დამტკიცებულია:
აირმაქსის დირექტორის
ბესიკი წაქაძის მიერ
––––––––––––––––––––––
აირმაქსის პერსონალური მონაცემების დაცვა და
დამუშავების წესები
მუხლი 1. პერსონალური მონაცემების დაცვის ცნება
შპს "აირმაქსი" (შემდგომში - აირმაქსი) მოწოდებულია დაიცვას თავისი მომხმარებლების კონფიდენციალურობა და პირადი მონაცემები. აირმაქსი თავისი საქმიანობის სფეროდან განსაკუთრებულ მნიშვნელობას ანიჭებს თანამშრომელთა და მასთან სახელშეკრულებო ურთიერთობაში მყოფ პირთა პერსონალური მონაცემების დაცვას. შედეგად მიღებული პერსონალური მონაცემების დამუშავებისას აირმაქსი მოქმედებს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის, „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონის, სხვა შესაბამისი ნორმატიული აქტებისა და ამ დოკუმენტის შესაბამისად.
მუხლი 2. წესებში გამოყენებული ტერმინების განმარტება
2.1. ამ წესებში გამოყენებული ტერმინები განისაზღვრება მხოლოდ აირმაქსის მუშაობის სპეციფიკიდან გამომდინარე და მისი გაგების გასამარტივებლად. ეს განმარტებები შეესაბამება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონს და წინააღმდეგობის შემთხვევაში მათი განმარტება უნდა მოხდეს მხოლოდ კანონის შესაბამისად.
2.2. პერსონალური მონაცემები (შემდგომში – მონაცემები) – ნებისმიერი ინფორმაცია, რომელიც დაკავშირებულია იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან და გამოიყენება აირმაქსის საქმიანობის მიზნებისთვის;
2.3. სპეციალური კატეგორიის მონაცემები – იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან დაკავშირებული მონაცემები, რომლებიც გამოიყენება აირმაქსის საქმიანობის მიზნებისათვის და, სხვა საკითხებთან ერთად, გამოავლენს ფიზიკური პირის ჯანმრთელობის მდგომარეობას, ფინანსურ მდგომარეობას და შემოსავალს, საბანკო მონაცემებს, ბიომეტრიულ ინფორმაციას;
2.4. მონაცემთა დამუშავების საგანი – ნებისმიერი ფიზიკური პირი, რომლის მონაცემებს აირმაქსი იყენებს საკუთარი მიზნებისთვის. ფიზიკური პირი შეიძლება იყოს იდენტიფიცირებული ან იდენტიფიცირებადი;
2.5. აირმაქსი – მონაცემთა დამმუშავებელი, რომელიც განსაზღვრავს მონაცემთა დამუშავების მიზნებსა და საშუალებებს, მეთოდებს, ფორმებს, უსაფრთხოების ორგანიზაციულ და ტექნიკურ ზომებს;
2.6. ავტორიზებული პირი – პირი, რომელიც ჩართულია აირმაქსის მიერ კანონის ან ხელშეკრულების საფუძველზე მონაცემთა დამუშავების პროცესში, რომელიც ამუშავებს მონაცემებს აირმაქსის სახელით ან/და მისი სერვისების შინაარსიდან და მომსახურების მიწოდების მიზნებიდან გამომდინარე.
2.7. მონაცემთა მიმღები - ნებისმიერი პირი, რომელსაც, აირმაქსის საქმიანობის მიზნებიდან გამომდინარე, გადაეცა პერსონალური მონაცემები პირდაპირ ან/და ელექტრონული ფორმით, მათ შორის, უფლებამოსილი პირი, აირმაქსის თანამშრომელი;
2.8. მონაცემთა დამუშავება – ნებისმიერი აქტიური და/ან პასიური ქმედება, რომელიც შესრულებულია პერსონალურ მონაცემებზე, ვიდეო და აუდიო მონიტორინგის ჩათვლით. დამუშავება ასევე შეიძლება განხორციელდეს სრულად ავტომატური, ნახევრად ავტომატური ან მთლიანად ხელით საშუალებებით.
მუხლი 3. წესების შემუშავების მიზანი
ამ წესების დამტკიცების მიზანია აირმაქსის მიერ შეგროვებული პერსონალური მონაცემების დაცვის, შენახვისა და დამუშავების წესებისა და პროცედურების განსაზღვრა მისი მიზნებიდან და საქმიანობიდან გამომდინარე, რათა დამუშავების პროცესი წარიმართოს კანონის შესაბამისად. თითოეული მომხმარებლის უფლებები და უზრუნველყოს მათი ინფორმირება ამ მონაცემების დამუშავების წესების შესახებ.
მუხლი 4. აირმაქსის საქმიანობის ფარგლებში დამუშავებული მონაცემები
4.1. აირმაქსი ამუშავებს შემდეგ მონაცემებს:
4.1.1. მომხმარებლების შესახებ – სახელი, გვარი, დაბადების თარიღი, ასაკი, სქესი, მისამართი, პირადი ნომერი, პირადობის დამადასტურებელი დოკუმენტის ასლი, პირადობის დამადასტურებელი დოკუმენტის სერია და ნომერი, პირადობის დამადასტურებელი დოკუმენტის გაცემის ვადა, საკონტაქტო ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი;
4.1.2. კომპანიის თანამშრომლების შესახებ – სახელი, გვარი, ფოტოსურათი, დაბადების თარიღი, ასაკი, მოქალაქეობა, სქესი, მისამართი, პირადი ნომერი, პირადობის დამადასტურებელი დოკუმენტის ასლი, პირადობის დამადასტურებელი დოკუმენტის სერია და ნომერი, პირადობის დამადასტურებელი დოკუმენტის გაცემის ვადა, ავტობიოგრაფია, რეზიუმე (CV), განათლების შესახებ ინფორმაცია, უცხო ენის ცოდნის შესახებ ინფორმაცია, დიპლომის ასლი ან განათლების დამადასტურებელი მოწმობა, კომპიუტერული პროგრამების ცოდნის შესახებ ინფორმაცია, სამუშაო გამოცდილების შესახებ ინფორმაცია, შენობაში შესვლისა და შენობიდან გასვლის დრო, ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი, საბანკო ანგარიშის ნომერი, დაკავებული პოზიცია (თანამდებობა), ანაზღაურების შესახებ ინფორმაცია, პროფესია;
4.1.3. პოტენციური დასაქმებულის შესახებ – სახელი, გვარი, ავტობიოგრაფია, რეზიუმე (CV), დიპლომის ასლი ან განათლების დამადასტურებელი მოწმობა, სამუშაო გამოცდილების შესახებ ინფორმაცია, უცხო ენის ცოდნის შესახებ ინფორმაცია, კომპიუტერული პროგრამების ცოდნის შესახებ ინფორმაცია, შენობიდან შესვლისა და გასვლის დრო, ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი;
4.1.4. ვიზიტორის შესახებ – სახელი, გვარი, შენობიდან შესვლისა და გასვლის დრო, ავტომობილის სახელმწიფო სარეგისტრაციო ნომერი.
4.2. აირმაქსში დამუშავებული მონაცემების შენახვის ვადები დადგენილია შესაბამისი კანონმდებლობით;
4.3. აირმაქსში დამუშავებული მონაცემები ინახება ფაილური სისტემის სახით როგორც ელექტრონულად, ასევე შესაძლოა ფიზიკური სახით; შექმნილია ფაილების კატალოგი.
მუხლი 5. დამუშავებული მონაცემების გამოყენების მიზნები
აირმაქსში დამუშავებული მონაცემები გამოიყენება სხვადასხვა მიზნით, კერძოდ:
5.1. კომპანიის მიერ შეთავაზებული მომსახურების მიმღებისთვის მომსახურების მიწოდება და მიწოდებასთან პირდაპირ დაკავშირებული სხვა სერვისების გაცნობა და ამ მიზნით კომუნიკაცია;
5.2. მომსახურების მიღების სურვილის მქონე პირისთვის მომსახურების პირობების გაცნობა და ტესტირება;
5.3. ვაკანტურ თანამდებობაზე კონკურსების ორგანიზება, აირმაქსში დასაქმებული პირების საქმეების მართვა, სარეზერვო ბაზების შექმნა, პერსონალის შეფასება, შრომის უსაფრთხოებიდან გამომდინარე მონაცემების შეგროვება, დასაქმებული პირებისთვის შეთავაზებების განხორციელება, ხელშეკრულებების, მივლინებების, შვებულებების და სხვა დოკუმენტაციის გაფორმება, პერსონალის გამოკითხვა;
5.4. აირმაქსის ტერიტორიაზე ან მონაცემთა ცენტრებში უსაფრთხოების უზრუნველყოფა და პრევენცია.
მუხლი 6. მონაცემებზე წვდომის უფლების მქონე პირები და მისი დამუშავების წესები
6.1. შესაბამისი მიზნისა და პროპორციების ფარგლებში, აირმაქსში პერსონალურ მონაცემებზე წვდომა შესაძლებელია ჰქონდეს კომპანიის დირექტორს, მომსახურების მიწოდების და ხარისხის კონტროლის, ცხელი ხაზის და კომპანიის ელექტრონული პლატფორმების, კადრების და შრომის უსაფრთხოების, კომპანიის უსაფრთხოების მართვის უფლებამოსილებით აღჭურვილ პირებს, ასევე კომპანიის ფინანსურ და მარკეტინგის სამსახურს.
6.2. აირმაქსი პერსონალურ მონაცემებს ამუშავებს შემდეგი დაცვით:
– მინიმალური აუცილებლობა;
– სამართლიანობა და გამჭვირვალობა;
– კანონიერება, მონაცემთა სუბიექტის წინაშე ანგარიშვალებულება და მისი ღირსების დაცვა.
6.3. კომპანია უზრუნველყოფს მონაცემთა სიზუსტისა და სისწორის უზრუნველყოფას, მათ შორის, ინფორმაციის მიზნობრივი განახლება ან წაშლა/განადგურებას.
6.4. მონაცემთა შენახვა ხდება შესაბამისი ვადით, მათ შორის იმ ვალდებულებების ფარგლებში, რომელიც დადგენილია ქვეყნის საგადასახადო კანონმდებლობით;
6.5. კომპანიაში მონაცემების დამუშავების მთელი პროცესის უსაფრთხო წარმართვა და ამ პროცესების სათანადოდ წარმოება კომპანიის ვალდებულებაა;
6.6. აირმაქსი იცავს დამუშავების კანონით გათვალისწინებულ სტანდარტებს როგორც არასენსიტიური, ისე განსაკუთრებული კატეგორიის მონაცემებისთვის.
მუხლი 7. მომხმარებელთა და საბილინგო ბაზის ადმინისტრირება
7.1. მისი სერვისების მიწოდების მიზნით, აირმაქსი ახორციელებს მომხმარებლების ელექტრონული ბაზის და საილინგო სისტემის ადმინისტრირებას;
7.2. ბაზების ადმინისტრირება შესაძლებელია განხორციელდეს აირმაქსში არსებული შესაბამისი სტრუქტურული ერთეულის ან უფლებამოსილი პირის მეშვეობით, შესაბამისი ხელშეკრულების საფუძველზე, სადაც გარანტირებულია მესამე პირის მიერ ამ მონაცემების დამუშავებისას პერსონალური მონაცემების დაცვა მაღალ დონეზე, როგორც ადმინისტრაციულად, ასევე კიბერ უსაფრთხოების კუთხით;
7.3. უფლებამოსილი პირის მიერ მონაცემთა კანონიერი დამუშავების უზრუნველყოფის მიზნით ხორციელდება მისი საქმიანობის პერიოდული კონტროლი.
მუხლი 8. ელ-ფოსტისა და ტელეფონის ნომრის გამოყენება
8.1. ეფექტური და სწრაფი კომუნიკაციის მიზნით, აირმაქსი ამუშავებს მომხმარებლების ელფოსტას და ტელეფონის ნომრებს;
8.2. ელ-ფოსტისა და ტელეფონის ნომრის გამოყენება სიახლეების მიწოდებისა და სარეკლამო შეტყობინებების (პირდაპირი მარკეტინგი) გაგზავნის მიზნით დასაშვებია მხოლოდ სუბიექტის წინასწარი თანხმობით;
8.3. მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს ელ-ფოსტის ან/და ტელეფონის ნომრის გამოყენების შეწყვეტა მარკეტინგული მიზნებისთვის, რაც დაუყოვნებლივ უნდა დაკმაყოფილდეს.
მუხლი 9. მონაცემთა სუბიექტის უფლებები
9.1. მონაცემთა სუბიექტს ნებისმიერ დროს უფლება აქვს მიიღოს ინფორმაცია მის შესახებ დამუშავებული მონაცემების თაობაზე, კერძოდ:
– რომელი მონაცემი მუშავდება და რა მიზნით;
– მონაცემთა მოპოვების წყარო;
– მონაცემთა შენახვის ვადა;
– რა უფლებები გააჩნია მონაცემთა სუბიექტს დამუშავების მიმდინარეობისას;
– ხდება თუ არა დამუშავება პროფილირების საფუძველზე;
– ვის შეიძლება გადაეცეს (გადაეცემა) მისი მონაცემები და რა საფუძვლით;
ინფორმაციის მიღება, დამატებით, შესაძლებელია დამუშავების პროცესის, მისი ფორმებისა და მეთოდების შესახებ.
9.2. მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს მის შესახებ არსებული მონაცემების გასწორება, განახლება, შევსება, დამატება, იმ შემთხვევაში თუ მონაცემები არაზუსტი ან არასრულია.
9.3. თუ აირმაქსი თავად ჩათვლის, რომ მონაცემები გასასწორებელია და არსებობს ამის საჭიროება, 15 დღის ვადაში უნდა მოხდეს შესაბამისი ზომების მიღება მათი გასწორების, დამატების ან/და განახლებისთვის.
9.4. მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს მონაცემთა დამუშავების დროებითი შეჩერება (დაბლოკვა) იმ შემთხვევაში თუ სადავოა მონაცემთა დამუშავების მიზნები ან/და საფუძვლები, მათი ნამდვილობა ან სიზუსტე.
9.5. აირმაქსი, მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში, ახდენს მონაცემთა დაბლოკვას მოთხოვნიდან არაუგვიანეს 3 დღის ვადაში;
მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს მის შესახებ არსებული მონაცემების დამუშავების შეწყვეტა ან/და წაშლა. ამ მუხლით გათვალისწინებული სუბიექტის უფლებების შეზღუდვა დასაშვებია თუ ეს არ არის აკრძალული კანონით.
მუხლი 10. მონაცემების მიწოდების ფორმა და ვადები
10.1. მონაცემების მიწოდება უნდა მოხდეს ელექტრონული ფორმით, თუ სუბიექტი არ ითხოვს წერილობით ფორმას.
10.2. მოთხოვნილი ინფორმაცია სუბიექტს უნდა მიეწოდოს მოთხოვნისთანავე, გარდა იმ შემთხვევისა, როდესაც ინფორმაციის მიწოდება მოითხოვს მათ მოძიებას არქივში, სხვა სტრუქტურულ ერთეულში ან საჭიროა დოკუმენტების კონსოლიდირება და დამუშავება. ამ შემთხვევაში ინფორმაციის მიწოდება უნდა განხორციელდეს არაუგვიანეს 10 სამუშაო დღის ვადაში.
მუხლი 11. აირმაქსის პერსონალურ მონაცემთა დამუშავებაზე პასუხისმგებელი პირი
11.1. სუბიექტის უფლებების ეფექტური დაცვისა და პერსონალურ მონაცემთა დაცვის კანონმდებლობის მოთხოვნათა ეფექტური შესრულების მიზნით, აირმაქსში განსაზღვრულია პერსონალურ მონაცემთა დამუშავებაზე პასუხისმგებელი პირი – კომპანიის დირექტორის მოადგილე (შემდგომში – ოფიცერი).
მუხლი 12. მონაცემების უსაფრთხოების დაცვის და უსაფრთხო გადამუშავების ტექნიკური და ორგანიზაციული უზრუნველყოფა
12.1. აირმაქსში უზრუნველყოფილია მონაცემთა დამუშავების ტექნიკური და ორგანიზაციული უსაფრთხოების სტანდარტი, რომელიც მოქმედებს მონაცემთა დამუშავების მთელ ციკლზე;
12.2. მონაცემთა დამუშავების ტექნიკური და ორგანიზაციული უსაფრთხოების სტანდარტები განსაზღვრულია მონაცემთა კატეგორიების, მათი მოცულობის, დამუშავების მიზნის, ფორმისა და საშუალებების გათვალისწინებით;
12.3. მონაცემთა დამუშავების ტექნიკური უსაფრთხოების სტანდარტები რეგულირდება „აირმაქსის ინფორმაციული უსაფრთხოების წესების“ შესაბამისად, რომელიც მოიცავს მონაცემების უსაფრთხო ფიზიკური შენახვის შესახებ დადგენილ წესებს და მონაცემების წაშლისთვის განსაზღვრულ პროტოკოლს.
მუხლი 13. ვიდეოკონტროლისა და აუდიოკონტროლის განხორციელება
13.1. უსაფრთხოების უზრუნველყოფის, საკუთრების დაცვის ან/და კონფიდენციალური ინფორმაციის დაცვის მიზნით, აირმაქსის შენობ(ებ)ის გარე პერიმეტრსა და დერეფნებში, ასევე მონაცემთა შენახვის სივრცეებში, აწარმოებს ვიდეოკონტროლს, თანამშრომლების, სტუმრების და მომხმარებლების წინასწარი ინფორმირებით;
13.2. აუდიოკონტროლის განხორციელება დასაშვებია მხოლოდ აირმაქსის მიერ დისტანციური მომსახურების ან მომსახურების გაუმჯობესების მიზნებიდან გამომდინარე, სუბიექტის წინასწარი ინფორმირების შემთხვევაში;
13.3. ვიდეომონიტორინგის ჩანაწერები ინახება არაუმეტეს 1 თვით, ხოლო აუდიომონიტორინგის ჩანაწერები ინახება არაუმეტეს 3 თვით.