პირადი მონაცემების დამუშავება

შესავალი

შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს პოლიტიკა პერსონალური მონაცემების დამუშავების და დაცვის საკითხში (შემდგომში - პოლიტიკა) განსაზღვრავს შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს პერსონალური მონაცემების საინფორმაციო სისტემაში დამუშავებული პერსონალური მონაცემების დაცვის სტრატეგიას და აყალიბებს პერსონალური მონაცემების ძირითად პრინციპებს და მექანიზმებს.

პოლიტიკა არის შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს ძირითადი მმართველი დოკუმენტი, რომელიც განსაზღვრავს პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად წაყენებულ მოთხოვნებს.

პერსონალური მონაცემების უსაფრთხოების მიღწევა შესაძლებელია პერსონალურ მონაცემებზე არასანქციონირებული, მათ შორის შემთხვევითი, ხელმისაწვდომობის გამორიცხვით, რომლის შესაძლო შედეგებია პერსონალური მონაცემების განადგურება, შეცვლა, ბლოკირება, კოპირება, გავრცელება.

პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფა მათი საინფორმაციო სისტემაში დამუშავების დროს ხორციელდება პერსონალური მონაცემების დაცვის სისტემის დახმარებით, რომელიც მოიცავს საორგანიზაციო ზომებს და ინფორმაციის დაცვის საშუალებებს, აგრეთვე საინფორმაციო ტექნოლოგიებს, რომლებსაც იყენებენ საიფორმაციო სისტემაში. ტექნიკური და პროგრამული საშუალებები უნდა აკმაყოფილებდნენ საქართველოს კანონმდებლობით დადგენილ მოთხოვნებს, რომლებიც უზრუნველყოფენ ინფორმაციის დაცვას.

1. ზოგადი დებულებები

1.1. პოლიტიკის გამოყენების მიზანი და სფერო

პოლიტიკის მიზანია პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფა, აგრეთვე ნორმატიული სამართლებრივი აქტების და სხვა დოკუმენტების დებულებების რეალიზაცია პერსონალური მონაცემების დაცვის საკითხში. პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ძირითადი მიზანია:

• პერსონალური მონაცემების (ფიზიკური პირების) სუბიექტის უფლების დარღვევის თავიდან აცილება იმ ინფორმაციის კონფიდენციალობის დასაცავად, რომლის დამუშავება ხდება შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს პერსონალური მონაცემების საინფორმაციო სისტემაში;

• პერსონალური მონაცემების იმ ინფორმაციის დამახინჯების ან არასანქციონირებული მოდიფიკაციის თავიდან აცილება, რომლის დამუშავება ხდება შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს პერსონალური მონაცემების საინფორმაციო სისტემაში;

• პერსონალური მონაცემების ინფორმაციის მიმართ არასანქციონირებული ქმედებების თავიდან აცილება. ამ პოლიტიკის მოთხოვნები აუცილებელია შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს ყველა თანამშრომლისთვის. 

გავრცელდება:

• შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს ავტომატიზირებულ სისტემებზე;

• ტელეკომუნიკაციის საშუალებებზე;

• საინფორმაციო რესურსებზე და ინფორმაციის მატარებლებეზე;

შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს შიდა დოკუმენტები,რომლებშიც მოცემულ დოკუმენტში განხილული საკითხებია შესული, უნდა დამუშავდეს პოლიტიკის დებულებების გათვალისწინებით და არ უნდა ეწინააღმდეგებოდეს მათ.

წინამდებარე დოკუმენტი არის საზოგადოების ლოკალური ნორმატიული აქტი და ძალაში შედის დამტკიცების შესახებ ბრძანებით შ.პ.ს. „მისტერ ლოუნ.ჯი“-ს გენერალური დირექტორის ხელის მოწერის მომენტიდან .

1.2. პერსონალური მონაცემების დამუშავების პრინციპები

პერსონალური მონაცემების დამუშავება ხორციელდება პრინციპების საფუძველზე:

1.2.1 პერსონალური მონაცემების დამუშავების მიზნების და მეთოდების კანონიერება და კეთილსინდისიერება;

1.2.2 პერსონალური მონაცემების დამუშავების მიზნების შესაბამისობა წინასწარ განსაზღვრულ და განცხადებულ მიზნებთან პერსონალური მონაცემების შეგროვების დროს, აგრეთვე საზოგადოების უფლებამოსილებებთან;

1.2.3 დამუშავებული პერსონალური მონაცემების მოცულობის და ხასიათის შესაბამისობა,პერსონალური მონაცემების დამუშავების მეთოდების შესაბამისობა პერსონალური მონაცემების დამუშავების მიზნებთან;

1.2.4 პერსონალური მონაცემების უტყუარობა, მათი საკმარისობა დამუშავების მიზნებისათვის, პერსონალური მონაცემების შეგროვების დროს განცხადებულ მიზნებთან მიმართებაში გადაჭარბებული პერსონალური მონაცემების დამუშავების დაუშვებლობა;

1.2.5 შეუთავსებელი მიზნებისათვის შექმნილი პერსონალური მონაცემების საინფორმაციო სისტემების მონაცემთა ბაზის გაერთიანების დაუშვებლობა.

1.3. პერსონალური მონაცემების დამუშავების მეთოდები.

საზოგადოებას შეუძლია განახორციელოს პერსონალური მონაცემების დამუშავება ავტომატიზაციის საშუალებების გამოყენებით, აგრეთვე ასეთი საშუალებების გამოყენების გარეშე.

2. პერსონალური მონაცემების სუბიექტები

საზოგადოებას (პერსონალური მონაცემების ოპერატორს) შეუძლია განახორციელოს პერსონალური მონაცემების სუბიექტების შემდეგი კატეგორიის პერსონალური მონაცემების დამუშავება:

• საზოგადოების კლიენტები.

2.1. პერსონალური მონაცემების დამუშავების მიზნები

საზოგადოების კლიენტის გადახდისუნარიანობის შეფასება საზოგადოების კლიენტისთვის განაცხადის დამტკიცებამდე..

2.2. დამუშავებული პერსონალური მონაცემების ჩამონათვალი

1. სახელი, გვარი

2. სქესი

3. ოჯახური მდგომარეობა

4. პირადი ნომერი

5. დაბადების თარიღი და ადგილი

6. პირადობის დამადატურებელი საბუთის ნომერი

7. რეგისტრაციის მისამართი

8. ფაქტიური მისამართი

9. საცხვორებელი ფართის საკუთრებაში არსებობა, მისამართი

10. საკონტაქტო ტელეფონის ნომრები

11. ელექტრონული ფოსტა

12. განათლების დონე

13. ყოველთვიური ვალდებულებები

14. თვიური შემოსავლის დონე

15. IP მისამართი, რომლის დახმარებით ხორციელდება almal.ge –ზე შესვლა

16. მობილური ტელეფონის მოდელი

17. მობილური ტელეფონის IMEI კოდი

2.3. პერსონალური მონაცემების შენახვის ვადები

პერსონალური მონაცემების დამუშავება იწყება პერსონალური მონაცემების საინფორმაციო სისტემაში მათი მიღების მომენტიდან და მთავრდება:

• პერსონალურ მონაცემებზე მიმართული არამართლზომიერი ქმედებების გამოვლენის შემთხვევაში სამი სამუშაო დღის ვადაში ასეთი გამოვლენის მომენტიდან,საზოგადოება ასრულებს დაშვებული დარღვევის აღმოფხვრას . სამი სამუშაო დღის ვადაში პერსონალურ მონაცემებზე მიმართული არამართლზომიერი ქმედებების გამოვლენის მომენტიდან დაშვებული დარღვევების აღმოფხვრის შეუსრულებლობის შემთხვევაში, ანადგურებს პერსონალურ მონაცემებს. დაშვებული დარღვევების აღმოფხვრის და პერსონალური მონაცემების განადგურების შესახებ საზოგადოება ატყობინებს პერსონალური მონაცემების სუბიექტს ან მის კანონიერ წარმომადგენელს, ხოლო თუ მიმართვა ან მოთხოვნა პერსონალური მონაცემების სუბიექტების უფლებების დაცვაზე უფლებამოსილი ორგანოს მიერ იყო გაგზავნილი, საზოგადოება აღნიშნულ ორგანოსაც აცნობებს;

• პერსონალური მონაცემების დამუშავების მიზნების მიღწევის შემთხვევაში, საზოგადოება დაუყოვნებლივ წყვეტს პერსონალური მონაცემების დამუშავებას და ანადგურებს შესაბამის პერსონალურ მონაცემებს სამი სამუშაო დღის ვადაში პერსონალური მონაცემების დამუშავების მიზნის მიღწევის თარიღიდან და აცნობებს ამის შესახებ პერსონალური მონაცემების სუბიექტს ან მის კანონიერ წარმომადგენელს, ხოლო თუ მიმართვა ან მოთხოვნა პერსონალური მონაცემების სუბიექტების უფლებების დაცვაზე უფლებამოსილი ორგანოს მიერ იყო გაგზავნილი, საზოგადოება აღნიშნულ ორგანოსაც აცნობებს;

• სუბიექტის მიერ თავისი პერსონალური მონაცემების დამუშავებაზე პერსონალური მონაცემების თანხმობის უკან გამოხმობის შემთხვევაში, საზოგადოება წყვეტს პერსონალური მონაცემების დამუშავებას და ანადგურებს შესაბამის პერსონალურ მონაცემებს სამი სამუშაო დღის ვადაში აღნიშნული გამოხმობის მიღების დღიდან . პერსონალური მონაცემების განადგურების შესახებ საზოგადოება აცნობებს პერსონალური მონაცემების სუბიექტს.

• საზოგადოების საქმიანობის შეწყვეტის შემთხვევაში.

3. პერსონალური მონაცემების დამუშავების პირობები.

პერსონალური მონაცემების დამუშავების დროს დაცული უნდა იყოს შემდეგი პირობები:

3.1. პერსონალური მონაცემების კონფიდენციალობა

საზოგადოებაში დოკუმენტურად ფორმდება კონფიდენციალური მონაცემების შესახებ ცნობების ჩამონათვალი. საზოგადოებამ და მესამე პირებმა, რომელთათვის ხელმისაწვდომია პერსონალური მონაცემები, უნდა უზრუნველყონ ასეთი მონაცემების კონფიდენციალობა, გარდა შემდეგი შემთვევებისა:

• პერსონალური მონაცემების დეპერსონალიზაციის შემთხვევაში;

• საჯაროდ ხელმისაწვდომი პერსონალური მონაცემების მიმართ.

3.2. პერსონალური მონაცემების დამუშავების დავალების მიცემა მესამე პირთათვის

იმ შემთხევაში თუ ხელშეკრულების საფუძველზე საზოგადოება ავალებს მესამე პირს პერსონალური მონაცემების დამუშავებას, ხელშეკრულების არსებით პირობას წარმოადგენს აღნიშნული პირის მიერ პერსონალური მონაცემების კონფიდენციალობის უზრუნველყოფის და პერსონალური მონაცემების უსაფრთხოების ვალდებულება მათი დამუშავების დროს.

ამ მოთხოვნის შესრულების კონტროლს ახორციელებს საზოგადოების დირექტორი.

3.3. პერსონალური მონაცემების შენახვა და განადგურება

პერსონალური მონაცემების შენახვა უნდა განხორციელდეს ისეთი ფორმით, რომ პერსონალური მონაცემების სუბიექტის დადგენის პროცესი არ გაგრძელდეს ამ მონეცემთა დამუშავების მიზნისთვის განსაზღვრულ დროზე უფრო ხანგრძლივად. მიზნების მიღწევის არსაჭიროების შემთხვევაში პერსონალური მონაცემები ექვემდებარება განადგურებას.

პერსონალური მონაცემების გასანადგურებლად , გენერალური დირექტორის ბრძანებით ინიშნება პერსონალური მონაცემების განადგურების კომისია.

პერსონალური მონაცემების განადგურება აქტით ფორმდება. პერსონალური მონაცემების მატერიალური მატარებლების შენახვის ადგილის დამტკიცება ხდება გენერალური დირექტორის განკარგულებით .

3.4.პერსონალური მონაცემების დამუშავება საქონლის,სამუშაოს, მომსახურების პროგრესის მიზნით

პერსონალური მონაცემების დამუშავება ბაზარზე საქონლის, სამუშაოს, მომსახურების პროგრესის მიზნით პოტენციურ მომხმარებელთან პირდაპირი კონტაქტების განხორციელების გზით კავშირის საშუალებების დახმარებით, დასაშვებია მხოლოდ პერსონალური მონაცემების სუბიექტის წინასწარი თანხმობის პირობით.

3.5. პერსონალური მონაცემების ტრანსსაზღვრული გადაცემა

საზოგადოებას შეუძლია განახორციელოს პერსონალური მონაცემების ტრანსსაზღვრული გადაცემა.

პერსონალური მონაცემების ტრანსსაზღვრული გადაცემის განსახორციელებლად საჭიროა პერსონალური მონაცემების სუბიექტის თანხმობის მიღება წერილობითი ფორმით.

პერსონალური მონაცემების ტრანსსაზღვრული გადაცემის განხორციელება პერსონალური მონაცემების სუბიექტის თანხმობის გარეშე შესაძლებელია შემდეგ შემთხვევებში:

• ხელშეკრულების შესრულებისას, რომლის მხარე პერსონალური მონაცემების სუბიექტია;

• პერსონალური მონეცემების სუბიექტის სიცოცხლის, ჯანმრთელობის, სხვა საციცოხლო ინტერესების დაცვის შემთხვევაში, პერსონალური მონაცემების სუბიექტის წერილობითი თანხმობის მიღების შეუძლებლობისას.

4. ზოგადი მოთხოვნები პერსონალური მონაცემების დაცვის ორგანიზაციის საკითხში

4.1. ზოგადი დებულებები

პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის სამუშაოების ორგანიზაციას ახორციელებს გენერალური დირექტორი.

პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ღონისძიების შემუშავების და განხორციელების შესრულება შესაძლებელია აგრეთვე სხვა ორგანიზაციების მიერ, რომლებსაც აქვთ შესაბამისი სამუშაოების ჩატარების უფლების ლიცენზია, ხელშეკრულების საფუძველზე.საზოგადოების გენერალური დირექტორის ბრძანებით ინიშნებიან პერსონალურ მონაცემებთან მუშაობის პასუხისმგებელი პირები. პირებს, რომლებსაც სამსახურეობრივი მოვალეობების შესასრულებლად სჭირდებათ საინფორმაციო სისტემებში დამუშავებული პერსონალური მონაცემების ხელმისაწვდომობა, ექნებათ შესაბამისი პერსონალური მონაცემების ბაზაში შესვლის უფლება.

4.2. პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ღონისძიებები ავტომატიზირებული დამუშავების დროს.

4.2.1. პერსონალურ მონაცემთა დაცვის სისტემა

პერსონალურ მონაცემთა უსაფრთხოების უზრუნველყოფა საინფორმაციო სისტემებში მათი დამუშავების დროს ხორციელდება პერსონალური მონაცემების დაცვის სისტემის დახმარებით, რომელიც მოიცავს ინფორმაციის საორგანიზაციო ზომებს და დაცვის საშუალებებს ( მათ შორის კრიფტოგრაფიულ საშუალებებს, არასანქციონირებული ხელმისაწვდომობის, ინფორმაციის გაჟონვის თავიდან აცილების საშუალებებს, პერსონალური მონაცემების დამუშავების ტექნიკურ საშუალებებზე პროგრამულ–ტექნიკური ზემოქმედების საშუალებებს), აგრეთვე საინფორმაციო სისტემაში გამოყენებულ საინფორმაციო ტექნოლოგიებს. საზოგადოების საინფორმაციო სისტემაში პერსონალური მონაცემების დამუშავების დროს უზრუნველყოფილი უნდა იყოს:

• პერსონალური მონაცემების არასანქციონირებული ხელმისაწვდომობის თავიდან აცილებაზე მიმართული ღონისძიებების ჩატარება და/ან მათი გადაცემა მესამე პირებზე, რომლებსაც არ აქვთ ასეთი ინფორმაციის ხელმისაწვდომობის უფლება;

• პერსონალური მონაცემების არასანქციონირებული ხელმისაწვდომობის ფაქტების დროული გამოვლენა;

• პერსონალური მონაცემების ავტომატიზირებული დამუშავების ტექნიკური საშუალებებზე ზემოქმედების არდაშვება, რომლის შედეგად შესაძლოა მათი ფუნქციონირების დარღვევა;

• ისეთი პერსონალური მონაცემების დაუყონებლივი აღდგენის შესაძლებლობა, რომლებიც მოდოფიცირებულია და განადგურებულია მათი არასანქციონირებული ხელმისაწვდომობის დროს;

• პერსონალურ მონაცემთა დაცვის დონის უზრუნველყოფის მუდმივი კონტროლი.

4.2.2. პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ღონისძიებების ჩამონათვალი

პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ღონისძიებები საინფორმაციო სისტემებში მათი დამუშავებისას მოიცავს:

• პერსონალური მონაცემების უსაფრთხოების საშიშროების განსაზღვრას მათი დამუშავებისას, მათ საფუძველზე უშიშროების მოდელის ფორმირებას ;

• პერსონალური მონაცემების დაცვის სისტემის უშიშროების მოდელის საფუძველზე შემუშავებას, რომელიც უზრუნველყოფს სავარაუდო საშიშროების ნეიტრალიზაციას საინფორმაციო სისტემების შესაბამისი კლასებისთვის გათვალისწინებული პერსონალურ მონაცემთა დაცვის მეთოდების და საშუალებების გამოყენებით;

• ინფორმაციის დაცვითი საშუალებების გამოყენებისთვის მზადყოფნის შემოწმებას და მათი ექსპლუატაციის დაშვების შესახებ დასკვნის შედგენას;

• ინფორმაციის დაცვის საშუალებების დაყენებას და ექსპლუატაციაში შესვლას საექსპლუატაციო და ტექნიკური დოკუმეტაციის შესაბამისად;

• ინფორმაციის დაცვის საშუალებებთან მუშაობის წესების სწავლას პირთათვის, რომლებიც სარგებლობენ საინფორმაციო სისტემებში გამოყენებული ინფორმაციის დაცვის საშუალებებით;

• ინფორმაციის დაცვის საშუალებების გამოყენებული საშუალებების,მათი საექსპლუატაციო და ტექნიკური დოკუმენტაციის, პერსონალურ მონაცემთა მატარებლების აღრიცხვას;

• საინფორმაციო სისტემებში პერსონალურ მონაცემებთან სამუშაოდ დაშვებული პირთა აღრიცხვას;

• სექსპლუატაციო და ტექნიკური დოკუმენტაციით გათვალისწინებული ინფორმაციის დაცვის საშუალებების გამოყენების პირობების დაცვის კონტროლს;

• მოსმენებს და დასკვნების შედგენას პერსონალურ მონაცემთა მატარებლების შენახვის, ინფორმაციის დაცვის საშუალებების გამოყენების პირობების დაუცველობის ფაქტებზე, რის შედეგიც შედეგი პერსონალური მონაცემების კონფიდენციალობის დარღვევა და ან სხვა დარღვევა იყოს;

• პერსონალურ მონაცემთა დაცვის სისტემის აღწერას.

4.2.3. პერსონალურ მონაცემთა საინფორმაციო სისტემების კლასიფიკაცია

საზოგადოების პერსონალური მონაცემების საინფორმაციო სისტემები ექვემდებარება სავალდებულო კლასიფიკაციას. პერსონალურ მონაცემთა საინფორმაციო სისტემების კლასიფიკაციების ჩასატარებლად ინიშნება კომისია. კლასიფიკაციის შედეგები ფორმდება შესაბამისი აქტით.

4.2.4. ფართები, სადაც ხდება პერსონალურ მონაცემთა დამუშავება.

საინფორმაციო სისტემების განთავსება, სპეციალური აღჭურვილობა და ფართების დაცვა, სადაც პერსონალური მონაცემების დამუშავება ხდება, ამ ფართებში უსაფრთხოების უზრუნველყოფის რეჟიმის ორგანიზაცია უნდა უზრუნველყონ პერსონალური მონაცემების მატარებლების და ინფორმაციის დაცვის საშუალებების უსაფრთხოება, და ამ ფართებში უცხო პირთა შესვლის შეუძლებლობა.

4.3. ამ პოლიტიკს მოთხოვნების შესრულების კონტროლი და ზედამხედველობა

პოლიტიკს მოთხოვნების შესრულების კონტროლი და ზედამხედველობა ხორციელდება „პერსონალური მონეცემების დაცვის მდგომარეობის შიდა შემოწმების გეგმის“ შესაბამისად.

კონტროლში შედის ინფორმაციის დაცვის ნორმატიული დოკუმენტების მოთხოვნის შესრულების შემოწმება, აგრეთვე მიღებული ზომების ეფექტურობის და დასაბუთების შეფასება. ის შეიძლება განხორციელდეს სტრუქტურული ქვეგანყოფილების მიერ, რომელიც პასუხისმგებელია პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაში ან სხვა ორგანიზაციების ხელშეკრულების საფუძველზე, რომლებსაც აქვთ ლიცენზიები ტექნიკური დაცვის და ინფორმაციის კონფიდენციალობის დაცვის საქმიანობაზე .

4.4 პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ღონისძიებების დაფინანსება

პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ღონისძიებების დაფინანსება ხოეციელდება საზოგადოების სახსრებით და გათვალისწინებულია საზოგადოების ბიუჯეტით.

5.ამ პოლიტიკის მოთხოვნების დარღვევის პაუხისმგებლობა

ამ პოლიტიკის მოთხოვნების დამრღვევი პირები, პასუხს აგებენ საქართველოს კანონმდებლობის შესაბამისად .