Dati personali e business: cosa è importante sapere per i clienti di FoodSoul

L'uso di servizi digitali e software è inevitabilmente legato al trattamento dei dati personali. Quando si lavora con il software FoodSoul, molti clienti e partner non si rendono nemmeno conto che, dal punto di vista legale, stanno già svolgendo il ruolo di operatore di dati personali e hanno determinate responsabilità.

In questo articolo analizzeremo:

• chi è l'operatore di dati personali;
• quali responsabilità hanno i clienti di FoodSoul;
• quali dati vengono trattati nell'ambito dell'uso del software FoodSoul;
• cos'è il Roskomnadzor e quali funzioni svolge;
• se è necessario notificare il Roskomnadzor e come farlo;
• come ottenere correttamente il consenso dell'utente se si utilizza un modulo esterno di raccolta dati sul proprio sito;
• come lavorare con i cookie, l'analisi e le richieste degli utenti.

Chi è l'operatore di dati personali

Un operatore di dati personali è qualsiasi persona fisica o giuridica che:

• raccoglie dati personali;
• li conserva, utilizza, trasferisce o elimina;
• determina autonomamente gli scopi e i metodi di trattamento.

In altre parole, se decidete perché e per cosa vi servono i dati dell'utente, siete un operatore.

I clienti di FoodSoul diventano operatori di dati personali se:

• registrano utenti o dipendenti;
• lavorano con database clienti;
• accettano ordini, richieste, reclami;
• utilizzano account personali e altre funzioni del software FoodSoul.

Non importa dove siano tecnicamente conservati i dati: la responsabilità dell'operatore rimane.

Quali responsabilità hanno i clienti di FoodSoul

Come operatori di dati personali, i clienti di FoodSoul hanno le seguenti responsabilità chiave:

• trattare i dati personali legalmente e per scopi specifici;
• ottenere il consenso dell'utente per il trattamento dei dati (se richiesto);
• informare l'utente su quali dati vengono trattati e perché;
• garantire la riservatezza e la sicurezza dei dati;
• rispondere alle richieste degli utenti (modifica, cancellazione dei dati);
• rispettare i requisiti della legislazione della Federazione Russa sui dati personali.

La presenza di una piattaforma IT non esonera l'azienda da queste responsabilità. FoodSoul fornisce la parte tecnica, mentre la responsabilità legale per la legalità del trattamento rimane al partner di FoodSoul.

Quali dati vengono trattati nell'ambito del software FoodSoul

1. Dati forniti dall'utente

Queste sono informazioni che l'utente fornisce autonomamente. Includono:

• Durante la registrazione o la creazione di un account: nome, sesso, data di nascita, numero di telefono, indirizzo email, foto;
• Durante l'ordine e l'esecuzione: nome, email, dati delle carte di pagamento, altre informazioni di pagamento, indirizzo di consegna, numero di telefono;
• Durante il feedback, i reclami, la partecipazione a promozioni e programmi di fedeltà: cognome, nome, patronimico, dati di contatto, informazioni testuali e contenuti multimediali;
• Quando si contatta il supporto tecnico: dati dell'account, parametri tecnici del dispositivo e del software.

2. Dati trasmessi automaticamente

Durante l'uso del software FoodSoul possono essere trattati automaticamente:

• Dati tecnici: indirizzo IP, intestazioni HTTP, dati dei cookie, web beacon/tag pixel, informazioni sul browser e sul sistema operativo, identificatore del dispositivo mobile, informazioni sull'hardware e sul software;
• Dati di utilizzo: data e ora di accesso ai Siti e/o ai Servizi, cronologia degli ordini e delle azioni;
• Dati di geolocalizzazione (se applicabile e con il consenso dell'utente).

FoodSoul tratta solo le informazioni necessarie per il funzionamento del software e il miglioramento dei servizi.

Cos'è il Roskomnadzor e quali funzioni svolge

Roskomnadzor è un ente governativo che controlla il rispetto della legislazione sui dati personali.

Esso:

• mantiene un registro degli operatori di dati personali;
• controlla il rispetto dei requisiti di legge;
• esamina i reclami degli utenti;
• effettua controlli pianificati e non pianificati;
• emette ordini per correggere le violazioni;
• porta gli operatori alla responsabilità amministrativa.

In altre parole, il Roskomnadzor assicura che le aziende lavorino correttamente e legalmente con i dati personali.

È necessario notificare il Roskomnadzor

Nella maggior parte dei casi, i clienti di FoodSoul devono notificare il Roskomnadzor dell'inizio del trattamento dei dati personali. La notifica deve essere presentata prima dell'inizio del trattamento o, se il trattamento è già in corso, il prima possibile.

Di seguito una guida pratica passo-passo per compilare il modulo elettronico sul sito pd.rkn.gov.ru, con esempi basati sulla vostra Politica sulla privacy.

Guida "Come compilare la notifica di inizio trattamento dei dati personali"

Passo 1: Informazioni generali sull'operatore

• Regione di registrazione / Tipo di operatore / Nome / Indirizzo / INN, OGRN: I dati devono essere indicati esattamente come nel registro EGRUL/EGRIP. Verificate l'attualità delle informazioni sul sito del FNS.
• Telefono / Indirizzo email: Indicate i dati di contatto tramite i quali il Roskomnadzor può contattarvi.
• Regione di trattamento: Indicate le regioni in cui la vostra azienda opera effettivamente e i dati vengono trattati (ad esempio, sede centrale, filiali). Se l'attività si svolge in tutta la Russia, potete indicare "Federazione Russa".

Passo 2: Scopi del trattamento dei dati personali

Questo è il blocco più importante. È necessario descrivere dettagliatamente ogni scopo. Utilizzate la sezione 5 della vostra Politica sulla privacy.

Esempio di compilazione per lo scopo "Ordine ed esecuzione degli ordini, controllo dello stato, consegna" (basato sui punti 5.2 e 5.3 della Politica):

• Scopo del trattamento: Ordine, esecuzione, controllo dello stato e consegna degli ordini di beni/servizi dell'utente, interazione con l'utente su questioni relative all'ordine.
• Categorie di dati personali: cognome, nome, patronimico; numero di telefono; indirizzo email; indirizzo di consegna; dati delle carte di pagamento/altra informazione di pagamento; dettagli dell'ordine.
• Categorie di soggetti: Utenti che effettuano ordini e richiedono la consegna.
• Base legale del trattamento: Consenso del soggetto dei dati personali (art. 6 della legge "Sui dati personali"); contratto (Accordo con l'utente).
• Elenco delle azioni: Raccolta, registrazione, sistematizzazione, accumulo, conservazione, aggiornamento (modifica), estrazione, utilizzo, trasferimento (incluso l'incarico di trattamento), anonimizzazione, blocco, cancellazione, distruzione.
• Metodi di trattamento: Trattamento automatizzato.

Compilate analogamente altri scopi dalla Politica, ad esempio:

• Registrazione dell'account (p. 5.1).
• Comunicazioni di marketing (p. 5.4).
• Feedback e supporto (p. 5.5, 5.7).
• Promozioni e programmi di fedeltà (p. 5.6).
• Miglioramento dei servizi, analisi, sicurezza (p. 5.9, 5.10, 5.11).

Passo 3: Metodi di trattamento

Scegliete nelle schede: "Automatizzato", "Con trasferimento tramite rete interna della persona giuridica", "Con trasferimento tramite rete Internet".

Passo 4: Misure per la protezione dei dati personali (art. 18.1 e 19 della legge 152-FZ)

Descrivete le misure organizzative e tecniche specifiche. Potete prendere come base la sezione 7 della vostra Politica.

Esempio di compilazione:

1. Sono stati nominati i responsabili dell'organizzazione del trattamento e della sicurezza dei dati personali.
2. È stata sviluppata e approvata una Politica sul trattamento dei dati personali.
3. I dipendenti che effettuano il trattamento sono stati informati delle disposizioni della legislazione della Federazione Russa sui dati personali e degli atti locali.
4. Viene gestito l'accesso ai sistemi informativi (account, password).
5. Vengono utilizzati mezzi tecnici di protezione: firewall, software antivirus, strumenti di rilevamento delle intrusioni.
6. Viene garantito il backup delle informazioni.
7. Viene effettuata la registrazione e il monitoraggio delle azioni degli utenti nei sistemi informativi.
8. Durante il trasferimento dei dati tramite rete Internet viene utilizzata una connessione protetta (protocollo HTTPS/TLS).

Passo 5: Uso di mezzi di crittografia (criptografici)

Indicare se vengono utilizzati / non utilizzati.

Se vengono utilizzati, indicare la classe SKZI e il nome, i produttori, i numeri di serie dei mezzi di crittografia.

Ad esempio:

• Classe SKZI: KS2; KS3.
• Nome, produttori, numeri di serie dei mezzi di crittografia: SKZI CryptoPro CSP, PAK "AK-server", VipNet CSP.

Passo 6: Date e condizioni

• Data di inizio del trattamento: Indicate la data in cui avete effettivamente iniziato a lavorare con i dati personali dei clienti (può coincidere con la data di registrazione dell'azienda).
• Termine o condizione di cessazione del trattamento: Scegliete nella scheda: "Condizione di cessazione". Successivamente, indicate:  "Liquidazione o riorganizzazione della persona giuridica".

Passo 7: Trasferimento transfrontaliero

Se non trasferite dati al di fuori della Federazione Russa, indicate "Non effettuato".

Passo 8: Informazioni sulla posizione del database

Questo è un punto critico per i clienti di FoodSoul. LLC "FoodSoul" colloca l'infrastruttura tecnologica della piattaforma (attrezzature server) sul territorio della Federazione Russa in un centro di elaborazione dati (CED) in outsourcing. Inoltre, se utilizzate anche il vostro CED, aggiungete le informazioni e compilate il Database n. 2 con le informazioni sul vostro CED.

Esempio di compilazione delle informazioni sul luogo di conservazione dei dati:

• Paese: Russia
• Indirizzo del CED: 123060, Mosca, via Berzarina, 36, edificio 3
• CED proprio: no

Informazioni sull'organizzazione responsabile della conservazione dei dati:

• Tipo di organizzazione: persona giuridica
• Forma organizzativa e giuridica: AO
• Nome dell'organizzazione: Società per Azioni "Selectel"
• OGRN: 1247800067790
• INN: 7810962785
• Paese di ubicazione: Russia
• Indirizzo di ubicazione: 196006, San Pietroburgo, via Tsvetochnaya, 21, lit. A (in conformità con EGRUL)

* Se si utilizza anche un proprio CED, aggiungete il Database n. 2 e inserite i dati della vostra organizzazione in conformità con EGRUL.

Passo 9: Informazioni sulle persone che hanno accesso e/o effettuano il trattamento dei dati personali contenuti nei sistemi informativi statali e municipali in base a un contratto.

Qui vengono indicate le terze parti a cui l'operatore trasferisce i dati, che hanno accesso ai sistemi informativi o che trattano i dati su incarico in base a un contratto (art. 6 della legge 152-FZ). È necessario elencare i nomi/FIO, INN, indirizzo e scopo del trattamento. Questi includono le aziende IT che gestiscono GIS/MIS, gli operatori di telecomunicazioni, i contraenti coinvolti, i fornitori di cloud a cui vengono trasferiti i dati personali.

Se non avete tali sistemi, è necessario eliminare il set di campi utilizzando il pulsante "Elimina" sotto l'elenco dei campi con i dettagli del contatto.

Passo 10: Informazioni sulla sicurezza dei dati personali

Qui viene indicato l'elenco delle misure implementate per adempiere ai requisiti stabiliti dal decreto del Governo della Federazione Russa del 01.11.2012 n. 1119 "Sull'approvazione dei requisiti per la protezione dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali". In questa sezione è possibile indicare:

L'operatore garantisce il rispetto dei requisiti per la protezione dei dati utilizzando la piattaforma cloud fornita da LLC "FoodSoul" (INN 4345369685), che soddisfa i seguenti requisiti:

1. Misure organizzative:

• È stato stipulato un contratto con il proprietario della piattaforma (LLC "FoodSoul"), che definisce i suoi obblighi come operatore che effettua il trattamento su incarico.
• Viene garantita la separazione dei diritti di accesso dei dipendenti dell'Operatore alla funzionalità della piattaforma basata sul principio dei privilegi minimi (modello di accesso basato sui ruoli).
• Gli account dei dipendenti sono protetti da password uniche.

2. Misure tecniche:

• L'accesso alla piattaforma e il trasferimento dei dati tra l'utente e il sistema avviene esclusivamente tramite canali di comunicazione protetti utilizzando i protocolli HTTPS/TLS (crittografia).
• Autenticazione e autorizzazione degli utenti sono garantite dai mezzi della piattaforma stessa.
• Protezione dal codice dannoso (protezione antivirus) e firewall sono implementati sul lato dell'infrastruttura del proprietario della piattaforma.
• Il proprietario della piattaforma garantisce il backup regolare dei dati e la protezione fisica delle attrezzature server nei data center sul territorio della Federazione Russa.
• Viene garantita la registrazione degli eventi di sicurezza nel contesto della funzionalità fornita dalla piattaforma (log delle azioni).

3. Controllo dell'implementazione delle misure:

• L'operatore controlla il rispetto da parte del proprietario della piattaforma delle condizioni del contratto in materia di sicurezza dei dati personali.

Passo 11: Dati della persona che ha compilato la notifica

Indicate il nome completo, la posizione e le informazioni di contatto della persona che invia questa notifica al Roskomnadzor.

Passo 12: Firma e invio della notifica

Opzione 1. In formato cartaceo

Il modulo stampato della Notifica in formato cartaceo deve essere firmato dal responsabile dell'organizzazione o dalla persona autorizzata a firmare i documenti, deve essere indicata la data e il timbro (se presente), e deve essere inviato all'Ufficio territoriale del Roskomnadzor tramite posta o consegnato a mano.

Opzione 2. In formato elettronico con firma elettronica qualificata avanzata

È possibile compilare il modulo e firmarlo con una firma elettronica. In questo caso, non sarà necessario presentarlo in formato cartaceo. È necessario avere installato il plugin CryptoPro ECP Browser plug-in e configurato il suo funzionamento.

Opzione 3. In formato elettronico con autenticazione tramite ESIA

Effettuare l'autenticazione sul portale dei Servizi Statali, compilare il modulo e inviarlo in formato elettronico. È necessario avere un account confermato. L'invio di una copia in formato cartaceo non sarà necessario in questo caso. Se si invia la notifica per un'organizzazione, il vostro account deve essere collegato a tale organizzazione sul portale dei Servizi Statali.

FATTO! Dopo l'invio con successo, sarete inseriti nel registro degli operatori. Conservate il numero e la chiave della notifica.

Dopo l'invio con successo della notifica al Roskomnadzor e l'inclusione nel registro degli operatori, è necessario garantire un corretto lavoro quotidiano con i dati personali. Gli aspetti pratici chiave di questo lavoro sono l'uso dei cookie e dell'analisi, nonché la gestione delle richieste degli utenti stessi.

Meccanismo per ottenere il consenso quando si utilizzano moduli esterni di raccolta dati

Molti clienti di FoodSoul per attrarre clienti inseriscono sui loro siti moduli esterni di raccolta dati (widget) — ad esempio, moduli per richiedere una richiamata o per contattare il supporto tecnico. È importante capire che tali integrazioni sul sito vengono installate dai clienti stessi.

Affinché la raccolta dei dati tramite questi moduli sia legale, è necessario soddisfare due condizioni:

1. Consenso testuale. Direttamente sotto il modulo (widget) di raccolta dati, è necessario inserire una formulazione comprensibile per l'utente che, premendo il pulsante di invio, accetta il trattamento dei suoi dati personali.
2. Link ipertestuali ai documenti. Questa formulazione deve contenere link attivi (cliccabili) a due documenti:
   • Accordo con l'utente (o Contratto di offerta), dove sono descritti i termini del servizio.
   • Politica sulla privacy, dove è dettagliato quali dati vengono raccolti, perché e come vengono trattati.

Formulazione consigliata da inserire sotto il modulo:

“Premendo "Invia", accetti i termini dell'Accordo con l'utente e dai il consenso al trattamento dei dati personali secondo la Politica sulla privacy”.

Questa semplice misura vi proteggerà da reclami da parte degli organi di controllo e dimostrerà che l'utente ha agito consapevolmente e volontariamente.

Come lavorare con cookie, analisi e richieste degli utenti

Cookie e analisi

Il software FoodSoul utilizza cookie e contatori (se applicabile) per:

• garantire il funzionamento dei servizi;
• personalizzare le funzioni;
• analisi e statistiche;
• migliorare la qualità del software;
• personalizzare la pubblicità.

Questi dati sono anch'essi personali e il loro trattamento deve essere riflesso nella notifica, come descritto sopra. È importante ricordare che l'utente può vietare l'uso dei cookie nelle impostazioni del browser, ma alcune funzioni del servizio potrebbero non essere disponibili.

Richieste degli utenti

Uno dei doveri diretti dell'operatore è rispondere tempestivamente alle richieste dei soggetti dei dati personali. L'utente ha il diritto di:

• richiedere informazioni sul trattamento dei propri dati;
• modificare i propri dati personali;
• cancellare i dati, inviando una richiesta a info@fs.me.

Per esercitare i propri diritti, l'utente può contattare l'operatore (cliente di FoodSoul) o utilizzare la funzionalità dell'account personale (dove applicabile). La cancellazione dell'account o la revoca del consenso può portare all'impossibilità di utilizzare ulteriormente i Servizi corrispondenti.

Tuttavia, la legislazione può obbligare l'operatore a conservare determinati dati per un periodo stabilito o a trasferirli agli organi statali.

Conclusione

Utilizzando il software FoodSoul, le aziende ottengono uno strumento comodo e sicuro, ma allo stesso tempo assumono lo status di operatore di dati personali. Comprendere le proprie responsabilità, lavorare correttamente con i dati e stabilire regole trasparenti di interazione con gli utenti non è una formalità, ma un modo reale per ridurre i rischi legali e aumentare la fiducia dei clienti.

Non siete ancora nel registro? Inviate la notifica con la nostra guida — è più semplice di quanto sembri!
FoodSoul è con voi in ogni passo.

Con rispetto,

Il team di FoodSoul