Isikuandmed ja äri: mida FoodSouli klientidel on oluline teada

Digitaalsete teenuste ja tarkvara kasutamine on vältimatult seotud isikuandmete töötlemisega. FoodSoul tarkvaraga töötades ei mõtle paljud kliendid ja partnerid isegi sellele, et seaduse seisukohalt täidavad nad juba isikuandmete töötleja rolli ja neil on teatud kohustused.

Selles artiklis käsitleme:

• kes on isikuandmete töötleja;
• millised kohustused tekivad FoodSoul klientidel;
• milliseid andmeid töödeldakse FoodSoul tarkvara kasutamise raames;
• mis on Roskomnadzor ja milliseid funktsioone see täidab;
• kas Roskomnadzorit tuleb teavitada ja kuidas seda teha;
• kuidas õigesti saada kasutaja nõusolek, kui kasutate oma veebisaidil väliseid andmete kogumise vorme;
• kuidas töötada küpsiste, analüütika ja kasutajate päringutega.

Kes on isikuandmete töötleja

Isikuandmete töötleja on iga füüsiline või juriidiline isik, kes:

• kogub isikuandmeid;
• salvestab, kasutab, edastab või kustutab neid;
• määrab iseseisvalt töötlemise eesmärgid ja meetodid.

Lihtsamalt öeldes, kui otsustate, miks ja milleks vajate kasutaja andmeid, olete töötleja.

FoodSoul kliendid saavad isikuandmete töötlejateks, kui nad:

• registreerivad kasutajaid või töötajaid;
• töötavad kliendibaasidega;
• võtavad vastu tellimusi, taotlusi, pöördumisi;
• kasutavad isiklikke kontosid ja muid FoodSoul tarkvara funktsioone.

Seejuures ei ole oluline, kus andmeid tehniliselt hoitakse: töötleja vastutus jääb alles.

Millised kohustused tekivad FoodSoul klientidel

Isikuandmete töötlejana tekivad FoodSoul kliendil järgmised peamised kohustused:

• töödelda isikuandmeid seaduslikult ja kindlatel eesmärkidel;
• saada kasutaja nõusolek andmete töötlemiseks (kui see on vajalik);
• teavitada kasutajat, milliseid andmeid ja miks töödeldakse;
• tagada andmete konfidentsiaalsus ja turvalisus;
• reageerida kasutajate päringutele (andmete muutmine, kustutamine);
• järgida Venemaa Föderatsiooni isikuandmete seadusandluse nõudeid.

IT-platvormi olemasolu ei vabasta ettevõtet nendest kohustustest. FoodSoul tagab tehnilise osa, kuid juriidiline vastutus töötlemise seaduslikkuse eest jääb FoodSoul partnerile.

Milliseid andmeid töödeldakse FoodSoul tarkvara raames

1. Kasutaja poolt esitatud andmed

See on teave, mille kasutaja ise märgib. Sinna kuuluvad:

• Registreerimisel või konto loomisel: nimi, sugu, sünniaeg, kontakttelefon, e-posti aadress, foto;
• Tellimuse vormistamisel ja täitmisel: nimi, e-post, maksekaardi andmed, muu makseinfo, kohaletoimetamise aadress, kontakttelefon;
• Tagasiside, kaebuste, kampaaniate ja lojaalsusprogrammides osalemise korral: perekonnanimi, eesnimi, isanimi, kontaktandmed, tekstiline teave ja meediasisu;
• Klienditoega ühenduse võtmisel: konto andmed, seadme ja tarkvara tehnilised parameetrid.

2. Automaatselt edastatavad andmed

FoodSoul tarkvara kasutamisel võidakse automaatselt töödelda:

• Tehnilised andmed: IP-aadress, HTTP-päised, küpsiste andmed, veebimajakad/pikslisildid, teave brauseri ja operatsioonisüsteemi kohta, mobiilseadme identifikaator, teave riist- ja tarkvara kohta;
• Kasutusandmed: juurdepääsu kuupäev ja kellaaeg veebisaitidele ja/või teenustele, tellimuste ja tegevuste ajalugu;
• Geolokatsiooni andmed (kui see on kohaldatav ja kasutaja nõusolekul).

FoodSoul töötleb ainult seda teavet, mis on vajalik tarkvara tööks ja teenuste parandamiseks.

Mis on Roskomnadzor ja milliseid funktsioone see täidab

Roskomnadzor on riigiasutus, mis kontrollib isikuandmete seadusandluse järgimist.

See:

• peab isikuandmete töötlejate registrit;
• kontrollib seaduse nõuete järgimist;
• vaatab läbi kasutajate kaebusi;
• viib läbi plaanilisi ja erakorralisi kontrolle;
• annab ettekirjutusi rikkumiste kõrvaldamiseks;
• toob töötlejad haldusvastutusele.

Lihtsamalt öeldes jälgib Roskomnadzor, et ettevõtted töötaksid isikuandmetega korrektselt ja seaduslikult.

Kas Roskomnadzorit tuleb teavitada

Enamikul juhtudel on FoodSoul kliendid kohustatud teavitama Roskomnadzorit isikuandmete töötlemise alustamisest. Teade esitatakse enne töötlemise alustamist või, kui töötlemine juba toimub, — võimalikult kiiresti.

Allpool on praktiline samm-sammuline juhend elektroonilise vormi täitmiseks veebisaidil pd.rkn.gov.ru, koos näidetega, mis põhinevad teie privaatsuspoliitikal.

Juhend “Kuidas täita teade isikuandmete töötlemise alustamise kohta”

Samm 1: Üldandmed töötleja kohta

• Registreerimispiirkond / Töötleja tüüp / Nimetus / Aadress / INN, OGRN: Andmed märgitakse rangelt vastavalt EGRUL/EGRIP-ile. Kontrollige teabe ajakohasust FNS veebisaidil.
• Telefon / E-posti aadress: Märkige kontaktandmed, mille kaudu Roskomnadzor saab teiega ühendust võtta.
• Töötlemispiirkond: Märkige piirkonnad, kus teie ettevõte tegelikult töötab ja andmeid töödeldakse (näiteks peakontor, filiaalid). Kui tegevus toimub kogu Venemaal, võib märkida “Vene Föderatsioon”.

Samm 2: Isikuandmete töötlemise eesmärgid

See on kõige olulisem plokk. Iga eesmärk tuleb üksikasjalikult kirjeldada. Kasutage oma privaatsuspoliitika jaotist 5.

Näide täitmisest eesmärgi “Tellimuste vormistamine ja täitmine, staatuse jälgimine, kohaletoimetamine” jaoks (põhineb privaatsuspoliitika punktidel 5.2 ja 5.3):

• Töötlemise eesmärk: Kasutaja kaupade/teenuste tellimuste vormistamine, täitmine, staatuse jälgimine ja kohaletoimetamine, suhtlemine kasutajaga tellimuse küsimustes.
• Isikuandmete kategooriad: perekonnanimi, eesnimi, isanimi; telefoninumber; e-posti aadress; kohaletoimetamise aadress; maksekaardi andmed/muu makseinfo; tellimuse üksikasjad.
• Subjektide kategooriad: Kasutajad, kes vormistavad tellimusi ja tellivad kohaletoimetamist.
• Töötlemise õiguslik alus: Isikuandmete subjekti nõusolek (FZ “Isikuandmete kohta” art. 6); leping (Kasutajaleping).
• Toimingute loetelu: Kogumine, salvestamine, süstematiseerimine, kogumine, säilitamine, täpsustamine (uuendamine, muutmine), väljavõtmine, kasutamine, edastamine (sealhulgas töötlemise volitamine), anonüümseks muutmine, blokeerimine, kustutamine, hävitamine.
• Töötlemise meetodid: Automatiseeritud töötlemine.

Täitke samamoodi teised eesmärgid privaatsuspoliitikast, näiteks:

• Konto registreerimine (p. 5.1).
• Turunduskommunikatsioonid (p. 5.4).
• Tagasiside ja tugi (p. 5.5, 5.7).
• Kampaaniate ja lojaalsusprogrammide läbiviimine (p. 5.6).
• Teenuste töö parandamine, analüütika, turvalisus (p. 5.9, 5.10, 5.11).

Samm 3: Töötlemise meetodid

Valige vahekaartidel: “Automatiseeritud”, “Edastamine juriidilise isiku sisevõrgu kaudu”, “Edastamine Interneti kaudu”.

Samm 4: Isikuandmete kaitse meetmed (FZ-152 art. 18.1 ja 19)

Kirjeldage konkreetseid organisatsioonilisi ja tehnilisi meetmeid. Võite aluseks võtta oma privaatsuspoliitika jaotise 7.

Näide täitmisest:

1. Määratud on isikuandmete töötlemise ja turvalisuse tagamise eest vastutavad isikud.
2. Välja on töötatud ja kinnitatud isikuandmete töötlemise poliitika.
3. Töötajad, kes tegelevad töötlemisega, on tutvunud Venemaa Föderatsiooni isikuandmete seadusandluse ja kohalike aktidega.
4. Teostatakse juurdepääsu haldamist infosüsteemidele (kasutajakontod, paroolid).
5. Kasutatakse tehnilisi kaitsevahendeid: tulemüürid (firewall), viirusetõrje tarkvara, sissetungide avastamise vahendid.
6. Tagatakse teabe varundamine.
7. Teostatakse kasutajate tegevuste logimist ja arvestust infosüsteemides.
8. Andmete edastamisel Interneti kaudu kasutatakse turvalist ühendust (HTTPS/TLS protokoll).

Samm 5: Krüptograafiliste vahendite kasutamine

Märkige, kas kasutatakse / ei kasutata.

Kui kasutatakse, märkige SKZI klass ja nimetus, tootjad, krüptograafiliste vahendite seerianumbrid.

Näiteks:

• SKZI klass: KS2; KS3.
• Nimetus, tootjad, krüptograafiliste vahendite seerianumbrid: SKZI CryptoPro CSP, PAK “AK-server”, VipNet CSP.

Samm 6: Kuupäevad ja tingimused

• Töötlemise alguskuupäev: Märkige kuupäev, millal te tegelikult alustasite klientide isikuandmetega töötamist (võib kattuda ettevõtte registreerimise kuupäevaga).
• Töötlemise lõpetamise tähtaeg või tingimus: Valige vahekaart: “Lõpetamise tingimus”. Seejärel märkige:  “Juriidilise isiku likvideerimine või reorganiseerimine”.

Samm 7: Piiriülene edastamine

Kui te ei edasta andmeid väljapoole Venemaa Föderatsiooni, märkige “Ei toimu”.

Samm 8: Andmebaasi asukoha andmed

See on kriitiliselt oluline punkt FoodSoul klientidele. OÜ “FoodSoul” paigutab platvormi tehnilise infrastruktuuri (serveriseadmed) Venemaa Föderatsiooni territooriumile välisteenuse andmekeskusesse (DC). Kui kasutate lisaks oma andmekeskust, lisage andmed ja täitke Andmebaas nr 2 oma andmekeskuse teabega.

Näide andmete säilitamise koha täitmisest:

• Riik: Venemaa
• Andmekeskuse aadress: 123060, Moskva, Berzarina tn 36, hoone 3
• Oma andmekeskus: ei

Andmete säilitamise eest vastutava organisatsiooni andmed:

• Organisatsiooni tüüp: juriidiline isik
• Organisatsiooni-õiguslik vorm: AO
• Organisatsiooni nimetus: Aktsiaselts "Selectel"
• OGRN: 1247800067790
• INN: 7810962785
• Asukohariik: Venemaa
• Asukoha aadress: 196006, Peterburi, Tsvetochnaja tn 21, lit. A (vastavalt EGRUL-ile)

* Kui kasutatakse ka oma andmekeskust — lisage Andmebaas nr 2 ja sisestage oma organisatsiooni andmed vastavalt EGRUL-ile.

Samm 9: Andmed isikute kohta, kellel on juurdepääs ja (või) kes töötlevad lepingulisel alusel isikuandmeid, mis sisalduvad riiklikes ja munitsipaalsetes infosüsteemides.

Siin märgitakse kolmandad isikud, kellele töötleja edastab andmeid, kellel on juurdepääs IS-ile või kes töötlevad andmeid lepingu alusel (FZ-152 art. 6). On vaja loetleda nimed/FIOn, INN, aadress ja töötlemise eesmärk. Nende hulka kuuluvad IT-ettevõtted, mis teenindavad GIS/MIS, sideoperaatorid, kaasatud lepingupartnerid, pilveteenuse pakkujad, kellele edastatakse isikuandmeid.

Kui teil selliseid süsteeme pole, tuleb kustutada väljade komplekt, kasutades nuppu “Kustuta” kontaktandmete väljade loendi all.

Samm 10: Isikuandmete turvalisuse tagamise andmed

Siin märgitakse meetmete loetelu, mida te rakendate, et täita Venemaa Föderatsiooni valitsuse 01.11.2012 määrusega nr 1119 “Isikuandmete töötlemise infosüsteemides kaitse nõuete kinnitamise kohta” kehtestatud nõudeid. Selles jaotises võib märkida:

Töötleja tagab andmete kaitse nõuete täitmise kasutades OÜ “FoodSoul” (INN 4345369685) pakutavat pilveplatvormi, mis vastab järgmistele nõuetele:

1. Organisatsioonilised meetmed:

• Platvormi omaniku (OÜ “FoodSoul”) sõlmitud leping, mis määratleb tema kohustused töötlejana, kes teostab töötlemist volitusel.
• Tagatakse töötajate juurdepääsuõiguste eristamine platvormi funktsionaalsusele minimaalsete privileegide põhimõttel (rollipõhine juurdepääsumudel).
• Töötajate kontod on kaitstud unikaalsete paroolidega.

2. Tehnilised meetmed:

• Platvormile juurdepääs ja andmete edastamine kasutaja ja süsteemi vahel toimub ainult turvaliste sidekanalite kaudu, kasutades HTTPS/TLS protokolle (krüpteerimine).
• Kasutajate autentimine ja autoriseerimine tagatakse platvormi enda vahenditega.
• Kahjuliku koodi kaitse (viirusetõrje kaitse) ja tulemüürid (Firewall) on rakendatud platvormi omaniku infrastruktuuri poolel.
• Platvormi omanik tagab andmete regulaarse varundamise ja serveriseadmete füüsilise kaitse andmekeskustes Venemaa Föderatsiooni territooriumil.
• Tagatakse turvaintsidentide registreerimine platvormi pakutava funktsionaalsuse raames (tegevuslogid).

3. Meetmete täitmise kontroll:

• Töötleja kontrollib platvormi omaniku lepingutingimuste järgimist isikuandmete turvalisuse tagamise osas.

Samm 11: Teate koostanud isiku andmed

Märkige isiku nimi, ametikoht ja kontaktandmed, kes saadab Roskomnadzorile selle teate.

Samm 12: Teate allkirjastamine ja saatmine

Variant 1. Paberil

Prinditud teate vorm paberil peab olema allkirjastatud organisatsiooni juhi või isiku poolt, kellel on õigus dokumente allkirjastada, märgitud kuupäev ja tempel (kui see on olemas), saadetakse Roskomnadzori territoriaalsesse osakonda posti teel või toimetatakse kohale isiklikult.

Variant 2. Elektrooniliselt, kasutades tugevdatud kvalifitseeritud elektroonilist allkirja

Võite täita vormi ja allkirjastada selle elektroonilise allkirjaga. Sel juhul ei ole paberil esitamine vajalik. Teil peab olema paigaldatud CryptoPro ECP Browser plug-in ja seadistatud töö sellega.

Variant 3. Elektrooniliselt, kasutades ESIA autentimisvahendeid

Autentige end riigiportaalis, täitke vorm ja saatke see elektrooniliselt. Teil peab olema kinnitatud konto. Sel juhul ei ole paberil koopia saatmine vajalik. Kui esitate teate organisatsiooni nimel, peab teie konto olema seotud selle organisatsiooniga riigiportaalis.

VALMIS! Pärast edukat saatmist lisatakse teid töötlejate registrisse. Salvestage teate number ja võti.

Pärast teate edukat saatmist Roskomnadzorile ja töötlejate registrisse lisamist on vaja tagada isikuandmetega korrektne igapäevane töö. Selle töö peamised praktilised aspektid on küpsiste ja analüütika kasutamine ning kasutajate päringute töötlemine.

Nõusoleku saamise mehhanism väliste andmete kogumise vormide kasutamisel

Paljud FoodSoul kliendid paigutavad oma veebisaitidele klientide ligimeelitamiseks väliseid andmete kogumise vorme (vidinaid) — näiteks tagasikõne tellimise või tehnilise toe poole pöördumise vorme. Oluline on mõista, et sellised integratsioonid paigaldavad kliendid ise oma veebisaidile.

Et andmete kogumine nende vormide kaudu oleks seaduslik, tuleb täita kaks tingimust:

1. Tekstiline nõusolek. Otse andmete kogumise vormi (vidina) all tuleb paigutada kasutajale arusaadav sõnastus, et nupule vajutades annab ta nõusoleku oma isikuandmete töötlemiseks.
2. Hüperlingid dokumentidele. See sõnastus peab sisaldama aktiivseid (klikitavaid) linke kahele dokumendile:
   • Kasutajaleping (või pakkumisleping), kus on kirjeldatud teenuste osutamise tingimused.
   • Privaatsuspoliitika, kus on üksikasjalikult kirjeldatud, milliseid andmeid kogutakse, miks ja kuidas neid töödeldakse.

Soovitatav sõnastus vormi alla paigutamiseks:

“Vajutades “Saada”, nõustute kasutajalepingu tingimustega ja annate nõusoleku isikuandmete töötlemiseks vastavalt privaatsuspoliitikale”.

See lihtne meede kaitseb teid kontrollorganite nõuete eest ja tõestab, et kasutaja tegutses teadlikult ja vabatahtlikult.

Kuidas töötada küpsiste, analüütika ja kasutajate päringutega

Küpsised ja analüütika

FoodSoul tarkvara kasutab küpsiseid ja loendureid (kui kohaldatav) järgmistel eesmärkidel:

• teenuste töökindluse tagamiseks;
• funktsioonide isikupärastamiseks;
• analüütika ja statistika jaoks;
• tarkvara kvaliteedi parandamiseks;
• reklaami isikupärastamiseks.

Need andmed on samuti isikuandmed ja nende töötlemine peab olema kajastatud teates, nagu eespool kirjeldatud. Oluline on meeles pidada, et kasutaja võib keelata küpsiste kasutamise brauseri seadetes, kuid sel juhul võivad mõned teenuse funktsioonid olla kättesaamatud.

Kasutajate päringud

Üks töötleja otseseid kohustusi on reageerida õigeaegselt isikuandmete subjektide pöördumistele. Kasutajal on õigus:

• taotleda teavet oma andmete töötlemise kohta;
• muuta oma isikuandmeid;
• kustutada andmeid, saates päringu aadressile info@fs.me.

Oma õiguste teostamiseks võib kasutaja pöörduda töötleja (FoodSoul klient) poole või kasutada isikliku konto funktsionaalsust (kui kohaldatav). Konto kustutamine või nõusoleku tagasivõtmine võib viia vastavate teenuste edasise kasutamise võimatuseni.

Samal ajal võib seadusandlus kohustada töötlejat säilitama teatud andmeid kindlaksmääratud aja jooksul või edastama need riigiasutustele.

Kokkuvõte

FoodSoul tarkvara kasutades saab ettevõte mugava ja turvalise tööriista, kuid sellega kaasneb isikuandmete töötleja staatus. Oma kohustuste mõistmine, korrektne andmetega töötamine ja läbipaistvad suhtlusreeglid kasutajatega ei ole formaalsus, vaid reaalne viis vähendada juriidilisi riske ja suurendada klientide usaldust.

Kas te pole veel registris? Esitage teade meie juhendi abil — see on lihtsam, kui tundub!
FoodSoul on teiega igal sammul.

Lugupidamisega,

FoodSoul meeskond