პერსონალურ მონაცემთა დაცვის პოლიტიკა

დამტციკების თარიღი: ოქტომბერი 2023

შპს `ბიტანიკა`

ს/კ 405573856

მის: დავით აღმაშენებლის გამზირი #150, თბილისი საქართველო

bitanica.com [email protected] [email protected]

1. შესავალი

ვირტუალური აქტივის მომსახურების განხორციელებისას შპს „ბიტანიკა“ (შემდგომში - პროვაიდერი) (ს/კ 405573856) მოქმედებს საქართველოს კანონმდებლობით და საუკეთესო საერთაშორისო პრაქტიკებით გათვალისწინებული ნორმებითა და მოთხოვნებთან შესაბამისობაში.

პროვაიდერისთვის მნიშვენლოვანია უზრუნველყოს თავისი მომხმარებლების შესახებ მონაცემთა დაცვა და უსაფრთხოება, რათა დანერგოს მაღალი ხარისხის მომსახურება და შეინარჩუნოს წამყვანი როლი ბაზარზე.

წინამდებარე პერსონალურ მონაცემთა დაცვის პოლიტიკის (შემდგომში - პოლიტიკა) მიზანია განსაზღვროს შპს „ბიტანიკა“-ს, როგორც მონაცემთა დამმუშავებლისა და პროვაიდერის მომხმარებლების, როგორც მონაცემთა სუბიექტების უფლებებიდა ვალდეუბლებები და განმარტოს პერსონალურ მონაცემთა დამუშავების საფუძლები და მიზნები.

2. ტერმინთა გამარტება:

პერსონალური მონაცემი (შემდგომ − მონაცემი) − ნებისმიერი ინფორმაცია, რომელიც უკავშირდება იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს. პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, კერძოდ, საიდენტიფიკაციო ნომრით ან პირის მახასიათებელი ფიზიკური, ფიზიოლოგიური, ფსიქოლოგიური, ეკონომიკური, კულტურული ან სოციალური ნიშნებით.

ბიომეტრიული მონაცემი − ფიზიკური, ფსიქიკური ან ქცევის მახასიათებელი, რომელიც უნიკალური და მუდმივია თითოეული ფიზიკური პირისათვის და რომლითაც შესაძლებელია ამ პირის იდენტიფიცირება (თითის ანაბეჭდი, ტერფის ანაბეჭდი, თვალის ფერადი გარსი, თვალის ბადურის გარსი (თვალის ბადურის გამოსახულება), სახის მახასიათებელი).

მონაცემთა დამუშავება − ავტომატური, ნახევრად ავტომატური ან არაავტომატური საშუალებების გამოყენებით მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, კერძოდ, შეგროვება, ჩაწერა, ფოტოზე აღბეჭდვა, აუდიოჩაწერა, ვიდეოჩაწერა, ორგანიზება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება ან გამჟღავნება მონაცემთა გადაცემის, გავრცელების ან სხვაგვარად ხელმისაწვდომად გახდომის გზით, დაჯგუფება ან კომბინაცია, დაბლოკვა, წაშლა ან განადგურება

მონაცემთა სუბიექტი (შემდგომში - მომხმარებელი) − პროვაიდერის მომხმარებელი ფიზიკური / იურიდიული პირი, რომლის შესახებ მონაცემიც მუშავდება.

თანხმობა − მომხმარებლის (მონაცემთა სუბიექტის) მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა განსაზღვრული მიზნით დამუშავებაზე ზეპირად, სატელეკომუნიკაციო ან სხვა შესაბამისი საშუალებით გამოხატული ნებაყოფლობითი თანხმობა, რომლითაც შესაძლებელია ნათლად დადგინდეს მონაცემთა სუბიექტის ნება;

მონაცემთა დამმუშავებელი − წინამდებარე მიზნებისთვის - პროვაიდერი, რომელიც ინდივიდუალურად ან სხვებთან ერთად განსაზღვრავს პერსონალურ მონაცემთა დამუშავების მიზნებსა და საშუალებებს, უშუალოდ ან უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას;

უფლებამოსილი პირი − პროვაიდერის თანამშრომელი, რომელიც ამუშავებს მონაცემებს მონაცემთა დამმუშავებლისათვის ან მისი სახელით;

მესამე პირი − ფიზიკური ან იურიდიული პირი, საჯარო დაწესებულება, გარდა მონაცემთა სუბიექტისა, პერსონალურ მონაცემთა დაცვის სამსახურისა, მონაცემთა დამმუშავებლისა და უფლებამოსილი პირისა;

3. ძირითადი დებულებები:

მომხმარებლის პერსონალური მონაცემების (მათ შორის ბიომეტრიული მონაცემების) დამუშავება წარმოადგენს პროვაიდერის ვებ-გვერდისა და პროვაიდერის მიერ შეთავაზებული მომსახურების და პროდუქტების გამოყენების განუყოფელ ნაწილს;

პროვაიდერის ვებ-გვერდზე წვდომით, მომსახურებისა და პროდუქტების გამოყენებით, მომხმარებელი გამოხატავს თანხმობას, რომ იგი გაეცნო წინამდებარე პოლიტიკას, მომხმარებლისთვის გასაგები და ნათელია პოლიტიკით განსაზღვრული პირობები და თაქნახმაა პროვაიდერმა დაამუშავოს მისი პერსონალური მონაცემები საქართველოს კანონმდებლობისა და წინამდებარე პოლიტიკის შესაბამისად;

პროვიადერის სისტემაში რეგისტრაციისას და მომსახურებით / პროდუქტებით სარგებლობისას, წინამდებარე პოლიტიკა ხდება მომსახურების გენერალური ხელშეკრულების დანართი;

პროვაიდერი უფლებამოსილია ნებისმიერ დროს შეიტანოს ცვლილება პოლიტიკაში, რომლის შესახებაც მომხმარებელს ეცნობება ვებ-გვერდზე განახლებული ვერსიის გამოყენებით ან/და საკომუნიკაციო საშუალებით გაგზავნილი შეტყობინების სახით;

წინამდებარე პოლიტიკას ამტკიცებს პროვიადერის დირექტორი და ძალაში შედის მისი ხელმოწერის დღიდან;

მონაცემებთა დამუშვებისას პროვაიდერი უზრუნველყოფს:

  1. მონაცემთა დამუშვებას სამართლიანად და კანონიერად, მონაცემთა სუბიექტის ღირსების შეულახავად;
  2. მონაცემთა დამუშავებას მხოლოდ კონრეტული, მკაფიოდ განსაზღრული, კანონიერი მიზნებისთვის;
  3. მონაცემთა შენახვას მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების მიზნის მისაღწევად;

პირდაპირი მარკეტინგის მიზნებისთვის პროვაიდერი უფელბამოსილია დაამუშავოს შემდეგი მონაცმებები: სახელი (სახელები), მისამართი, ტელეფონის ნომერი, ელექტორნული ფოსტის მისამართი;

ბიომეტრიულ მონაცემთა დამუშავება შესაძლებელია საქმიანობის განხორციელებისას, უსაფრთხოებისა და საკუთრების დაცვის, აგრეთვე საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების მიზნებისთვის;

პროვაიდერმა შესაძლებელია განახორციელოს მონაცემთა დამუშავება უშუალოდ თვითონ (უფლებამოსილი თანამშრომლების მიერ) და/ან მასთან საქმიან ურთიერთობაში მყოფი პირების (დაქირავებული პირების) მეშვეობით, მათ შორის გარე დამხმარე სერვისების მომწოდებელი პირების მეშვეობით, რომელიც მოიცავს მაგრამ არ შემოიფარგლება შემდეგი საქმიანობებით: მონაცემთა ცენტრები, ჰოსტინგი, ღრუბლოვანი ჰოსტინგი, მომხმარებლის მხარდაჭერის ცენტრები, მარკეტინგი და სხვა ფუნქციები;

მონაცემთა დამუშავებისას მიღებულია შესაბამისი ორგანიზაციული და ტექნიკური ზომები მონაცემთა დასაცავად;

პროვაიდერი არ არის პასუხისმგებელი მესამე მხარის ვებ-გვერდზე მომხმარებელთა პერსონალურ მონაცემტა დაცვაზე;

4. მონაცემთა დამუშავებისას, პროვაიდერი ეყრდონა შემდეგ საფუძვლებს:

თუ არებობს მონაცემთა სუბიექტის თანხმობა;

მონაცემთა დამუშვება გათვალსიწინებულია კანონით;

მონამცეთა დამუშვება საჭიროა მონაცემთა დამმუშავებლის მიერ მისთვის კანონმდებლობით დაკისრებული მოვალეობის შესასრულებლად;

კანონის თანახმად, მონაცემები საჯაროდ ხელმისაწვდომია და/ან მონაცემთა სუბიექტმა ისინი ხელმისაწვდომი გახადა;

მონაცემთა დამუშვება აუცილებელია მონაცემთა სუბიექტის განცხადების განსახილველად (მისთვის მომსახურების გასაწევად);

5. მონაცემთა დამუშავება

მონაცემთა დამუშავება აუცილებელია მომხმარებლისთვის მისაწოდებელი მომსახურებისა და მომხმარებლის მიერ პროვაიდერის პროდუქტების გამოყენების მიზნებისთვის;

შპს „ბიტანიკა“, როგორც ვირტუალური აქტივის მომსახურების პროვაიდერი, წარმოადგენს რეგულირებას დაქვემდებარებულ პირს, რომელმაც მომსახურების განხორციელების მიზნებისთვის უნდა მოახდინო მომხმარებლის იდენტიფიკაცია, ვერიფიკაცია, საჭიროების შემთხვევაში გამოითხოვოს დამატებითი ინფორმაცია, შეაფასოს და შეინახოს კანონით დადგენილი ვადით;

პროვაიდერი უზრუნველყოფს პერსონალურ მონაცემთა დამუშავებას საკანონმდებლო მოთხოვნების შესაბამისად.

6. დამუშავების მიზნები:

მომხმარებლის ვინაობის დადგენა/გადამოწმება/დადასტურება;

მომხმარებელთან მომსახურებ და/ან სხვა ტიპის ხელშეკრულების გაფორმება, შესრულება ან/და შემდგომი ქმედებების განხორციელება;

ფულადი სახსრების (მათ შორის ვირტუალური აქტივის) გადარიცხვასთან და კანონმდებლობის შესაბამისად, გადარიცხვასთან დაკავშირებული/გადარიცხვის თანმხლები საჭირო ინფორმაციის გადაგზავნა;

„იცნობდე შენს კლიენტს“ (KYC) მოთხოვნების განხორციელება;

მომხმარებლის ე.წ. Liveness check-ის გატარება;

ვირტუალური აქტივის მომსახურებასთან დაკავშირებული საკანონმდებლო მოთხოვებთან შესაბამისობის უზრუნველყოფა;

დავების მართვა, მომხმარებლის მხარდაჭერა და მომსახურების განხორციელებისთვის საჭირო საქმიანობის ადმინისტრირება (მათ შორის სატელეფონო, ელექტრონული კომუნიკაციის ჩანწერები) და მონიტორინგი;

მომხმარებელთან ღია კომუნიკაცია (ინფორმაციის მიწოდება);

პირდაპირი მარკეტინგი;

სტატისტიკური ანალიზი;

პროვაიდერის მიერ ნაკისრი სხვა საკანონმდებლო მოთხოვნების შესაბამისობის უზრუნველყოფა;

7. დამუშავებული მონაცემები:

ზემოთ ჩამოთვლილი მიზნების შესრულებისთვის პროვაიდერი ამუშავებს და ინახავს მომხმარებლის შესახებ შემდეგ მონაცემებს:

  1. სახელი და გვარი;
  2. პირადი ნომერი / საიდენტიფიკაციო ნომერი;
  3. მისამართი;
  4. დაბადების თარიღი;
  5. მომხმარებლის ფოტო;
  6. მოქალაქეობა;
  7. სხვა დამატებითი მონაცემები, რომელიც მოცემულია მომხმარებლის პირადობის დამადასტურებელ დოკუმენტში;
  8. ე,წ, Liveness check პროცესის ჩანაწერი;
  9. ელ.ფოსტის მისამართი;
  10. მობილურის/საკონტაქტო ნომერი;
  11. IP მისამართი;
  12. მომხმარებლის საქმიანობის შესახებ ინფორმაცია;
  13. მომსახურების პროცესში მომხმარებლის მიერ წარმოდგენილი სხვა დამატებითი დოკუმენტაცია / ასლები;
  14. მომხმარებელთან განხორციელებული კომუნიკაციის ჩანაწერები;
  15. მომხმარებლის მიერ მომსახურების მიღებისას შესრულებუი ტრანზაქციები, ოპერაციები, გარიგებები;
  16. საქართველოს კანონმდებლობით მოთხოვნილი სხვა მონაცემები, რომელიც აუცილებელია პროვიადერის საქმიანობის განხორციელებისთვის;

მონაცემები გროვდება, მუშავდება და ინახება მომხმარებელთან საქმიანი ურთიერთობის შეწყვეტიდან მმინიმუმ 5 წლის განმავლობაში, თუ კანონმდებლობით სხვა რამ არ არის გათვალისწინებული;

8. მონაცემთა მოპოვება და გადაცემა

მონაცემთა მოპოვების წყარო შესაძლოა იყო უშუალოდ მომხარებელი, სხვა ფინანსური ინსტიტუტები (მათ შორის კომერციული ბანკები, მიკროსაფინანსო ორგანიზაციები, საგადახდო მომსახურების პროვაიდერები, ვირტუალური აქტივის მომსახურების პროვადიერები და სხვა), საჯარო ორგანოები და დაწესებულებები, სახელმწიფო და არასახელმწიფო რეესტრები, მომხმარებლის წარმომადგენლობაზე უფლებამოსილი პირები, სააგენტოები, კომანიები, რომლებიც უზრუნველყოფებს საერთაშორისო საქნციების რეესტრებს, სასამარლო, პროვაიდერისთვის მომსახურების მიმწოდებელი პირები და სხვა პირები.

მონაცემთა გადაცემა შესაძლებელია განხორციელდეს შემდეგ პირებთან: საზედამხედველო/მარეგულირებელი ორგანო, ფინანსური ინსტიტუტები, კორესპონდენტები, საგამოძიებო სამსახური და სასამართლო, აუდიტორები, ლეგიტიმური ინტერესის მქონე სხვა ორგანიზაციები და კანონიერი საფუძვლით სხვა პირები.

9. მონაცემთა სუბიექტის (მომხმარებლის) უფლებამოსილება:

მონაცემთა სუბიექტს უფლება აქვს:

  1. მონაცემთა დამმუშავებელს ნებისმიერ დროს მოსთხოვოს მის შესახებ მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის გამოყენების შეწყვეტა;
  2. მონაცემთა დამმუშავებელს მოსთხოვოს ინფორმაცია მის შესახებ მონაცემთა დამუშავების თაობაზე;
  3. მის შესახებ მონაცემთა დამუშავების თაობაზე მიიღოს ინფორმაცია მოთხოვნისთანავე ან მოთხოვნიდან არაუგვიანეს 10 დღისა, თუ ინფორმაციის მოთხოვნაზე პასუხის გაცემა მოითხოვს პროვაიდერის მიერ:
    • ინფორმაციის სხვა დაწესებულებაში ან სტრუქტურულ ერთეულში მოძიებასა და დამუშავებას ან მასთან კონსულტაციას;
    • მნიშვნელოვანი მოცულობის, ერთმანეთთან დაუკავშირებელი დოკუმენტების მოძიებასა და დამუშავებას;
    • სხვა დასახლებულ პუნქტში არსებულ მის სტრუქტურულ ქვედანაყოფთან ან სხვა საჯარო დაწესებულებასთან კონსულტაციას;
  4. თვითონ აირჩიოს მის შესახებ ონაცემთა დამუშავების თაობაზე გამოთხოვილი ინფორმაციის მიწოდების ფორმა;
  5. მოითხოვოს მის შესახებ მონაცემების გასწორება, განახლება, დამატება, დაბლოკვა, წაშლა და/ან განადგურება თუ ისინი არასრულია, არაზუსტია, არ არის განახლებული ან თუ მათი შეგროვება და დამუშავება განხორციელდა კანონის საწინააღმდეგოდ. ამ პუნქტის მიზნებისთვის, მოთხოვნის წარდგენა შესაძლებელია განხორციელდეს წერილობით, ზეპირად ან ელექტორნული საშუალებით;

პუნქტით განსაზღვრული უფლებამოსილებები შესაძლოა შეიზღუდოს, თუ ამ უფლებების რეალიზაციამ შეიძლება საფრთხე შეუქმნას:

  1. სახელმწიფო უსაფრთხოების ან თავდაცვის ინტერესებს;
  2. საზოგადოებრივი უსაფრთხოების ინტერესებს;
  3. დანაშაულის გამოვლენას, გამოძიებასა და აღკვეთას;
  4. ქვეყნის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო საკითხებთან დაკავშირებულ) ინტერესებს;
  5. მონაცემთა სუბიექტისა და სხვათა უფლებებსა და თავისუფლებებს;

მომხმარებელს უფლება აქვს ნებისმიერ დროს, განმარტების გარეშე უარი განაცხადოს მის მიერვე მიცემულ თანხმობაზე და მოითხოვოს მონაცემთა დამუშავების შეწყვეტა ან/და დამუშავებულ მონაცემთა განადგურება;

მომხმარებელს უფლებ აქვს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის დარღვევის შემთხვევასი კანონით დადგენილი წესით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს ან სასამართლოს და მოითხოვოს მონაცემთა დაბლოკვა გადაწყვეტილების გამოტანამდე;

10. მონაცემთა დამმუშავებლის (პროვაიდერის) უფლებამოსილება:

მონაცემთა სუბიექტის მიერ გაცემული წერილობითი თანხმობის საფუძველზე პირდაპირი მარკეტინგის მიზნებისათვის პროვაიდერი უფლებამოსილია დაამუშავოს ნებისმიერი მონაცემი;

დაამუშავოს მონაცემები სამართლებრივი აქტის საფუზველზე;

დაამუშავოს მონაცემები საკუთარი საქმიანობის ჯეროვნად და კანონი განსაზღვრული მოთხოვების შესრულების უზრუნველსაყოფად;

11. მონაცემთა სუბიექტის (მომხმარებლის) ვალდებულება:

გაეცნოს წინამდება პოლიტიკას;

პოლიტიკით განსაზღვრული პირობების გაცნობისა და მიღების შემთხვევაში გამოხატოს თანხმობა მის შესახებ მონაცემთა დამუშავებაზე, შენახვასა და აღრიცხვაზე;

იაწოდოს პროვაიდერს ზუსტი, ჭეშმარიტი და უტყუარი ინფორმაცია/მონაცემები;

12. მონაცემთა დამმუშავებლის (პროვაიდერის) ვალდებულება:

მონაცემთა დამმუშავებელი ვალდებულია შეწყვიტოს მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავება ან/და უზრუნველყოს უფლებამოსილი პირის მიერ მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავების შეწყვეტა მონაცემთა სუბიექტის მოთხოვნის მიღებიდან არაუგვიანეს 10 სამუშაო დღისა;

მონაცემთა სუბიექტს მიაწოდოს შემდეგი ინფორმაცია:

  • მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის ( ასეთის არსებობის შემთხვევაში) ვინაობა და რეგისტრირებული მისამართი;
  • მის შესახებ რომელი მონაცემები მუშავდება;
  • მონაცემთა დამუშავების სამართლებრივი საფუძველი;
  • რა გზით შეგროვდა მონაცემები;
  • ვისზე გაიცა მის შესახებ მონაცემები, მონაცემთა გაცემის საფუძველი და მიზანი. აღნიშნული ინფორმაციის გაცემა არ არის სავალდებულო, თუ მონაცემები კანონის თანახმად საჯაროა;
  • მონაცემთა დამუშავების მიზანი;
  • სავალდებულოა თუ ნებაყოფლობითი მონაცემთა მიწოდება; თუ სავალდებულოა − მასზე უარის თქმის სამართლებრივი შედეგები;
  • მონაცემთა სუბიექტის უფლება, მიიღოს ინფორმაცია მის შესახებ დამუშავებულ მონაცემთა თაობაზე, მოითხოვოს მათი გასწორება, განახლება, დამატება, დაბლოკვა, წაშლა და განადგურება;

მიიღოს ისეთი ორგანიზაციული და ტექნიკური ზომები, რომლებიც უზრუნველყოფს მონაცემთა დაცვას შემთხვევით ან უკანონო განადგურებისგან, შეცვლისგან, გამჟღავნებისაგან , მოპოვებისაგან , ნებისმიერი სხვა ფორმით უკანონო გამოყენებისა და შემთხვევითი ან უკანონო დაკარგვისაგან;

აღრიცხოს ელექტრონული ფორმით არსებული მონაცებემის მიმართა შესრულებული ყველა მოქმედება;

არაელექტრონული ფორმით არსებულ მონაცემთა მიმართ, უზრუნველყოს მონაცემთა გამჟღავნებასთან ან/და ცვლილებასთან დაკავშირებული ყველა მოქმედების აღრიცხვა;

უზრუნველყოს მონაცემთა დამუშვებასთან დაკავშირებული რისკების ადეკვატური უსაფრთხოების ზომების მიღებას და არსებობას;

მონაცემთა გამჟღავნებისას, აღრიცხოს შემდეგი ინფორმაცია: რომელი მონაცემი იქნბა გამჟღავნებული, ვისთვის, როდის და რა სამართლებრივი საფუძვლით. აღნიშნული ინფორმაცია ინახება მონაცემთა სუბიექტის შესახებ მონაცემებთან ერთად მათი შენახვის ვადის განმავლობაში;

მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში, გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები, თუ ისინი არასრულია, არაზუსტია, არ არის განახლებული ან თუ მათი შეგროვება და დამუშავება განხორციელდა კანონის საწინააღმდეგოდ. წინამდებარე პუნქტის მიზენისთვის, მონაცემების გასწორება, განახლება, დამატება, წაშლა და განადგულება ხორციელდება მოთხოვნის მიღებიდან 15 დღის ვადაში, ხოლო დაბლოკვის შესახებ გადაწყვეტილება მიიღება 3 დღის ვადაში და ძალაშია მონაცემთა დამმუშავებლის მიერ მონაცემთა გასწორების, განახლების, დამატების, წაშლისა და განადგურების შესახებ გადაწყვეტილების მიღებამდე;

მომხმარებლის მოთხოვნის შესაბამისად შეწყვიტოს მონაცემთა დამუშავება ან/და გაანადგუროს დამუშავებული მონაცემები განცხადების წარდგენიდან 5 დღის ვადაში, თუ არ არსებობს მონაცემთა დამუშავების სხვა საფუძველი.