Коришћење дигиталних сервиса и софтвера неизбежно је повезано са обрадом личних података. Приликом рада са ПО FoodSoul многи клијенти и партнери чак и не размишљају о томе да са становишта закона они већ обављају улогу оператора личних података и имају одређене обавезе.

У овом чланку ћемо размотрити:

• ко је оператор личних података;

• које обавезе настају код клијената FoodSoul;

• који подаци се обрађују у оквиру коришћења ПО FoodSoul;

• шта је Роскомнадзор и које функције обавља;

• да ли је потребно обавестити Роскомнадзор и на који начин;

• како правилно добити сагласност корисника ако користите спољни образац за прикупљање података на свом сајту;

• како радити са cookie, аналитиком и захтевима корисника.

Ко је оператор личних података

Оператор личних података — то је било које физичко или правно лице које:

• прикупља личне податке;
• чува, користи, преноси или брише их;
• самостално одређује циљеве и начине обраде.

Једноставније речено, ако одлучујете зашто и за шта су вам потребни подаци корисника, ви сте оператор.

Клијенти FoodSoul постају оператори личних података ако они:

• региструју кориснике или запослене;
• раде са базама клијената;
• примају наруџбине, захтеве, обраћања;
• користе личне кабинете и друге функције ПО FoodSoul.

При томе није важно где се тачно технички чувају подаци: одговорност оператора остаје.

Које обавезе настају код клијената FoodSoul

Као оператор личних података, клијент FoodSoul има следеће кључне обавезе:

• обрађивати личне податке законито и у конкретне сврхе;
• добити сагласност корисника за обраду података (ако је потребно);
• информисати корисника о томе који подаци и зашто се обрађују;
• обезбедити поверљивост и безбедност података;
• реаговати на захтеве корисника (измена, брисање података);
• поштовати захтеве законодавства РФ о личним подацима.

Присуство IT-платформе не ослобађа бизнис од ових обавеза. FoodSoul обезбеђује технички део, а правна одговорност за законитост обраде остаје код партнера FoodSoul.

Који подаци се обрађују у оквиру ПО FoodSoul

1. Подаци које пружа корисник

То је информација коју корисник наводи самостално. У њу спада:

• При регистрацији или креирању корисничког налога: име, пол, датум рођења, контактни телефон, адреса електронске поште (e-mail), фотоизображение;
• При наручивању и извршењу наруџбине: име, e-mail, подаци платних картица, друга платна информација, адреса доставе, контактни телефон;
• При повратној вези, притужбама, учешћу у акцијама и програмима лојалности: презиме, име, очево име, контактни подаци, текстуална информација и медијски садржај;
• При обраћању служби подршке: подаци корисничког налога, технички параметри уређаја и софтвера.

2. Подаци који се аутоматски преносе

При коришћењу ПО FoodSoul аутоматски се могу обрађивати:

• Технички подаци: IP-адреса, HTTP-заглавља, подаци cookie-фајлова, веб-мајци/пикселни тагови, информације о прегледачу и оперативном систему, идентификатор мобилног уређаја, информације о хардверу и софтверу;
• Подаци о коришћењу: датум и време приступа Сајтовима и/или Сервисима, историја наруџбина и акција;
• Подаци о геолокацији (ако је применљиво и уз сагласност корисника).

FoodSoul обрађује само оне информације које су неопходне за рад ПО и унапређење сервиса.

Шта је Роскомнадзор и које функције обавља

Роскомнадзор — то је државни орган који врши контролу над поштовањем законодавства о личним подацима.

Он:

• води регистар оператора личних података;
• контролише поштовање захтева закона;
• разматра жалбе корисника;
• спроводи планске и ванредне провере;
• издаје налоге за отклањање прекршаја;
• приводи операторе административној одговорности.

Једноставније речено, Роскомнадзор прати да ли бизнис коректно и законито ради са личним подацима.

Да ли је потребно обавестити Роскомнадзор

У већини случајева клијенти FoodSoul обавезни су да обавесте Роскомнадзор о почетку обраде личних података. Обавештење се подноси пре почетка обраде или, ако се обрада већ врши, — што је пре могуће.

Испод је практично корак-по-корак упутство за попуњавање електронског обрасца на сајту pd.rkn.gov.ru, са примерима заснованим на вашој Политици приватности.

Водич “Како попунити обавештење о почетку обраде личних података”

Корак 1: Опште информације о оператору

• Регион регистрације / Тип оператора / Назив / Адреса / ИНН, ОГРН: Подаци се наводе строго у складу са ЕГРЈУЛ/ЕГРИП. Проверите актуелност информација на сајту ФНС.
• Телефон / Адреса електронске поште: Наведите контактне податке преко којих Роскомнадзор може да вас контактира.
• Регион обраде: Наведите регионе у којима ваша компанија фактички ради и обрађују се подаци (на пример, главна канцеларија, филијале). Ако се делатност обавља широм Русије, можете навести “Руска Федерација”.

Корак 2: Циљеви обраде личних података

Ово је најважнији блок. Потребно је детаљно описати сваки циљ. Искористите одељак 5 ваше Политике приватности.

Пример попуњавања за циљ “Наручивање и извршење наруџбина, контрола статуса, достава” (на основу тач. 5.2 и 5.3 Политике):

• Циљ обраде: Наручивање, извршење, контрола статуса и достава наруџбина робе/услуга корисника, интеракција са корисником по питањима наруџбине.
• Категорије личних података: презиме, име, очево име; број телефона; адреса електронске поште (e-mail); адреса доставе; подаци платних картица/друга платна информација; детаљи наруџбине.
• Категорије субјеката: Корисници који наручују и наручују доставу.
• Правни основ обраде: Сагласност субјекта личних података (чл. 6 ФЗ “О личним подацима”); уговор (Кориснички споразум).
• Списак радњи: Прикупљање, снимање, систематизација, акумулација, чување, прецизирање (ажурирање, измена), извлачење, коришћење, пренос (укључујући поверавање обраде), анонимизација, блокирање, брисање, уништавање.
• Начини обраде: Аутоматизована  обрада.

Слично попуните друге циљеве из Политике, на пример:

• Регистрација корисничког налога (тач. 5.1).
• Маркетиншке комуникације (тач. 5.4).
• Повратна веза и подршка (тач. 5.5, 5.7).
• Спровођење акција и програма лојалности (тач. 5.6).
• Унапређење рада сервиса, аналитика, безбедност (тач. 5.9, 5.10, 5.11).

Корак 3: Начини обраде

Бирате у картицама: “Аутоматизована”, “С преносом по унутрашњој мрежи правног лица”, “С преносом по мрежи Интернет”.

Корак 4: Мере за заштиту личних података (чл. 18.1 и 19 ФЗ-152)

Опишите конкретне организационе и техничке мере. Можете узети за основу одељак 7 ваше Политике.

Пример попуњавања:

1. Именовани су одговорни за организацију обраде и за обезбеђење безбедности личних података.

2. Развијена је и одобрена Политика у односу на обраду личних података.

3. Запослени који обављају обраду упознати су са одредбама законодавства РФ о личним подацима и локалним актима.

4. Остварује се управљање приступом информационим системима (кориснички налози, лозинке).

5. Примењују се техничка средства заштите: међумрежни зидови (firewall), антивирусно ПО, средства за откривање упада.

6. Обезбеђује се резервно копирање информација.

7. Остварује се протоколисање и евиденција акција корисника у информационим системима.

8. При преносу података по мрежи Интернет користи се заштићена веза (протокол HTTPS/TLS).

Корак 5: Коришћење шифровалних (криптографских) средстава

Навести користе се / не користе се.

Ако се користе, онда навести класу СКЗИ и назив, произвођаче, серијске бројеве средстава шифровања.

На пример:

• Класа СКЗИ: КС2; КС3.
• Назив, произвођачи, серијски бројеви средстава шифровања: СКЗИ КриптоПро CSP, ПАК “АК-сервер”, VipNet CSP.

Корак 6: Датуми и услови

• Датум почетка обраде: Наведите датум када сте фактички почели да радите са личним подацима клијената (може се поклапати са датумом регистрације компаније).
• Рок или услов престанка обраде: Бирате у картици: “Услов завршетка”. Даље се наводи:  “Ликвидација или реорганизација правног лица”.

Корак 7: Трансгранични пренос

Ако не преносите податке ван граница РФ, наведите “Не остварује се”.

Корак 8: Информације о месту базе података

Ово је критично важан пункт за клијенте FoodSoul. ООО «ФудСоул» смешта технолошку инфраструктуру платформе (серверску опрему) на територији Руске Федерације у аутсорсинг центру за обраду података (ЦОД). Такође, ако додатно користите свој ЦОД, додајете информације и попуњавате Базу података бр. 2 са информацијама о свом сопственом ЦОД.

Пример попуњавања информација о месту чувања података:

• Држава: Русија
• Адреса ЦОД: 123060, г. Москва, ул. Берзарина, д. 36, стр. 3
• Сопствени ЦОД: не

Информације о организацији одговорној за чување података:

• Тип организације: правно лице

• Организационо-правна форма: АО

• Назив организације: Акционарско друштво "Селектел"

• ОГРН: 1247800067790

• ИНН: 7810962785

• Држава седишта: Русија

• Адреса седишта: 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А (у складу са ЕГРЈУЛ)

* Ако се користи и сопствени ЦОД — додајете Базу бр. 2 и уносите податке своје организације у складу са ЕГРЈУЛ.

Корак 9: Информације о лицима која имају приступ и (или) обављају на основу уговора обраду личних података, садржаних у државним и општинским информационим системима.

Овде се наводе трећа лица којима оператор преноси податке, која имају приступ ИС, или која обрађују податке по налогу на основу уговора (чл. 6 152-ФЗ). Потребно је навести називе/ФИО, ИНН, адресу и циљ обраде. У њих спадају IT-компаније које одржавају ГИС/МИС, оператори веза, ангажовани контрагенти, облачни провајдери којима се преносе лични подаци.

Ако немате такве системе, потребно је уклонити сет поља помоћу дугмета “Уклони” испод списка поља са подацима контакта.

Корак 10: Информације о обезбеђењу безбедности личних података

Овде се наводи списак мера које спроводите у циљу испуњавања захтева, утврђених уредбом Владе Руске Федерације од 01.11.2012 бр. 1119 “О утврђивању захтева за заштиту личних података при њиховој обради у информационим системима личних података”. У овом одељку можете навести:

Оператор обезбеђује испуњавање захтева за заштиту података путем коришћења облачне платформе коју пружа ООО “ФудСоул” (ИНН 4345369685), која испуњава следеће захтеве:

1. Организационе мере:

• Закључен је уговор са власником платформе (ООО “ФудСоул”), који одређује његове обавезе као оператора који обавља обраду по налогу.
• Обезбеђује се разграничење права приступа запослених Оператора функционалности платформе на основу принципа минималних привилегија (ролни модел приступа).
• Кориснички налози запослених заштићени су јединственим лозинкама.

2. Техничке мере:

• Приступ платформи и пренос података између корисника и система остварује се искључиво преко заштићених канала везе уз коришћење протокола HTTPS/TLS (шифровање).
• Аутентификација и ауторизација корисника обезбеђује се средствима саме платформе.
• Заштита од злонамерног кода (антивирусна заштита) и међумрежни зидови (Firewall) реализовани су на страни инфраструктуре власника платформе.
• Власник платформе обезбеђује редовно резервно копирање података и физичку заштиту серверске опреме у дата центрима на територији РФ.
• Обезбеђује се регистрација догађаја безбедности у оквиру функционалности коју пружа платформа (логови акција).

3. Контрола спровођења мера:

• Оператор контролише поштовање од стране власника платформе услова уговора у делу обезбеђења безбедности личних података.

Корак 11: Подаци о лицу које је формирало обавештење

Наведите ФИО, позицију и контактне информације лица које шаље ово обавештење Роскомнадзору.

Корак 12: Потписивање и слање обавештења

Варијанта 1. У папирном облику

Формирани штампани образац Обавештења у папирном облику мора бити потписан од стране руководиоца организације или лица које има право потписа докумената, стављен датум и печат (ако постоји), шаље се у територијално Управљање Роскомнадзора поштанском пошиљком или се доставља лично.

Варијанта 2. У електронском облику уз коришћење ојачаног квалификованог електронског потписа

Можете попунити образац и потписати га електронским потписом. У том случају подношење у папирном облику неће бити потребно. Морате имати инсталиран плагин КриптоПро ЕЦП Browser plug-in и подешен рад са њим.

Варијанта 3. У електронском облику уз коришћење средстава аутентификације ЕСИА

Проћи аутентификацију на порталу Државних услуга, попунити образац и послати га у електронском облику. Морате имати потврђен кориснички налог. Слање копије у папирном облику у том случају неће бити потребно. У случају да подносите обавештење за организацију, ваш кориснички налог мора бити повезан са том организацијом на порталу Државних услуга.

ГОТОВО! Након успешног слања бићете уписани у регистар оператора. Сачувајте број и кључ обавештења.

Након успешног слања обавештења Роскомнадзору и укључења у регистар оператора, потребно је обезбедити коректан свакодневни рад са личним подацима. Кључни практични аспекти овог рада су коришћење cookie фајлова и аналитике, као и обрада захтева од самих корисника.

Механизам добијања сагласности при коришћењу спољних образаца за прикупљање података

Многи клијенти FoodSoul за привлачење клијената постављају на својим сајтовима спољне обрасце за прикупљање података (виџете) — на пример, обрасце за наручивање повратног позива или за обраћање техничкој подршци. Важно је разумети да такве интеграције на сајт постављају клијенти самостално.

Да би прикупљање података преко ових образаца било законито, потребно је испунити два услова:

1. Текстуална сагласност. Непосредно испод обрасца (виџета) за прикупљање података потребно је поставити кориснику разумљиву формулацију о томе да, кликом на дугме за слање, он даје сагласност за обраду његових личних података.

2. Хипервезе на документе. Ова формулација треба да садржи активне (кликљиве) везе на два документа:

   • Кориснички споразум (или Уговор о понуди), где су описани услови пружања услуга.

   • Политику приватности, где је детаљно описано који подаци се прикупљају, зашто и како се обрађују.

Препоручена формулација за постављање испод обрасца:

“Кликом на “Пошаљи”, прихватате услове Корисничког споразума и дајете сагласност за обраду личних података у складу са Политиком приватности”.

Ова једноставна мера ће вас заштитити од притужби од стране контролних органа и доказати да је корисник деловао свесно и добровољно.

Како радити са cookie, аналитиком и захтевима корисника

Cookie и аналитика

ПО FoodSoul користи cookie-фајлове и бројаче (ако је применљиво) за:

• обезбеђење функционалности сервиса;
• персонализацију функција;
• аналитику и статистику;
• унапређење квалитета ПО;
• персонализацију оглашавања.

Ови подаци такође су лични, и њихова обрада треба да буде одражена у обавештењу, као што је описано горе. Важно је запамтити да корисник може забранити коришћење cookie у подешавањима прегледача, при чему одређене функције сервиса могу бити недоступне.

Захтеви корисника

Једна од директних обавеза оператора је благовремено реаговање на обраћања субјеката личних података. Корисник има право:

• захтевати информације о обради својих података;
• изменити своје личне податке;
• обрисати податке, слањем захтева на info@fs.me.

За остваривање својих права корисник може да се обрати оператору (клијенту FoodSoul) или да користи функционалност личног кабинета (где је применљиво). Брисање налога или повлачење сагласности може довести до немогућности даљег коришћења одговарајућих Сервиса.

При томе законодавство може обавезивати оператора да чува одређене податке у одређеном року или да их преноси државним органима.

Закључак

Коришћењем ПО FoodSoul, бизнис добија удобан и безбедан алат, али заједно са тим преузима на себе статус оператора личних података. Разумевање својих обавеза, коректан рад са подацима и транспарентна правила интеракције са корисницима — то није формалност, већ реалан начин да се смање правни ризици и повећа поверење клијената.

Још увек нисте у регистру? Поднесите обавештење уз наш водич — то је лакше него што изгледа!
FoodSoul је са вама на сваком кораку.

С поштовањем,

Тим FoodSoul