Digitālo pakalpojumu un programmatūras izmantošana neizbēgami saistīta ar personas datu apstrādi. Strādājot ar FoodSoul programmatūru, daudzi klienti un partneri pat neaizdomājas, ka no likuma viedokļa viņi jau pilda personas datu operatora lomu un uzņemas noteiktas saistības.

Šajā rakstā apskatīsim:

• kas ir personas datu operators;

• kādas saistības rodas FoodSoul klientiem;

• kādi dati tiek apstrādāti, izmantojot FoodSoul programmatūru;

• kas ir Roskomnadzor un kādas funkcijas tas veic;

• vai ir nepieciešams paziņot Roskomnadzor un kādā veidā;

• kā pareizi iegūt lietotāja piekrišanu, ja izmantojat ārēju datu vākšanas formu savā vietnē;

• kā strādāt ar sīkdatnēm, analītiku un lietotāju pieprasījumiem.

Kas ir personas datu operators

Personas datu operators ir jebkura fiziska vai juridiska persona, kas:

• vāc personas datus;
• glabā, izmanto, nodod vai dzēš tos;
• patstāvīgi nosaka apstrādes mērķus un metodes.

Vienkāršāk sakot, ja jūs izlemjat, kāpēc un kādēļ jums ir nepieciešami lietotāja dati, jūs esat operators.

FoodSoul klienti kļūst par personas datu operatoriem, ja viņi:

• reģistrē lietotājus vai darbiniekus;
• strādā ar klientu bāzēm;
• pieņem pasūtījumus, pieteikumus, pieprasījumus;
• izmanto personīgos kabinetus un citas FoodSoul programmatūras funkcijas.

Tajā pašā laikā nav nozīmes, kur tieši dati tiek tehniski glabāti: operatora atbildība saglabājas.

Kādas saistības rodas FoodSoul klientiem

Kā personas datu operatoram FoodSoul klientam rodas šādas galvenās saistības:

• apstrādāt personas datus likumīgi un konkrētiem mērķiem;
• saņemt lietotāja piekrišanu datu apstrādei (ja tas ir nepieciešams);
• informēt lietotāju par to, kādi dati un kāpēc tiek apstrādāti;
• nodrošināt datu konfidencialitāti un drošību;
• reaģēt uz lietotāju pieprasījumiem (datu maiņa, dzēšana);
• ievērot Krievijas Federācijas likumdošanas prasības par personas datiem.

IT platformas esamība neatbrīvo uzņēmumu no šīm saistībām. FoodSoul nodrošina tehnisko daļu, bet juridiskā atbildība par apstrādes likumību paliek FoodSoul partnerim.

Kādi dati tiek apstrādāti FoodSoul programmatūras ietvaros

1. Lietotāja sniegtie dati

Tie ir dati, ko lietotājs norāda pats. Tie ietver:

• Reģistrējoties vai izveidojot kontu: vārds, dzimums, dzimšanas datums, kontakttālrunis, e-pasta adrese, fotoattēls;
• Veicot un izpildot pasūtījumu: vārds, e-pasts, maksājumu karšu dati, cita maksājumu informācija, piegādes adrese, kontakttālrunis;
• Atgriezeniskās saites, pretenziju, dalības akcijās un lojalitātes programmās gadījumā: uzvārds, vārds, tēva vārds, kontaktinformācija, teksta informācija un multivides saturs;
• Vēršoties atbalsta dienestā: kontu dati, ierīces un programmatūras tehniskie parametri.

2. Automātiski nodotie dati

Izmantojot FoodSoul programmatūru, automātiski var tikt apstrādāti:

• Tehniskie dati: IP adrese, HTTP galvenes, sīkdatņu dati, tīmekļa bākas/pikseļu tagi, informācija par pārlūkprogrammu un operētājsistēmu, mobilās ierīces identifikators, informācija par aparatūru un programmatūru;
• Lietošanas dati: piekļuves datums un laiks vietnēm un/vai pakalpojumiem, pasūtījumu un darbību vēsture;
• Ģeolokācijas dati (ja piemērojams un ar lietotāja piekrišanu).

FoodSoul apstrādā tikai to informāciju, kas nepieciešama programmatūras darbībai un pakalpojumu uzlabošanai.

Kas ir Roskomnadzor un kādas funkcijas tas veic

Roskomnadzor ir valsts iestāde, kas uzrauga personas datu likumdošanas ievērošanu.

Tas:

• veido personas datu operatoru reģistru;
• kontrolē likuma prasību ievērošanu;
• izskata lietotāju sūdzības;
• veic plānotas un neplānotas pārbaudes;
• izdod rīkojumus par pārkāpumu novēršanu;
• piesaista operatorus administratīvai atbildībai.

Vienkāršāk sakot, Roskomnadzor uzrauga, lai uzņēmumi korekti un likumīgi strādātu ar personas datiem.

Vai ir nepieciešams paziņot Roskomnadzor

Vairumā gadījumu FoodSoul klientiem ir pienākums paziņot Roskomnadzor par personas datu apstrādes uzsākšanu. Paziņojums tiek iesniegts pirms apstrādes uzsākšanas vai, ja apstrāde jau tiek veikta, — pēc iespējas ātrāk.

Zemāk ir praktisks soli pa solim ceļvedis elektroniskās formas aizpildīšanai vietnē pd.rkn.gov.ru, ar piemēriem, kas balstīti uz jūsu Konfidencialitātes politiku.

Ceļvedis “Kā aizpildīt paziņojumu par personas datu apstrādes uzsākšanu”

1. solis: Vispārīga informācija par operatoru

• Reģistrācijas reģions / Operatora tips / Nosaukums / Adrese / INN, OGRN: Dati tiek norādīti stingri saskaņā ar EGRUL/EGRIP. Pārbaudiet informācijas aktualitāti FNS vietnē.
• Tālrunis / E-pasta adrese: Norādiet kontaktinformāciju, pa kuru Roskomnadzor var ar jums sazināties.
• Apstrādes reģions: Norādiet reģionus, kur faktiski darbojas jūsu uzņēmums un tiek apstrādāti dati (piemēram, galvenais birojs, filiāles). Ja darbība tiek veikta visā Krievijā, var norādīt “Krievijas Federācija”.

2. solis: Personas datu apstrādes mērķi

Tas ir vissvarīgākais bloks. Jāapraksta katrs mērķis detalizēti. Izmantojiet 5. sadaļu jūsu Konfidencialitātes politikā.

Piemērs aizpildīšanai mērķim “Pasūtījumu noformēšana un izpilde, statusa kontrole, piegāde” (balstoties uz p. 5.2 un 5.3 Politikā):

• Apstrādes mērķis: Pasūtījumu noformēšana, izpilde, statusa kontrole un piegāde lietotāja precēm/pakalpojumiem, saziņa ar lietotāju par pasūtījuma jautājumiem.
• Personas datu kategorijas: uzvārds, vārds, tēva vārds; tālruņa numurs; e-pasta adrese; piegādes adrese; maksājumu karšu dati/cita maksājumu informācija; pasūtījuma detaļas.
• Subjektu kategorijas: Lietotāji, kas veic pasūtījumus un pieprasa piegādi.
• Apstrādes tiesiskais pamats: Personas datu subjekta piekrišana (6. pants FZ “Par personas datiem”); līgums (Lietotāja līgums).
• Darbību saraksts: Vākšana, ierakstīšana, sistematizācija, uzkrāšana, glabāšana, precizēšana (atjaunināšana, maiņa), iegūšana, izmantošana, nodošana (ieskaitot apstrādes uzdevumu), anonimizācija, bloķēšana, dzēšana, iznīcināšana.
• Apstrādes metodes: Automatizēta  apstrāde.

Līdzīgi aizpildiet citus mērķus no Politikas, piemēram:

• Kontu reģistrācija (p. 5.1).
• Mārketinga komunikācijas (p. 5.4).
• Atgriezeniskā saite un atbalsts (p. 5.5, 5.7).
• Akciju un lojalitātes programmu īstenošana (p. 5.6).
• Pakalpojumu uzlabošana, analītika, drošība (p. 5.9, 5.10, 5.11).

3. solis: Apstrādes metodes

Izvēlaties cilnēs: “Automatizēta”, “Ar nodošanu pa juridiskās personas iekšējo tīklu”, “Ar nodošanu pa internetu”.

4. solis: Personas datu aizsardzības pasākumi (18.1 un 19 pants FZ-152)

Aprakstiet konkrētus organizatoriskos un tehniskos pasākumus. Varat izmantot 7. sadaļu jūsu Politikā.

Piemērs aizpildīšanai:

1. Ir iecelti atbildīgie par apstrādes organizēšanu un par personas datu drošības nodrošināšanu.

2. Ir izstrādāta un apstiprināta Politika attiecībā uz personas datu apstrādi.

3. Darbinieki, kas veic apstrādi, ir iepazīstināti ar Krievijas Federācijas likumdošanas normām par personas datiem un vietējiem aktiem.

4. Tiek veikta piekļuves pārvaldība informācijas sistēmām (konti, paroles).

5. Tiek izmantoti tehniskie aizsardzības līdzekļi: ugunsmūri (firewall), pretvīrusu programmatūra, iebrukumu atklāšanas līdzekļi.

6. Tiek nodrošināta informācijas rezerves kopēšana.

7. Tiek veikta lietotāju darbību protokolēšana un uzskaite informācijas sistēmās.

8. Datu nodošanai pa internetu tiek izmantots aizsargāts savienojums (HTTPS/TLS protokols).

5. solis: Šifrēšanas (kriptogrāfisko) līdzekļu izmantošana

Norādīt, vai tiek izmantoti / netiek izmantoti.

Ja tiek izmantoti, norādīt SKZI klasi un nosaukumu, ražotājus, šifrēšanas līdzekļu sērijas numurus.

Piemēram:

• SKZI klase: KS2; KS3.
• Nosaukums, ražotāji, šifrēšanas līdzekļu sērijas numuri: SKZI CryptoPro CSP, PAK “AK-server”, VipNet CSP.

6. solis: Datumi un nosacījumi

• Apstrādes sākuma datums: Norādiet datumu, kad faktiski sākāt strādāt ar klientu personas datiem (var sakrist ar uzņēmuma reģistrācijas datumu).
• Apstrādes izbeigšanas termiņš vai nosacījums: Izvēlaties cilnē: “Izbeigšanas nosacījums”. Tālāk norādiet:  “Juridiskās personas likvidācija vai reorganizācija”.

7. solis: Pārrobežu nodošana

Ja nedodat datus ārpus Krievijas Federācijas, norādiet “Netiek veikta”.

8. solis: Datu bāzes atrašanās vietas informācija

Tas ir kritiski svarīgs punkts FoodSoul klientiem. SIA “FoodSoul” izvieto platformas tehnisko infrastruktūru (serveru aprīkojumu) Krievijas Federācijas teritorijā ārpakalpojumu datu apstrādes centrā (DPC). Ja jūs papildus izmantojat savu DPC, pievienojiet informāciju un aizpildiet Datu bāzi Nr. 2 ar informāciju par savu DPC.

Piemērs datu glabāšanas vietas informācijas aizpildīšanai:

• Valsts: Krievija
• DPC adrese: 123060, Maskava, Berzarina iela 36, korp. 3
• Pašu DPC: nē

Informācija par organizāciju, kas atbildīga par datu glabāšanu:

• Organizācijas tips: juridiska persona

• Organizatoriski tiesiskā forma: AO

• Organizācijas nosaukums: Akciju sabiedrība "Selectel"

• OGRN: 1247800067790

• INN: 7810962785

• Atrašanās valsts: Krievija

• Atrašanās adrese: 196006, Sanktpēterburga, Cvetočnaja iela 21, lit. A (saskaņā ar EGRUL)

* Ja tiek izmantots arī pašu DPC — pievienojiet Datu bāzi Nr. 2 un ievadiet savas organizācijas datus saskaņā ar EGRUL.

9. solis: Informācija par personām, kurām ir piekļuve un (vai) kuras veic personas datu apstrādi uz līguma pamata, kas saturas valsts un pašvaldību informācijas sistēmās.

Šeit norādiet trešās personas, kurām operators nodod datus, kurām ir piekļuve IS, vai kuras apstrādā datus uz līguma pamata (6. pants 152-FZ). Nepieciešams uzskaitīt nosaukumus/vārdu, uzvārdu, INN, adresi un apstrādes mērķi. Pie tiem pieder IT uzņēmumi, kas apkalpo GIS/MIS, sakaru operatori, piesaistītie līgumpartneri, mākoņpakalpojumu sniedzēji, kuriem tiek nodoti personas dati.

Ja jums nav šādu sistēmu, tad nepieciešams dzēst lauku kopu, izmantojot pogu “Dzēst” zem lauku saraksta ar kontaktinformāciju.

10. solis: Informācija par personas datu drošības nodrošināšanu

Šeit norādiet pasākumu sarakstu, ko jūs īstenojat, lai izpildītu prasības, kas noteiktas Krievijas Federācijas valdības 2012. gada 1. novembra lēmumā Nr. 1119 “Par personas datu aizsardzības prasību apstiprināšanu to apstrādes laikā informācijas sistēmās”. Šajā sadaļā var norādīt:

Operators nodrošina datu aizsardzības prasību izpildi izmantojot mākoņplatformu, ko nodrošina SIA “FoodSoul” (INN 4345369685), kas atbilst šādām prasībām:

1. Organizatoriskie pasākumi:

• Noslēgts līgums ar platformas īpašnieku (SIA “FoodSoul”), kas nosaka tā pienākumus kā operatoram, kas veic apstrādi uzdevuma ietvaros.
• Nodrošināta darbinieku piekļuves tiesību ierobežošana platformas funkcionalitātei, balstoties uz minimālo privilēģiju principu (lomu piekļuves modelis).
• Darbinieku konti ir aizsargāti ar unikālām parolēm.

2. Tehniskie pasākumi:

• Piekļuve platformai un datu nodošana starp lietotāju un sistēmu tiek veikta tikai pa aizsargātiem sakaru kanāliem, izmantojot HTTPS/TLS protokolus (šifrēšana).
• Lietotāju autentifikācija un autorizācija tiek nodrošināta ar pašas platformas līdzekļiem.
• Aizsardzība pret ļaunprātīgu kodu (pretvīrusu aizsardzība) un ugunsmūri (Firewall) ir realizēti platformas īpašnieka infrastruktūras pusē.
• Platformas īpašnieks nodrošina regulāru datu rezerves kopēšanu un fizisko serveru aprīkojuma aizsardzību datu centros Krievijas Federācijas teritorijā.
• Nodrošināta drošības notikumu reģistrācija platformas nodrošinātās funkcionalitātes ietvaros (darbību žurnāli).

3. Pasākumu izpildes kontrole:

• Operators kontrolē platformas īpašnieka līguma nosacījumu ievērošanu attiecībā uz personas datu drošības nodrošināšanu.

11. solis: Dati par personu, kas sagatavojusi paziņojumu

Norādiet vārdu, uzvārdu, amatu un kontaktinformāciju personai, kas nosūta šo paziņojumu Roskomnadzor.

12. solis: Paziņojuma parakstīšana un nosūtīšana

1. variants. Papīra formā

Sagatavotā drukātā paziņojuma forma papīra formā jāparaksta organizācijas vadītājam vai personai, kurai ir tiesības parakstīt dokumentus, jānorāda datums un zīmogs (ja tāds ir), un tas jānosūta teritoriālajai Roskomnadzor pārvaldei pa pastu vai jānogādā personīgi.

2. variants. Elektroniskā formā, izmantojot pastiprinātu kvalificētu elektronisko parakstu

Jūs varat aizpildīt formu un parakstīt to ar elektronisko parakstu. Šajā gadījumā papīra formā iesniegšana nebūs nepieciešama. Jums jābūt uzstādītam spraudnim CryptoPro ECP Browser plug-in un jābūt iestatītai darbībai ar to.

3. variants. Elektroniskā formā, izmantojot ESIA autentifikācijas līdzekļus

Veiciet autentifikāciju portālā Gosuslugi, aizpildiet formu un nosūtiet to elektroniskā formā. Jums jābūt apstiprinātam kontam. Šajā gadījumā papīra kopijas nosūtīšana nebūs nepieciešama. Ja jūs iesniedzat paziņojumu par organizāciju, jūsu kontam jābūt piesaistītam šai organizācijai portālā Gosuslugi.

GATAVS! Pēc veiksmīgas nosūtīšanas jūs tiksiet iekļauts operatoru reģistrā. Saglabājiet paziņojuma numuru un atslēgu.

Pēc veiksmīgas paziņojuma nosūtīšanas Roskomnadzor un iekļaušanas operatoru reģistrā ir jānodrošina korekta ikdienas darbs ar personas datiem. Galvenie praktiskie šīs darba aspekti ir sīkdatņu un analītikas izmantošana, kā arī lietotāju pieprasījumu apstrāde.

Piekrišanas saņemšanas mehānisms, izmantojot ārējās datu vākšanas formas

Daudzi FoodSoul klienti, lai piesaistītu klientus, savās vietnēs izvieto ārējās datu vākšanas formas (logus) — piemēram, atzvanīšanas pasūtījuma formas vai tehniskā atbalsta pieprasījuma formas. Ir svarīgi saprast, ka šādas integrācijas vietnē uzstāda klienti paši.

Lai datu vākšana caur šīm formām būtu likumīga, ir jāizpilda divi nosacījumi:

1. Teksta piekrišana. Tieši zem datu vākšanas formas (loga) jāievieto lietotājam saprotama formulējums par to, ka, nospiežot sūtīšanas pogu, viņš dod piekrišanu savu personas datu apstrādei.

2. Hipersaites uz dokumentiem. Šai formulējumam jāietver aktīvas (klikšķināmas) saites uz diviem dokumentiem:

   • Lietotāja līgums (vai Piedāvājuma līgums), kur aprakstīti pakalpojumu sniegšanas nosacījumi.

   • Konfidencialitātes politika, kur detalizēti aprakstīts, kādi dati tiek vākti, kāpēc un kā tiek apstrādāti.

Ieteicamā formulējums izvietošanai zem formas:

“Nospiežot “Sūtīt”, jūs piekrītat Lietotāja līguma nosacījumiem un dodat piekrišanu personas datu apstrādei saskaņā ar Konfidencialitātes politiku”.

Šis vienkāršais pasākums pasargās jūs no kontrolējošo iestāžu pretenzijām un pierādīs, ka lietotājs rīkojās apzināti un brīvprātīgi.

Kā strādāt ar sīkdatnēm, analītiku un lietotāju pieprasījumiem

Sīkdatnes un analītika

FoodSoul programmatūra izmanto sīkdatnes un skaitītājus (ja piemērojams) šādiem mērķiem:

• pakalpojumu darbības nodrošināšanai;
• funkciju personalizācijai;
• analītikai un statistikai;
• programmatūras kvalitātes uzlabošanai;
• reklāmas personalizācijai.

Šie dati arī ir personas dati, un to apstrāde jāatspoguļo paziņojumā, kā aprakstīts iepriekš. Ir svarīgi atcerēties, ka lietotājs var aizliegt sīkdatņu izmantošanu pārlūkprogrammas iestatījumos, taču atsevišķas pakalpojuma funkcijas var būt nepieejamas.

Lietotāju pieprasījumi

Viena no tiešajām operatora saistībām ir savlaicīgi reaģēt uz personas datu subjektu pieprasījumiem. Lietotājam ir tiesības:

• pieprasīt informāciju par savu datu apstrādi;
• mainīt savus personas datus;
• dzēst datus, nosūtot pieprasījumu uz info@fs.me.

Lai īstenotu savas tiesības, lietotājs var vērsties pie operatora (FoodSoul klienta) vai izmantot personīgā kabineta funkcionalitāti (ja piemērojams). Konta dzēšana vai piekrišanas atsaukšana var novest pie attiecīgo Pakalpojumu turpmākas izmantošanas neiespējamības.

Tajā pašā laikā likumdošana var uzlikt operatoram pienākumu glabāt noteiktus datus noteiktu laiku vai nodot tos valsts iestādēm.

Secinājums

Izmantojot FoodSoul programmatūru, uzņēmums iegūst ērtu un drošu rīku, bet vienlaikus uzņemas personas datu operatora statusu. Izpratne par savām saistībām, korekta datu apstrāde un caurspīdīgi noteikumi mijiedarbībai ar lietotājiem — tas nav formalitāte, bet reāls veids, kā samazināt juridiskos riskus un palielināt klientu uzticību.

Jūs joprojām neesat reģistrā? Iesniedziet paziņojumu ar mūsu ceļvedi — tas ir vienkāršāk, nekā šķiet!
FoodSoul ir ar jums katrā solī.

Ar cieņu,

FoodSoul komanda