Penggunaan layanan digital dan perangkat lunak tidak dapat dihindari terkait dengan pemrosesan data pribadi. Saat bekerja dengan perangkat lunak FoodSoul, banyak klien dan mitra bahkan tidak menyadari bahwa dari sudut pandang hukum, mereka sudah berperan sebagai operator data pribadi dan memiliki tanggung jawab tertentu.

Dalam artikel ini kita akan membahas:

• siapa itu operator data pribadi;

• tanggung jawab apa yang muncul bagi klien FoodSoul;

• data apa yang diproses dalam penggunaan perangkat lunak FoodSoul;

• apa itu Roskomnadzor dan fungsi apa yang dilakukannya;

• apakah perlu memberi tahu Roskomnadzor dan bagaimana caranya;

• bagaimana cara mendapatkan persetujuan pengguna dengan benar jika Anda menggunakan formulir pengumpulan data eksternal di situs Anda;

• bagaimana bekerja dengan cookie, analitik, dan permintaan pengguna.

Siapa itu operator data pribadi

Operator data pribadi adalah setiap individu atau badan hukum yang:

• mengumpulkan data pribadi;
• menyimpan, menggunakan, mentransfer, atau menghapusnya;
• menentukan tujuan dan metode pemrosesan secara mandiri.

Sederhananya, jika Anda memutuskan mengapa dan untuk apa Anda memerlukan data pengguna, Anda adalah operator.

Klien FoodSoul menjadi operator data pribadi jika mereka:

• mendaftarkan pengguna atau karyawan;
• bekerja dengan basis data klien;
• menerima pesanan, aplikasi, permintaan;
• menggunakan akun pribadi dan fungsi lain dari perangkat lunak FoodSoul.

Namun, tidak masalah di mana data disimpan secara teknis: tanggung jawab operator tetap ada.

Tanggung jawab apa yang muncul bagi klien FoodSoul

Sebagai operator data pribadi, klien FoodSoul memiliki tanggung jawab utama berikut:

• memproses data pribadi secara sah dan untuk tujuan tertentu;
• mendapatkan persetujuan pengguna untuk memproses data (jika diperlukan);
• memberi tahu pengguna tentang data apa yang diproses dan untuk apa;
• menjamin kerahasiaan dan keamanan data;
• menanggapi permintaan pengguna (perubahan, penghapusan data);
• mematuhi persyaratan hukum Federasi Rusia tentang data pribadi.

Keberadaan platform IT tidak membebaskan bisnis dari tanggung jawab ini. FoodSoul menyediakan bagian teknis, sementara tanggung jawab hukum atas legalitas pemrosesan tetap ada pada mitra FoodSoul.

Data apa yang diproses dalam perangkat lunak FoodSoul

1. Data yang disediakan oleh pengguna

Ini adalah informasi yang pengguna berikan secara mandiri. Ini termasuk:

• Saat mendaftar atau membuat akun: nama, jenis kelamin, tanggal lahir, nomor telepon kontak, alamat email (e-mail), foto;
• Saat memesan dan melaksanakan pesanan: nama, e-mail, data kartu pembayaran, informasi pembayaran lainnya, alamat pengiriman, nomor telepon kontak;
• Saat memberikan umpan balik, keluhan, berpartisipasi dalam promosi dan program loyalitas: nama belakang, nama depan, patronimik, data kontak, informasi teks, dan konten media;
• Saat menghubungi dukungan teknis: data akun, parameter teknis perangkat dan perangkat lunak.

2. Data yang ditransmisikan secara otomatis

Saat menggunakan perangkat lunak FoodSoul, data berikut dapat diproses secara otomatis:

• Data teknis: alamat IP, header HTTP, data cookie, web beacon/tag piksel, informasi tentang browser dan sistem operasi, pengenal perangkat seluler, informasi tentang perangkat keras dan perangkat lunak;
• Data penggunaan: tanggal dan waktu akses ke Situs dan/atau Layanan, riwayat pesanan dan tindakan;
• Data geolokasi (jika berlaku dan dengan persetujuan pengguna).

FoodSoul hanya memproses informasi yang diperlukan untuk pengoperasian perangkat lunak dan peningkatan layanan.

Apa itu Roskomnadzor dan fungsi apa yang dilakukannya

Roskomnadzor adalah badan pemerintah yang mengawasi kepatuhan terhadap undang-undang tentang data pribadi.

Ia:

• memelihara daftar operator data pribadi;
• mengawasi kepatuhan terhadap persyaratan hukum;
• menangani keluhan pengguna;
• melakukan pemeriksaan terjadwal dan tidak terjadwal;
• mengeluarkan instruksi untuk mengatasi pelanggaran;
• menarik operator ke tanggung jawab administratif.

Sederhananya, Roskomnadzor memastikan bahwa bisnis bekerja dengan data pribadi secara benar dan sah.

Apakah perlu memberi tahu Roskomnadzor

Dalam kebanyakan kasus, klien FoodSoul harus memberi tahu Roskomnadzor tentang dimulainya pemrosesan data pribadi. Pemberitahuan diajukan sebelum pemrosesan dimulai atau, jika pemrosesan sudah berlangsung, secepat mungkin.

Di bawah ini adalah panduan langkah demi langkah praktis untuk mengisi formulir elektronik di situs pd.rkn.gov.ru, dengan contoh berdasarkan Kebijakan Privasi Anda.

Panduan "Cara Mengisi Pemberitahuan tentang Dimulainya Pemrosesan Data Pribadi"

Langkah 1: Informasi Umum tentang Operator

• Wilayah pendaftaran / Jenis operator / Nama / Alamat / INN, OGRN: Data diisi sesuai dengan EGRUL/EGRIP. Periksa keakuratan informasi di situs FNS.
• Telepon / Alamat email: Berikan data kontak yang dapat digunakan Roskomnadzor untuk menghubungi Anda.
• Wilayah pemrosesan: Sebutkan wilayah di mana perusahaan Anda sebenarnya beroperasi dan data diproses (misalnya, kantor pusat, cabang). Jika kegiatan dilakukan di seluruh Rusia, Anda dapat menyebutkan "Federasi Rusia".

Langkah 2: Tujuan Pemrosesan Data Pribadi

Ini adalah bagian terpenting. Anda harus menjelaskan setiap tujuan secara rinci. Gunakan bagian 5 dari Kebijakan Privasi Anda.

Contoh pengisian untuk tujuan "Pemrosesan dan pelaksanaan pesanan, kontrol status, pengiriman" (berdasarkan p. 5.2 dan 5.3 Kebijakan):

• Tujuan pemrosesan: Pemrosesan, pelaksanaan, kontrol status, dan pengiriman pesanan barang/jasa pengguna, interaksi dengan pengguna mengenai pesanan.
• Kategori data pribadi: nama belakang, nama depan, patronimik; nomor telepon; alamat email (e-mail); alamat pengiriman; data kartu pembayaran/informasi pembayaran lainnya; detail pesanan.
• Kategori subjek: Pengguna yang memproses pesanan dan memesan pengiriman.
• Dasar hukum pemrosesan: Persetujuan subjek data pribadi (pasal 6 UU "Tentang data pribadi"); perjanjian (Perjanjian Pengguna).
• Daftar tindakan: Pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (pembaruan, perubahan), ekstraksi, penggunaan, transfer (termasuk penugasan pemrosesan), anonimisasi, pemblokiran, penghapusan, penghancuran.
• Metode pemrosesan: Pemrosesan otomatis.

Isi tujuan lain dari Kebijakan dengan cara yang sama, misalnya:

• Pendaftaran akun (p. 5.1).
• Komunikasi pemasaran (p. 5.4).
• Umpan balik dan dukungan (p. 5.5, 5.7).
• Penyelenggaraan promosi dan program loyalitas (p. 5.6).
• Peningkatan layanan, analitik, keamanan (p. 5.9, 5.10, 5.11).

Langkah 3: Metode Pemrosesan

Pilih di tab: “Otomatis”, “Dengan transfer melalui jaringan internal badan hukum”, “Dengan transfer melalui jaringan Internet”.

Langkah 4: Langkah-langkah untuk melindungi data pribadi (pasal 18.1 dan 19 UU-152)

Jelaskan langkah-langkah organisasi dan teknis yang spesifik. Anda dapat menggunakan bagian 7 dari Kebijakan Anda sebagai dasar.

Contoh pengisian:

1. Ditunjuk orang yang bertanggung jawab untuk mengatur pemrosesan dan memastikan keamanan data pribadi.

2. Dikembangkan dan disetujui Kebijakan mengenai pemrosesan data pribadi.

3. Pekerja yang melakukan pemrosesan diberi tahu tentang ketentuan hukum Federasi Rusia tentang data pribadi dan tindakan lokal.

4. Pengelolaan akses ke sistem informasi dilakukan (akun, kata sandi).

5. Alat perlindungan teknis digunakan: firewall, perangkat lunak antivirus, alat deteksi intrusi.

6. Pencadangan informasi dilakukan.

7. Pencatatan dan pelacakan tindakan pengguna dalam sistem informasi dilakukan.

8. Penggunaan koneksi aman (protokol HTTPS/TLS) dilakukan saat mentransfer data melalui jaringan Internet.

Langkah 5: Penggunaan alat enkripsi (kriptografi)

Sebutkan digunakan / tidak digunakan.

Jika digunakan, sebutkan kelas SKZI dan nama, produsen, nomor seri alat enkripsi.

Misalnya:

• Kelas SKZI: KS2; KS3.
• Nama, produsen, nomor seri alat enkripsi: SKZI CryptoPro CSP, PAK “AK-server”, VipNet CSP.

Langkah 6: Tanggal dan ketentuan

• Tanggal dimulainya pemrosesan: Sebutkan tanggal ketika Anda benar-benar mulai bekerja dengan data pribadi klien (dapat bertepatan dengan tanggal pendaftaran perusahaan).
• Jangka waktu atau ketentuan penghentian pemrosesan: Pilih di tab: “Ketentuan akhir”. Kemudian sebutkan:  “Likuidasi atau reorganisasi badan hukum”.

Langkah 7: Transfer lintas batas

Jika Anda tidak mentransfer data ke luar Rusia, sebutkan “Tidak dilakukan”.

Langkah 8: Informasi tentang lokasi basis data

Ini adalah poin yang sangat penting bagi klien FoodSoul. LLC "FoodSoul" menempatkan infrastruktur teknologi platform (peralatan server) di wilayah Federasi Rusia di pusat pemrosesan data outsourcing (DPC). Juga, jika Anda menggunakan DPC Anda sendiri, tambahkan informasi dan isi Basis Data No. 2 dengan informasi tentang DPC Anda sendiri.

Contoh pengisian informasi tentang lokasi penyimpanan data:

• Negara: Rusia
• Alamat DPC: 123060, Moskow, ul. Berzarina, d. 36, str. 3
• DPC sendiri: tidak

Informasi tentang organisasi yang bertanggung jawab atas penyimpanan data:

• Jenis organisasi: badan hukum

• Bentuk hukum organisasi: AO

• Nama organisasi: Perusahaan Terbuka "Selectel"

• OGRN: 1247800067790

• INN: 7810962785

• Negara lokasi: Rusia

• Alamat lokasi: 196006, St. Petersburg, ul. Tsvetochnaya, d. 21, lit. A (sesuai dengan EGRUL)

* Jika Anda juga menggunakan DPC sendiri — tambahkan Basis No. 2 dan masukkan data organisasi Anda sesuai dengan EGRUL.

Langkah 9: Informasi tentang orang yang memiliki akses dan/atau melakukan pemrosesan data pribadi berdasarkan perjanjian yang terkandung dalam sistem informasi negara dan kota.

Di sini disebutkan pihak ketiga yang operator transfer data, yang memiliki akses ke IS, atau yang memproses data atas dasar perjanjian (pasal 6 UU-152). Anda harus mencantumkan nama/individu, INN, alamat, dan tujuan pemrosesan. Ini termasuk perusahaan IT yang melayani GIS/MIS, operator telekomunikasi, kontraktor yang terlibat, penyedia cloud yang data pribadi ditransfer kepada mereka.

Jika Anda tidak memiliki sistem seperti itu, Anda harus menghapus set bidang menggunakan tombol "Hapus" di bawah daftar bidang dengan detail kontak.

Langkah 10: Informasi tentang jaminan keamanan data pribadi

Di sini disebutkan daftar langkah-langkah yang diimplementasikan oleh Anda untuk memenuhi persyaratan yang ditetapkan oleh keputusan Pemerintah Federasi Rusia tanggal 01.11.2012 No. 1119 "Tentang persetujuan persyaratan untuk perlindungan data pribadi saat diproses dalam sistem informasi data pribadi". Dalam bagian ini, Anda dapat menyebutkan:

Operator memastikan pemenuhan persyaratan perlindungan data dengan menggunakan platform cloud yang disediakan oleh LLC "FoodSoul" (INN 4345369685), yang memenuhi persyaratan berikut:

1. Langkah-langkah organisasi:

• Perjanjian dengan pemilik platform (LLC "FoodSoul") yang menentukan kewajibannya sebagai operator yang melakukan pemrosesan atas dasar perjanjian.
• Hak akses karyawan Operator ke fungsionalitas platform dibatasi berdasarkan prinsip hak minimum (model akses berbasis peran).
• Akun karyawan dilindungi dengan kata sandi unik.

2. Langkah-langkah teknis:

• Akses ke platform dan transfer data antara pengguna dan sistem dilakukan hanya melalui saluran komunikasi yang aman menggunakan protokol HTTPS/TLS (enkripsi).
• Otentikasi dan otorisasi pengguna dijamin oleh alat platform itu sendiri.
• Perlindungan dari kode berbahaya (perlindungan antivirus) dan firewall diimplementasikan di sisi infrastruktur pemilik platform.
• Pemilik platform menjamin pencadangan data secara teratur dan perlindungan fisik peralatan server di pusat data di wilayah Federasi Rusia.
• Registrasi peristiwa keamanan dijamin dalam kerangka fungsionalitas yang disediakan oleh platform (log tindakan).

3. Kontrol pelaksanaan langkah-langkah:

• Operator mengontrol kepatuhan pemilik platform terhadap ketentuan perjanjian dalam hal jaminan keamanan data pribadi.

Langkah 11: Data orang yang membentuk pemberitahuan

Sebutkan nama lengkap, jabatan, dan informasi kontak orang yang mengirimkan pemberitahuan ini ke Roskomnadzor.

Langkah 12: Penandatanganan dan pengiriman pemberitahuan

Opsi 1. Dalam bentuk cetak

Formulir cetak Pemberitahuan yang telah dibentuk harus ditandatangani oleh kepala organisasi atau orang yang memiliki hak untuk menandatangani dokumen, tanggal dan cap (jika ada) harus dicantumkan, dan dikirim ke Kantor Wilayah Roskomnadzor melalui pos atau diserahkan secara langsung.

Opsi 2. Dalam bentuk elektronik dengan menggunakan tanda tangan elektronik yang diperkuat dan berkualifikasi

Anda dapat mengisi formulir dan menandatanganinya dengan tanda tangan elektronik. Dalam hal ini, pengajuan dalam bentuk cetak tidak diperlukan. Anda harus menginstal plugin CryptoPro ECP Browser plug-in dan mengatur kerjanya.

Opsi 3. Dalam bentuk elektronik dengan menggunakan alat otentikasi ESIA

Melakukan otentikasi di portal Layanan Negara, mengisi formulir, dan mengirimkannya dalam bentuk elektronik. Anda harus memiliki akun yang terverifikasi. Pengiriman salinan dalam bentuk cetak dalam hal ini tidak diperlukan. Jika Anda mengajukan pemberitahuan atas nama organisasi, akun Anda harus terhubung ke organisasi tersebut di portal Layanan Negara.

SELESAI! Setelah pengiriman berhasil, Anda akan dimasukkan dalam daftar operator. Simpan nomor dan kunci pemberitahuan.

Setelah pengiriman pemberitahuan ke Roskomnadzor dan dimasukkan dalam daftar operator, Anda harus memastikan kerja sehari-hari yang benar dengan data pribadi. Aspek praktis utama dari pekerjaan ini adalah penggunaan cookie dan analitik, serta pemrosesan permintaan dari pengguna itu sendiri.

Mekanisme mendapatkan persetujuan saat menggunakan formulir pengumpulan data eksternal

Banyak klien FoodSoul untuk menarik pelanggan menempatkan formulir pengumpulan data eksternal (widget) di situs mereka — misalnya, formulir untuk memesan panggilan balik atau untuk menghubungi dukungan teknis. Penting untuk dipahami bahwa integrasi semacam itu di situs dipasang oleh klien sendiri.

Agar pengumpulan data melalui formulir ini sah, dua syarat harus dipenuhi:

1. Persetujuan teks. Langsung di bawah formulir (widget) pengumpulan data, Anda harus menempatkan formulasi yang dapat dipahami oleh pengguna bahwa dengan menekan tombol kirim, mereka memberikan persetujuan untuk pemrosesan data pribadi mereka.

2. Tautan ke dokumen. Formulasi ini harus berisi tautan aktif (dapat diklik) ke dua dokumen:

   • Perjanjian Pengguna (atau Perjanjian Penawaran), di mana ketentuan penyediaan layanan dijelaskan.

   • Kebijakan Privasi, di mana dijelaskan secara rinci data apa yang dikumpulkan, untuk apa, dan bagaimana diproses.

Formulasi yang direkomendasikan untuk ditempatkan di bawah formulir:

“Dengan menekan "Kirim", Anda menerima ketentuan Perjanjian Pengguna dan memberikan persetujuan untuk pemrosesan data pribadi sesuai dengan Kebijakan Privasi”.

Langkah sederhana ini akan melindungi Anda dari klaim dari pihak pengawas dan membuktikan bahwa pengguna bertindak secara sadar dan sukarela.

Bagaimana bekerja dengan cookie, analitik, dan permintaan pengguna

Cookie dan analitik

Perangkat lunak FoodSoul menggunakan cookie dan penghitung (jika berlaku) untuk:

• menjamin fungsionalitas layanan;
• personalisasi fungsi;
• analitik dan statistik;
• peningkatan kualitas perangkat lunak;
• personalisasi iklan.

Data ini juga merupakan data pribadi, dan pemrosesannya harus tercermin dalam pemberitahuan, seperti yang dijelaskan di atas. Penting untuk diingat bahwa pengguna dapat melarang penggunaan cookie di pengaturan browser, namun beberapa fungsi layanan mungkin tidak tersedia.

Permintaan pengguna

Salah satu kewajiban langsung operator adalah menanggapi permintaan subjek data pribadi secara tepat waktu. Pengguna berhak untuk:

• meminta informasi tentang pemrosesan data mereka;
• mengubah data pribadi mereka;
• menghapus data dengan mengirimkan permintaan ke info@fs.me.

Untuk melaksanakan hak-haknya, pengguna dapat menghubungi operator (klien FoodSoul) atau menggunakan fungsionalitas akun pribadi (jika berlaku). Penghapusan akun atau penarikan persetujuan dapat menyebabkan ketidakmampuan untuk menggunakan Layanan terkait lebih lanjut.

Namun, undang-undang dapat mewajibkan operator untuk menyimpan data tertentu selama jangka waktu yang ditetapkan atau mentransfernya ke badan pemerintah.

Kesimpulan

Dengan menggunakan perangkat lunak FoodSoul, bisnis mendapatkan alat yang nyaman dan aman, tetapi pada saat yang sama mengambil status sebagai operator data pribadi. Memahami tanggung jawab Anda, bekerja dengan data dengan benar, dan aturan interaksi yang transparan dengan pengguna bukanlah formalitas, tetapi cara nyata untuk mengurangi risiko hukum dan meningkatkan kepercayaan pelanggan.

Apakah Anda masih belum terdaftar? Ajukan pemberitahuan dengan panduan kami — ini lebih mudah dari yang Anda kira!
FoodSoul bersama Anda di setiap langkah.

Hormat kami,

Tim FoodSoul