O uso de serviços digitais e software está inevitavelmente ligado ao processamento de dados pessoais. Ao trabalhar com o software FoodSoul, muitos clientes e parceiros nem sequer consideram que, do ponto de vista legal, já estão desempenhando o papel de operador de dados pessoais e têm certas obrigações.

Neste artigo, vamos discutir:

• quem é o operador de dados pessoais;

• quais são as obrigações dos clientes da FoodSoul;

• quais dados são processados no âmbito do uso do software FoodSoul;

• o que é o Roskomnadzor e quais funções ele desempenha;

• se é necessário notificar o Roskomnadzor e como fazê-lo;

• como obter corretamente o consentimento do usuário se você usar um formulário externo de coleta de dados em seu site;

• como lidar com cookies, análises e solicitações de usuários.

Quem é o operador de dados pessoais

O operador de dados pessoais é qualquer pessoa física ou jurídica que:

• coleta dados pessoais;
• armazena, usa, transfere ou exclui esses dados;
• determina de forma independente os objetivos e métodos de processamento.

Em termos simples, se você decide por que e para que precisa dos dados do usuário, você é um operador.

Os clientes da FoodSoul tornam-se operadores de dados pessoais se eles:

• registram usuários ou funcionários;
• trabalham com bases de dados de clientes;
• recebem pedidos, solicitações, consultas;
• usam contas pessoais e outras funções do software FoodSoul.

Não importa onde os dados são tecnicamente armazenados: a responsabilidade do operador permanece.

Quais são as obrigações dos clientes da FoodSoul

Como operador de dados pessoais, o cliente da FoodSoul tem as seguintes obrigações principais:

• processar dados pessoais legalmente e para fins específicos;
• obter o consentimento do usuário para o processamento de dados (se necessário);
• informar o usuário sobre quais dados são processados e por quê;
• garantir a confidencialidade e segurança dos dados;
• responder a solicitações de usuários (alteração, exclusão de dados);
• cumprir os requisitos da legislação da Federação Russa sobre dados pessoais.

A presença de uma plataforma de TI não isenta o negócio dessas obrigações. A FoodSoul fornece a parte técnica, mas a responsabilidade legal pela legalidade do processamento permanece com o parceiro da FoodSoul.

Quais dados são processados no âmbito do software FoodSoul

1. Dados fornecidos pelo usuário

Estas são informações que o usuário fornece por conta própria. Incluem:

• Ao registrar ou criar uma conta: nome, gênero, data de nascimento, telefone de contato, endereço de e-mail, foto;
• Ao fazer e executar um pedido: nome, e-mail, dados do cartão de pagamento, outras informações de pagamento, endereço de entrega, telefone de contato;
• Ao fornecer feedback, reclamações, participar de promoções e programas de fidelidade: sobrenome, nome, patronímico, dados de contato, informações textuais e conteúdo de mídia;
• Ao contatar o suporte técnico: dados da conta, parâmetros técnicos do dispositivo e software.

2. Dados transmitidos automaticamente

Ao usar o software FoodSoul, podem ser processados automaticamente:

• Dados técnicos: endereço IP, cabeçalhos HTTP, dados de cookies, web beacons/pixel tags, informações sobre o navegador e sistema operacional, identificador do dispositivo móvel, informações sobre hardware e software;
• Dados de uso: data e hora de acesso aos Sites e/ou Serviços, histórico de pedidos e ações;
• Dados de geolocalização (se aplicável e com o consentimento do usuário).

A FoodSoul processa apenas as informações necessárias para o funcionamento do software e melhoria dos serviços.

O que é o Roskomnadzor e quais funções ele desempenha

O Roskomnadzor é um órgão governamental que supervisiona o cumprimento da legislação sobre dados pessoais.

Ele:

• mantém um registro de operadores de dados pessoais;
• supervisiona o cumprimento dos requisitos legais;
• analisa reclamações de usuários;
• realiza inspeções planejadas e não planejadas;
• emite ordens para corrigir violações;
• responsabiliza administrativamente os operadores.

Em termos simples, o Roskomnadzor garante que as empresas trabalhem corretamente e legalmente com dados pessoais.

É necessário notificar o Roskomnadzor

Na maioria dos casos, os clientes da FoodSoul devem notificar o Roskomnadzor sobre o início do processamento de dados pessoais. A notificação deve ser enviada antes do início do processamento ou, se o processamento já estiver em andamento, o mais rápido possível.

Abaixo está um guia prático passo a passo para preencher o formulário eletrônico no site pd.rkn.gov.ru, com exemplos baseados na sua Política de Privacidade.

Guia “Como preencher a notificação de início de processamento de dados pessoais”

Passo 1: Informações gerais sobre o operador

• Região de registro / Tipo de operador / Nome / Endereço / INN, OGRN: Os dados devem ser indicados estritamente de acordo com o EGRUL/EGRIP. Verifique a atualidade das informações no site da FNS.
• Telefone / Endereço de e-mail: Indique os dados de contato pelos quais o Roskomnadzor poderá entrar em contato com você.
• Região de processamento: Indique as regiões onde sua empresa realmente opera e processa dados (por exemplo, sede, filiais). Se a atividade for realizada em toda a Rússia, você pode indicar “Federação Russa”.

Passo 2: Objetivos do processamento de dados pessoais

Este é o bloco mais importante. É necessário descrever detalhadamente cada objetivo. Use a seção 5 da sua Política de Privacidade.

Exemplo de preenchimento para o objetivo “Realização e execução de pedidos, controle de status, entrega” (com base nos itens 5.2 e 5.3 da Política):

• Objetivo do processamento: Realização, execução, controle de status e entrega de pedidos de bens/serviços do usuário, interação com o usuário sobre questões do pedido.
• Categorias de dados pessoais: sobrenome, nome, patronímico; número de telefone; endereço de e-mail; endereço de entrega; dados do cartão de pagamento/outras informações de pagamento; detalhes do pedido.
• Categorias de sujeitos: Usuários que fazem pedidos e solicitam entrega.
• Base legal para o processamento: Consentimento do sujeito dos dados pessoais (art. 6 da Lei “Sobre dados pessoais”); contrato (Acordo de Usuário).
• Lista de ações: Coleta, registro, sistematização, acumulação, armazenamento, atualização (atualização, alteração), extração, uso, transferência (incluindo delegação de processamento), anonimização, bloqueio, exclusão, destruição.
• Métodos de processamento: Processamento automatizado.

Preencha de forma semelhante outros objetivos da Política, por exemplo:

• Registro de conta (item 5.1).
• Comunicações de marketing (item 5.4).
• Feedback e suporte (itens 5.5, 5.7).
• Realização de promoções e programas de fidelidade (item 5.6).
• Melhoria dos serviços, análise, segurança (itens 5.9, 5.10, 5.11).

Passo 3: Métodos de processamento

Escolha nas abas: “Automatizado”, “Com transferência pela rede interna da pessoa jurídica”, “Com transferência pela rede Internet”.

Passo 4: Medidas de proteção de dados pessoais (art. 18.1 e 19 da Lei-152)

Descreva medidas organizacionais e técnicas específicas. Você pode usar como base a seção 7 da sua Política.

Exemplo de preenchimento:

1. Foram nomeados responsáveis pela organização do processamento e pela garantia da segurança dos dados pessoais.

2. Foi desenvolvida e aprovada uma Política em relação ao processamento de dados pessoais.

3. Os funcionários que realizam o processamento estão familiarizados com as disposições da legislação da Federação Russa sobre dados pessoais e atos locais.

4. É realizado o gerenciamento de acesso aos sistemas de informação (contas, senhas).

5. São aplicados meios técnicos de proteção: firewalls, software antivírus, meios de detecção de intrusões.

6. É garantido o backup de informações.

7. É realizado o registro e a contabilização das ações dos usuários nos sistemas de informação.

8. Na transferência de dados pela rede Internet, é utilizado um canal seguro (protocolo HTTPS/TLS).

Passo 5: Uso de meios criptográficos

Indicar se são usados / não são usados.

Se usados, indicar a classe do SZI e o nome, fabricantes, números de série dos meios de criptografia.

Por exemplo:

• Classe do SZI: KS2; KS3.
• Nome, fabricantes, números de série dos meios de criptografia: SZI CryptoPro CSP, PAK “AK-servidor”, VipNet CSP.

Passo 6: Datas e condições

• Data de início do processamento: Indique a data em que você realmente começou a trabalhar com dados pessoais dos clientes (pode coincidir com a data de registro da empresa).
• Prazo ou condição de término do processamento: Escolha na aba: “Condição de término”. Em seguida, indique:  “Liquidação ou reorganização da pessoa jurídica”.

Passo 7: Transferência transfronteiriça

Se você não transfere dados para fora da Rússia, indique “Não realizada”.

Passo 8: Informações sobre a localização do banco de dados

Este é um ponto crítico para os clientes da FoodSoul. A LLC “FoodSoul” hospeda a infraestrutura tecnológica da plataforma (equipamento de servidor) no território da Federação Russa em um centro de processamento de dados terceirizado (CPD). Além disso, se você usar seu próprio CPD, adicione informações e preencha o Banco de Dados nº 2 com informações sobre seu próprio CPD.

Exemplo de preenchimento de informações sobre o local de armazenamento de dados:

• País: Rússia
• Endereço do CPD: 123060, Moscou, Rua Berzarina, 36, edifício 3
• CPD próprio: não

Informações sobre a organização responsável pelo armazenamento de dados:

• Tipo de organização: pessoa jurídica

• Forma organizacional e jurídica: SA

• Nome da organização: Sociedade Anônima "Selectel"

• OGRN: 1247800067790

• INN: 7810962785

• País de localização: Rússia

• Endereço de localização: 196006, São Petersburgo, Rua Tsvetochnaya, 21, lit. A (de acordo com o EGRUL)

* Se você também usar seu próprio CPD — adicione o Banco nº 2 e insira os dados da sua organização de acordo com o EGRUL.

Passo 9: Informações sobre pessoas que têm acesso e/ou realizam, com base em contrato, o processamento de dados pessoais contidos em sistemas de informação estatais e municipais.

Aqui são indicadas as terceiras partes a quem o operador transfere dados, que têm acesso ao SI, ou que processam dados por contrato (art. 6 da Lei 152-FZ). É necessário listar os nomes/nomes, INN, endereço e objetivo do processamento. Isso inclui empresas de TI que atendem GIS/MIS, operadores de telecomunicações, contratados, provedores de nuvem a quem são transferidos dados pessoais.

Se você não tiver tais sistemas, é necessário excluir o conjunto de campos usando o botão “Excluir” abaixo da lista de campos com os detalhes de contato.

Passo 10: Informações sobre a garantia de segurança dos dados pessoais

Aqui é indicado o conjunto de medidas implementadas por você para cumprir os requisitos estabelecidos pelo decreto do Governo da Federação Russa de 01.11.2012 nº 1119 “Sobre a aprovação dos requisitos para a proteção de dados pessoais durante seu processamento em sistemas de informação de dados pessoais”. Nesta seção, você pode indicar:

O operador garante o cumprimento dos requisitos de proteção de dados usando a plataforma em nuvem fornecida pela LLC “FoodSoul” (INN 4345369685), que atende aos seguintes requisitos:

1. Medidas organizacionais:

• Foi celebrado um contrato com o proprietário da plataforma (LLC “FoodSoul”), que define suas obrigações como operador que realiza o processamento por contrato.
• É garantida a delimitação dos direitos de acesso dos funcionários do Operador à funcionalidade da plataforma com base no princípio de privilégios mínimos (modelo de acesso baseado em funções).
• As contas dos funcionários são protegidas por senhas únicas.

2. Medidas técnicas:

• O acesso à plataforma e a transferência de dados entre o usuário e o sistema são realizados exclusivamente por canais de comunicação seguros usando protocolos HTTPS/TLS (criptografia).
• A autenticação e autorização dos usuários são garantidas pelos meios da própria plataforma.
• Proteção contra código malicioso (proteção antivírus) e firewalls (Firewall) são implementados no lado da infraestrutura do proprietário da plataforma.
• O proprietário da plataforma garante backup regular dos dados e proteção física do equipamento do servidor nos data centers no território da Rússia.
• É garantido o registro de eventos de segurança no âmbito da funcionalidade fornecida pela plataforma (logs de ações).

3. Controle da implementação das medidas:

• O operador controla o cumprimento pelo proprietário da plataforma das condições do contrato em termos de garantia da segurança dos dados pessoais.

Passo 11: Dados da pessoa que preencheu a notificação

Indique o nome completo, cargo e informações de contato da pessoa que envia esta notificação ao Roskomnadzor.

Passo 12: Assinatura e envio da notificação

Opção 1. Em papel

A forma impressa da Notificação em papel deve ser assinada pelo diretor da organização ou pela pessoa com direito de assinar documentos, com data e carimbo (se houver), e enviada ao Departamento Territorial do Roskomnadzor por correio ou entregue pessoalmente.

Opção 2. Em formato eletrônico com uso de assinatura eletrônica qualificada avançada

Você pode preencher o formulário e assiná-lo com uma assinatura eletrônica. Nesse caso, não será necessário enviar em papel. Você deve ter o plugin CryptoPro ECP Browser plug-in instalado e configurado para trabalhar com ele.

Opção 3. Em formato eletrônico com uso de meios de autenticação ESIA

Autentique-se no portal de Serviços do Governo, preencha o formulário e envie-o eletronicamente. Você deve ter uma conta verificada. O envio de uma cópia em papel não será necessário neste caso. Se você estiver enviando a notificação em nome de uma organização, sua conta deve estar vinculada a essa organização no portal de Serviços do Governo.

PRONTO! Após o envio bem-sucedido, você será incluído no registro de operadores. Guarde o número e a chave da notificação.

Após o envio bem-sucedido da notificação ao Roskomnadzor e a inclusão no registro de operadores, é necessário garantir o trabalho diário correto com dados pessoais. Os principais aspectos práticos desse trabalho são o uso de cookies e análises, bem como o processamento de solicitações dos próprios usuários.

Mecanismo de obtenção de consentimento ao usar formulários externos de coleta de dados

Muitos clientes da FoodSoul, para atrair clientes, colocam em seus sites formulários externos de coleta de dados (widgets) — por exemplo, formulários de pedido de retorno de chamada ou para contato com o suporte técnico. É importante entender que essas integrações no site são instaladas pelos próprios clientes.

Para que a coleta de dados por meio desses formulários seja legal, é necessário cumprir duas condições:

1. Consentimento textual. Diretamente abaixo do formulário (widget) de coleta de dados, deve-se colocar uma formulação compreensível para o usuário de que, ao clicar no botão de envio, ele dá consentimento para o processamento de seus dados pessoais.

2. Links para documentos. Esta formulação deve conter links ativos (clicáveis) para dois documentos:

   • Acordo de Usuário (ou Contrato de Oferta), onde são descritas as condições de prestação de serviços.

   • Política de Privacidade, onde é detalhado quais dados são coletados, por que e como são processados.

Formulação recomendada para colocação abaixo do formulário:

“Ao clicar em “Enviar”, você aceita os termos do Acordo de Usuário e dá consentimento para o processamento de dados pessoais de acordo com a Política de Privacidade”.

Esta medida simples protegerá você de reclamações de órgãos de controle e provará que o usuário agiu de forma consciente e voluntária.

Como lidar com cookies, análises e solicitações de usuários

Cookies e análises

O software FoodSoul usa cookies e contadores (se aplicável) para:

• garantir a funcionalidade dos serviços;
• personalizar funções;
• análise e estatísticas;
• melhorar a qualidade do software;
• personalizar publicidade.

Esses dados também são pessoais, e seu processamento deve ser refletido na notificação, conforme descrito acima. É importante lembrar que o usuário pode proibir o uso de cookies nas configurações do navegador, mas algumas funções do serviço podem não estar disponíveis.

Soluções de usuários

Uma das obrigações diretas do operador é responder prontamente às solicitações dos sujeitos dos dados pessoais. O usuário tem o direito de:

• solicitar informações sobre o processamento de seus dados;
• alterar seus dados pessoais;
• excluir dados, enviando uma solicitação para info@fs.me.

Para exercer seus direitos, o usuário pode entrar em contato com o operador (cliente da FoodSoul) ou usar a funcionalidade da conta pessoal (onde aplicável). A exclusão da conta ou a retirada do consentimento pode levar à impossibilidade de continuar usando os Serviços correspondentes.

No entanto, a legislação pode obrigar o operador a armazenar determinados dados por um período estabelecido ou a transmiti-los a órgãos governamentais.

Conclusão

Ao usar o software FoodSoul, as empresas obtêm uma ferramenta conveniente e segura, mas, ao mesmo tempo, assumem o status de operador de dados pessoais. Compreender suas obrigações, trabalhar corretamente com dados e ter regras transparentes de interação com os usuários não é uma formalidade, mas uma maneira real de reduzir riscos legais e aumentar a confiança dos clientes.

Ainda não está no registro? Envie a notificação com nosso guia — é mais fácil do que parece!
A FoodSoul está com você em cada passo.

Atenciosamente,

Equipe FoodSoul