Utilizarea serviciilor digitale și a software-ului este inevitabil legată de prelucrarea datelor personale. În lucrul cu software-ul FoodSoul, mulți clienți și parteneri nici măcar nu se gândesc că, din punct de vedere legal, ei deja îndeplinesc rolul de operator de date personale și au anumite obligații.

În acest articol vom analiza:

• cine este operatorul de date personale;

• ce obligații au clienții FoodSoul;

• ce date sunt prelucrate în cadrul utilizării software-ului FoodSoul;

• ce este Roskomnadzor și ce funcții îndeplinește;

• este necesar să notificați Roskomnadzor și cum să faceți acest lucru;

• cum să obțineți corect consimțământul utilizatorului dacă folosiți un formular extern de colectare a datelor pe site-ul dvs.;

• cum să lucrați cu cookie-uri, analitică și cererile utilizatorilor.

Cine este operatorul de date personale

Operatorul de date personale este orice persoană fizică sau juridică care:

• colectează date personale;
• stochează, utilizează, transmite sau șterge aceste date;
• determină în mod independent scopurile și metodele de prelucrare.

Mai simplu spus, dacă decideți de ce și pentru ce aveți nevoie de datele utilizatorului, sunteți un operator.

Clienții FoodSoul devin operatori de date personale dacă ei:

• înregistrează utilizatori sau angajați;
• lucrează cu baze de date ale clienților;
• acceptă comenzi, cereri, solicitări;
• utilizează conturi personale și alte funcții ale software-ului FoodSoul.

Nu contează unde sunt stocate datele din punct de vedere tehnic: responsabilitatea operatorului rămâne.

Ce obligații au clienții FoodSoul

Ca operator de date personale, clientul FoodSoul are următoarele obligații cheie:

• prelucrarea datelor personale legal și în scopuri specifice;
• obținerea consimțământului utilizatorului pentru prelucrarea datelor (dacă este necesar);
• informarea utilizatorului despre ce date sunt prelucrate și de ce;
• asigurarea confidențialității și securității datelor;
• răspunderea la cererile utilizatorilor (modificarea, ștergerea datelor);
• respectarea cerințelor legislației Federației Ruse privind datele personale.

Prezența unei platforme IT nu scutește afacerea de aceste obligații. FoodSoul asigură partea tehnică, iar responsabilitatea legală pentru legalitatea prelucrării rămâne la partenerul FoodSoul.

Ce date sunt prelucrate în cadrul software-ului FoodSoul

1. Date furnizate de utilizator

Acestea sunt informațiile pe care utilizatorul le indică în mod independent. Acestea includ:

• La înregistrare sau crearea unui cont: nume, sex, data nașterii, telefon de contact, adresă de e-mail, fotografie;
• La plasarea și executarea unei comenzi: nume, e-mail, datele cardurilor de plată, alte informații de plată, adresă de livrare, telefon de contact;
• La feedback, reclamații, participarea la promoții și programe de loialitate: nume, prenume, patronimic, date de contact, informații text și conținut media;
• La contactarea serviciului de asistență: datele contului, parametrii tehnici ai dispozitivului și software-ului.

2. Date transmise automat

La utilizarea software-ului FoodSoul, pot fi prelucrate automat:

• Date tehnice: adresa IP, anteturile HTTP, datele cookie, semnalizatoare web/etichete pixel, informații despre browser și sistemul de operare, identificatorul dispozitivului mobil, informații despre hardware și software;
• Date de utilizare: data și ora accesului la Site-uri și/sau Servicii, istoricul comenzilor și acțiunilor;
• Date de geolocație (dacă este aplicabil și cu consimțământul utilizatorului).

FoodSoul prelucrează doar informațiile necesare pentru funcționarea software-ului și îmbunătățirea serviciilor.

Ce este Roskomnadzor și ce funcții îndeplinește

Roskomnadzor este o agenție guvernamentală care monitorizează respectarea legislației privind datele personale.

El:

• ține un registru al operatorilor de date personale;
• monitorizează respectarea cerințelor legii;
• examinează plângerile utilizatorilor;
• efectuează inspecții planificate și neplanificate;
• emite ordine de remediere a încălcărilor;
• atrage operatorii la răspundere administrativă.

Mai simplu spus, Roskomnadzor se asigură că afacerile lucrează corect și legal cu datele personale.

Este necesar să notificați Roskomnadzor

În majoritatea cazurilor, clienții FoodSoul sunt obligați să notifice Roskomnadzor despre începerea prelucrării datelor personale. Notificarea se depune înainte de începerea prelucrării sau, dacă prelucrarea este deja în desfășurare, cât mai curând posibil.

Mai jos este un ghid practic pas cu pas pentru completarea formularului electronic pe site-ul pd.rkn.gov.ru, cu exemple bazate pe Politica dvs. de confidențialitate.

Ghid “Cum să completați notificarea privind începerea prelucrării datelor personale”

Pasul 1: Informații generale despre operator

• Regiunea de înregistrare / Tipul operatorului / Denumirea / Adresa / INN, OGRN: Datele sunt indicate strict conform EGRUL/EGRIP. Verificați actualitatea informațiilor pe site-ul FNS.
• Telefon / Adresă de e-mail: Indicați datele de contact prin care Roskomnadzor poate lua legătura cu dvs.
• Regiunea de prelucrare: Indicați regiunile în care compania dvs. lucrează efectiv și unde sunt prelucrate datele (de exemplu, sediul central, filiale). Dacă activitatea se desfășoară în toată Rusia, puteți indica “Federația Rusă”.

Pasul 2: Scopurile prelucrării datelor personale

Acesta este cel mai important bloc. Trebuie să descrieți detaliat fiecare scop. Folosiți secțiunea 5 din Politica dvs. de confidențialitate.

Exemplu de completare pentru scopul “Plasarea și executarea comenzilor, controlul statutului, livrarea” (pe baza p. 5.2 și 5.3 din Politică):

• Scopul prelucrării: Plasarea, executarea, controlul statutului și livrarea comenzilor de bunuri/servicii ale utilizatorului, interacțiunea cu utilizatorul în chestiuni legate de comandă.
• Categoriile de date personale: nume, prenume, patronimic; număr de telefon; adresă de e-mail; adresă de livrare; datele cardurilor de plată/alte informații de plată; detalii ale comenzii.
• Categoriile de subiecți: Utilizatori care plasează comenzi și solicită livrare.
• Temeiul legal al prelucrării: Consimțământul subiectului datelor personale (art. 6 din Legea “Despre datele personale”); contract (Acordul de utilizare).
• Lista acțiunilor: Colectare, înregistrare, sistematizare, acumulare, stocare, actualizare (modificare), extragere, utilizare, transmitere (inclusiv delegarea prelucrării), anonimizare, blocare, ștergere, distrugere.
• Metode de prelucrare: Prelucrare automatizată.

Completați în mod similar alte scopuri din Politică, de exemplu:

• Înregistrarea unui cont (p. 5.1).
• Comunicări de marketing (p. 5.4).
• Feedback și suport (p. 5.5, 5.7).
• Desfășurarea promoțiilor și programelor de loialitate (p. 5.6).
• Îmbunătățirea funcționării serviciilor, analitică, securitate (p. 5.9, 5.10, 5.11).

Pasul 3: Metode de prelucrare

Alegeți din file: “Automatizată”, “Cu transmitere prin rețeaua internă a persoanei juridice”, “Cu transmitere prin rețeaua Internet”.

Pasul 4: Măsuri de protecție a datelor personale (art. 18.1 și 19 din Legea-152)

Descrieți măsurile organizatorice și tehnice specifice. Puteți lua ca bază secțiunea 7 din Politica dvs.

Exemplu de completare:

1. Sunt desemnate persoane responsabile pentru organizarea prelucrării și asigurarea securității datelor personale.

2. A fost elaborată și aprobată Politica privind prelucrarea datelor personale.

3. Angajații care efectuează prelucrarea sunt familiarizați cu prevederile legislației Federației Ruse privind datele personale și cu actele locale.

4. Se gestionează accesul la sistemele informaționale (conturi, parole).

5. Sunt utilizate mijloace tehnice de protecție: firewall-uri, software antivirus, mijloace de detectare a intruziunilor.

6. Se asigură copierea de rezervă a informațiilor.

7. Se efectuează înregistrarea și contabilizarea acțiunilor utilizatorilor în sistemele informaționale.

8. La transmiterea datelor prin rețeaua Internet se utilizează o conexiune securizată (protocol HTTPS/TLS).

Pasul 5: Utilizarea mijloacelor de criptare (criptografice)

Indicați dacă sunt utilizate / nu sunt utilizate.

Dacă sunt utilizate, specificați clasa SKZI și denumirea, producătorii, numerele de serie ale mijloacelor de criptare.

De exemplu:

• Clasa SKZI: KS2; KS3.
• Denumirea, producătorii, numerele de serie ale mijloacelor de criptare: SKZI CryptoPro CSP, PAK “AK-server”, VipNet CSP.

Pasul 6: Date și condiții

• Data începerii prelucrării: Indicați data la care ați început efectiv să lucrați cu datele personale ale clienților (poate coincide cu data înregistrării companiei).
• Termenul sau condiția încetării prelucrării: Alegeți din file: “Condiția de încheiere”. Apoi se indică:  “Lichidarea sau reorganizarea persoanei juridice”.

Pasul 7: Transfer transfrontalier

Dacă nu transferați date în afara Federației Ruse, indicați “Nu se efectuează”.

Pasul 8: Informații despre locația bazei de date

Acesta este un punct critic pentru clienții FoodSoul. OOO «FoodSoul» plasează infrastructura tehnologică a platformei (echipamentele serverului) pe teritoriul Federației Ruse într-un centru de date externalizat (CD). De asemenea, dacă utilizați suplimentar propriul CD, adăugați informațiile și completați Baza de date nr. 2 cu informații despre propriul CD.

Exemplu de completare a informațiilor despre locul de stocare a datelor:

• Țara: Rusia
• Adresa CD: 123060, Moscova, str. Berzarina, nr. 36, clădirea 3
• CD propriu: nu

Informații despre organizația responsabilă de stocarea datelor:

• Tipul organizației: persoană juridică

• Forma juridică: SA

• Denumirea organizației: Societatea pe Acțiuni "Selectel"

• OGRN: 1247800067790

• INN: 7810962785

• Țara locației: Rusia

• Adresa locației: 196006, Sankt Petersburg, str. Tsvetochnaya, nr. 21, lit. A (conform EGRUL)

* Dacă se utilizează și un CD propriu — adăugați Baza nr. 2 și introduceți datele organizației dvs. conform EGRUL.

Pasul 9: Informații despre persoanele care au acces și/sau efectuează prelucrarea pe baza unui contract a datelor personale conținute în sistemele informaționale de stat și municipale.

Aici sunt indicate terțe persoane cărora operatorul le transmite date, care au acces la IS sau care prelucrează datele pe baza unui contract (art. 6 din Legea 152-FZ). Este necesar să enumerați denumirile/numele, INN, adresa și scopul prelucrării. Acestea includ companii IT care întrețin GIS/MIS, operatori de telecomunicații, contractanți angajați, furnizori de cloud cărora li se transmit date personale.

Dacă nu aveți astfel de sisteme, este necesar să ștergeți setul de câmpuri folosind butonul “Șterge” de sub lista de câmpuri cu detaliile de contact.

Pasul 10: Informații despre asigurarea securității datelor personale

Aici se indică lista măsurilor implementate de dvs. în scopul respectării cerințelor stabilite prin hotărârea Guvernului Federației Ruse din 01.11.2012 nr. 1119 “Privind aprobarea cerințelor de protecție a datelor personale la prelucrarea acestora în sistemele informaționale de date personale”. În această secțiune puteți indica:

Operatorul asigură respectarea cerințelor de protecție a datelor prin utilizarea platformei cloud furnizate de OOO “FoodSoul” (INN 4345369685), care respectă următoarele cerințe:

1. Măsuri organizatorice:

• A fost încheiat un contract cu deținătorul platformei (OOO “FoodSoul”), care stabilește obligațiile sale ca operator care efectuează prelucrarea pe baza unui contract.
• Se asigură delimitarea drepturilor de acces ale angajaților Operatorului la funcționalitatea platformei pe baza principiului privilegiilor minime (model de acces pe roluri).
• Conturile angajaților sunt protejate cu parole unice.

2. Măsuri tehnice:

• Accesul la platformă și transmiterea datelor între utilizator și sistem se realizează exclusiv prin canale de comunicație securizate utilizând protocoale HTTPS/TLS (criptare).
• Autentificarea și autorizarea utilizatorilor sunt asigurate de mijloacele platformei în sine.
• Protecția împotriva codului malițios (protecție antivirus) și firewall-uri sunt implementate pe partea infrastructurii deținătorului platformei.
• Deținătorul platformei asigură copierea de rezervă regulată a datelor și protecția fizică a echipamentelor serverului în centrele de date de pe teritoriul Federației Ruse.
• Se asigură înregistrarea evenimentelor de securitate în cadrul funcționalității furnizate de platformă (jurnale de acțiuni).

3. Controlul implementării măsurilor:

• Operatorul controlează respectarea de către deținătorul platformei a condițiilor contractului în ceea ce privește asigurarea securității datelor personale.

Pasul 11: Datele persoanei care a completat notificarea

Indicați numele, funcția și informațiile de contact ale persoanei care trimite această notificare către Roskomnadzor.

Pasul 12: Semnarea și trimiterea notificării

Varianta 1. În format tipărit

Forma tipărită a Notificării trebuie să fie semnată de directorul organizației sau de o persoană care are dreptul de a semna documente, să fie datată și ștampilată (dacă există), și să fie trimisă la Direcția teritorială a Roskomnadzor prin poștă sau livrată personal.

Varianta 2. În format electronic cu utilizarea semnăturii electronice calificate avansate

Puteți completa formularul și îl puteți semna cu semnătura electronică. În acest caz, nu va fi necesară trimiterea în format tipărit. Trebuie să aveți instalat pluginul CryptoPro ECP Browser plug-in și să fie configurat pentru a lucra cu acesta.

Varianta 3. În format electronic cu utilizarea mijloacelor de autentificare ESIA

Autentificați-vă pe portalul Serviciilor de Stat, completați formularul și trimiteți-l în format electronic. Trebuie să aveți un cont confirmat. Trimiterea unei copii în format tipărit nu va fi necesară în acest caz. Dacă trimiteți notificarea pentru o organizație, contul dvs. trebuie să fie legat de acea organizație pe portalul Serviciilor de Stat.

GATA! După trimiterea cu succes, veți fi inclus în registrul operatorilor. Salvați numărul și cheia notificării.

După trimiterea cu succes a notificării către Roskomnadzor și includerea în registrul operatorilor, este necesar să asigurați o muncă corectă zilnică cu datele personale. Aspectele practice cheie ale acestei lucrări sunt utilizarea cookie-urilor și a analiticii, precum și gestionarea cererilor de la utilizatori.

Mecanismul de obținere a consimțământului la utilizarea formularelor externe de colectare a datelor

Mulți clienți FoodSoul pentru atragerea clienților plasează pe site-urile lor formulare externe de colectare a datelor (widget-uri) — de exemplu, formulare de comandă pentru apeluri înapoi sau pentru contactarea suportului tehnic. Este important de înțeles că aceste integrări pe site sunt instalate de clienți în mod independent.

Pentru ca colectarea datelor prin aceste formulare să fie legală, trebuie îndeplinite două condiții:

1. Consimțământ textual. Direct sub formularul (widget-ul) de colectare a datelor trebuie plasată o formulare clară pentru utilizator, care să indice că, apăsând butonul de trimitere, el își dă consimțământul pentru prelucrarea datelor sale personale.

2. Linkuri către documente. Această formulare trebuie să conțină linkuri active (clicabile) către două documente:

   • Acordul de utilizare (sau Contractul de ofertă), unde sunt descrise condițiile de furnizare a serviciilor.

   • Politica de confidențialitate, unde este detaliat ce date sunt colectate, de ce și cum sunt prelucrate.

Formulare recomandată pentru plasare sub formular:

“Apăsând “Trimite”, acceptați condițiile Acordului de utilizare și vă dați consimțământul pentru prelucrarea datelor personale conform Politicii de confidențialitate”.

Această măsură simplă vă va proteja de reclamațiile din partea autorităților de control și va demonstra că utilizatorul a acționat conștient și voluntar.

Cum să lucrați cu cookie-uri, analitică și cererile utilizatorilor

Cookie-uri și analitică

Software-ul FoodSoul utilizează cookie-uri și contorizatoare (dacă este aplicabil) pentru:

• asigurarea funcționării serviciilor;
• personalizarea funcțiilor;
• analitică și statistici;
• îmbunătățirea calității software-ului;
• personalizarea publicității.

Aceste date sunt, de asemenea, personale, iar prelucrarea lor trebuie să fie reflectată în notificare, așa cum a fost descris mai sus. Este important de reținut că utilizatorul poate interzice utilizarea cookie-urilor în setările browserului, însă anumite funcții ale serviciului pot fi indisponibile.

Cererile utilizatorilor

Una dintre obligațiile directe ale operatorului este de a răspunde în timp util la cererile subiecților datelor personale. Utilizatorul are dreptul să:

• solicite informații despre prelucrarea datelor sale;
• modifice datele sale personale;
• șteargă datele, trimițând o cerere la info@fs.me.

Pentru a-și exercita drepturile, utilizatorul poate contacta operatorul (clientul FoodSoul) sau poate utiliza funcționalitatea contului personal (unde este aplicabil). Ștergerea contului sau retragerea consimțământului poate duce la imposibilitatea utilizării ulterioare a serviciilor corespunzătoare.

Cu toate acestea, legislația poate obliga operatorul să păstreze anumite date pentru o perioadă stabilită sau să le transmită autorităților de stat.

Concluzie

Utilizând software-ul FoodSoul, afacerea obține un instrument convenabil și sigur, dar în același timp își asumă statutul de operator de date personale. Înțelegerea obligațiilor, lucrul corect cu datele și regulile transparente de interacțiune cu utilizatorii nu sunt o formalitate, ci un mod real de a reduce riscurile juridice și de a crește încrederea clienților.

Încă nu sunteți în registru? Trimiteți notificarea cu ghidul nostru — este mai simplu decât pare!
FoodSoul este alături de dvs. la fiecare pas.

Cu respect,

Echipa FoodSoul