Korzystanie z usług cyfrowych i oprogramowania nieuchronnie wiąże się z przetwarzaniem danych osobowych. Podczas pracy z oprogramowaniem FoodSoul wielu klientów i partnerów nawet nie zdaje sobie sprawy, że z punktu widzenia prawa pełnią już rolę operatora danych osobowych i mają określone obowiązki.

W tym artykule omówimy:

• kim jest operator danych osobowych;

• jakie obowiązki mają klienci FoodSoul;

• jakie dane są przetwarzane w ramach korzystania z oprogramowania FoodSoul;

• czym jest Roskomnadzor i jakie funkcje pełni;

• czy trzeba powiadamiać Roskomnadzor i w jaki sposób;

• jak prawidłowo uzyskać zgodę użytkownika, jeśli używasz zewnętrznego formularza zbierania danych na swojej stronie;

• jak pracować z plikami cookie, analizą i zapytaniami użytkowników.

Kim jest operator danych osobowych

Operator danych osobowych to każda osoba fizyczna lub prawna, która:

• zbiera dane osobowe;
• przechowuje, używa, przekazuje lub usuwa je;
• samodzielnie określa cele i sposoby przetwarzania.

Prościej mówiąc, jeśli decydujesz, dlaczego i w jakim celu potrzebujesz danych użytkownika, jesteś operatorem.

Klienci FoodSoul stają się operatorami danych osobowych, jeśli:

• rejestrują użytkowników lub pracowników;
• pracują z bazami klientów;
• przyjmują zamówienia, zgłoszenia, zapytania;
• korzystają z kont osobistych i innych funkcji oprogramowania FoodSoul.

Nie ma znaczenia, gdzie technicznie przechowywane są dane: odpowiedzialność operatora pozostaje.

Jakie obowiązki mają klienci FoodSoul

Jako operator danych osobowych, klient FoodSoul ma następujące kluczowe obowiązki:

• przetwarzać dane osobowe zgodnie z prawem i w określonych celach;
• uzyskać zgodę użytkownika na przetwarzanie danych (jeśli jest wymagana);
• informować użytkownika o tym, jakie dane i dlaczego są przetwarzane;
• zapewniać poufność i bezpieczeństwo danych;
• reagować na zapytania użytkowników (zmiana, usunięcie danych);
• przestrzegać wymagań prawa rosyjskiego dotyczącego danych osobowych.

Posiadanie platformy IT nie zwalnia biznesu z tych obowiązków. FoodSoul zapewnia część techniczną, a odpowiedzialność prawna za legalność przetwarzania pozostaje po stronie partnera FoodSoul.

Jakie dane są przetwarzane w ramach oprogramowania FoodSoul

1. Dane dostarczane przez użytkownika

To informacje, które użytkownik podaje samodzielnie. Należą do nich:

• Podczas rejestracji lub tworzenia konta: imię, płeć, data urodzenia, numer telefonu kontaktowego, adres e-mail, zdjęcie;
• Podczas składania i realizacji zamówienia: imię, e-mail, dane kart płatniczych, inne informacje płatnicze, adres dostawy, numer telefonu kontaktowego;
• Podczas kontaktu zwrotnego, reklamacji, udziału w akcjach i programach lojalnościowych: nazwisko, imię, drugie imię, dane kontaktowe, informacje tekstowe i treści multimedialne;
• Podczas kontaktu z działem wsparcia: dane konta, parametry techniczne urządzenia i oprogramowania.

2. Dane przekazywane automatycznie

Podczas korzystania z oprogramowania FoodSoul automatycznie mogą być przetwarzane:

• Dane techniczne: adres IP, nagłówki HTTP, dane plików cookie, sygnały nawigacyjne/pikselowe tagi, informacje o przeglądarce i systemie operacyjnym, identyfikator urządzenia mobilnego, informacje o sprzęcie i oprogramowaniu;
• Dane o użytkowaniu: data i czas dostępu do Stron i/lub Usług, historia zamówień i działań;
• Dane o geolokalizacji (jeśli dotyczy i za zgodą użytkownika).

FoodSoul przetwarza tylko te informacje, które są niezbędne do działania oprogramowania i poprawy usług.

Czym jest Roskomnadzor i jakie funkcje pełni

Roskomnadzor to organ państwowy, który kontroluje przestrzeganie przepisów dotyczących danych osobowych.

On:

• prowadzi rejestr operatorów danych osobowych;
• kontroluje przestrzeganie wymagań prawa;
• rozpatruje skargi użytkowników;
• przeprowadza planowe i nieplanowe kontrole;
• wydaje nakazy usunięcia naruszeń;
• pociąga operatorów do odpowiedzialności administracyjnej.

Prościej mówiąc, Roskomnadzor dba o to, aby biznes prawidłowo i zgodnie z prawem pracował z danymi osobowymi.

Czy trzeba powiadamiać Roskomnadzor

W większości przypadków klienci FoodSoul są zobowiązani powiadomić Roskomnadzor o rozpoczęciu przetwarzania danych osobowych. Powiadomienie składa się przed rozpoczęciem przetwarzania lub, jeśli przetwarzanie już trwa, — jak najszybciej.

Poniżej znajduje się praktyczny przewodnik krok po kroku dotyczący wypełniania formularza elektronicznego na stronie pd.rkn.gov.ru, z przykładami opartymi na Twojej Polityce prywatności.

Przewodnik “Jak wypełnić powiadomienie o rozpoczęciu przetwarzania danych osobowych”

Krok 1: Ogólne informacje o operatorze

• Region rejestracji / Typ operatora / Nazwa / Adres / NIP, REGON: Dane należy podać ściśle zgodnie z KRS/CEIDG. Sprawdź aktualność informacji na stronie KAS.
• Telefon / Adres e-mail: Podaj dane kontaktowe, pod którymi Roskomnadzor będzie mógł się z Tobą skontaktować.
• Region przetwarzania: Podaj regiony, w których faktycznie działa Twoja firma i przetwarzane są dane (np. główna siedziba, oddziały). Jeśli działalność prowadzona jest na terenie całej Polski, można podać “Rzeczpospolita Polska”.

Krok 2: Cele przetwarzania danych osobowych

To najważniejszy blok. Należy szczegółowo opisać każdy cel. Skorzystaj z rozdziału 5 Twojej Polityki prywatności.

Przykład wypełnienia dla celu “Składanie i realizacja zamówień, kontrola statusu, dostawa” (na podstawie pkt 5.2 i 5.3 Polityki):

• Cel przetwarzania: Składanie, realizacja, kontrola statusu i dostawa zamówień towarów/usług użytkownika, kontakt z użytkownikiem w sprawach zamówienia.
• Kategorie danych osobowych: nazwisko, imię, drugie imię; numer telefonu; adres e-mail; adres dostawy; dane kart płatniczych/inne informacje płatnicze; szczegóły zamówienia.
• Kategorie podmiotów: Użytkownicy składający zamówienia i zamawiający dostawę.
• Podstawa prawna przetwarzania: Zgoda podmiotu danych osobowych (art. 6 Ustawy o danych osobowych); umowa (Regulamin użytkownika).
• Wykaz działań: Zbieranie, rejestrowanie, systematyzowanie, gromadzenie, przechowywanie, aktualizowanie (zmiana), wydobywanie, używanie, przekazywanie (w tym zlecanie przetwarzania), anonimizowanie, blokowanie, usuwanie, niszczenie.
• Sposoby przetwarzania: Przetwarzanie zautomatyzowane.

Podobnie wypełnij inne cele z Polityki, na przykład:

• Rejestracja konta (pkt 5.1).
• Komunikacja marketingowa (pkt 5.4).
• Kontakt zwrotny i wsparcie (pkt 5.5, 5.7).
• Przeprowadzanie akcji i programów lojalnościowych (pkt 5.6).
• Poprawa działania usług, analiza, bezpieczeństwo (pkt 5.9, 5.10, 5.11).

Krok 3: Sposoby przetwarzania

Wybierasz w zakładkach: “Zautomatyzowane”, “Z przekazaniem w sieci wewnętrznej osoby prawnej”, “Z przekazaniem w sieci Internet”.

Krok 4: Środki ochrony danych osobowych (art. 18.1 i 19 Ustawy-152)

Opisz konkretne środki organizacyjne i techniczne. Można oprzeć się na rozdziale 7 Twojej Polityki.

Przykład wypełnienia:

1. Wyznaczeni są odpowiedzialni za organizację przetwarzania i zapewnienie bezpieczeństwa danych osobowych.

2. Opracowano i zatwierdzono Politykę w zakresie przetwarzania danych osobowych.

3. Pracownicy przetwarzający dane są zaznajomieni z przepisami prawa rosyjskiego dotyczącymi danych osobowych i aktami wewnętrznymi.

4. Realizowane jest zarządzanie dostępem do systemów informatycznych (konta, hasła).

5. Stosowane są techniczne środki ochrony: zapory sieciowe (firewall), oprogramowanie antywirusowe, środki wykrywania włamań.

6. Zapewniane jest tworzenie kopii zapasowych informacji.

7. Realizowane jest protokołowanie i rejestrowanie działań użytkowników w systemach informatycznych.

8. Podczas przesyłania danych przez sieć Internet używane jest bezpieczne połączenie (protokół HTTPS/TLS).

Krok 5: Wykorzystanie środków szyfrowania (kryptograficznych)

Wskazać używane / nie używane.

Jeśli używane, to wskazać klasę SKZI i nazwę, producentów, numery seryjne środków szyfrowania.

Na przykład:

• Klasa SKZI: KS2; KS3.
• Nazwa, producenci, numery seryjne środków szyfrowania: SKZI CryptoPro CSP, PAK “AK-serwer”, VipNet CSP.

Krok 6: Daty i warunki

• Data rozpoczęcia przetwarzania: Podaj datę, kiedy faktycznie rozpocząłeś pracę z danymi osobowymi klientów (może pokrywać się z datą rejestracji firmy).
• Termin lub warunek zakończenia przetwarzania: Wybierasz w zakładce: “Warunek zakończenia”. Następnie podajesz:  “Likwidacja lub reorganizacja osoby prawnej”.

Krok 7: Przekazywanie transgraniczne

Jeśli nie przekazujesz danych poza granice Polski, podaj “Nie realizowane”.

Krok 8: Informacje o lokalizacji bazy danych

To krytycznie ważny punkt dla klientów FoodSoul. Spółka z o.o. „FoodSoul” umieszcza infrastrukturę technologiczną platformy (sprzęt serwerowy) na terytorium Federacji Rosyjskiej w centrum przetwarzania danych (CPD) na zasadzie outsourcingu. Jeśli dodatkowo używasz własnego CPD, dodaj informacje i wypełnij Bazę danych nr 2 z informacjami o swoim własnym CPD.

Przykład wypełnienia informacji o miejscu przechowywania danych:

• Kraj: Rosja
• Adres CPD: 123060, Moskwa, ul. Berzarina, d. 36, str. 3
• Własny CPD: nie

Informacje o organizacji odpowiedzialnej za przechowywanie danych:

• Typ organizacji: osoba prawna

• Forma organizacyjno-prawna: SA

• Nazwa organizacji: Spółka Akcyjna "Selectel"

• REGON: 1247800067790

• NIP: 7810962785

• Kraj lokalizacji: Rosja

• Adres lokalizacji: 196006, Sankt Petersburg, ul. Cwietocznaja, d. 21, lit. A (zgodnie z KRS)

* Jeśli używasz również własnego CPD — dodaj Bazę nr 2 i wprowadź dane swojej organizacji zgodnie z KRS.

Krok 9: Informacje o osobach mających dostęp i/lub przetwarzających na podstawie umowy dane osobowe zawarte w systemach informacyjnych państwowych i samorządowych.

Tutaj podaje się osoby trzecie, którym operator przekazuje dane, mające dostęp do systemów informacyjnych, lub które przetwarzają dane na podstawie umowy (art. 6 Ustawy-152). Należy wymienić nazwy/FIO, NIP, adres i cel przetwarzania. Należą do nich firmy IT obsługujące GIS/MIS, operatorzy telekomunikacyjni, kontrahenci, dostawcy chmury, którym przekazywane są dane osobowe.

Jeśli nie masz takich systemów, należy usunąć zestaw pól za pomocą przycisku “Usuń” pod listą pól z danymi kontaktowymi.

Krok 10: Informacje o zapewnieniu bezpieczeństwa danych osobowych

Tutaj podaje się wykaz środków realizowanych przez Ciebie w celu spełnienia wymagań określonych w rozporządzeniu Rządu Federacji Rosyjskiej z 01.11.2012 nr 1119 “O zatwierdzeniu wymagań dotyczących ochrony danych osobowych podczas ich przetwarzania w systemach informacyjnych danych osobowych”. W tym rozdziale można podać:

Operator zapewnia spełnienie wymagań dotyczących ochrony danych poprzez korzystanie z platformy chmurowej dostarczonej przez Spółkę z o.o. “FoodSoul” (NIP 4345369685), która spełnia następujące wymagania:

1. Środki organizacyjne:

• Zawarto umowę z właścicielem platformy (Spółka z o.o. “FoodSoul”), określającą jego obowiązki jako operatora przetwarzającego na zlecenie.
• Zapewniane jest rozgraniczenie praw dostępu pracowników Operatora do funkcjonalności platformy na podstawie zasady minimalnych przywilejów (model dostępu opartego na rolach).
• Konta pracowników są chronione unikalnymi hasłami.

2. Środki techniczne:

• Dostęp do platformy i przesyłanie danych między użytkownikiem a systemem odbywa się wyłącznie za pośrednictwem zabezpieczonych kanałów komunikacji z użyciem protokołów HTTPS/TLS (szyfrowanie).
• Uwierzytelnianie i autoryzacja użytkowników zapewniane są przez same środki platformy.
• Ochrona przed złośliwym oprogramowaniem (ochrona antywirusowa) i zapory sieciowe (Firewall) są realizowane po stronie infrastruktury właściciela platformy.
• Właściciel platformy zapewnia regularne tworzenie kopii zapasowych danych i fizyczną ochronę sprzętu serwerowego w centrach danych na terenie Federacji Rosyjskiej.
• Zapewniane jest rejestrowanie zdarzeń bezpieczeństwa w ramach funkcjonalności dostarczanej przez platformę (logi działań).

3. Kontrola realizacji środków:

• Operator kontroluje przestrzeganie przez właściciela platformy warunków umowy w zakresie zapewnienia bezpieczeństwa danych osobowych.

Krok 11: Dane osoby, która sporządziła powiadomienie

Podaj imię i nazwisko, stanowisko oraz dane kontaktowe osoby, która wysyła to powiadomienie do Roskomnadzoru.

Krok 12: Podpisanie i wysłanie powiadomienia

Wariant 1. W formie papierowej

Wydrukowana forma powiadomienia w formie papierowej musi być podpisana przez kierownika organizacji lub osobę uprawnioną do podpisywania dokumentów, opatrzona datą i pieczęcią (jeśli jest), wysyłana do terytorialnego Urzędu Roskomnadzoru przesyłką pocztową lub dostarczana osobiście.

Wariant 2. W formie elektronicznej z użyciem kwalifikowanego podpisu elektronicznego

Możesz wypełnić formularz i podpisać go podpisem elektronicznym. W takim przypadku nie będzie wymagane składanie w formie papierowej. Musisz mieć zainstalowaną wtyczkę CryptoPro ECP Browser plug-in i skonfigurowaną pracę z nią.

Wariant 3. W formie elektronicznej z użyciem środków uwierzytelniania ESIA

Przejdź uwierzytelnienie na portalu usług publicznych, wypełnij formularz i wyślij go w formie elektronicznej. Musisz mieć potwierdzone konto. Wysłanie kopii w formie papierowej w tym przypadku nie będzie wymagane. Jeśli składasz powiadomienie w imieniu organizacji, Twoje konto musi być powiązane z tą organizacją na portalu usług publicznych.

GOTOWE! Po pomyślnym wysłaniu zostaniesz wpisany do rejestru operatorów. Zachowaj numer i klucz powiadomienia.

Po pomyślnym wysłaniu powiadomienia do Roskomnadzoru i wpisaniu do rejestru operatorów należy zapewnić prawidłową codzienną pracę z danymi osobowymi. Kluczowymi praktycznymi aspektami tej pracy są korzystanie z plików cookie i analizy, a także przetwarzanie zapytań od samych użytkowników.

Mechanizm uzyskiwania zgody przy korzystaniu z zewnętrznych formularzy zbierania danych

Wielu klientów FoodSoul w celu przyciągnięcia klientów umieszcza na swoich stronach zewnętrzne formularze zbierania danych (widżety) — na przykład formularze zamówienia oddzwonienia lub kontaktu z działem wsparcia technicznego. Ważne jest, aby zrozumieć, że takie integracje na stronę są instalowane przez klientów samodzielnie.

Aby zbieranie danych za pośrednictwem tych formularzy było legalne, należy spełnić dwa warunki:

1. Zgoda tekstowa. Bezpośrednio pod formularzem (widżetem) zbierania danych należy umieścić zrozumiałą dla użytkownika formułę, że klikając przycisk wysyłania, wyraża zgodę na przetwarzanie jego danych osobowych.

2. Hiperłącza do dokumentów. Ta formuła powinna zawierać aktywne (klikalne) linki do dwóch dokumentów:

   • Regulamin użytkownika (lub Umowa oferty), gdzie opisane są warunki świadczenia usług.

   • Politykę prywatności, gdzie szczegółowo opisano, jakie dane są zbierane, dlaczego i jak są przetwarzane.

Zalecana formuła do umieszczenia pod formularzem:

“Klikając “Wyślij”, akceptujesz warunki Regulaminu użytkownika i wyrażasz zgodę na przetwarzanie danych osobowych zgodnie z Polityką prywatności”.

Ten prosty środek ochroni Cię przed roszczeniami ze strony organów kontrolnych i udowodni, że użytkownik działał świadomie i dobrowolnie.

Jak pracować z plikami cookie, analizą i zapytaniami użytkowników

Cookie i analiza

Oprogramowanie FoodSoul wykorzystuje pliki cookie i liczniki (jeśli dotyczy) do:

• zapewnienia funkcjonalności usług;
• personalizacji funkcji;
• analizy i statystyki;
• poprawy jakości oprogramowania;
• personalizacji reklam.

Te dane również są danymi osobowymi i ich przetwarzanie powinno być odzwierciedlone w powiadomieniu, jak opisano powyżej. Ważne jest, aby pamiętać, że użytkownik może zabronić używania plików cookie w ustawieniach przeglądarki, przy czym niektóre funkcje usługi mogą być niedostępne.

Zapytania użytkowników

Jednym z bezpośrednich obowiązków operatora jest terminowe reagowanie na zapytania podmiotów danych osobowych. Użytkownik ma prawo:

• żądać informacji o przetwarzaniu swoich danych;
• zmieniać swoje dane osobowe;
• usuwać dane, wysyłając zapytanie na info@fs.me.

Aby zrealizować swoje prawa, użytkownik może skontaktować się z operatorem (klientem FoodSoul) lub skorzystać z funkcjonalności konta osobistego (gdzie dotyczy). Usunięcie konta lub wycofanie zgody może prowadzić do niemożności dalszego korzystania z odpowiednich Usług.

Jednocześnie prawo może zobowiązywać operatora do przechowywania określonych danych przez określony czas lub przekazywania ich organom państwowym.

Podsumowanie

Korzystając z oprogramowania FoodSoul, biznes zyskuje wygodne i bezpieczne narzędzie, ale jednocześnie przyjmuje na siebie status operatora danych osobowych. Zrozumienie swoich obowiązków, prawidłowa praca z danymi i przejrzyste zasady współpracy z użytkownikami to nie formalność, a realny sposób na zmniejszenie ryzyka prawnego i zwiększenie zaufania klientów.

Wciąż nie jesteś w rejestrze? Złóż powiadomienie z naszym przewodnikiem — to prostsze, niż się wydaje!
FoodSoul jest z Tobą na każdym kroku.

Z poważaniem,

Zespół FoodSoul