შპს იორკ თაუერსის პერსონალურ მონაცემთა დაცვის პოლიტიკა
პრეამბულა
შპს იორკ თაუერსი (შემდგომ – ორგანიზაცია) მიზნად ისახავს, პერსონალური მონაცემების დამუშავებისას პატივი სცეს და დაიცვას ადამიანის ძირითადი უფლებები და თავისუფლებები, მათ შორის, პირადი და ოჯახური ცხოვრების, პირადი სივრცისა და კომუნიკაციის ხელშეუხებლობის უფლებები.
ამ პოლიტიკით განსაზღვრულია ის ძირითადი ღონისძიებები, რომლითაც ორგანიზაცია უზრუნველყოფს მის მიერ პერსონალურ მონაცემთა დამუშავების პროცესების „პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონთან (შემდგომ – კანონი) შესაბამისობას, ზემოაღნიშნული მიზნის მისაღწევად.
მუხლი 1. მოქმედების სფერო
ეს პოლიტიკა ვრცელდება ორგანიზაციის მიერ პერსონალური მონაცემების (შემდგომ – მონაცემები) დამუშავების ყველა პროცესზე, მათ შორის, თანადამუშავებისთვის პასუხისმგებელ პირებთან ერთად და დამუშავებაზე უფლებამოსილი პირების მეშვეობით წარმართულ პერსონალური მონაცემების დამუშავების პროცესებზე.
მუხლი 2. ტერმინთა განმარტება
პოლიტიკაში გამოყენებულ ტერმინებს აქვთ კანონით განსაზღვრული მნიშვნელობა.
მუხლი 3. მონაცემთა დამუშავების პრინციპები
1. ორგანიზაცია მონაცემთა სუბიექტების მონაცემებს ამუშავებს კანონის შესაბამისად, კანონით განსაზღვრული მონაცემთა დამუშავების საფუძვლის არსებობის პირობებში და შემდეგი პრინციპების დაცვით:
- მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, გამჭვირვალედ და მონაცემთა სუბიექტის ღირსების შეულახავად;
- მონაცემები უნდა შეგროვდეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნისთვის და არ უნდა იქნეს გამოყენებული ამ მიზანთან შეუთავსებელი მიზნით;
- მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად;
- მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული;
- მონაცემები შენახულ უნდა იქნეს მხოლოდ იმ ვადით, რაც აუცილებელია მონაცემთა დამუშავების შესაბამისი ლეგიტიმური მიზნის მისაღწევად;
- მონაცემების არამართლზომიერი დამუშავებისგან დასაცავად მიღებულ უნდა იქნეს თანმდევი საფრთხეების შესაბამისი ტექნიკური და ორგანიზაციული ზომები.
2. ორგანიზაცია უზრუნველყოფს მონაცემების დამუშავებას იმგვარად, რომ შეძლოს პროცესის ზემოთ ჩამოთვლილ პრინციპებთან შესაბამისობის დასაბუთება.
მუხლი 4. კანონიერად დამუშავების უზრუნველმყოფი ძირითადი ღონისძიებები
მონაცემების ამ პოლიტიკის მე-3 მუხლის შესაბამისად დამუშავებისთვის, ორგანიზაცია:
- მონაცემების უსაფრთხოების უზრუნველსაყოფად იღებს საფრთხეების შესაბამის ტექნიკურ და ორგანიზაციულ ზომებს, მათ შორის, განსაზღვრავს ორგანიზაციაში არსებული თითოეული ინფორმაციული აქტივის მფლობელს და უზრუნველყოფს ინფორმაციულ აქტივებზე წვდომების კონტროლს;
- უზრუნველყოფს ორგანიზაციაში დასაქმებული პირების პერიოდულ გადამზადებას მონაცემთა დაცვის წესებთან დაკავშირებით;
- ინციდენტის აღმოჩენის შემთხვევაში, ინციდენტით გამოწვეული სავარაუდო ზიანის შემცირების ან აღმოფხვრის მიზნით უზრუნველყოფს დროულ რეაგირებას და ინციდენტის შესახებ მონაცემთა სუბიექტებისა და პერსონალურ მონაცემთა დაცვის სამსახურის კანონით დადგენილი წესით ინფორმირებას;
- გამჭვირვალობის პრინციპის შესაბამისად, მონაცემთა სუბიექტების ინფორმირების მიზნით, ორგანიზაციის ვებგვერდზე საჯაროდ ხელმისაწვდომად ათავსებს ინფორმაციას მის მიერ მონაცემთა დამუშავების პროცესების შესახებ. ასევე, საჭიროების შემთხვევაში, ორგანიზაცია მიმართავს დამატებით ზომებს მონაცემთა სუბიექტების ინფორმირებისთვის;
- ორგანიზაციაში დასაქმებული პირების ინფორმირების მიზნით, მათთვის ხელმისაწვდომად ათავსებს ინფორმაციას ორგანიზაციის მიერ მათი მონაცემების დამუშავების პროცესების შესახებ;
- უზრუნველყოფს კანონით გათვალისწინებული უფლებების რეალიზების მიზნით ორგანიზაციაში მონაცემთა სუბიექტების მიერ წარმოდგენილ მომართვებზე/შეტყობინებებზე დროულ და ჯეროვან რეაგირებას;
- აფასებს მონაცემთა დამუშავების შედეგად ადამიანის ძირითადი უფლებების და თავისუფლებების შელახვის საფრთხის შექმნის ალბათობას და, მაღალი ალბათობის გამოვლენის შემთხვევაში, ახორციელებს მონაცემთა დაცვაზე ზეგავლენის შეფასებას;
- ყველა პროდუქტში, პროექტში და მომსახურებაში ითვალისწინებს მონაცემთა მეტად დაფარვის პრიორიტეტს;
- კანონის შესაბამისად აღრიცხავს მის მიერ მონაცემთა დამუშავებასთან დაკავშირებულ ინფორმაციას;
- დამუშავებაზე უფლებამოსილი პირების მეშვეობით მონაცემებს ამუშავებს მხოლოდ სამართლებრივი აქტის ან/და წერილობითი შეთანხმების საფუძველზე, რომლითაც მკაფიოდ განსაზღვრავს დამუშავების საფუძვლებს და მიზნებს, დასამუშავებელ მონაცემთა კატეგორიებს, დამუშავების ვადას და მხარეთა ვალდებულებებს;
- უზრუნველყოფს სხვა შესაბამისი ღონისძიებების გატარებას.
მუხლი 5. აღსრულება
1. პოლიტიკის მე-4 მუხლით გათვალისწინებული ღონისძიებების უზრუნველსაყოფად ორგანიზაცია შეიმუშავებს დამატებით წერილობით დოკუმენტებს და იღებს სხვა შესაბამის ზომებს.
2. ორგანიზაციის მიერ მონაცემთა ამ პოლიტიკის შესაბამისად დამუშავების მიმართ წარმოშობილი რისკების იდენტიფიცირების და სათანადო ღონისძიებების გატარების კოორდინირების მიზნით:
- ორგანიზაციის პერსონალურ მონაცემთა დაცვის ოფიცერი ახორციელებს ორგანიზაციის მიერ მონაცემთა დამუშავების პროცესების კანონთან და ამ პოლიტიკასთან შესაბამისობის მონიტორინგს და გასცემს შესაბამის რეკომენდაციებს;
- ინფორმაციული აქტივის მფლობელები უზრუნველყოფენ მათ მფლობელობაში არსებული, მონაცემების შემცველი ინფორმაციული აქტივების კანონთან და ამ პოლიტიკასთან შესაბამისობას.
მუხლი 6. პოლიტიკის გადასინჯვა
ეს პოლიტიკა გადაიხედება სულ მცირე, წელიწადში ერთხელ, საჭიროების შემთხვევაში, მასში სათანადო ცვლილებების შეტანის გზით.
