პერსონალური ინფორმაციის პოლიტიკა
შპს „აისიტექის“ პერსონალურ მონაცემთა დაცვის პოლიტიკა
შპს ,,აისიტექის“ (ს.კ 405155807) (შემდგომ - აისიტექი) სერვისით სარგებლობასთნ ერთად თქვენ ეთანხმებით წინამდებარე პერსონალურ მონაცემთა დაცვის პოლიტიკას. თანხმობა შეიძლება გამოხატული იყოს პოლიტიკის დოკუმენტის შესაბამისი ღილაკის მონიშვნით, რაც ჩაითვლება „ელექტრონული დოკუმენტისა და ელექტრონული სანდო მომსახურების შესახებ“ საქართველოს კანონით განსაზღვრულ ელექტრონულ ხელმოწერად. ასევე შესაძლებელია პოლიტიკის დოკუმენტს ხელი მოეწეროს მატერიალურად ან/და კვალიფიციური ელექტრონული ხელმოწერით/შტამპით.
აისიტექისათვის განსაკუთრებით მნიშვნელოვანია პერსონალური მონაცემების დაცვა როგორც საქართველოში დამკვიდრებული სტანდარტის შესაბამისად, ისევე მსოფლიოში აპრობირებული საუკეთესო პრაქტიკის გათვალისწინებით. ამ მიზნით, აისიტექის მონაცემთა დამუშავების ინფრასტრუქტურა, განლაგებულია ევროკავშირის წევრ ქვეყანაში, რომელშიც ,,პერსონალურ მონაცემთა დაცვის სათანადო გარანტიების მქონე ქვეყნების ნუსხის დამტკიცების თაობაზე“ პერსონალურ მონაცემთა დაცვის ინსპექტორის (ამჟამად - სახელმწიფო ინსპექტორის) 2014 წლის 16 სექტემბრის N1 ბრძანების თანახმად უზრუნველყოფილია პერსონალურ მონაცემთა დაცვის სათანადო გარანტიები.
წინამდებარე პოლიტიკის დოკუმენტზე დათანხმების შემთხვევაში, მომხმარებელი ეთანხმება მონაცემების განთავსებას კომპანია ამაზონის ღრუბლოვან (cloud) პლატფორმაზე (AWS) , რომელიც მდებარეობს ქალაქ დუბლინში (ირლანდია).
1 ტერმინთა განმარტება:
1.1 წინამდებარე დოკუმენტში გამოყენებულ ტერმინებს გააჩნია შემდეგი მნიშვნელობა:
1.2 სერვისი - აისიტექის მიერ შექმნილი პროდუქტი (პროგრამა/აპლიკაცია და სხვა), რომელსაც იყენებს მომხმარებელი;
1.3 პერსონალური მონაცემი - ნებისმიერი ინფორმაცია, რომელიც უკავშირდება იდენტიფიცირებულ ან იდენტიფიცირებად პირს;
1.4 მონაცემთა სუბიექტი - პირი, რომლის პერსონალური მონაცემებიც მუშავდება
1.5 მომხმარებელი - პირი, რომელიც სარგებლობს აისიტექის სერვისით;
1.6 მონაცემთა დამმუშავებელი - პირი, რომელიც განსაზღვრავს პერსონალურ მონაცემთა დამუშავების მიზნებსა და საშუალებებს და უშუალოდ ან უფლებამოსილი პირის მეშვეობით ახორციელებს მათ დამუშავებას;
1.7 უფლებამოსილი პირი - პირი, რომელიც ამუშავებს მონაცემებს მონაცემთა დამმუშავებლისათვის ან მისი სახელით;
1.8 AWS – კომპანია ამაზონის ღრუბლოვანი (cloud) პლატფორმა (Amazon Web Services), რომელზეც დაფუძნებულია მომხმარებლისთვის მიწოდებული მომსახურება;
1.9 AWS service terms - ხელშეკრულება, რომელიც გაფორმებულია AWS ის მომხმარებელთან, მომსახურების სტანდარტული წესები და პირობები (მოცემულია შემდეგ ბმულზე https://aws.amazon.com/service-terms/ );
1.11 AWS GDPR DATA PROCESSING ADDENDUM – AWS-ის მომხმარებლებთან გაფორმებული ხელშეკრულების ნაწილი, რომელიც ეხება პერსონალური მონაცემების დამუშავებას (მოცემულია შემდეგ ბმულზე https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf)
1.12 კანონი - ,,პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი;
1.13 მესამე პირი - ნებისმიერი პირი, გარდა აისიტექისა (ან აისიტექის უფლებამოსილი თანამშრომლისა) და მომხმარებლისა (ან მომხმარებლის უფლებამოსილი პირისა).
2 აისიტექი, როგორც მონაცემთა დამმუშავებელი
2.1 აისიტექის სერვისით სარგებლობისათვის, საჭიროა მომხმარებლის პერსონალური მონაცემების დამუშავება.
2.2 მონაცემები, რომლებსაც სერვისით სარგებლობისათვის ამუშავებს აისიტექი (აისიტექი - მონაცემთა დამმუშავებელი):
2.2.1 ფიზიკური პირის სახელი, გვარი, პირადი ნომერი, ელექტრონული ფოსტა, მომხმარებლის სახელი (username) და პაროლი. ასევე, ავთენტიფიკაციის დამატებითი ფაქტორები (SMS კოდები, ერთჯერადი კოდები, კრიპტოგრაფიული გასაღებები და სხვა), რომლებიც გამოიყენება მომხმარებლის მიერ. მომხმარებლის პაროლი შიფრაციის ცალმხრივი ფუნქციის გამოყენებით დაშიფრული სახით ინახება სისტემაში;
2.2.2 ფინანსური ინფორმაცია (ანგარიში; გადახდები).
2.3 მონაცემთა დამუშავების მიზნები:
2.3.1 მომხმარებლისათვის აისიტექის სერვისით სარგებლობის უზრუნველყოფა. საჭიროების შემთხვევაში, სერვისით სარგებლობის დროს ტექნიკური დახმარების გაწევა (პაროლის, მომხმარებლის სახელის აღდგენა ან სხვა);
2.3.2 მომხმარებელთან კომუნიკაცია;
2.3.3 მომხმარებლის მიერ აისიტექის მიმართ არსებული ვალდებულებების შესრულება;
2.3.4 აისიტექის საგადასახადო ვალდებულებების შესრულება.
2.4 მონაცემები დამუშავდება მხოლოდ იმ ვადით, რაც აუცილებელია ზემოაღნიშნული მიზნებისათვის. იმ შემთხვევაში, თუ მომხმარებელი აღარ სარგებლობს აისიტექის სერვისით, აისიტექი იტოვებს უფლებას 3 წლის ვადით შეინახოს მონაცემთა სუბიექტის პერსონალური მონაცემები კანონმდებლობით დაკისრებული ვალდებულების შესრულებისათვის. მხარეთა შორის სამართლებრივი დავის წარმოშობის შემთხვევაში, მონაცემთა შენახვის ვადა შესაძლოა გახანგრძლივდეს აისიტექის მიერ გონივრულად მიჩენული ვადით.
2.5 მარკეტინგის მიზნებისათვის მონაცემების შეიძლება დამუშავდეს მხოლოდ მონაცემთა სუბიექტის თანხმობის შემთხვევაში. აღნიშნული მიზანი გულისხმობს აისიტექისაგან ან მესამე პირისაგან კომერციული ხასიათის შეტყობინებების მიღებას. ამ მიზნით მონაცემების დამუშავებისათვის თანხმობა შეიძლება გამოხატული იყოს მარკეტინგის მიზნებისათვის მონაცემების დამუშავების შესაბამისი ღილაკის მონიშვნით ან წერილობითი ფორმით.
3 აისიტექი, როგორც უფლებამოსილი პირი
3.1 როდესაც გასაწევი მომსახურება მოიცავს პროგრამას ან მონაცემთა სერვერზე შენახვას, აისიტექის პროგრამაში (ან სერვერზე) არსებული პერსონალური მონაცემების დამუშავებაზე პასუხისმგებელია მომხმარებელი. მომხმარებელი განსაზღვრავს პერსონალური მონაცემების მოცულობას, დამუშავების მიზნებსა და საშუალებებს, შესაბამისად მონაცემების დამმუშავებელი არის მომხმარებელი.
3.2 მომხმარებელი პასუხისმგებელია მონაცემთა დამუშავების კანონიერებაზე, აქედან გამომდინარე, მომხმარებელმა მონაცემები უნდა დაამუშავოს შესაბამისი სამართლებრივი საფუძვლების არსებობისას და აუცილებლობის შემთხვევაში, მონაცემთა დამუშავებაზე მოიპოვოს მონაცემთა სუბიექტის თანხმობა. მომხმარებელი ვალდებულია, საჭიროების შემთხვევაში, წინამდებარე პოლიტიკის დოკუმენტი გააცნოს იმ პირებს, რომელთა მონაცემებსაც ამუშავებს. მონაცემთა სუბიექტის პრეტენზიებზე/შეკითხვებზე პასუხის გაცემის ვალდებულება ეკისრება მომხმარებელს.
3.3 აისიტექი ახორციელებს პროგრამის ტექნიკურ მხარდაჭერას, შესაბამისად მას არ გააჩნია მონაცემთა დამუშავების დამოუკიდებელი მიზანი.
3.4 აისიტექის მხრიდან პროგრამაზე წვდომა აქვთ უფლებამოსილ თანამშრომლებს, რომლებსაც გააჩნიათ ტექნიკური მხარდაჭერისთვის საჭირო ავტორიზაცია. აისიტექი უზრუნველყოფს თითოეული ამგვარი თანამშრომლის გამიჯვნას ერთმანეთისგან და მათი წვდომის უსაფრთხოებას.
4 მონაცემთა სუბიექტის უფლებების დაცვა
4.1 აისიტექი, როგორც მონაცემთა დამმუშავებელი, უზრუნველყოფს საქართველოს კანონმდებლობით გათვალისწინებული მონაცემთა სუბიექტის უფლებების დაცვას.
4.2 მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს შემდეგი სახის ინფორმაცია:
4.2.1 რომელი მონაცემები მუშავდება მის შესახებ;
4.2.2 მონაცემთა დამუშავების მიზანი;
4.2.3 მონაცემთა დამუშავების სამართლებრივი საფუძველი;
4.2.4 რა გზით შეგროვდა მონაცემები;
4.2.5 ვისზე გაიცა მის შესახებ მონაცემები, მონაცემთა გაცემის საფუძველი და მიზანი.
4.3 მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს თვისი მონაცემების გასწორება, განახლება, დამატება, დაბლოკვა, წაშლა და განადგურება კანონის შესაბამისად.
4.4. იმ შემთხვევაში, თუ მომხმარებელია მონაცემთა დამმუშავებელი, მან უნდა უზრუნველყოს მონაცემთა სუბიექტის უფლებების რეალიზაცია.
5 მონაცემთა უსაფრთხოება
5.1 აისიტექის სერვისი განთავსებულია AWS-ში, რომელზეც ვრცელდება AWS-ის მოხმარების სტანდარტული წესები და პირობები (მოცემულია შემდეგ ბმულზე: https://aws.amazon.com/service-terms/). ამასთან, პერსონალურ მონაცემთა დაცვასთან დაკავშირებით მოქმედებს AWS GDPR DATA PROCESSING ADDENDUM.
5.2 AWS-ს გააჩნია ინფორმაციული უსაფრთხოების პროგრამა, რომლითაც მონაცემები დაცულია შემთხვევითი ან უკანონო გამჟღავნებისაგან და დაკარგვისაგან, ასევე უკანონო წვდომისაგან.
5.3 თავის მხრივ აისიტექი უზრუნველყოფს მონაცემთა უსაფრთხოების შემდეგ ზომებს:
5.3.1 მონაცემთა რეზერვირების შესაძლებლობას;
5.3.2 მონაცემთა მიმართ შესრულებული მოქმედებების ელექტრონულ აღრიცხვას (ლოგირებას);
5.3.3 მონაცემთა უკანონო გამჟღავნებისგან დაცვას - თუ ეს უკანასკნელი არ ექცევა AWS - ის ვალდებულების ნაწილში.
6 მხარეთა პასუხისმგებლობა
6.1 აისიტექი არ არის პასუხისმგებელი იმ ვალდებულებების შესრულებაზე, რომელიც კომპანია ამაზონს აქვს აღებული AWS GDPR DATA PROCESSING ADDENDUM-ით ან სხვა დოკუმენტებით, რომელიც დაკავშირებულია AWS-ის სერვისით სარგებლობასთან.
6.2 აისიტექი პასუხისმგებელია სერვისის (პროგრამის) ტექნიკურ გამართულობაზე ან სხვა ვალდებულებების შესრულებაზე, რომელიც გამომდინარეობს წინამდებარე პოლიტიკის დოკუმენტიდან ან მომხმარებელთან გაფორმებული სხვა დოკუმენტებიდან.
6.3 მომხმარებელი პასუხისმგებელია თავისი ვალდებულებების შესრულებაზე, რომელიც განსაზღვრულია წინამდებარე პოლიტიკის დოკუმენტით ან აისიტექთან გაფორმებული სხვა ხელშეკრულებებით.
7 მონაცემთა მესამე პირთათვის გადაცემა
მონაცემთა მესამე პირთათვის გადაცემის შემთხვევაში:
7.1 თუ აისიტექი არის მონაცემთა დამმუშავებელი, იგი თავად განიხილავს მოთხოვნას და მონაცემთა გამჟღავნების საკითს გადაწყვეტს საქართველოს კანონმდებლობის შესაბამისად;
7.2 თუ აისიტექი არის უფლებამოსილი პირი, იგი მოთხოვნას გადაუგზავნის მომხმარებელს და მოთხოვნის ინიციატორს აცნობებს გადაგზავნის ფაქტის შესახებ.
8 პოლიტიკის მოქმედების ვადა
წინამდებარე პოლიტიკა მოქმედებს მომხმარებლის მიერ აისიტექის სერვისით სარგებლობის ვადით, თუ წინამდებარე პოლიტიკის დოკუმენტით ან მომხმარებელთან გაფორმებული სხვა ხელშეკრულებიდან სხვაგვარად არ გამომდინარეობს