დამტკიცებულია: სვირინეტპლიუსის დირექტორის
ბესიკი წაქაძის მიერ
––––––––––––––––––––––

სვირინეტპლიუს პერსონალური მონაცემების დაცვა და
დამუშავების წესები

მუხლი 1. პერსონალური მონაცემების დაცვის ცნება
შპს “სვირინეტპლიუსი” (შემდგომში – სვირინეტპლიუსი) მოწოდებულია დაიცვას თავისი მომხმარებლების კონფიდენციალურობა და პირადი მონაცემები. სვირინეტპლიუსი თავისი საქმიანობის სფეროდან განსაკუთრებულ მნიშვნელობას ანიჭებს თანამშრომელთა და მასთან სახელშეკრულებო ურთიერთობაში მყოფ პირთა პერსონალური მონაცემების დაცვას. შედეგად მიღებული პერსონალური მონაცემების დამუშავებისას სვირინეტპლიუსი მოქმედებს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის, „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონის, სხვა შესაბამისი ნორმატიული აქტებისა და ამ დოკუმენტის შესაბამისად.

მუხლი 2. წესებში გამოყენებული ტერმინების განმარტება
2.1. ამ წესებში გამოყენებული ტერმინები განისაზღვრება მხოლოდ სვირინეტპლიუსის მუშაობის სპეციფიკიდან გამომდინარე და მისი გაგების გასამარტივებლად. ეს განმარტებები შეესაბამება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონს და წინააღმდეგობის შემთხვევაში მათი განმარტება უნდა მოხდეს მხოლოდ კანონის შესაბამისად.
2.2. პერსონალური მონაცემები (შემდგომში – მონაცემები) – ნებისმიერი ინფორმაცია, რომელიც დაკავშირებულია იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან და გამოიყენება სვირინეტპლიუსის საქმიანობის მიზნებისთვის;
2.3. სპეციალური კატეგორიის მონაცემები – იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან დაკავშირებული მონაცემები, რომლებიც გამოიყენება სვირინეტპლიუსის საქმიანობის მიზნებისათვის და, სხვა საკითხებთან ერთად, გამოავლენს ფიზიკური პირის ჯანმრთელობის მდგომარეობას, ფინანსურ მდგომარეობას და შემოსავალს, საბანკო მონაცემებს, ბიომეტრიულ ინფორმაციას;
2.4. მონაცემთა დამუშავების საგანი – ნებისმიერი ფიზიკური პირი, რომლის მონაცემებს სვირინეტპლიუსი იყენებს საკუთარი მიზნებისთვის. ფიზიკური პირი შეიძლება იყოს იდენტიფიცირებული ან იდენტიფიცირებადი;
2.5. სვირინეტპლიუსი – მონაცემთა დამმუშავებელი, რომელიც განსაზღვრავს მონაცემთა დამუშავების მიზნებსა და საშუალებებს, მეთოდებს, ფორმებს, უსაფრთხოების ორგანიზაციულ და ტექნიკურ ზომებს;
2.6. ავტორიზებული პირი – პირი, რომელიც ჩართულია სვირინეტპლიუსის მიერ კანონის ან ხელშეკრულების საფუძველზე მონაცემთა დამუშავების პროცესში, რომელიც ამუშავებს მონაცემებს სვირინეტპლიუსის სახელით ან/და მისი სერვისების შინაარსიდან და მომსახურების მიწოდების მიზნებიდან გამომდინარე.
2.7. მონაცემთა მიმღები – ნებისმიერი პირი, რომელსაც, სვირინეტპლიუსის საქმიანობის მიზნებიდან გამომდინარე, გადაეცა პერსონალური მონაცემები პირდაპირ ან/და ელექტრონული ფორმით, მათ შორის, უფლებამოსილი პირი, სვირინეტპლიუსის თანამშრომელი;
2.8. მონაცემთა დამუშავება – ნებისმიერი აქტიური და/ან პასიური ქმედება, რომელიც შესრულებულია პერსონალურ მონაცემებზე, ვიდეო და აუდიო მონიტორინგის ჩათვლით. დამუშავება ასევე შეიძლება განხორციელდეს სრულად ავტომატური, ნახევრად ავტომატური ან მთლიანად ხელით საშუალებებით.

მუხლი 3. წესების შემუშავების მიზანი
ამ წესების დამტკიცების მიზანია სვირინეტპლიუსის მიერ შეგროვებული პერსონალური მონაცემების დაცვის, შენახვისა და დამუშავების წესებისა და პროცედურების განსაზღვრა მისი მიზნებიდან და საქმიანობიდან გამომდინარე, რათა დამუშავების პროცესი წარიმართოს კანონის შესაბამისად. თითოეული მომხმარებლის უფლებები და უზრუნველყოს მათი ინფორმირება ამ მონაცემების დამუშავების წესების შესახებ.

მუხლი 4. სვირინეტპლიუსის საქმიანობის ფარგლებში დამუშავებული მონაცემები

4.1. სვირინეტპლიუსი ამუშავებს შემდეგ მონაცემებს:
4.1.1. მომხმარებლების შესახებ – სახელი, გვარი, დაბადების თარიღი, ასაკი, სქესი, მისამართი, პირადი ნომერი, პირადობის დამადასტურებელი დოკუმენტის ასლი, პირადობის დამადასტურებელი დოკუმენტის სერია და ნომერი, პირადობის დამადასტურებელი დოკუმენტის გაცემის ვადა, საკონტაქტო ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი;
4.1.2. კომპანიის თანამშრომლების შესახებ – სახელი, გვარი, ფოტოსურათი, დაბადების თარიღი, ასაკი, მოქალაქეობა, სქესი, მისამართი, პირადი ნომერი, პირადობის დამადასტურებელი დოკუმენტის ასლი, პირადობის დამადასტურებელი დოკუმენტის სერია და ნომერი, პირადობის დამადასტურებელი დოკუმენტის გაცემის ვადა, ავტობიოგრაფია, რეზიუმე (CV), განათლების შესახებ ინფორმაცია, უცხო ენის ცოდნის შესახებ ინფორმაცია, დიპლომის ასლი ან განათლების დამადასტურებელი მოწმობა, კომპიუტერული პროგრამების ცოდნის შესახებ ინფორმაცია, სამუშაო გამოცდილების შესახებ ინფორმაცია, შენობაში შესვლისა და შენობიდან გასვლის დრო, ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი, საბანკო ანგარიშის ნომერი, დაკავებული პოზიცია (თანამდებობა), ანაზღაურების შესახებ ინფორმაცია, პროფესია;
4.1.3. პოტენციური დასაქმებულის შესახებ – სახელი, გვარი, ავტობიოგრაფია, რეზიუმე (CV), დიპლომის ასლი ან განათლების დამადასტურებელი მოწმობა, სამუშაო გამოცდილების შესახებ ინფორმაცია, უცხო ენის ცოდნის შესახებ ინფორმაცია, კომპიუტერული პროგრამების ცოდნის შესახებ ინფორმაცია, შენობიდან შესვლისა და გასვლის დრო, ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი;
4.1.4. ვიზიტორის შესახებ – სახელი, გვარი, შენობიდან შესვლისა და გასვლის დრო, ავტომობილის სახელმწიფო სარეგისტრაციო ნომერი.

4.2. სვირინეტპლიუსში დამუშავებული მონაცემების შენახვის ვადები დადგენილია შესაბამისი კანონმდებლობით;
4.3. სვირინეტპლიუსში დამუშავებული მონაცემები ინახება ფაილური სისტემის სახით როგორც ელექტრონულად, ასევე შესაძლოა ფიზიკური სახით; შექმნილია ფაილების კატალოგი.

მუხლი 5. დამუშავებული მონაცემების გამოყენების მიზნები
სვირინეტპლიუსში დამუშავებული მონაცემები გამოიყენება სხვადასხვა მიზნით, კერძოდ:
5.1. კომპანიის მიერ შეთავაზებული მომსახურების მიმღებისთვის მომსახურების მიწოდება და მიწოდებასთან პირდაპირ დაკავშირებული სხვა სერვისების გაცნობა და ამ მიზნით კომუნიკაცია;
5.2. მომსახურების მიღების სურვილის მქონე პირისთვის მომსახურების პირობების გაცნობა და ტესტირება;
5.3. ვაკანტურ თანამდებობაზე კონკურსების ორგანიზება, სვირინეტპლიუსში დასაქმებული პირების საქმეების მართვა, სარეზერვო ბაზების შექმნა, პერსონალის შეფასება, შრომის უსაფრთხოებიდან გამომდინარე მონაცემების შეგროვება, დასაქმებული პირებისთვის შეთავაზებების განხორციელება, ხელშეკრულებების, მივლინებების, შვებულებების და სხვა დოკუმენტაციის გაფორმება, პერსონალის გამოკითხვა;
5.4. სვირინეტპლიუსის ტერიტორიაზე ან მონაცემთა ცენტრებში უსაფრთხოების უზრუნველყოფა და პრევენცია.

მუხლი 6. მონაცემებზე წვდომის უფლების მქონე პირები და მისი დამუშავების წესები
6.1. შესაბამისი მიზნისა და პროპორციების ფარგლებში, სვირინეტპლიუსში პერსონალურ მონაცემებზე წვდომა შესაძლებელია ჰქონდეს კომპანიის დირექტორს, მომსახურების მიწოდების და ხარისხის კონტროლის, ცხელი ხაზის და კომპანიის ელექტრონული პლატფორმების, კადრების და შრომის უსაფრთხოების, კომპანიის უსაფრთხოების მართვის უფლებამოსილებით აღჭურვილ პირებს, ასევე კომპანიის ფინანსურ და მარკეტინგის სამსახურს.
6.2. სვირინეტპლიუსი პერსონალურ მონაცემებს ამუშავებს შემდეგი დაცვით:
– მინიმალური აუცილებლობა;
– სამართლიანობა და გამჭვირვალობა;
– კანონიერება, მონაცემთა სუბიექტის წინაშე ანგარიშვალებულება და მისი ღირსების დაცვა.
6.3. კომპანია უზრუნველყოფს მონაცემთა სიზუსტისა და სისწორის უზრუნველყოფას, მათ შორის, ინფორმაციის მიზნობრივი განახლება ან წაშლა/განადგურებას.
6.4. მონაცემთა შენახვა ხდება შესაბამისი ვადით, მათ შორის იმ ვალდებულებების ფარგლებში, რომელიც დადგენილია ქვეყნის საგადასახადო კანონმდებლობით;
6.5. კომპანიაში მონაცემების დამუშავების მთელი პროცესის უსაფრთხო წარმართვა და ამ პროცესების სათანადოდ წარმოება კომპანიის ვალდებულებაა;
6.6. სვირინეტპლიუსი იცავს დამუშავების კანონით გათვალისწინებულ სტანდარტებს როგორც არასენსიტიური, ისე განსაკუთრებული კატეგორიის მონაცემებისთვის.

მუხლი 7. მომხმარებელთა და საბილინგო ბაზის ადმინისტრირება
7.1. მისი სერვისების მიწოდების მიზნით, სვირინეტპლიუსი ახორციელებს მომხმარებლების ელექტრონული ბაზის და საილინგო სისტემის ადმინისტრირებას;
7.2. ბაზების ადმინისტრირება შესაძლებელია განხორციელდეს სვირინეტპლიუსის შესაბამისი სტრუქტურული ერთეულის ან უფლებამოსილი პირის მეშვეობით, შესაბამისი ხელშეკრულების საფუძველზე, სადაც გარანტირებულია მესამე პირის მიერ მონაცემების დამუშავებისას პერსონალური მონაცემების დაცვა მაღალ დონეზე, როგორც ადმინისტრაციულად, ასევე კიბერ უსაფრთხოების თვალსაზრისით;
7.3. უფლებამოსილი პირის მიერ მონაცემთა კანონიერი დამუშავების უზრუნველყოფის მიზნით ხორციელდება მისი საქმიანობის პერიოდული კონტროლი.

მუხლი 8. ელ-ფოსტისა და ტელეფონის ნომრის გამოყენება
8.1. ეფექტური და სწრაფი კომუნიკაციის მიზნით, სვირინეტპლიუსი ამუშავებს მომხმარებლების ელფოსტას და ტელეფონის ნომრებს;
8.2. ელ-ფოსტისა და ტელეფონის ნომრის გამოყენება სიახლეების მიწოდებისა და სარეკლამო შეტყობინებების (პირდაპირი მარკეტინგი) გაგზავნის მიზნით დასაშვებია მხოლოდ სუბიექტის წინასწარი თანხმობით;
8.3. მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს ელ-ფოსტის ან/და ტელეფონის ნომრის გამოყენების შეწყვეტა მარკეტინგული მიზნებისთვის, რაც დაუყოვნებლივ უნდა დაკმაყოფილდეს.

მუხლი 9. მონაცემთა სუბიექტის უფლებები
9.1. მონაცემთა სუბიექტს ნებისმიერ დროს უფლება აქვს მიიღოს ინფორმაცია მის შესახებ დამუშავებული მონაცემების თაობაზე, კერძოდ:
– რომელი მონაცემი მუშავდება და რა მიზნით;
– მონაცემთა მოპოვების წყარო;
– მონაცემთა შენახვის ვადა;
– რა უფლებები გააჩნია მონაცემთა სუბიექტს დამუშავების მიმდინარეობისას;
– ხდება თუ არა დამუშავება პროფილირების საფუძველზე;
– ვის შეიძლება გადაეცეს (გადაეცემა) მისი მონაცემები და რა საფუძვლით.

მუხლი 10. მონაცემების მიწოდების ფორმა და ვადები
10.1. მონაცემების მიწოდება უნდა მოხდეს ელექტრონული ფორმით, თუ სუბიექტი არ ითხოვს წერილობით ფორმას.
10.2. მოთხოვნილი ინფორმაცია სუბიექტს უნდა მიეწოდოს მოთხოვნისთანავე, გარდა იმ შემთხვევისა, როდესაც ინფორმაციის მიწოდება მოითხოვს მათ მოძიებას არქივში ან სხვა სტრუქტურულ ერთეულში.

მუხლი 11. სვირინეტპლიუსის პერსონალურ მონაცემთა დამუშავებაზე პასუხისმგებელი პირი
11.1. სუბიექტის უფლებების ეფექტური დაცვისა და პერსონალურ მონაცემთა დაცვის კანონმდებლობის მოთხოვნათა ეფექტური შესრულების მიზნით, სვირინეტპლიუსში განსაზღვრულია პერსონალურ მონაცემთა დამუშავებაზე პასუხისმგებელი პირი – კომპანიის დირექტორის მოადგილე (შემდგომში – ოფიცერი).

მუხლი 12. მონაცემების უსაფრთხოების დაცვის და უსაფრთხო გადამუშავების ტექნიკური და ორგანიზაციული უზრუნველყოფა
12.1. სვირინეტპლიუსში უზრუნველყოფილია მონაცემთა დამუშავების ტექნიკური და ორგანიზაციული უსაფრთხოების სტანდარტი, რომელიც მოქმედებს მონაცემთა დამუშავების მთელ ციკლზე;
12.2. მონაცემთა დამუშავების ტექნიკური და ორგანიზაციული უსაფრთხოების სტანდარტები განსაზღვრულია მონაცემთა კატეგორიების, მათი მოცულობის, დამუშავების მიზნის, ფორმისა და საშუალებების გათვალისწინებით;
12.3. მონაცემთა დამუშავების ტექნიკური უსაფრთხოების სტანდარტები რეგულირდება „სვირინეტპლიუსის ინფორმაციული უსაფრთხოების წესების“ შესაბამისად, რომელიც მოიცავს მონაცემების უსაფრთხო ფიზიკური შენახვის შესახებ დადგენილ წესებს და მონაცემების წაშლისთვის განსაზღვრულ პროტოკოლს.

მუხლი 13. ვიდეოკონტროლისა და აუდიოკონტროლის განხორციელება
13.1. უსაფრთხოების უზრუნველყოფის, საკუთრების დაცვის ან/და კონფიდენციალური ინფორმაციის დაცვის მიზნით, სვირინეტპლიუსის შენობ(ებ)ის გარე პერიმეტრსა და დერეფნებში, ასევე მონაცემთა შენახვის სივრცეებში, აწარმოებს ვიდეოკონტროლს, თანამშრომლების, სტუმრების და მომხმარებლების წინასწარი ინფორმირებით;
13.2. აუდიოკონტროლის განხორციელება დასაშვებია მხოლოდ სვირინეტპლიუსის მიერ დისტანციური მომსახურების ან მომსახურების გაუმჯობესების მიზნებიდან გამომდინარე, სუბიექტის წინასწარი ინფორმირების შემთხვევაში;
13.3. ვიდეომონიტორინგის ჩანაწერები ინახება არაუმეტეს 1 თვით, ხოლო აუდიომონიტორინგის ჩანაწერები ინახება არაუმეტეს 3 თვით.