ja turvalisuse tagamise eest vastutavad isikud.

2. Välja on töötatud ja kinnitatud isikuandmete töötlemise poliitika.

3. Töötajad, kes tegelevad töötlemisega, on tutvunud Venemaa Föderatsiooni isikuandmete seaduse ja kohalike aktidega.
4. Teostatakse juurdepääsu haldamist infosüsteemidele (kasutajakontod, paroolid).
5. Kasutatakse tehnilisi kaitsevahendeid: tulemüürid (firewall), viirusetõrje tarkvara, sissetungide avastamise vahendid.
6. Tagatakse teabe varundamine.
7. Teostatakse kasutajate tegevuste logimist ja arvestust infosüsteemides.
8. Andmete edastamisel Interneti kaudu kasutatakse turvalist ühendust (HTTPS/TLS protokoll).

Samm 5: Krüptograafiliste vahendite kasutamine

Märkige, kas kasutatakse / ei kasutata.

Kui kasutatakse, siis märkige SKZI klass ja nimetus, tootjad, krüptograafiliste vahendite seerianumbrid.

Näiteks:

• SKZI klass: KS2; KS3.
• Nimetus, tootjad, krüptograafiliste vahendite seerianumbrid: SKZI CryptoPro CSP, PAK “AK-server”, VipNet CSP.

Samm 6: Kuupäevad ja tingimused

• Töötlemise alguskuupäev: Märkige kuupäev, millal te tegelikult alustasite klientide isikuandmetega töötamist (võib kattuda ettevõtte registreerimise kuupäevaga).
• Töötlemise lõpetamise tähtaeg või tingimus: Valige vahekaart: “Lõpetamise tingimus”. Seejärel märkige:  “Juriidilise isiku likvideerimine või ümberkorraldamine”.

Samm 7: Piiriülene edastamine

Kui te ei edasta andmeid väljaspool Venemaa Föderatsiooni, märkige “Ei toimu”.

Samm 8: Andmebaasi asukoha andmed

See on kriitiliselt oluline punkt FoodSouli klientidele. OÜ “FoodSoul” paigutab platvormi tehnilise infrastruktuuri (serveriseadmed) Venemaa Föderatsiooni territooriumile välisandmekeskusesse (DC). Kui kasutate lisaks oma andmekeskust, lisage andmed ja täitke Andmebaas nr 2 oma andmekeskuse teabega.

Näide andmete säilitamise koha täitmisest:

• Riik: Venemaa
• Andmekeskuse aadress: 123060, Moskva, Berzarina tn 36, hoone 3
• Oma andmekeskus: ei

Andmete säilitamise eest vastutava organisatsiooni andmed:

• Organisatsiooni tüüp: juriidiline isik

• Organisatsiooni-õiguslik vorm: AO

• Organisatsiooni nimetus: Aktsiaselts "Selectel"

• OGRN: 1247800067790

• INN: 7810962785

• Asukohariik: Venemaa

• Asukoha aadress: 196006, Peterburi, Tsvetochnaya tn 21, lit. A (vastavalt EGRUL-ile)

* Kui kasutatakse ka oma andmekeskust — lisage Andmebaas nr 2 ja sisestage oma organisatsiooni andmed vastavalt EGRUL-ile.

Samm 9: Andmed isikute kohta, kellel on juurdepääs ja (või) kes lepingu alusel töötlevad isikuandmeid, mis sisalduvad riiklikes ja munitsipaalsetes infosüsteemides.

Siin märgitakse kolmandad isikud, kellele töötleja edastab andmeid, kellel on juurdepääs IS-ile või kes töötlevad andmeid lepingu alusel (art. 6 152-FZ). On vaja loetleda nimed/FIO, INN, aadress ja töötlemise eesmärk. Nende hulka kuuluvad IT-ettevõtted, mis teenindavad GIS/MIS, sideoperaatorid, kaasatud lepingupartnerid, pilvepakkujad, kellele edastatakse isikuandmeid.

Kui teil selliseid süsteeme pole, tuleb kontaktandmete väljade loetelu kustutada, kasutades nuppu “Kustuta” väljade loetelu all.

Samm 10: Isikuandmete turvalisuse tagamise andmed

Siin märgitakse meetmete loetelu, mida te rakendate, et täita Venemaa Föderatsiooni valitsuse 01.11.2012 määrusega nr 1119 “Isikuandmete kaitse nõuete kinnitamine nende töötlemisel isikuandmete infosüsteemides” kehtestatud nõudeid. Selles jaotises võib märkida:

Töötleja tagab andmete kaitse nõuete täitmise kasutades OÜ “FoodSoul” (INN 4345369685) pakutavat pilveplatvormi, mis vastab järgmistele nõuetele:

1. Organisatsioonilised meetmed:

• Platvormi omaniku (OÜ “FoodSoul”) leping, mis määratleb tema kohustused töötlejana, kes teostab töötlemist volitusel.
• Tagatakse töötleja töötajate juurdepääsuõiguste eristamine platvormi funktsionaalsusele minimaalsete privileegide põhimõttel (rollipõhine juurdepääsumudel).
• Töötajate kontod on kaitstud unikaalsete paroolidega.

2. Tehnilised meetmed:

• Platvormile juurdepääs ja andmete edastamine kasutaja ja süsteemi vahel toimub ainult turvaliste sidekanalite kaudu, kasutades HTTPS/TLS protokolle (krüpteerimine).
• Kasutajate autentimine ja autoriseerimine on tagatud platvormi enda vahenditega.
• Kahjuliku koodi kaitse (viirusetõrje kaitse) ja tulemüürid (Firewall) on rakendatud platvormi omaniku infrastruktuuri poolel.
• Platvormi omanik tagab andmete regulaarse varundamise ja serveriseadmete füüsilise kaitse andmekeskustes Venemaa Föderatsiooni territooriumil.
• Tagatakse turvaürituste registreerimine platvormi pakutava funktsionaalsuse raames (tegevuslogid).

3. Meetmete täitmise kontroll:

• Töötleja kontrollib platvormi omaniku lepingutingimuste järgimist isikuandmete turvalisuse tagamise osas.

Samm 11: Teate koostanud isiku andmed

Märkige isiku nimi, ametikoht ja kontaktandmed, kes saadab Roskomnadzorile selle teate.

Samm 12: Teate allkirjastamine ja saatmine

Variant 1. Paberil

Prinditud teate vorm paberil peab olema allkirjastatud organisatsiooni juhi või isiku poolt, kellel on õigus dokumente allkirjastada, lisatud kuupäev ja tempel (kui on olemas), saadetakse Roskomnadzori territoriaalsesse osakonda posti teel või toimetatakse kohale isiklikult.

Variant 2. Elektrooniliselt, kasutades tugevdatud kvalifitseeritud elektroonilist allkirja

Võite täita vormi ja allkirjastada selle elektroonilise allkirjaga. Sel juhul ei ole paberil esitamine vajalik. Teil peab olema paigaldatud CryptoPro ECP Browser plug-in ja seadistatud töö sellega.

Variant 3. Elektrooniliselt, kasutades ESIA autentimisvahendeid

Autentige end riigiportaalis, täitke vorm ja saatke see elektrooniliselt. Teil peab olema kinnitatud konto. Paberkoopia saatmine pole sel juhul vajalik. Kui esitate teate organisatsiooni nimel, peab teie konto olema seotud selle organisatsiooniga riigiportaalis.

VALMIS! Pärast edukat saatmist lisatakse teid töötlejate registrisse. Salvestage teate number ja võti.

Pärast teate edukat saatmist Roskomnadzorile ja töötlejate registrisse lisamist tuleb tagada isikuandmetega korrektne igapäevane töö. Selle töö peamised praktilised aspektid on küpsiste ja analüütika kasutamine ning kasutajate päringute töötlemine.

Nõusoleku saamise mehhanism väliste andmete kogumise vormide kasutamisel

Paljud FoodSouli kliendid paigaldavad oma veebisaitidele väliseid andmete kogumise vorme (vidinaid) klientide ligimeelitamiseks — näiteks tagasisidekõne tellimise või tehnilise toe poole pöördumise vorme. Oluline on mõista, et sellised integratsioonid paigaldavad kliendid ise oma veebisaidile.

Et andmete kogumine nende vormide kaudu oleks seaduslik, tuleb täita kaks tingimust:

1. Tekstiline nõusolek. Otse andmete kogumise vormi (vidina) all tuleb paigutada kasutajale arusaadav sõnastus, et nupule vajutades annab ta nõusoleku oma isikuandmete töötlemiseks.

2. Hüperlingid dokumentidele. See sõnastus peab sisaldama aktiivseid (klikitavaid) linke kahele dokumendile:

   • Kasutajaleping (või pakkumuse leping), kus on kirjeldatud teenuste osutamise tingimused.

   • Privaatsuspoliitika, kus on üksikasjalikult kirjeldatud, milliseid andmeid kogutakse, miks ja kuidas neid töödeldakse.

Soovitatav sõnastus vormi alla paigutamiseks:

“Nupule “Saada” vajutades nõustute kasutajalepingu tingimustega ja annate nõusoleku isikuandmete töötlemiseks vastavalt privaatsuspoliitikale”.

See lihtne meede kaitseb teid kontrollorganite pretensioonide eest ja tõestab, et kasutaja tegutses teadlikult ja vabatahtlikult.

Kuidas töötada küpsiste, analüütika ja kasutajate päringutega

Küpsised ja analüütika

FoodSouli tarkvara kasutab küpsiseid ja loendureid (kui kohaldatav) järgmistel eesmärkidel:

• teenuste töökindluse tagamiseks;
• funktsioonide isikupärastamiseks;
• analüütika ja statistika jaoks;
• tarkvara kvaliteedi parandamiseks;
• reklaami isikupärastamiseks.

Need andmed on samuti isikuandmed ja nende töötlemine tuleb kajastada teates, nagu eespool kirjeldatud. Oluline on meeles pidada, et kasutaja võib keelata küpsiste kasutamise brauseri seadetes, kuid sel juhul võivad mõned teenuse funktsioonid olla kättesaamatud.

Kasutajate päringud

Üks töötleja otseseid kohustusi on reageerida õigeaegselt isikuandmete subjektide pöördumistele. Kasutajal on õigus:

• taotleda teavet oma andmete töötlemise kohta;
• muuta oma isikuandmeid;
• kustutada andmeid, saates päringu aadressile info@fs.me.

Oma õiguste teostamiseks võib kasutaja pöörduda töötleja (FoodSouli kliendi) poole või kasutada isikliku konto funktsionaalsust (kui kohaldatav). Konto kustutamine või nõusoleku tagasivõtmine võib viia vastavate teenuste edasise kasutamise võimatuseni.

Samal ajal võib seadusandlus kohustada töötlejat säilitama teatud andmeid kindlaksmääratud aja jooksul või edastama need riigiasutustele.

Järeldus

FoodSouli tarkvara kasutades saab ettevõte mugava ja turvalise tööriista, kuid sellega kaasneb isikuandmete töötleja staatus. Oma kohustuste mõistmine, korrektne andmetega töötamine ja läbipaistvad suhtlusreeglid kasutajatega ei ole formaalsus, vaid reaalne viis vähendada juriidilisi riske ja suurendada klientide usaldust.

Kas te pole veel registris? Esitage teade meie juhendi abil — see on lihtsam, kui tundub!
FoodSoul on teiega igal sammul.

Lugupidamisega,

FoodSouli meeskond