L'uso dei servizi digitali e del software è inevitabilmente legato al trattamento dei dati personali. Quando si lavora con il software FoodSoul, molti clienti e partner non si rendono nemmeno conto che, dal punto di vista legale, stanno già svolgendo il ruolo di operatore di dati personali e hanno determinate responsabilità.

In questo articolo esamineremo:

• chi è l'operatore di dati personali;

• quali responsabilità hanno i clienti di FoodSoul;

• quali dati vengono trattati nell'ambito dell'uso del software FoodSoul;

• cos'è il Roskomnadzor e quali funzioni svolge;

• se è necessario notificare il Roskomnadzor e come farlo;

• come ottenere correttamente il consenso dell'utente se si utilizza un modulo esterno di raccolta dati sul proprio sito;

• come gestire i cookie, l'analisi e le richieste degli utenti.

Chi è l'operatore di dati personali

L'operatore di dati personali è qualsiasi persona fisica o giuridica che:

• raccoglie dati personali;
• conserva, utilizza, trasferisce o elimina tali dati;
• determina autonomamente gli scopi e i metodi di trattamento.

In parole povere, se decidete perché e per cosa vi servono i dati dell'utente, siete un operatore.

I clienti di FoodSoul diventano operatori di dati personali se:

• registrano utenti o dipendenti;
• lavorano con database clienti;
• accettano ordini, richieste, reclami;
• utilizzano account personali e altre funzioni del software FoodSoul.

Non importa dove siano tecnicamente conservati i dati: la responsabilità dell'operatore rimane.

Quali responsabilità hanno i clienti di FoodSoul

In qualità di operatore di dati personali, il cliente di FoodSoul ha le seguenti responsabilità chiave:

• trattare i dati personali legalmente e per scopi specifici;
• ottenere il consenso dell'utente per il trattamento dei dati (se richiesto);
• informare l'utente su quali dati vengono trattati e perché;
• garantire la riservatezza e la sicurezza dei dati;
• rispondere alle richieste degli utenti (modifica, cancellazione dei dati);
• rispettare i requisiti della legislazione della Federazione Russa sui dati personali.

La presenza di una piattaforma IT non esonera l'azienda da queste responsabilità. FoodSoul fornisce la parte tecnica, mentre la responsabilità legale per la legalità del trattamento rimane al partner di FoodSoul.

Quali dati vengono trattati nell'ambito del software FoodSoul

1. Dati forniti dall'utente

Queste sono le informazioni che l'utente fornisce autonomamente. Includono:

• Durante la registrazione o la creazione di un account: nome, sesso, data di nascita, numero di telefono, indirizzo email, foto;
• Durante l'ordine e l'esecuzione dell'ordine: nome, email, dati delle carte di pagamento, altre informazioni di pagamento, indirizzo di consegna, numero di telefono;
• Durante il feedback, i reclami, la partecipazione a promozioni e programmi di fedeltà: cognome, nome, secondo nome, dati di contatto, informazioni testuali e contenuti multimediali;
• Durante il contatto con il supporto tecnico: dati dell'account, parametri tecnici del dispositivo e del software.

2. Dati trasmessi automaticamente

Durante l'uso del software FoodSoul possono essere trattati automaticamente:

• Dati tecnici: indirizzo IP, intestazioni HTTP, dati dei cookie, web beacon/tag pixel, informazioni sul browser e sul sistema operativo, identificatore del dispositivo mobile, informazioni sull'hardware e sul software;
• Dati sull'uso: data e ora di accesso ai Siti e/o ai Servizi, cronologia degli ordini e delle azioni;
• Dati sulla geolocalizzazione (se applicabile e con il consenso dell'utente).

FoodSoul tratta solo le informazioni necessarie per il funzionamento del software e il miglioramento dei servizi.

Cos'è il Roskomnadzor e quali funzioni svolge

Roskomnadzor è un ente statale che controlla il rispetto della legislazione sui dati personali.

Esso:

• mantiene un registro degli operatori di dati personali;
• controlla il rispetto dei requisiti di legge;
• esamina i reclami degli utenti;
• effettua controlli pianificati e non pianificati;
• emette ordini per correggere le violazioni;
• porta gli operatori alla responsabilità amministrativa.

In parole povere, il Roskomnadzor assicura che le aziende lavorino correttamente e legalmente con i dati personali.

È necessario notificare il Roskomnadzor

Nella maggior parte dei casi, i clienti di FoodSoul devono notificare il Roskomnadzor dell'inizio del trattamento dei dati personali. La notifica deve essere inviata prima dell'inizio del trattamento o, se il trattamento è già in corso, il prima possibile.

Di seguito è riportata una guida pratica passo-passo per compilare il modulo elettronico sul sito pd.rkn.gov.ru, con esempi basati sulla vostra Politica sulla privacy.

Guida "Come compilare la notifica di inizio trattamento dei dati personali"

Passo 1: Informazioni generali sull'operatore

• Regione di registrazione / Tipo di operatore / Nome / Indirizzo / INN, OGRN: I dati devono essere indicati esattamente come riportato nel Registro Unico di Stato delle Persone Giuridiche/Registro Unico di Stato delle Persone Fisiche Imprenditori. Verificate l'aggiornamento delle informazioni sul sito del Servizio Fiscale Federale.
• Telefono / Indirizzo email: Indicate i dati di contatto tramite i quali il Roskomnadzor può contattarvi.
• Regione di trattamento: Indicate le regioni in cui la vostra azienda opera effettivamente e dove i dati vengono trattati (ad esempio, sede centrale, filiali). Se l'attività si svolge in tutta la Russia, potete indicare "Federazione Russa".

Passo 2: Scopi del trattamento dei dati personali

Questo è il blocco più importante. È necessario descrivere dettagliatamente ogni scopo. Utilizzate la sezione 5 della vostra Politica sulla privacy.

Esempio di compilazione per lo scopo "Elaborazione ed esecuzione degli ordini, controllo dello stato, consegna" (basato sui punti 5.2 e 5.3 della Politica):

• Scopo del trattamento: Elaborazione, esecuzione, controllo dello stato e consegna degli ordini di beni/servizi dell'utente, interazione con l'utente in merito all'ordine.
• Categorie di dati personali: cognome, nome, secondo nome; numero di telefono; indirizzo email; indirizzo di consegna; dati delle carte di pagamento/altre informazioni di pagamento; dettagli dell'ordine.
• Categorie di soggetti: Utenti che effettuano ordini e richiedono la consegna.
• Base legale del trattamento: Consenso del soggetto dei dati personali (art. 6 della Legge Federale "Sui dati personali"); contratto (Accordo con l'utente).
• Elenco delle azioni: Raccolta, registrazione, sistematizzazione, accumulo, conservazione, aggiornamento (modifica), estrazione, utilizzo, trasferimento (incluso l'incarico del trattamento), anonimizzazione, blocco, cancellazione, distruzione.
• Metodi di trattamento: Trattamento automatizzato.

Compilate analogamente altri scopi dalla Politica, ad esempio:

• Registrazione dell'account (punto 5.1).
• Comunicazioni di marketing (punto 5.4).
• Feedback e supporto (punti 5.5, 5.7).
• Promozioni e programmi di fedeltà (punto 5.6).
• Miglioramento dei servizi, analisi, sicurezza (punti 5.9, 5.10, 5.11).

Passo 3: Metodi di trattamento

Selezionate nelle schede: “Automatizzato”, “Con trasferimento tramite rete interna della persona giuridica”, “Con trasferimento tramite rete Internet”.

Passo 4: Misure per la protezione dei dati personali (art. 18.1 e 19 della Legge Federale-152)

Descrivete le misure organizzative e tecniche specifiche. Potete basarvi sulla sezione 7 della vostra Politica.

Esempio di compilazione:

1. Sono stati nominati i responsabili dell'organizzazione del trattamento e della sicurezza dei dati personali.

2. È stata sviluppata e approvata una Politica sul trattamento dei dati personali.

3. I dipendenti che effettuano il trattamento sono stati informati delle disposizioni della legislazione della Federazione Russa sui dati personali e degli atti locali.

4. Viene gestito l'accesso ai sistemi informativi (account, password).

5. Vengono utilizzati mezzi tecnici di protezione: firewall, software antivirus, sistemi di rilevamento delle intrusioni.

6. Viene garantito il backup delle informazioni.

7. Viene effettuata la registrazione e il monitoraggio delle azioni degli utenti nei sistemi informativi.

8. Durante il trasferimento dei dati tramite rete Internet viene utilizzata una connessione protetta (protocollo HTTPS/TLS).

Passo 5: Uso di mezzi di crittografia (criptografici)

Indicare se vengono utilizzati / non utilizzati.

Se vengono utilizzati, indicare la classe del sistema di crittografia e il nome, i produttori, i numeri di serie dei mezzi di crittografia.

Ad esempio:

• Classe del sistema di crittografia: KCS2; KCS3.
• Nome, produttori, numeri di serie dei mezzi di crittografia: Sistema di crittografia CryptoPro CSP, PAK “AK-server”, VipNet CSP.

Passo 6: Date e condizioni

• Data di inizio del trattamento: Indicate la data in cui avete effettivamente iniziato a lavorare con i dati personali dei clienti (può coincidere con la data di registrazione dell'azienda).
• Termine o condizione di cessazione del trattamento: Selezionate nella scheda: “Condizione di cessazione”. Successivamente, indicate:  “Liquidazione o riorganizzazione della persona giuridica”.

Passo 7: Trasferimento transfrontaliero

Se non trasferite dati al di fuori della Federazione Russa, indicate “Non effettuato”.

Passo 8: Informazioni sulla posizione del database

Questo è un punto critico per i clienti di FoodSoul. La società a responsabilità limitata "FoodSoul" colloca l'infrastruttura tecnologica della piattaforma (attrezzature server) sul territorio della Federazione Russa in un centro di elaborazione dati (CED) in outsourcing. Inoltre, se utilizzate anche il vostro CED, aggiungete le informazioni e compilate il Database n. 2 con le informazioni sul vostro CED.

Esempio di compilazione delle informazioni sul luogo di conservazione dei dati:

• Paese: Russia
• Indirizzo del CED: 123060, Mosca, via Berzarina, 36, edificio 3
• CED proprio: no

Informazioni sull'organizzazione responsabile della conservazione dei dati:

• Tipo di organizzazione: persona giuridica

• Forma giuridica: S.p.A.

• Nome dell'organizzazione: Società per Azioni "Selectel"

• OGRN: 1247800067790

• INN: 7810962785

• Paese di ubicazione: Russia

• Indirizzo di ubicazione: 196006, San Pietroburgo, via Tsvetochnaya, 21, lit. A (in conformità con il Registro Unico di Stato delle Persone Giuridiche)

* Se viene utilizzato anche un CED proprio — aggiungete il Database n. 2 e inserite i dati della vostra organizzazione in conformità con il Registro Unico di Stato delle Persone Giuridiche.

Passo 9: Informazioni sulle persone che hanno accesso e/o effettuano il trattamento dei dati personali contenuti nei sistemi informativi statali e municipali in base a un contratto.

Qui vengono indicate le terze parti a cui l'operatore trasferisce i dati, che hanno accesso ai sistemi informativi, o che trattano i dati su incarico in base a un contratto (art. 6 della Legge Federale-152). È necessario elencare i nomi/nomi, INN, indirizzo e scopo del trattamento. Tra questi ci sono le aziende IT che gestiscono i sistemi informativi statali/municipali, gli operatori di telecomunicazioni, i contraenti coinvolti, i fornitori di servizi cloud a cui vengono trasferiti i dati personali.

Se non avete tali sistemi, è necessario eliminare il set di campi utilizzando il pulsante “Elimina” sotto l'elenco dei campi con i dettagli del contatto.

Passo 10: Informazioni sulla sicurezza dei dati personali

Qui viene indicato l'elenco delle misure attuate per adempiere ai requisiti stabiliti dal decreto del Governo della Federazione Russa del 01.11.2012 n. 1119 “Approvazione dei requisiti per la protezione dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali”. In questa sezione è possibile indicare:

L'operatore garantisce il rispetto dei requisiti per la protezione dei dati utilizzando la piattaforma cloud fornita dalla società a responsabilità limitata "FoodSoul" (INN 4345369685), che soddisfa i seguenti requisiti:

1. Misure organizzative:

• È stato stipulato un contratto con il proprietario della piattaforma (società a responsabilità limitata "FoodSoul"), che definisce i suoi obblighi come operatore che effettua il trattamento su incarico.
• Viene garantita la separazione dei diritti di accesso dei dipendenti dell'Operatore alla funzionalità della piattaforma basata sul principio dei privilegi minimi (modello di accesso basato sui ruoli).
• Gli account dei dipendenti sono protetti da password uniche.

2. Misure tecniche:

• L'accesso alla piattaforma e il trasferimento dei dati tra l'utente e il sistema avviene esclusivamente tramite canali di comunicazione protetti utilizzando i protocolli HTTPS/TLS (crittografia).
• L'autenticazione e l'autorizzazione degli utenti sono garantite dai mezzi della stessa piattaforma.
• La protezione dal codice dannoso (protezione antivirus) e i firewall sono implementati sul lato dell'infrastruttura del proprietario della piattaforma.
• Il proprietario della piattaforma garantisce il backup regolare dei dati e la protezione fisica delle attrezzature server nei data center sul territorio della Federazione Russa.
• Viene garantita la registrazione degli eventi di sicurezza nel contesto della funzionalità fornita dalla piattaforma (log delle azioni).

3. Controllo dell'attuazione delle misure:

• L'operatore controlla il rispetto da parte del proprietario della piattaforma delle condizioni del contratto in materia di sicurezza dei dati personali.

Passo 11: Dati della persona che ha compilato la notifica

Indicate il nome, la posizione e le informazioni di contatto della persona che invia la notifica al Roskomnadzor.

Passo 12: Firma e invio della notifica

Opzione 1. In formato cartaceo

Il modulo di notifica stampato deve essere firmato dal responsabile dell'organizzazione o dalla persona autorizzata a firmare i documenti, deve essere apposta la data e il timbro (se presente), e deve essere inviato all'Ufficio territoriale del Roskomnadzor tramite posta o consegnato a mano.

Opzione 2. In formato elettronico con firma elettronica qualificata avanzata

È possibile compilare il modulo e firmarlo con una firma elettronica. In questo caso, non sarà necessario inviarlo in formato cartaceo. È necessario avere installato il plugin CryptoPro ECP Browser plug-in e configurato per funzionare con esso.

Opzione 3. In formato elettronico utilizzando i mezzi di autenticazione ESIA

Effettuare l'autenticazione sul portale dei Servizi Statali, compilare il modulo e inviarlo in formato elettronico. È necessario avere un account confermato. L'invio di una copia in formato cartaceo in questo caso non sarà necessario. Se si invia la notifica per conto di un'organizzazione, il proprio account deve essere collegato a tale organizzazione sul portale dei Servizi Statali.

FATTO! Dopo l'invio con successo, sarete inseriti nel registro degli operatori. Conservate il numero e la chiave della notifica.

Dopo l'invio con successo della notifica al Roskomnadzor e l'inclusione nel registro degli operatori, è necessario garantire un corretto lavoro quotidiano con i dati personali. Gli aspetti pratici chiave di questo lavoro sono l'uso dei cookie e dell'analisi, nonché la gestione delle richieste degli utenti stessi.

Meccanismo per ottenere il consenso quando si utilizzano moduli esterni di raccolta dati

Molti clienti di FoodSoul per attrarre clienti inseriscono sui loro siti moduli esterni di raccolta dati (widget) — ad esempio, moduli per richiedere una richiamata o per contattare il supporto tecnico. È importante capire che tali integrazioni sul sito vengono installate dai clienti stessi.

Affinché la raccolta dei dati tramite questi moduli sia legale, è necessario soddisfare due condizioni:

1. Consenso testuale. Direttamente sotto il modulo (widget) di raccolta dati, è necessario inserire una formulazione comprensibile all'utente che, premendo il pulsante di invio, accetta il trattamento dei suoi dati personali.

2. Link ipertestuali ai documenti. Questa formulazione deve contenere link attivi (cliccabili) a due documenti:

   • Accordo con l'utente (o Contratto di offerta), dove sono descritti i termini del servizio.

   • Politica sulla privacy, dove è dettagliato quali dati vengono raccolti, perché e come vengono trattati.

Formulazione consigliata da inserire sotto il modulo:

“Premendo "Invia", accetti i termini dell'Accordo con l'utente e dai il consenso al trattamento dei dati personali secondo la Politica sulla privacy”.

Questa semplice misura vi proteggerà da reclami da parte delle autorità di controllo e dimostrerà che l'utente ha agito consapevolmente e volontariamente.

Come gestire i cookie, l'analisi e le richieste degli utenti

Cookie e analisi

Il software FoodSoul utilizza cookie e contatori (se applicabile) per:

• garantire il funzionamento dei servizi;
• personalizzare le funzioni;
• analisi e statistiche;
• migliorare la qualità del software;
• personalizzare la pubblicità.

Questi dati sono anch'essi personali e il loro trattamento deve essere riportato nella notifica, come descritto sopra. È importante ricordare che l'utente può vietare l'uso dei cookie nelle impostazioni del browser, ma alcune funzioni del servizio potrebbero non essere disponibili.

Richieste degli utenti

Uno dei doveri diretti dell'operatore è rispondere tempestivamente alle richieste dei soggetti dei dati personali. L'utente ha il diritto di:

• richiedere informazioni sul trattamento dei propri dati;
• modificare i propri dati personali;
• cancellare i dati, inviando una richiesta a info@fs.me.

Per esercitare i propri diritti, l'utente può contattare l'operatore (cliente di FoodSoul) o utilizzare la funzionalità dell'account personale (dove applicabile). La cancellazione dell'account o la revoca del consenso può comportare l'impossibilità di continuare a utilizzare i Servizi corrispondenti.

Tuttavia, la legislazione può obbligare l'operatore a conservare determinati dati per un periodo di tempo stabilito o a trasferirli alle autorità statali.

Conclusione

Utilizzando il software FoodSoul, le aziende ottengono uno strumento comodo e sicuro, ma allo stesso tempo assumono lo status di operatore di dati personali. Comprendere le proprie responsabilità, lavorare correttamente con i dati e stabilire regole trasparenti di interazione con gli utenti non è una formalità, ma un modo reale per ridurre i rischi legali e aumentare la fiducia dei clienti.

Non siete ancora nel registro? Inviate la notifica con la nostra guida — è più semplice di quanto sembri!
FoodSoul è con voi in ogni passo.

Con rispetto,

Il team di FoodSoul