Використання цифрових сервісів і програмного забезпечення неминуче пов'язане з обробкою персональних даних. Під час роботи з ПЗ FoodSoul багато клієнтів і партнерів навіть не замислюються, що з точки зору закону вони вже виконують роль оператора персональних даних і несуть певні обов'язки.

У цій статті розглянемо:

• хто такий оператор персональних даних;

• які обов'язки виникають у клієнтів FoodSoul;

• які дані обробляються в рамках використання ПЗ FoodSoul;

• що таке Роскомнадзор і які функції він виконує;

• чи потрібно повідомляти Роскомнадзор і яким чином;

• як правильно отримати згоду користувача, якщо ви використовуєте зовнішню форму збору даних на своєму сайті;

• як працювати з cookie, аналітикою і запитами користувачів.

Хто такий оператор персональних даних

Оператор персональних даних — це будь-яка фізична або юридична особа, яка:

• збирає персональні дані;
• зберігає, використовує, передає або видаляє їх;
• самостійно визначає цілі та способи обробки.

Простіше кажучи, якщо ви вирішуєте, навіщо і для чого вам потрібні дані користувача, ви — оператор.

Клієнти FoodSoul стають операторами персональних даних, якщо вони:

• реєструють користувачів або співробітників;
• працюють з клієнтськими базами;
• приймають замовлення, заявки, звернення;
• використовують особисті кабінети та інші функції ПЗ FoodSoul.

При цьому не має значення, де саме зберігаються дані технічно: відповідальність оператора зберігається.

Які обов'язки виникають у клієнтів FoodSoul

Як у оператора персональних даних, у клієнта FoodSoul виникають наступні ключові обов'язки:

• обробляти персональні дані законно і в конкретних цілях;
• отримувати згоду користувача на обробку даних (якщо це потрібно);
• інформувати користувача про те, які дані і навіщо обробляються;
• забезпечувати конфіденційність і безпеку даних;
• реагувати на запити користувачів (зміна, видалення даних);
• дотримуватися вимог законодавства РФ про персональні дані.

Наявність IT-платформи не звільняє бізнес від цих обов'язків. FoodSoul забезпечує технічну частину, а юридична відповідальність за законність обробки залишається у партнера FoodSoul.

Які дані обробляються в рамках ПЗ FoodSoul

1. Дані, надані користувачем

Це інформація, яку користувач вказує самостійно. До неї відноситься:

• При реєстрації або створенні облікового запису: ім'я, стать, дата народження, контактний телефон, адреса електронної пошти (e-mail), фото;
• При оформленні та виконанні замовлення: ім'я, e-mail, дані платіжних карток, інша платіжна інформація, адреса доставки, контактний телефон;
• При зворотному зв'язку, претензіях, участі в акціях і програмах лояльності: прізвище, ім'я, по батькові, контактні дані, текстова інформація і медіа-контент;
• При зверненні в службу підтримки: дані облікового запису, технічні параметри пристрою і програмного забезпечення.

2. Дані, що передаються автоматично

При використанні ПЗ FoodSoul автоматично можуть оброблятися:

• Технічні дані: IP-адреса, HTTP-заголовки, дані cookie-файлів, веб-маяки/піксельні теги, відомості про браузер і операційну систему, ідентифікатор мобільного пристрою, інформація про апаратне і програмне забезпечення;
• Дані про використання: дата і час доступу до Сайтів і/або Сервісів, історія замовлень і дій;
• Дані про геолокацію (якщо застосовується і з згоди користувача).

FoodSoul обробляє тільки ту інформацію, яка необхідна для роботи ПЗ і поліпшення сервісів.

Що таке Роскомнадзор і які функції він виконує

Роскомнадзор — це державний орган, що здійснює контроль за дотриманням законодавства про персональні дані.

Він:

• веде реєстр операторів персональних даних;
• контролює дотримання вимог закону;
• розглядає скарги користувачів;
• проводить планові і позапланові перевірки;
• видає приписи про усунення порушень;
• притягує операторів до адміністративної відповідальності.

Простіше кажучи, Роскомнадзор стежить за тим, щоб бізнес коректно і законно працював з персональними даними.

Чи потрібно повідомляти Роскомнадзор

У більшості випадків клієнти FoodSoul зобов'язані повідомити Роскомнадзор про початок обробки персональних даних. Повідомлення подається до початку обробки або, якщо обробка вже ведеться, — якомога швидше.

Нижче - практичний покроковий посібник із заповнення електронної форми на сайті pd.rkn.gov.ru, з прикладами, заснованими на вашій Політиці конфіденційності.

Гайд “Як заповнити повідомлення про початок обробки персональних даних”

Крок 1: Загальні відомості про оператора

• Регіон реєстрації / Тип оператора / Найменування / Адреса / ІПН, ОГРН: Дані вказуються строго відповідно до ЄДРЮЛ/ЄДРІП. Перевірте актуальність інформації на сайті ФНС.
• Телефон / Адреса електронної пошти: Вкажіть контактні дані, за якими Роскомнадзор зможе з вами зв'язатися.
• Регіон обробки: Вкажіть регіони, де фактично працює ваша компанія і обробляються дані (наприклад, головний офіс, філії). Якщо діяльність ведеться по всій Росії, можна вказати “Російська Федерація”.

Крок 2: Цілі обробки персональних даних

Це найважливіший блок. Потрібно докладно описати кожну мету. Скористайтеся розділом 5 вашої Політики конфіденційності.

Приклад заповнення для мети “Оформлення і виконання замовлень, контроль статусу, доставка” (на основі п. 5.2 і 5.3 Політики):

• Мета обробки: Оформлення, виконання, контроль статусу і доставка замовлень товарів/послуг користувача, взаємодія з користувачем з питань замовлення.
• Категорії персональних даних: прізвище, ім'я, по батькові; номер телефону; адреса електронної пошти (e-mail); адреса доставки; дані платіжних карток/інша платіжна інформація; деталі замовлення.
• Категорії суб'єктів: Користувачі, які оформляють замовлення і замовляють доставку.
• Правова підстава обробки: Згода суб'єкта персональних даних (ст. 6 ФЗ “Про персональні дані”); договір (Користувацька угода).
• Перелік дій: Збір, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передача (включаючи доручення обробки), знеособлення, блокування, видалення, знищення.
• Способи обробки: Автоматизована  обробка.

Аналогічно заповніть інші цілі з Політики, наприклад:

• Реєстрація облікового запису (п. 5.1).
• Маркетингові комунікації (п. 5.4).
• Зворотний зв'язок і підтримка (п. 5.5, 5.7).
• Проведення акцій і програм лояльності (п. 5.6).
• Поліпшення роботи сервісів, аналітика, безпека (п. 5.9, 5.10, 5.11).

Крок 3: Способи обробки

Вибираєте у вкладках: “Автоматизована”, “З передачею по внутрішній мережі юридичної особи”, “З передачею по мережі Інтернет”.

Крок 4: Заходи щодо захисту персональних даних (ст. 18.1 і 19 ФЗ-152)

Опишіть конкретні організаційні та технічні заходи. Можна взяти за основу розділ 7 вашої Політики.

Приклад заповнення:

1. Призначені відповідальні за організацію обробки і за забезпечення безпеки персональних даних.

2. Розроблена і затверджена Політика щодо обробки персональних даних.

3. Працівники, які здійснюють обробку, ознайомлені з положеннями законодавства РФ про персональні дані і локальними актами.

4. Здійснюється управління доступом до інформаційних систем (облікові записи, паролі).

5. Застосовуються технічні засоби захисту: міжмережеві екрани (firewall), антивірусне ПЗ, засоби виявлення вторгнень.

6. Забезпечується резервне копіювання інформації.

7. Здійснюється протоколювання і облік дій користувачів в інформаційних системах.

8. При передачі даних по мережі Інтернет використовується захищене з'єднання (протокол HTTPS/TLS).

Крок 5: Використання шифрувальних (криптографічних) засобів

Вказати використовуються / не використовуються.

Якщо використовуються, то вказати клас СКЗІ і найменування, виробники, серійні номери засобів шифрування.

Наприклад:

• Клас СКЗІ: КС2; КС3.
• Найменування, виробники, серійні номери засобів шифрування: СКЗІ КриптоПро CSP, ПАК “АК-сервер”, VipNet CSP.

Крок 6: Дати і умови

• Дата початку обробки: Вкажіть дату, коли ви фактично почали працювати з персональними даними клієнтів (може збігатися з датою реєстрації компанії).
• Термін або умова припинення обробки: Вибираєте у вкладці: “Умова закінчення”. Далі вказується:  “Ліквідація або реорганізація юридичної особи”.

Крок 7: Транскордонна передача

Якщо не передаєте дані за межі РФ, вкажіть “Не здійснюється”.

Крок 8: Відомості про місцезнаходження бази даних

Це критично важливий пункт для клієнтів FoodSoul. ТОВ «ФудСоул» розміщує технологічну інфраструктуру платформи (серверне обладнання) на території Російської Федерації в аутсорсинговому центрі обробки даних (ЦОД). Також, якщо ви додатково використовуєте свій ЦОД, додаєте відомості і заповнюєте Базу даних №2 з інформацією про свій власний ЦОД.

Приклад заповнення відомостей про місце зберігання даних:

• Країна: Росія
• Адреса ЦОД: 123060, м. Москва, вул. Берзаріна, д. 36, стр. 3
• Власний ЦОД: ні

Відомості про організацію, відповідальну за зберігання даних:

• Тип організації: юридична особа

• Організаційно-правова форма: АТ

• Найменування організації: Акціонерне товариство "Селектел"

• ОГРН: 1247800067790

• ІПН: 7810962785

• Країна місцезнаходження: Росія

• Адреса місцезнаходження: 196006, м. Санкт-Петербург, вул. Квіткова, д. 21, літ. А (відповідно до ЄДРЮЛ)

* Якщо використовується також власний ЦОД — додаєте Базу №2 і вносите дані своєї організації відповідно до ЄДРЮЛ.

Крок 9: Відомості про осіб, які мають доступ і (або) здійснюють на підставі договору обробку персональних даних, що містяться в державних і муніципальних інформаційних системах.

Тут вказуються треті особи, яким оператор передає дані, які мають доступ до ІС, або які обробляють дані за дорученням на підставі договору (ст. 6 152-ФЗ). Необхідно перерахувати найменування/ПІБ, ІПН, адресу і мету обробки. До них відносяться IT-компанії, що обслуговують ГІС/МІС, оператори зв'язку, залучені контрагенти, хмарні провайдери, яким передаються персональні дані.

Якщо у вас немає таких систем, то необхідно видалити набір полів за допомогою кнопки “Видалити” під переліком полів з реквізитами контакту.

Крок 10: Відомості про забезпечення безпеки персональних даних

Тут вказується перелік заходів, реалізованих вами з метою виконання вимог, встановлених постановою Уряду Російської Федерації від 01.11.2012 № 1119 “Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних”. У цьому розділі можна вказати:

Оператор забезпечує виконання вимог щодо захисту даних шляхом використання хмарної платформи, наданої ТОВ “ФудСоул” (ІПН 4345369685), яка відповідає наступним вимогам:

1. Організаційні заходи:

• Укладено договір з власником платформи (ТОВ “ФудСоул”), що визначає його обов'язки як оператора, що здійснює обробку за дорученням.
• Забезпечується розмежування прав доступу співробітників Оператора до функціоналу платформи на основі принципу мінімальних привілеїв (рольова модель доступу).
• Облікові записи співробітників захищені унікальними паролями.

2. Технічні заходи:

• Доступ до платформи і передача даних між користувачем і системою здійснюється виключно по захищених каналах зв'язку з використанням протоколів HTTPS/TLS (шифрування).
• Аутентифікація і авторизація користувачів забезпечується засобами самої платформи.
• Захист від шкідливого коду (антивірусний захист) і міжмережеві екрани (Firewall) реалізовані на стороні інфраструктури власника платформи.
• Власник платформи забезпечує регулярне резервне копіювання даних і фізичний захист серверного обладнання в дата-центрах на території РФ.
• Забезпечується реєстрація подій безпеки в рамках функціоналу, наданого платформою (логи дій).

3. Контроль виконання заходів:

• Оператор контролює дотримання власником платформи умов договору в частині забезпечення безпеки персональних даних.

Крок 11: Дані особи, яка сформувала повідомлення

Вкажіть ПІБ, посаду і контактну інформацію особи, яка направляє в Роскомнадзор дане повідомлення.

Крок 12: Підписання і відправка повідомлення

Варіант 1. У паперовому вигляді

Сформована друкована форма Повідомлення в паперовому вигляді повинна бути підписана керівником організації або особою, яка має право підпису документів, проставлена дата і печатка (якщо є), направляється в територіальне Управління Роскомнадзора поштовим відправленням або доставляється особисто.

Варіант 2. В електронному вигляді з використанням посиленої кваліфікованої електронної підпису

Ви можете заповнити форму і підписати її електронним підписом. У цьому випадку подача в паперовому вигляді не буде потрібна. У вас повинен бути встановлений плагін КриптоПро ЕЦП Browser plug-in і налаштована робота з ним.

Варіант 3. В електронному вигляді з використанням засобів аутентифікації ЕСІА

Пройти аутентифікацію на порталі Держпослуг, заповнити форму і направити її в електронному вигляді. У вас повинен бути підтверджений обліковий запис. Відправка копії в паперовому вигляді в даному випадку не буде потрібна. У разі якщо ви подаєте повідомлення за організацію, ваш обліковий запис повинен бути прив'язаний до даної організації на порталі Держпослуг.

ГОТОВО! Після успішної відправки ви будете внесені в реєстр операторів. Збережіть номер і ключ повідомлення.

Після успішної відправки повідомлення в Роскомнадзор і включення в реєстр операторів необхідно забезпечити коректну повсякденну роботу з персональними даними. Ключовими практичними аспектами цієї роботи є використання файлів cookie і аналітики, а також обробка запитів від самих користувачів.

Механізм отримання згоди при використанні зовнішніх форм збору даних

Багато клієнтів FoodSoul для залучення клієнтів розміщують на своїх сайтах зовнішні форми збору даних (віджети) — наприклад, форми замовлення зворотного дзвінка або для звернення в техпідтримку. Важливо розуміти, що такі інтеграції на сайт встановлюються клієнтами самостійно.

Щоб збір даних через ці форми був законним, необхідно виконати дві умови:

1. Текстова згода. Безпосередньо під формою (віджетом) збору даних потрібно розмістити зрозумілу користувачеві формулювання про те, що, натискаючи кнопку відправки, він дає згоду на обробку його персональних даних.

2. Гіперпосилання на документи. Ця формулювання повинна містити активні (клікабельні) посилання на два документи:

   • Користувацька угода (або Договір оферти), де описані умови надання послуг.

   • Політика конфіденційності, де докладно розписано, які дані збираються, навіщо і як обробляються.

Рекомендована формулювання для розміщення під формою:

“Натискаючи “Відправити”, ви приймаєте умови Користувацької угоди і даєте згоду на обробку персональних даних згідно з Політикою конфіденційності”.

Цей простий захід захистить вас від претензій з боку контролюючих органів і доведе, що користувач діяв усвідомлено і добровільно.

Як працювати з cookie, аналітикою і запитами користувачів

Cookie і аналітика

ПЗ FoodSoul використовує cookie-файли і лічильники (якщо застосовується) для:

• забезпечення працездатності сервісів;
• персоналізації функцій;
• аналітики і статистики;
• поліпшення якості ПЗ;
• персоналізації реклами.

Ці дані також є персональними, і їх обробка повинна бути відображена в повідомленні, як було описано вище. Важливо пам'ятати, що користувач може заборонити використання cookie в налаштуваннях браузера, при цьому окремі функції сервісу можуть бути недоступні.

Запити користувачів

Один з прямих обов'язків оператора — своєчасно реагувати на звернення суб'єктів персональних даних. Користувач має право:

• запитувати інформацію про обробку своїх даних;
• змінювати свої персональні дані;
• видалити дані, надіславши запит на info@fs.me.

Для реалізації своїх прав користувач може звернутися до оператора (клієнта FoodSoul) або використовувати функціонал особистого кабінету (де застосовується). Видалення облікового запису або відкликання згоди може призвести до неможливості подальшого використання відповідних Сервісів.

При цьому законодавство може зобов'язувати оператора зберігати певні дані протягом встановленого терміну або передавати їх державним органам.

Висновок

Використовуючи ПЗ FoodSoul, бізнес отримує зручний і безпечний інструмент, але разом з цим приймає на себе статус оператора персональних даних. Розуміння своїх обов'язків, коректна робота з даними і прозорі правила взаємодії з користувачами — це не формальність, а реальний спосіб знизити юридичні ризики і підвищити довіру клієнтів.

Ви все ще не в реєстрі? Подайте повідомлення з нашим гайдом — це простіше, ніж здається!
FoodSoul з вами на кожному кроці.

З повагою,

Команда FoodSoul