Использование цифровых сервисов и программного обеспечения неизбежно связано с обработкой персональных данных. При работе с ПО FoodSoul многие клиенты и партнёры даже не задумываются, что с точки зрения закона они уже выполняют роль оператора персональных данных и несут определённые обязанности.

В этой статье разберём:

• кто такой оператор персональных данных;

• какие обязанности возникают у клиентов FoodSoul;

• какие данные обрабатываются в рамках использования ПО FoodSoul;

• что такое Роскомнадзор и какие функции он выполняет;

• нужно ли уведомлять Роскомнадзор и каким образом;

• как правильно получить согласие пользователя, если вы используете внешнюю форму сбора данных на своём сайте;

• как работать с cookie, аналитикой и запросами пользователей.

Кто такой оператор персональных данных

Оператор персональных данных — это любое физическое и юридическое лицо, которое:

• собирает персональные данные;
• хранит, использует, передаёт или удаляет их;
• самостоятельно определяет цели и способы обработки.

Проще говоря, если вы решаете, зачем и для чего вам нужны данные пользователя, вы — оператор.

Клиенты FoodSoul становятся операторами персональных данных, если они:

• регистрируют пользователей или сотрудников;
• работают с клиентскими базами;
• принимают заказы, заявки, обращения;
• используют личные кабинеты и иные функции ПО FoodSoul.

При этом не имеет значения, где именно хранятся данные технически: ответственность оператора сохраняется.

Какие обязанности возникают у клиентов FoodSoul

Как у оператора персональных данных, у клиента FoodSoul возникают следующие ключевые обязанности:

• обрабатывать персональные данные законно и в конкретных целях;
• получать согласие пользователя на обработку данных (если оно требуется);
• информировать пользователя о том, какие данные и зачем обрабатываются;
• обеспечивать конфиденциальность и безопасность данных;
• реагировать на запросы пользователей (изменение, удаление данных);
• соблюдать требования законодательства РФ о персональных данных.

Наличие IT-платформы не освобождает бизнес от этих обязанностей. FoodSoul обеспечивает техническую часть, а юридическая ответственность за законность обработки остаётся у партнера FoodSoul.

Какие данные обрабатываются в рамках ПО FoodSoul

1. Данные, предоставляемые пользователем

Это информация, которую пользователь указывает самостоятельно. К ней относится:

• При регистрации или создании учётной записи: имя, пол, дата рождения, контактный телефон, адрес электронной почты (e-mail), фотоизображение;
• При оформлении и исполнении заказа: имя, e-mail, данные платежных карт, иная платежная информация, адрес доставки, контактный телефон;
• При обратной связи, претензиях, участии в акциях и программах лояльности: фамилия, имя, отчество, контактные данные, текстовая информация и медиа-контент;
• При обращении в службу поддержки: данные учётной записи, технические параметры устройства и программного обеспечения.

2. Данные, передаваемые автоматически

При использовании ПО FoodSoul автоматически могут обрабатываться:

• Технические данные: IP-адрес, HTTP-заголовки, данные cookie-файлов, веб-маяки/пиксельные теги, сведения о браузере и операционной системе, идентификатор мобильного устройства, информация об аппаратном и программном обеспечении;
• Данные об использовании: дата и время доступа к Сайтам и/или Сервисам, история заказов и действий;
• Данные о геолокации (если применимо и с согласия пользователя).

FoodSoul обрабатывает только ту информацию, которая необходима для работы ПО и улучшения сервисов.

Что такое Роскомнадзор и какие функции он выполняет

Роскомнадзор — это государственный орган, осуществляющий контроль за соблюдением законодательства о персональных данных.

Он:

• ведёт реестр операторов персональных данных;
• контролирует соблюдение требований закона;
• рассматривает жалобы пользователей;
• проводит плановые и внеплановые проверки;
• выдает предписания об устранении нарушений;
• привлекает операторов к административной ответственности.

Проще говоря, Роскомнадзор следит за тем, чтобы бизнес корректно и законно работал с персональными данными.

Нужно ли уведомлять Роскомнадзор

В большинстве случаев клиенты FoodSoul обязаны уведомить Роскомнадзор о начале обработки персональных данных. Уведомление подаётся до начала обработки либо, если обработка уже ведётся, — как можно скорее.

Ниже - практическое пошаговое руководство по заполнению электронной формы на сайте pd.rkn.gov.ru, с примерами, основанными на вашей Политике конфиденциальности.

Гайд “Как заполнить уведомление о начале обработки персональных данных”

Шаг 1: Общие сведения об операторе

• Регион регистрации / Тип оператора / Наименование / Адрес / ИНН, ОГРН: Данные указываются строго в соответствии с ЕГРЮЛ/ЕГРИП. Проверьте актуальность информации на сайте ФНС.
• Телефон / Адрес электронной почты: Укажите контактные данные, по которым Роскомнадзор сможет с вами связаться.
• Регион обработки: Укажите регионы, где фактически работает ваша компания и обрабатываются данные (например, головной офис, филиалы). Если деятельность ведётся по всей России, можно указать “Российская Федерация”.

Шаг 2: Цели обработки персональных данных

Это самый важный блок. Нужно подробно описать каждую цель. Воспользуйтесь разделом 5 вашей Политики конфиденциальности.

Пример заполнения для цели “Оформление и исполнение заказов, контроль статуса, доставка” (на основе п. 5.2 и 5.3 Политики):

• Цель обработки: Оформление, исполнение, контроль статуса и доставка заказов товаров/услуг пользователя, взаимодействие с пользователем по вопросам заказа.
• Категории персональных данных: фамилия, имя, отчество; номер телефона; адрес электронной почты (e-mail); адрес доставки; данные платежных карт/иная платежная информация; детали заказа.
• Категории субъектов: Пользователи, оформляющие заказы и заказывающие доставку.
• Правовое основание обработки: Согласие субъекта персональных данных (ст. 6 ФЗ “О персональных данных”); договор (Пользовательское соглашение).
• Перечень действий: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (включая поручение обработки), обезличивание, блокирование, удаление, уничтожение.
• Способы обработки: Автоматизированная  обработка.

Аналогично заполните другие цели из Политики, например:

• Регистрация учётной записи (п. 5.1).
• Маркетинговые коммуникации (п. 5.4).
• Обратная связь и поддержка (п. 5.5, 5.7).
• Проведение акций и программ лояльности (п. 5.6).
• Улучшение работы сервисов, аналитика, безопасность (п. 5.9, 5.10, 5.11).

Шаг 3: Способы обработки

Выбираете во вкладках: “Автоматизированная”, “С передачей по внутренней сети юридического лица”, “С передачей по сети Интернет”.

Шаг 4: Меры по защите персональных данных (ст. 18.1 и 19 ФЗ-152)

Опишите конкретные организационные и технические меры. Можно взять за основу раздел 7 вашей Политики.

Пример заполнения:

1. Назначены ответственные за организацию обработки и за обеспечение безопасности персональных данных.

2. Разработана и утверждена Политика в отношении обработки персональных данных.

3. Работники, осуществляющие обработку, ознакомлены с положениями законодательства РФ о персональных данных и локальными актами.

4. Осуществляется управление доступом к информационным системам (учётные записи, пароли).

5. Применяются технические средства защиты: межсетевые экраны (firewall), антивирусное ПО, средства обнаружения вторжений.

6. Обеспечивается резервное копирование информации.

7. Осуществляется протоколирование и учёт действий пользователей в информационных системах.

8. При передаче данных по сети Интернет используется защищённое соединение (протокол HTTPS/TLS).

Шаг 5: Использование шифровальных (криптографических) средств

Указать используются / не используются.

Если используются, то указать класс СКЗИ и наименование, изготовители, серийные номера средств шифрования.

Например:

• Класс СКЗИ: КС2; КС3.
• Наименование, изготовители, серийные номера средств шифрования: СКЗИ КриптоПро CSP, ПАК “АК-сервер”, VipNet CSP.

Шаг 6: Даты и условия

• Дата начала обработки: Укажите дату, когда вы фактически начали работать с персональными данными клиентов (может совпадать с датой регистрации компании).
• Срок или условие прекращения обработки: Выбираете во вкладке: “Условие окончания”. Далее указывается:  “Ликвидация или реорганизация юридического лица”.

Шаг 7: Трансграничная передача

Если не передаёте данные за пределы РФ, укажите “Не осуществляется”.

Шаг 8: Сведения о местонахождении базы данных

Это критически важный пункт для клиентов FoodSoul. ООО «ФудСоул» размещает технологическую инфраструктуру платформы (серверное оборудование) на территории Российской Федерации в аутсорсинговом центре обработки данных (ЦОД). Также, если вы дополнительно используете свой ЦОД, добавляете сведения и заполняете Базу данных №2 с информацией о своем собственном ЦОД.

Пример заполнения сведений о месте хранения данных:

• Страна: Россия
• Адрес ЦОД: 123060, г. Москва, ул. Берзарина, д. 36, стр. 3
• Собственный ЦОД: нет

Сведения об организации, ответственной за хранение данных:

• Тип организации: юридическое лицо

• Организационно-правовая форма: АО

• Наименование организации: Акционерное общество "Селектел"

• ОГРН: 1247800067790

• ИНН: 7810962785

• Страна местонахождения: Россия

• Адрес местонахождения: 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А (в соответствии с ЕГРЮЛ)

* Если используется также собственный ЦОД — добавляете Базу №2 и вносите данные своей организации в соответствии с ЕГРЮЛ.

Шаг 9: Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.

Здесь указываются третьи лица, которым оператор передает данные, имеющие доступ к ИС, или которые обрабатывают данные по поручению на основании договора (ст. 6 152-ФЗ). Необходимо перечислить наименования/ФИО, ИНН, адрес и цель обработки. К ним относятся IT-компании, обслуживающие ГИС/МИС, операторы связи, привлекаемые контрагенты, облачные провайдеры, которым передаются персональные данные.

Если у вас нет таких систем, то необходимо удалить набор полей с помощью кнопки “Удалить” под перечнем полей с реквизитами контакта.

Шаг 10: Сведения об обеспечении безопасности персональных данных

Здесь указывается перечень мер, реализуемый вами в целях исполнения требований, установленных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”. В данном разделе можно указать:

Оператор обеспечивает выполнение требований по защите данных путём использования облачной платформы, предоставленной ООО “ФудСоул” (ИНН 4345369685), которая соответствует следующим требованиям:

1. Организационные меры:

• Заключен договор с владельцем платформы (ООО “ФудСоул”), определяющий его обязанности как оператора, осуществляющего обработку по поручению.
• Обеспечивается разграничение прав доступа сотрудников Оператора к функционалу платформы на основе принципа минимальных привилегий (ролевая модель доступа).
• Учетные записи сотрудников защищены уникальными паролями.

2. Технические меры:

• Доступ к платформе и передача данных между пользователем и системой осуществляется исключительно по защищенным каналам связи с использованием протоколов HTTPS/TLS (шифрование).
• Аутентификация и авторизация пользователей обеспечивается средствами самой платформы.
• Защита от вредоносного кода (антивирусная защита) и межсетевые экраны (Firewall) реализованы на стороне инфраструктуры владельца платформы.
• Владелец платформы обеспечивает регулярное резервное копирование данных и физическую защиту серверного оборудования в дата-центрах на территории РФ.
• Обеспечивается регистрация событий безопасности в рамках функционала, предоставляемого платформой (логи действий).

3. Контроль выполнения мер:

• Оператор контролирует соблюдение владельцем платформы условий договора в части обеспечения безопасности персональных данных.

Шаг 11: Данные лица, сформировавшего уведомление

Укажите ФИО, должность и контактную информацию лица, которое направляет в Роскомнадзор данное уведомление.

Шаг 12: Подписание и отправка уведомления

Вариант 1. В бумажном виде

Сформированная печатная форма Уведомления в бумажном виде должна быть подписана руководителем организации или лицом, имеющим право подписи документов, проставлена дата и печать (если имеется), направляется в территориальное Управление Роскомнадзора почтовым отправлением или доставляется нарочно.

Вариант 2. В электронном виде с использованием усиленной квалифицированной электронной подписи

Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним.

Вариант 3. В электронном виде с использованием средств аутентификации ЕСИА

Пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется. В случае если Вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.

ГОТОВО! После успешной отправки вы будете внесены в реестр операторов. Сохраните номер и ключ уведомления.

После успешной отправки уведомления в Роскомнадзор и включения в реестр операторов необходимо обеспечить корректную повседневную работу с персональными данными. Ключевыми практическими аспектами этой работы являются использование файлов cookie и аналитики, а также обработка запросов от самих пользователей.

Механизм получения согласия при использовании внешних форм сбора данных

Многие клиенты FoodSoul для привлечения клиентов размещают на своих сайтах внешние формы сбора данных (виджеты) — например, формы заказа обратного звонка или для обращения в техподдержку. Важно понимать, что такие интеграции на сайт устанавливаются клиентами самостоятельно.

Чтобы сбор данных через эти формы был законным, необходимо выполнить два условия:

1. Текстовое согласие. Непосредственно под формой (виджетом) сбора данных нужно разместить понятную пользователю формулировку о том, что, нажимая кнопку отправки, он лат согласие на обработку его персональных данных.

2. Гиперссылки на документы. Эта формулировка должна содержать активные (кликабельные) ссылки на два документа:

   • Пользовательское соглашение (или Договор оферты), где описаны условия оказания услуг.

   • Политику конфиденциальности, где подробно расписано, какие данные собираются, зачем и как обрабатываются.

Рекомендуемая формулировка для размещения под формой:

“Нажимая “Отправить”, вы принимаете условия Пользовательского соглашения и даёте согласие на обработку персональных данных согласно Политике конфиденциальности”.

Эта простая мера защитит вас от претензий со стороны контролирующих органов и докажет, что пользователь действовал осознанно и добровольно.

Как работать с cookie, аналитикой и запросами пользователей

Cookie и аналитика

ПО FoodSoul использует cookie-файлы и счётчики (если применимо) для:

• обеспечения работоспособности сервисов;
• персонализации функций;
• аналитики и статистики;
• улучшения качества ПО;
• персонализации рекламы.

Эти данные также являются персональными, и их обработка должна быть отражена в уведомлении, как было описано выше. Важно помнить, что пользователь может запретить использование cookie в настройках браузера, при этом отдельные функции сервиса могут быть недоступны.

Запросы пользователей

Одна из прямых обязанностей оператора — своевременно реагировать на обращения субъектов персональных данных. Пользователь вправе:

• запрашивать информацию об обработке своих данных;
• изменять свои персональные данные;
• удалить данные, направив запрос на info@fs.me.

Для реализации своих прав пользователь может обратиться к оператору (клиенту FoodSoul) или использовать функционал личного кабинета (где применимо). Удаление аккаунта или отзыв согласия может привести к невозможности дальнейшего использования соответствующих Сервисов.

При этом законодательство может обязывать оператора хранить определённые данные в течение установленного срока или передавать их государственным органам.

Вывод

Используя ПО FoodSoul, бизнес получает удобный и безопасный инструмент, но вместе с этим принимает на себя статус оператора персональных данных. Понимание своих обязанностей, корректная работа с данными и прозрачные правила взаимодействия с пользователями — это не формальность, а реальный способ снизить юридические риски и повысить доверие клиентов.

Вы всё ещё не в реестре? Подайте уведомление с нашим гайдом — это проще, чем кажется!
FoodSoul с вами на каждом шагу.

С Уважением,

Команда FoodSoul