Madloba Limited-ის ეს პოლიტიკა პერსონალური მონაცემების დამუშავებასთან დაკავშირებით (შემდგომში-პოლიტიკა) შემუშავებულია საქართველოს კონსტიტუციის, პერსონალური მონაცემების ავტომატური დამუშავების მქონე პირთა დაცვის შესახებ კონვენციის Ets No. 108 28.01.1981 წლის შესაბამისად.
ეს პოლიტიკა განსაზღვრავს შეზღუდული პასუხისმგებლობის საზოგადოება "Madloba" - ში (შემდგომში Madloba და (ან) ოპერატორი) პერსონალური მონაცემების სუბიექტების უფლებების დაცვის უზრუნველყოფის პროცედურასა და გარანტიებს, რათა დაიცვას პირის და მოქალაქის უფლებები და თავისუფლებები მისი პირადი მონაცემების დამუშავებისას.
ტერმინების განმარტება
1.1. ამ პოლიტიკაში გამოყენებული ძირითადი ცნებები:
1.1.1. პერსონალური მონაცემები-ნებისმიერი ინფორმაცია, რომელიც პირდაპირ ან ირიბად ეხება კონკრეტულ ან იდენტიფიცირებად ინდივიდს (პერსონალური მონაცემების სუბიექტი);
1.1.2. ოპერატორი - სახელმწიფო ორგანო, მუნიციპალური ორგანო, იურიდიული პირი ან ფიზიკური პირი, დამოუკიდებლად ან ერთობლივად სხვა პირებთან, რომლებიც აწყობენ და (ან) ამუშავებენ პერსონალურ მონაცემებს, ასევე განსაზღვრავენ პერსონალური მონაცემების დამუშავების მიზნებს, დასამუშავებელი პერსონალური მონაცემების შემადგენლობას, მოქმედებებს (ოპერაციებს), რომლებიც ხორციელდება პერსონალური მონაცემებით;
1.1.3. პერსონალური მონაცემების დამუშავება-ნებისმიერი მოქმედება (ოპერაცია) ან მოქმედებების ნაკრები (ოპერაციები), რომელიც ხორციელდება პერსონალური მონაცემებით ავტომატიზაციის ხელსაწყოების გამოყენებით ან მის გარეშე, მათ შორის შეგროვება, ჩაწერა, სისტემატიზაცია, დაგროვება, შენახვა, დაზუსტება (განახლება, მოდიფიკაცია), მოპოვება, გამოყენება, გადაცემა (განაწილება, უზრუნველყოფა, წვდომა), დეპერსონალიზაცია, დაბლოკვა, წაშლა, პირადი მონაცემების განადგურება;
1.1.4. პერსონალური მონაცემების ავტომატური დამუშავება-პერსონალური მონაცემების დამუშავება კომპიუტერული ტექნოლოგიის გამოყენებით;
1.1.5. პერსონალური მონაცემების გავრცელება-ქმედებები, რომლებიც მიზნად ისახავს პერსონალური მონაცემების გამჟღავნებას პირთა განუსაზღვრელი წრისთვის;
1.1.6. პერსონალური მონაცემების უზრუნველყოფა-ქმედებები, რომლებიც მიზნად ისახავს პერსონალური მონაცემების გამჟღავნებას გარკვეული პირისთვის ან პირთა გარკვეული წრისთვის;
1.1.7. პერსონალური მონაცემების დაბლოკვა-პერსონალური მონაცემების დამუშავების დროებითი შეწყვეტა (გარდა იმ შემთხვევებისა, როდესაც დამუშავება აუცილებელია პერსონალური მონაცემების გასარკვევად);
1.1.8. პერსონალური მონაცემების განადგურება-ქმედებები, რის შედეგადაც შეუძლებელი ხდება პერსონალური მონაცემების შინაარსის აღდგენა პერსონალურ მონაცემთა საინფორმაციო სისტემაში და (ან) რის შედეგადაც განადგურებულია პერსონალური მონაცემების მატერიალური მატარებლები;
1.1.9. პერსონალური მონაცემების დეპერსონალიზაცია-ქმედებები, რის შედეგადაც შეუძლებელი ხდება პერსონალური მონაცემების იდენტურობის დადგენა კონკრეტული პერსონალური მონაცემების სუბიექტისთვის დამატებითი ინფორმაციის გამოყენების გარეშე;
1.1.10 პერსონალური მონაცემების საინფორმაციო სისტემა-მონაცემთა ბაზებსა და საინფორმაციო ტექნოლოგიებსა და ტექნიკურ საშუალებებში შემავალი პერსონალური მონაცემების ერთობლიობა, რომელიც უზრუნველყოფს მათ დამუშავებას.
პერსონალური მონაცემების დამუშავების პრინციპები და პირობები
2.1. პერსონალური მონაცემების დამუშავების პრინციპები.
2.1.1. ოპერატორის მიერ პერსონალური მონაცემების დამუშავება ხორციელდება შემდეგი პრინციპების საფუძველზე:
კანონიერება და სამართლიანი საფუძველი;
პერსონალური მონაცემების დამუშავების შეზღუდვები კონკრეტული, წინასწარ განსაზღვრული და ლეგიტიმური მიზნების მისაღწევად;
პერსონალური მონაცემების შეგროვების მიზნებთან შეუთავსებელი პერსონალური მონაცემების დამუშავების პრევენცია;
პერსონალური მონაცემების შემცველი მონაცემთა ბაზების კონსოლიდაციის პრევენცია, რომელთა დამუშავება ხორციელდება ერთმანეთთან შეუთავსებელი მიზნებისათვის;
მხოლოდ იმ პერსონალური მონაცემების დამუშავება, რომლებიც აკმაყოფილებენ მათი დამუშავების მიზნებს;
დამუშავებული პერსონალური მონაცემების შინაარსისა და მოცულობის შესაბამისობა დამუშავების გაცხადებულ მიზნებთან;
პერსონალური მონაცემების დამუშავების პრევენცია, რაც გადამეტებულია მათი დამუშავების გაცხადებულ მიზნებთან მიმართებაში;
პერსონალური მონაცემების დამუშავების მიზნებთან მიმართებაში პერსონალური მონაცემების სიზუსტის, საკმარისობისა და შესაბამისობის უზრუნველყოფა;
პერსონალური მონაცემების განადგურება ან დეპერსონალიზაცია მათი დამუშავების მიზნების მიღწევის ან ამ მიზნების მიღწევის საჭიროების დაკარგვის შემთხვევაში, თუ ოპერატორისთვის შეუძლებელია პერსონალური მონაცემების დარღვევების აღმოფხვრა, თუ კანონით სხვა რამ არ არის გათვალისწინებული.
2.2. პერსონალური მონაცემების დამუშავების პირობები.
2.2.1. ოპერატორი ამუშავებს პერსონალურ მონაცემებს მინიმუმ ერთი შემდეგი პირობის არსებობისას:
პერსონალური მონაცემების დამუშავება ხორციელდება მისი პერსონალური მონაცემების დამუშავებას დაქვემდებარებული პერსონალური მონაცემების თანხმობით;
პერსონალური მონაცემების დამუშავება აუცილებელია ხელშეკრულების ან ხელშეკრულების შესასრულებლად, რომლის თანახმადაც პერსონალური მონაცემების სუბიექტი არის მხარე ან ბენეფიციარი ან გარანტი, ასევე ხელშეკრულების ან ხელშეკრულების დადებისთვის პერსონალური მონაცემების სუბიექტის ინიციატივით ან ხელშეკრულება ან ხელშეკრულება, რომლის თანახმადაც პერსონალური მონაცემების სუბიექტი იქნება ბენეფიციარი ან გარანტი;
პერსონალური მონაცემების დამუშავება აუცილებელია ოპერატორის ან მესამე მხარის უფლებებისა და ლეგიტიმური ინტერესების განსახორციელებლად, ან სოციალურად მნიშვნელოვანი მიზნების მისაღწევად, იმ პირობით, რომ არ დაირღვეს პერსონალური მონაცემების სუბიექტის უფლებები და თავისუფლებები;
კანონით გათვალისწინებული სხვა პირობები.
2.3. პირადი მონაცემების კონფიდენციალურობა.
2.3.1. ოპერატორი და სხვა პირები, რომლებმაც მოიპოვეს წვდომა პერსონალურ მონაცემებზე, ვალდებულნი არიან არ გაამჟღავნონ მესამე პირები და არ გაავრცელონ პერსონალური მონაცემები პერსონალური მონაცემების სუბიექტის თანხმობის გარეშე, თუ კანონით სხვა რამ არ არის გათვალისწინებული.
2.3.2. ოპერატორს უფლება აქვს პირადი მონაცემები გადასცეს საგამოძიებო და საგამოძიებო ორგანოებს, სხვა უფლებამოსილ ორგანოებს მოქმედი კანონმდებლობით გათვალისწინებული საფუძვლით.
2.4. პერსონალური მონაცემების საჯაროდ ხელმისაწვდომი წყაროები.
2.4.1. პერსონალური მონაცემების საჯაროდ ხელმისაწვდომი წყაროები (მათ შორის დირექტორიები, მისამართების წიგნები) შეიძლება შეიქმნას ინფორმაციის მხარდაჭერის მიზნით. პერსონალური მონაცემების საჯაროდ ხელმისაწვდომი წყაროები, პერსონალური მონაცემების სუბიექტის წერილობითი თანხმობით, შეიძლება შეიცავდეს მის გვარს, სახელს, პატრონიმიკას, დაბადების წელს და ადგილს, მისამართს, აბონენტის ნომერს, პროფესიის შესახებ ინფორმაციას და სხვა პერსონალურ მონაცემებს.
2.4.2. პერსონალური მონაცემების სუბიექტის შესახებ ინფორმაცია უნდა გამოირიცხოს პერსონალური მონაცემების საჯაროდ ხელმისაწვდომი წყაროებიდან ნებისმიერ დროს პერსონალური მონაცემების სუბიექტის მოთხოვნით ან სასამართლოს გადაწყვეტილებით ან სხვა უფლებამოსილი სახელმწიფო ორგანოებით.
2.5. ოპერატორის მიერ არ არის დამუშავებული პერსონალური მონაცემების სპეციალური კატეგორიები, ასევე ბიომეტრიული პერსონალური მონაცემები.
2.6. პერსონალური მონაცემების დამუშავების დავალება მესამე (სხვა) პირზე.
2.6.1. ოპერატორს უფლება აქვს პირადი მონაცემების დამუშავება დაავალოს სხვა პირს, მათ შორის ქვეყნის გარეთ მდებარე პირებს (პირადი მონაცემების ტრანსსასაზღვრო გადაცემა), პერსონალური მონაცემების სუბიექტის თანხმობით, თუ კანონით სხვა რამ არ არის გათვალისწინებული, ამ პირთან დადებული ხელშეკრულების საფუძველზე. ოპერატორის სახელით პერსონალური მონაცემების დამუშავების პირი ვალდებულია შეასრულოს კანონით გათვალისწინებული პერსონალური მონაცემების დამუშავების პრინციპები და წესები. ოპერატორის ინსტრუქცია განსაზღვრავს პერსონალური მონაცემების მქონე ქმედებების (ოპერაციების) ჩამონათვალს, რომელსაც შეასრულებს პერსონალური მონაცემების დამუშავების პირი და დამუშავების მიზნები, ადგენს ასეთი პირის ვალდებულებას პატივი სცეს პერსონალური მონაცემების კონფიდენციალურობას და უზრუნველყოს პერსონალური მონაცემების უსაფრთხოება მათი დამუშავების დროს და ასევე განსაზღვრავს დამუშავებული პერსონალური მონაცემების დაცვის მოთხოვნებს კანონის მე -19 მუხლის შესაბამისად. პირადი მონაცემების ტრანსსასაზღვრო გადაცემა ხორციელდება პერსონალურ მონაცემთა სუბიექტებთან დადებული ხელშეკრულებებით ან ხელშეკრულებებით გათვალისწინებული უფლებებისა და ვალდებულებების შესასრულებლად, აგრეთვე კანონებისა და სხვა მარეგულირებელი სამართლებრივი აქტების დაცვის უზრუნველსაყოფად.
2.6.2. ოპერატორის სახელით პერსონალური მონაცემების დამუშავების პირი არ არის ვალდებული მიიღოს პერსონალური მონაცემების თანხმობა, რომელიც ექვემდებარება მისი პერსონალური მონაცემების დამუშავებას.
2.6.3. თუ ოპერატორი პირადი მონაცემების დამუშავებას ანდობს სხვა პირს, ოპერატორი პასუხისმგებელია პერსონალური მონაცემების სუბიექტზე მითითებული პირის ქმედებებზე. პირი, რომელიც ამუშავებს პერსონალურ მონაცემებს ოპერატორის სახელით, პასუხისმგებელია ოპერატორის წინაშე.
2.7. პერსონალური მონაცემების დამუშავების მიზანი.
2.7.1. პერსონალური მონაცემების დამუშავება შეიძლება განხორციელდეს ოპერატორის მიერ მხოლოდ პერსონალურ მონაცემთა სუბიექტებთან დადებული ხელშეკრულებებითა და ხელშეკრულებებით გათვალისწინებული უფლებებისა და ვალდებულებების შესრულების მიზნით, კანონებისა და სხვა მარეგულირებელი სამართლებრივი აქტების შესაბამისობის უზრუნველსაყოფად, აგრეთვე ოპერატორის ან პერსონალური მონაცემების სუბიექტების სხვა ლეგიტიმური ინტერესების დაცვის მიზნით.
2.7.2. პერსონალური მონაცემები გროვდება და გამოიყენება იმდენად, რამდენადაც გამართლებულია ასეთი პერსონალური მონაცემების დამუშავების მიზნით. ოპერატორი ეძებს გზებსა და მეთოდებს, რათა გამოიყენოს მხოლოდ დეპერსონალიზებული პერსონალური მონაცემები იმდენად, რამდენადაც ეს გამართლებულია პერსონალური მონაცემების დამუშავების მიზნებით.
2.7.3. პერსონალური მონაცემების დამუშავების მიზნების მიღწევა შეიძლება იყოს პერსონალური მონაცემების დამუშავების შეწყვეტის პირობა.
2.8. მიუხედავად არსებული სასამართლო პრაქტიკისა და უფლებამოსილი ორგანოების განმარტებებისა, ოპერატორი ეხება პერსონალურ მონაცემებს, მათ შორის შემდეგ ინფორმაციას:
პირადი და ბიოგრაფიული მონაცემები;
მონაცემები, რომლებიც საშუალებას იძლევა იდენტიფიცირება საგანი ან მისი ტერმინალის აღჭურვილობა (cookies, ვებ შუქურები, pixel tags, IP მისამართები, ინფორმაცია ბრაუზერის ან სხვა პროგრამა, რომელიც უზრუნველყოფს ხელმისაწვდომობის ჩვენება სარეკლამო) და სხვა ციფრული მარკირების ტექნოლოგიები;
სხვა პერსონალური მონაცემები.
პერსონალური მონაცემების სუბიექტის უფლებები
3.1. პერსონალური მონაცემების თანხმობა, რომელიც ექვემდებარება მისი პერსონალური მონაცემების დამუშავებას.
3.1.1. პერსონალური მონაცემების სუბიექტი წყვეტს მისი პერსონალური მონაცემების მიწოდებას და თანხმდება მათ დამუშავებაზე თავისუფლად, საკუთარი ნებით და საკუთარი ინტერესით. პერსონალური მონაცემების დამუშავებაზე თანხმობა უნდა იყოს კონკრეტული, ინფორმირებული და შეგნებული. პერსონალური მონაცემების დამუშავებაზე თანხმობა შეიძლება მიეცეს პერსონალური მონაცემების სუბიექტს ან მის წარმომადგენელს ნებისმიერი ფორმით, რომელიც საშუალებას იძლევა დაადასტუროს მისი მიღების ფაქტი, თუ კანონით სხვა რამ არ არის გათვალისწინებული. პერსონალური მონაცემების სუბიექტის წარმომადგენლისგან პერსონალური მონაცემების დამუშავებაზე თანხმობის მიღების შემთხვევაში, ამ წარმომადგენლის უფლებამოსილებას, მისცეს თანხმობა პერსონალური მონაცემების სუბიექტის სახელით, ამოწმებს ოპერატორი.
3.1.2. პერსონალური მონაცემების დამუშავებაზე თანხმობა შეიძლება გაუქმდეს პერსონალური მონაცემების სუბიექტის მიერ. თუ პერსონალური მონაცემების სუბიექტი პირადი მონაცემების დამუშავებაზე თანხმობას გაიწვევს, ოპერატორს უფლება აქვს პერსონალური მონაცემების დამუშავება გააგრძელოს პერსონალური მონაცემების სუბიექტის თანხმობის გარეშე, თუ არსებობს კანონის მე-6 მუხლის 1-ლი ნაწილის 2-11 პუნქტებში მითითებული საფუძვლები, მე-10 მუხლის მე-2 ნაწილი.
3.1.3. მისი პერსონალური მონაცემების დამუშავებაზე დაქვემდებარებული პერსონალური მონაცემების თანხმობის მიღების ან კანონის მე-10 მუხლის 1-ლი ნაწილის 2-11 პუნქტებში მითითებული საფუძვლების არსებობის დამადასტურებელი საბუთი ენიჭება ოპერატორს.
3.2. პერსონალური მონაცემების სუბიექტის უფლებები.
3.2.1. პერსონალური მონაცემების სუბიექტს უფლება აქვს ოპერატორისგან მიიღოს ინფორმაცია მისი პერსონალური მონაცემების დამუშავების შესახებ, თუ ასეთი უფლება არ არის შეზღუდული კანონების შესაბამისად.
3.2.2. პერსონალური მონაცემების სუბიექტს უფლება აქვს მოითხოვოს ოპერატორისგან მისი პერსონალური მონაცემების გარკვევა, დაბლოკვა ან განადგურება, თუ პერსონალური მონაცემები არასრულია, მოძველებული, არაზუსტი, უკანონოდ მოპოვებული ან არ არის საჭირო დამუშავების მიზნით, ასევე კანონით გათვალისწინებული ზომების მიღება მათი უფლებების დასაცავად.
3.2.3. ოპერატორი ვალდებულია დაუყოვნებლივ შეწყვიტოს, პერსონალური მონაცემების სუბიექტის მოთხოვნით, მისი პერსონალური მონაცემების დამუშავება ზემოაღნიშნული მიზნებისათვის.
3.2.4. აკრძალულია გადაწყვეტილებების მიღება მხოლოდ პერსონალური მონაცემების ავტომატიზირებულ დამუშავებაზე დაყრდნობით, რაც წარმოშობს სამართლებრივ შედეგებს პერსონალური მონაცემების სუბიექტთან მიმართებაში ან სხვაგვარად იმოქმედებს მის უფლებებსა და ლეგიტიმურ ინტერესებზე, გარდა კანონებით გათვალისწინებული შემთხვევებისა ან პირადი მონაცემების სუბიექტის წერილობითი თანხმობით.
3.2.5. თუ პერსონალურ მონაცემთა სუბიექტს მიაჩნია, რომ ოპერატორი ამუშავებს თავის პერსონალურ მონაცემებს კანონის მოთხოვნების დარღვევით ან სხვაგვარად არღვევს მის უფლებებსა და თავისუფლებებს, პერსონალურ მონაცემთა სუბიექტს უფლება აქვს გაასაჩივროს ოპერატორის ქმედებები ან უმოქმედობა ოპერატორისთვის შესაბამისი შეტყობინების გაგზავნით წერილობით, ასევე დაუკავშირდეს პერსონალურ მონაცემთა სუბიექტების უფლებების დაცვის უფლებამოსილ ორგანოს.
პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფა
4.1. ოპერატორის მიერ დამუშავებული პერსონალური მონაცემების უსაფრთხოება უზრუნველყოფილია პერსონალურ მონაცემთა დაცვის სფეროში კანონმდებლობის მოთხოვნების დასაკმაყოფილებლად აუცილებელი სამართლებრივი, ორგანიზაციული და ტექნიკური ღონისძიებების განხორციელებით.
4.2. პერსონალურ მონაცემებზე არასანქცირებული წვდომის თავიდან ასაცილებლად ოპერატორი იყენებს შემდეგ ორგანიზაციულ, ტექნიკურ და სამართლებრივ ზომებს:
პერსონალურ მონაცემებზე ხელმისაწვდომობის მქონე პირთა შემადგენლობის შეზღუდვა;
პერსონალური მონაცემების სუბიექტების გაცნობა კანონმდებლობის მოთხოვნებთან და ოპერატორის ამ პოლიტიკასთან პერსონალური მონაცემების დამუშავებისა და დაცვისთვის;
მედიის აღრიცხვის, შენახვისა და მიმოქცევის ორგანიზება;
ინფორმაციული უსაფრთხოების ინსტრუმენტების გამოყენების მზაობისა და ეფექტურობის შემოწმება;
ინფორმაციის დამუშავების საინფორმაციო რესურსებზე და აპარატურასა და პროგრამულ უზრუნველყოფაზე მომხმარებლის წვდომის დიფერენციაცია;
პერსონალური მონაცემების საინფორმაციო სისტემების მომხმარებელთა ქმედებების რეგისტრაცია და აღრიცხვა;
ანტივირუსული საშუალებებისა და პერსონალურ მონაცემთა დაცვის სისტემის აღდგენის ინსტრუმენტების გამოყენება;
საჭიროების შემთხვევაში, ქსელთაშორისი დამცავი საშუალებების გამოყენება, შეჭრის გამოვლენა, უსაფრთხოების ანალიზი და ინფორმაციის კრიპტოგრაფიული დაცვა.
საბოლოო დებულებები
5.1. ოპერატორის, როგორც პერსონალური მონაცემების ოპერატორის სხვა უფლებები და მოვალეობები განისაზღვრება კანონმდებლობით პერსონალური მონაცემების სფეროში.
5.2. ოპერატორის თანამდებობის პირები, რომლებიც დამნაშავენი არიან პერსონალური მონაცემების დამუშავებისა და დაცვის მარეგულირებელი ნორმების დარღვევაში, ატარებენ მატერიალურ, დისციპლინურ, ადმინისტრაციულ, სამოქალაქო ან სისხლისსამართლებრივ პასუხისმგებლობას კანონებით დადგენილი პროცედურის შესაბამისად.
5.3. ეს პოლიტიკა შეიძლება შეიცვალოს ოპერატორის მიერ კანონმდებლობის ცვალებადი მოთხოვნების გათვალისწინებით, ასევე პერსონალური მონაცემების დაცვის ორგანიზაციული და ტექნიკური ზომების შემუშავებით. ამ პოლიტიკის ტექსტი იცვლება ინტერნეტში განთავსებული მიმდინარე ვერსიის ახალი ვერსიით ჩანაცვლებით ან ამგვარი პოლიტიკის ცვლილებების გამოქვეყნებით.