პერსონალურ მონაცემთა დამუშავების პოლიტიკის დოკუმენტი
რედაქცია: 09/06/2026
წინამდებარე პერსონალურ მონაცემთა დაცვის პოლიტიკის დოკუმენტი აღწერს შპს „სმარტსიელემ"-ის (SmartCLM) (ს/ნ 404793238) (შემდგომში - „კომპანია“) მიერ პერსონალური მონაცემთა დამუშავების პრინციპებს და საფუძვლებს, ამასთანავე, მონაცემთა დამუშავების პროცესში მონაცემთა სუბიექტის უფლებათა დაცვის (მომხმარებელთა) მექანიზმებს და გარანტიებს, ინფორმაციის შენახვისა და უსაფრთხოების საკითხებს. პოლიტიკის დოკუმენტი მონაცემთა სუბიექტს ან/და პოტენციურ მონაცემთა სუბიექტს, კომპანიაში დასაქმებულს ან სხვა დაინტერესებულ პირს გამჭვირვალედ, მარტივად და გასაგებ ენაზე შესაძლებლობას აძლევს მიიღოს ინფორმაცია კომპანიის მიერ პერსონალური მონაცემების დამუშავების პოლიტიკის შესახებ, რაც უზრუნველყობს კომპანიის გამჭვირვალობას მონაცემთა დამუშავების და დაცვის მიმართულებით.
გაითვალისწინეთ, რომ ღილაკი „ვეთანხმები“-ს მონიშვნით ადასტურებთ, რომ გაეცანით, ეთანხმებით და აღიარებთ მოცემული დოკუმენტის სამართლებრივ ძალას, რაც გულისხმობს, რომ თქვენსა და SmartCLM-ს შორის ურთიერთობა რეგულირდება წინამდებარე დოკუმენტის შესაბამისად. აღნიშნული დოკუმენტი წარმოადგენს SmartCLM-ის მომსახურების სტანდარტული პირობების (https://smartclm.ai/ge/terms-of-service.html) განუყოფელ ნაწილს, რომელიც განიმარტება მათთან ერთობლიობაში.
კომპანიის შესახებ ინფორმაცია შეგიძლიათ იხილოთ შემდეგ ბმულზე - https://www.smartclm.ai/ge/
SmartCLM-ის მიერ პერსონალური მონაცემები მუშავდება საქართველოს კანონმდებლობის, კერძოდ, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის და სხვა მარეგულირებელი აქტების შესაბამისად. მონაცემთა სუბიექტის უფლებები დაცულია, როგორც საქართველოს კანონმდებლობით, ასევე მონაცემთა დაცვის ევროპული რეგულაციით (GDPR). მონაცემთა დამუშავების პროცესში გათვალისწინებულია საქართველოს პერსონალურ მონაცემთა დაცვის საზედამხედველო სამსახურის დადგენილი პრაქტიკა და შესაბამისი რეკომენდაცები.
მუხლი 1. მოქმედების სფერო
1.1 წინამდებარე პოლიტიკა ვრცელდება კომპანიის მიერ პერსონალური მონაცემების (შემდგომში - „მონაცემი“) დამუშავების ყველა პროცესზე, მათ შორის დამუშავებაზე უფლებამოსილი პირების მეშვეობით წარმართულ პერსონალურ მონაცემთა დამუშავებაზე - ასეთის არსებობის შემთხვევაში;
1.2 წინამდებარე პოლიტიკის დოკუმენტი განსაზღვრავს კომპანიის საქმიანობასთან დაკავშირებულ ძირითად პრინციპებსა და წესებს, რომელთა დაცვა სავალდებულოა კომპანიის ყველა თანამშრომლისთვის, სტაჟიორისთვის, კონტრაქტორისთვის და სხვა დაკავშირებული პირებისთვის. აღნიშნული წესები მიზნად ისახავს მონაცემთა დაცვის/უსაფრთხოების/შესაბამისობის უზრუნველყოფას და მათი დარღვევა იწვევს კანონმდებლობით გათვალისწინებულ შესაბამის პასუხისმგებლობას.
მუხლი 2. ტერმინთა განმარტება
2.1 წინამდებარე პოლიტიკის დოკუმენტში გამოყენებულ ტერმინს/ტერმინებს აქვთ კანონით განსაზღვრული მნიშვნელობა და განიმარტება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს მე-3 მუხლის შესაბამისად;
მუხლი 3. მონაცემთა დამუშავების პრინციპები
3.1 კომპანია პერსონალურ მონაცემებს ამუშავებს, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის შესაბამისად. პერსონალური მონაცემების დამუშავების მიზნებისთვის, კომპანია მაქსიმალურად უზრუნველყოფს განუხრელად დაიცვას პერსონალურ მონაცემთა დამუშავების ქვემოთ მოცემული პრინციპები:
3.1.1 კანონიერება, სამართლიანობა, გამჭვირვალობა და ღირსების დაცვა – მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, გამჭვირვალედ და მონაცემთა სუბიექტის ღირსების შეულახავად.
განმარტება: მონაცემთა კანონიერი დამუშავება გულისხმობს, რომ მონაცემები უნდა დამუშავდეს მხოლოდ მაშინ, როდესაც არსებობს შესაბამისი საფუძველი და დაცულია ყველა სამართლებრივი მოთხოვნა.
სამართლიანობის პრინციპი, მოითხოვს, რომ პერსონალური მონაცემები მონაცემთა სუბიექტის საზიანოდ, დისკრიმინაციულად არ დამუშავდეს, არ აღმოჩნდეს მოულოდნელი ან შეცდომაში შემყვანი. ამ პრინციპის მიხედვით, მონაცემთა მოპოვება ან სხვაგვარად დამუშავება უსამართლო საშუალებებით, შეცდომაში შეყვანით ან მონაცემთა სუბიექტის ცოდნის გარეშე, დაუშვებელია.
გამჭვირვალობის პრინციპის მიხედვით, ფიზიკური პირებისთვის მათი მონაცემების დამუშავებამდე უნდა იყოს ნათელი, რომ მათთან დაკავშირებული მონაცემები შეგროვდება, გამოიყენება, ან სხვა სახით დამუშავდება. ამასთანავე, თუ პირებს კომპანიის მიერ გარკვეული ინფორმაცია მიეწოდებათ მათი პერსონალური მონაცემების გამოყენებისა და საჭიროების შესახებ, აღნიშნული მათთვის გასაგები ენით უნდა განხორციელდეს.
მონაცემთა დამუშავების პროცესი უნდა წარიმართოს მონაცემთა სუბიექტის ღირსების შეულახავად და არ გამოიწვიოს ადამიანის უფლებებისა და თავისუფლებების შელახვის რისკი.
3.1.2 მიზნობრიობა – მონაცემები უნდა შეგროვდეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნისთვის და არ უნდა იქნეს გამოყენებული ამ მიზანთან შეუთავსებელი მიზნით.
განმარტება: აღნიშნული პრინციპის თანახმად, დამუშავების ოპერაციის მიზნის განსაზღვრა მონაცემთა დაცვის კანონმდებლობის გამოყენებისა და მონაცემთა დაცვის სათანადო გარანტიების შემუშავებისთვის პირველი ეტაპია. ამასთანავე, მიზნის განსაზღვრა სხვა მოთხოვნების დაწესების წინაპირობას წარმოადგენს. მიზნის შეზღუდვის პრინციპი ადგენს საზღვრებს, რომლის ფარგლებშიც შესაძლებელია მოცემული მიზნისთვის შეგროვებული პერსონალური მონაცემების დამუშავება და შემდგომი გამოყენება.
3.1.3 პროპორციულობა – მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად.
განმარტება: პერსონალური მონაცემები უნდა დამუშავდეს მხოლოდ იმ შემთხვევაში, როდესაც დამუშავების მიზნის მიღწევა, გონივრულობის ფარგლებში, შეუძლებელია სხვა საშუალებებით. დამუშავება არ უნდა იყოს არაპროპორციული ჩარევა მონაცემთა სუბიექტის უფლებებსა და თავისუფლებებში და უნდა განხორციელდეს მხოლოდ იმ მოცულობით, რომელიც საჭიროა განსაზღვრული მიზნის მისაღწევად.
3.1.4 სიზუსტე – მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული.
მონაცემთა დამუშავების მიზნ(ებ)ის გათვალისწინებით, პასუხისმგებელი პირი ვალდებულია გაუმართლებელი დაყოვნების გარეშე უზრუნველყოს არაზუსტ მონაცემთა გასწორება, წაშლა ან განადგურება.
3.1.5 შენახვის ვადა – მონაცემები შენახულ უნდა იქნეს მხოლოდ იმ ვადით, რაც აუცილებელია მონაცემთა დამუშავების შესაბამისი ლეგიტიმური მიზნის მისაღწევად.
განმარტება: შენახვის ვადის შეზღუდვის პრინციპში მოიაზრება, რომ მონაცემები უნდა წაიშალოს ან განხორციელდეს მათი ანონიმიზაცია, დამუშავების მიზნის მიღწევისთანავე. შენახვის ვადის შეზღუდვის პრინციპი გულისხმობს, რომ პასუხისმგებელმა პირმა წინასწარ უნდა აცნობოს მონაცემთა სუბიექტს შენახვის პერიოდის შესახებ, ასევე, უნდა უზრუნველყოს პრინციპთან შესაბამისობის დემონსტრირება. შესაბამისად, შენახვის ვადები უნდა განისაზღვროს ორგანიზაციის შიგნით, მონაცემთა დამუშავების დაწყებამდე.
3.1.6 უსაფრთხოება – მონაცემების არამართლზომიერი დამუშავებისგან დასაცავად მიღებულ უნდა იქნეს თანმდევი საფრთხეების შესაბამისი ორგანიზაციულ - ტექნიკური ზომები.
განმარტება: პერსონალური მონაცემების უსაფრთხოების დაცვა მოითხოვს შესაბამისი ტექნიკური და ორგანიზაციული ზომების დანერგვას, რომელთა მიზანია: მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) თავიდან აცილება და მართვა; მონაცემთა დამუშავების ამოცანების სწორად შესრულება და სხვა პრინციპებთან შესაბამისობის უზრუნველყოფა; პირთა უფლებების ეფექტიანად განხორციელების ხელშეწყობა.
მუხლი 4. მონაცემთა დამუშავების საფუძვლები
4.1 მონაცემთა დამუშავებისას გამოიყენება შემდეგ საფუძვლები:
- ა) მონაცემთა სუბიექტის თანხმობა;
- ბ) მხარეთა შორის დადებული ხელშეკრულება;
- გ) კანონმდებლობით განსაზღვრული ვალდებულებები/შემთხვევები;
- დ) საჭიროება განცხადების განსახილველად/მომსახურების გასაწევად;
- ე) პერსონალური მონაცემების დამუშავება შეიძლება განხორციელდეს ერთდროულად რამდენიმე მიზნისთვის. ამ შემთხვევაში, კომპანია უზრუნველყოფს, რომ თითოეული მიზნისთვის:
- არსებობდეს შესაბამისი სამართლებრივი საფუძველი (მაგალითად, ხელშეკრულება, კანონით გათვალისწინებული ვალდებულება, კომპანიის კანონიერი ინტერესი ან მონაცემთა სუბიექტის თანხმობა);
- დაცული იყოს მონაცემთა დაცვის და კონფიდენციალურობის მოთხოვნები, რომ არ იყოს დარღვეული მონაცემთა სუბიექტის უფლებები.
მუხლი 5. რა მონაცემებს ვაგროვებთ და რატომ
ვებგვერდის/პლატფორმის (SmartCLM - შემდგომში „საიტი") მეშვეობით დამუშავებული მონაცემების უმეტესობა თავად მომხმარებლების მიერ არის მოწოდებული.
SmartCLM-ის ფუნქციის ძირითადი დანიშნულება არის სტანდარტული დოკუმენტების ან/და ხელშეკრულებების ავტომატური შევსება და გენერირება, ორგანიზაციული პროცესების წარმართვა და დოკუმენზე ელექტრონული ხელმოწერა. სისტემა წარმოადგენს ელექტრონული დოკუმენტებისა და სამუშაო პროცესების მართვის პლატფორმას. (იხ. ელექტრონული ხელმოწერის პოლიტიკა) აღნიშნული პროცესი მოითხოვს პერსონალურ მონაცემების დამუშავებას საიტის მეშვეობით, რადგან მონაცემთა სუბიექტის მიერ ზუსტი დოკუმენტის შექმნისთვის აუცილებელია საჭირო მონაცემების მიწოდება, რათა შეიქმნას მონაცემთა სუბიექტისთვის სასურველი დოკუმენტი. SmartCLM-ის მოდელი იყენებს მონაცემთა სუბიექტის მიერ მიწოდებულ მონაცემებს, რომელიც ავტომატურად გადადის წინასწარ დამტკიცებული დოკუმენტის შაბლონის შესაბამის ადგილებში. დოკუმენტების ავტომატური დრაფტინგის და მართვის შესრულების პროცესში, ჩვენი სისტემა (როგორც მონაცემთა დამმუშავებელი) ამუშავებს იმ ოდენობით პერსონალურ მონაცემებს, რომლებიც კლიენტები/მომხმარებლები აწვდიან SmartCLM-ის პლატფორმას.
დოკუმენტების შექმნის პროცესში ვამუშავებთ მხოლოდ იმ მონაცემებს, რომლებიც აუცილებელია იურიდიული დოკუმენტის შესაქმნელად:
- ხელშეკრულების მხარეების და/ან ხელმომწერი პირების სახელი და გვარი;
- პროფესიული/ორგანიზაციული ინფორმაცია: თანამდებობა, ხელფასი, იურიდიული პირის დასახელება, საიდენტიფიკაციო მონაცემები;
- საკონტაქტო ინფორმაცია: ელექტრონული ფოსტის მისამართი, ფაქტობრივი/იურიდიული მისამართი, ტელეფონის ნომერი;
- საიდენტიფიკაციო ნომრები: პირადი ნომერი ან სხვა საიდენტიფიკაციო ნომერი (გამოიყენება მხოლოდ იმ შემთხვევაში, თუ ეს სავალდებულოა დოკუმენტის იურიდიული ბუნებისთვის);
- ფინანსური მონაცემები: საბანკო ანგარიშის ნომრები, გადახდის დეტალები, რომლებიც აუცილებელია ხელშეკრულებაში ფინანსური ვალდებულებების აღსაწერად (მაგალითად, ინვოისის ან გადახდის პირობების მითითებისთვის);
- ხელმოწერის მონაცემები: ელექტრონული ხელმოწერის დეტალები, მათ შორის ხელმოწერის თარიღი და დრო;
- აქტივობის ჟურნალი: მონაცემები პლატფორმაზე მოქმედებების შესახებ, როგორიც არის ხელშეკრულების რედაქტირების ისტორია, კომენტარები და დოკუმენტის სტატუსის ცვლილებები;
გარდა ზემოაღნიშნულისა, ვებგვერდის მეშვეობით ხდება დამატებითი მონაცემების შეგროვება. კომპანიის სერვერზე ფიქსირდება ვებგვერდზე შესვლის თარიღი, საათი და მეთოდი, ინტერნეტ პროტოკოლის მისამართი, რეფერალი და ვებგვერდზე მომხმარებლის მიერ განხორციელებული აქტივობების ამსახველი სხვა მონაცემები. ისინი მუშავდება შესაძლო ინფორმაციული უსაფრთხოების ინციდენტების გამოვლენის მიზნით, რაც საჭიროა კომპანიის ინტერესის დასაკმაყოფილებლად - მათ შორის, კომპანიის ელექტრონული სისტემების მთლიანობის უზრუნველყოფისა და საქმიანობის უწყვეტობის შენარჩუნებისთვის.
SmartCLM-ის სისტემის გამოყენების მიზნებისთვის კომპანია ამუშავებს კლიენტებთან დადებულ ხელშეკრულებებს და მასში ასახულ პერსონალურ მონაცემებს.
თანამშრომელთა და სტაჟიორების მონაცემები
მონაცემები: სახელი, გვარი, პირადი ნომერი, საკონტაქტო მონაცემები, ელ.ფოსტის მისამართი, განათლებისა და გამოცდილების შესახებ ინფორმაცია, CV, საბანკო რეკვიზიტები, მისამართი.
მიზანი: შრომითი ურთიერთობების მართვა, ხელფასების გაცემა, შიდა კომუნიკაცია, პროფესიული შეფასება და განვითარების უზრუნველყოფა, სამართლებრივი და საგადასახადო ვალდებულებების შესრულება.
SmartCLM გარე სერვისები
საიტის/აპლიკაციის მიერ გამოყენებული ყველა გარე სერვისის ჩამონათვალი - რას აკეთებს, სად გამოიყენება აპში და სად ხვდება მონაცემები.
1. Supabase
- რა არის: ჩვენი backend - მონაცემთა ბაზა, ავტორიზაციის სისტემა, ფაილების საცავი და მცირე სერვერული ფუნქციები.
- სად გამოიყენება აპში: ყველგან - ყველა ეკრანი კითხულობს/წერს მონაცემებს მისი საშუალებით.
- რა მონაცემები იგზავნება: ყველაფერი - მომხმარებლის ანგარიშები, კომპანიები, თანამშრომლები, კონტრაგენტები, ყველა დოკუმენტი, ხელმოწერები, ატვირთული ფაილები, აქტივობის ლოგები.
- სად ინახება მონაცემები: AWS მონაცემთა ცენტრი, სტოკჰოლმი, შვედეთი (EU).
2. AWS (Amazon Web Services)
- რა არის: ფიზიკური ინფრასტრუქტურა, რომელსაც Supabase იყენებს. ჩვენ AWS-სთან პირდაპირი კომუნიკაცია არ გვაქვს.
- სად გამოიყენება აპში: არაპირდაპირ - რაც Supabase-ს სჭირდება.
- რა მონაცემები იგზავნება: იგივე რაც Supabase-ში (იგივე სერვერები).
- სად ინახება მონაცემები: სტოკჰოლმი, შვედეთი (EU).
3. Vercel
- რა არის: ვებსაიტის ჰოსტინგი (HTML/JS/CSS, რომელიც იტვირთება ბრაუზერში).
- სად გამოიყენება აპში: აპის ჩატვირთვისას ბრაუზერში - მხოლოდ ეს.
- რა მონაცემები იგზავნება: მომხმარებელთა მონაცემები არა; მხოლოდ სტანდარტული ვებ-ტრეფიკის ლოგები (IP, ბრაუზერი).
- სად ინახება მონაცემები: გლობალური CDN edge ინფრასტრუქტურა.
4. OpenAI
- რა არის: ChatGPT API - გამოიყენება prompt-ის საფუძველზე ხელშეკრულების შაბლონების გენერაციისთვის.
- სად გამოიყენება აპში: „Generate“ გვერდზე (/generate) - როდესაც მომხმარებელი წერს მოთხოვნას ახალი შაბლონის შესაქმნელად.
- რა მონაცემები იგზავნება: მხოლოდ მომხმარებლის თავისუფალი ტექსტის მოთხოვნა (prompt), რომელიც აღწერს სასურველ შაბლონს. არსებობს მკაფიო გაფრთხილება, რომ არ შეიყვანონ პერსონალური მონაცემები (სახელები, ID-ები, ტელეფონები და სხვ.). რეალური პერსონალური მონაცემები შემდგომ ივსება placeholder-ებში ლოკალურად - OpenAI-ს არ ეგზავნება.
- სად ინახება მონაცემები: აშშ. შეყვანილი მონაცემები ინახება მაქსიმუმ 30 დღემდე ბოროტად გამოყენების მონიტორინგისთვის, შემდეგ იშლება.
- შენიშვნა: „AI Document Review“ ფუნქცია ამოღებულია UI-დან. „Polish text“ AI დამხმარე გამორთულია.
5. Brevo (ყოფილი Sendinblue)
- რა არის: ელფოსტის პროვაიდერი - აგზავნის ყველა ტრანზაქციულ იმეილს.
- სად გამოიყენება აპში:
- რეგისტრაცია და ავტორიზაცია (ვერიფიკაციის კოდები, პაროლის აღდგენა, magic link-ები)
- გუნდის წევრების მოწვევა
- დოკუმენტის გაზიარების შეტყობინებები
- ხელმოწერილი დოკუმენტების და აუდიტის სერტიფიკატის გაგზავნა მონაწილეებისთვის
- კასტომ იმეილები, feedback, ახალი მომხმარებლის ადმინისტრატორისთვის შეტყობინება
- რა მონაცემები იგზავნება: მიმღების ელფოსტა, თემა, HTML შიგთავსი და (ხელმოწერილი დოკუმენტებისთვის) სრული PDF დანართი + აუდიტის სერტიფიკატი PDF.
- სად ინახება მონაცემები: საფრანგეთი / გერმანია (EU). შიდა-ევროპული გადაცემა - საზღვარგარეთული რისკი არ არსებობს.
6. Browserless.io
- რა არის: Headless Chrome სერვისი, რომელიც HTML დოკუმენტებს PDF-ად გარდაქმნის.
- სად გამოიყენება აპში:
- აუდიტის სერტიფიკატის PDF გენერაცია
- დოკუმენტის preview / ხელმოწერილი PDF გენერაცია
- რა მონაცემები იგზავნება: დოკუმენტის სრული HTML (ტექსტი, მხარეები, თანხები, ხელმოწერის სურათები, ლოგო/letterhead).
- სად ინახება მონაცემები: ამსტერდამი, EU (production-ams.browserless.io). Stateless - მხოლოდ გენერაცია და წაშლა, შენახვა არ ხდება.
7. Flitt (Fondy)
- რა არის: ბარათით გადახდის პროცესორი.
- სად გამოიყენება აპში: გამოწერის / ბილინგის გვერდებზე — გეგმის გადახდის ან განახლებისას.
- რა მონაცემები იგზავნება: შეკვეთის ID, თანხა, ვალუტა. ბარათის მონაცემები შეჰყავთ უშუალოდ Flitt-ის გვერდზე — ჩვენთან არ მოდის. ჩვენ ვიღებთ მხოლოდ გადახდის სტატუსს და recurring-payment ტოკენს (არ შეიცავს ბარათის ნომერს).
- სად ინახება მონაცემები: EU (კვიპროსი / უკრაინის იურიდიული ერთეული, EU მონაცემთა ცენტრები). PCI-DSS Level 1 სერტიფიცირებული.
8. msg.ge
- რა არის: ქართული SMS gateway.
- სად გამოიყენება აპში:
- ტელეფონის ვერიფიკაციისთვის SMS OTP კოდების გაგზავნა
- დოკუმენტის გაზიარების ბმულის გაგზავნა SMS-ით
- რა მონაცემები იგზავნება: ტელეფონის ნომერი + SMS ტექსტი (კოდი ან ბმული). დოკუმენტის შიგთავსი არ იგზავნება.
- სად ინახება მონაცემები: საქართველო.
სწრაფი რუკა — „სად მიდის მონაცემები?"
| მონაცემები | მიდის | რეგიონი |
|---|---|---|
| მომხმარებლის ანგარიშები, დოკუმენტები, ხელმოწერები | Supabase / AWS | სტოკჰოლმი, EU |
| იმეილები + ხელმოწერილი PDF დანართები | Brevo | საფრანგეთი / გერმანია, EU |
| დოკუმენტის HTML (PDF გენერაციისთვის) | Browserless | ამსტერდამი, EU |
| ტელეფონის ნომრები + OTP / SMS ბმულები | msg.ge | საქართველო |
| ბარათის მონაცემები | Flitt (ჩვენთან არ მოდის) | EU |
| AI prompt-ები (პერსონალური მონაცემების გარეშე) | OpenAI | აშშ |
მუხლი 6. უფლებამოსილი პირის მიერ მონაცემების დამუშავება (ასეთის არსებობის შემთხვევაში)
მონაცემები მუშავდება მხოლოდ კომპანიის მიერ განსაზღვრული მიზნებისათვის, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით დადგენილი წესების და აკრძალვების გათვალისწინებით.
- უფლებამოსილი პირი ვალდებულია დაამუშაოს მონაცემები მხოლოდ პასუხისმგებელი პირის წერილობითი (მათ შორის ელექტრონული ფორმით გაცემული) ინსტრუქციების საფუძველზე;
- თუ უფლებამოსილი პირი მიიჩნევს, რომ პასუხისმგებელი პირის ინსტრუქცია ეწინააღმდეგება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონს, იგი ვალდებულია დაუყოვნებლივ აცნობოს ამის შესახებ პასუხისმგებელ პირს;
- უფლებამოსილი პირი უზრუნველყოფს, რომ მონაცემებზე წვდომა ჰქონდეთ მხოლოდ იმ თანამშრომლებს, რომლებიც საჭიროებენ ასეთ წვდომას და რომლებიც ვალდებულნი არიან დაიცვან კონფიდენციალურობა;
- უფლებამოსილი პირი იღებს შესაბამის ტექნიკურ და ორგანიზაციულ ზომებს მონაცემთა უსაფრთხოების უზრუნველსაყოფად (მაგ. დაშიფვრა, წვდომის კონტროლი, ლოგირება), რაც მაქსიმალურად უზრუნველყოფ პერსონალურ მონაცემების დაცვას;
- დამუშავებაზე უფლებამოსილი პირი არ არის უფლებამოსილი გადასცეს მონაცემები მესამე პირებს პასუხისმგებელი პირის წინასწარი წერილობითი თანხმობის გარეშე;
- უფლებამოსილი პირი ვალდებულია დაეხმაროს პასუხისმგებელ პირს მონაცემთა სუბიექტის უფლებების რეალიზებაში (წვდომა, წაშლა, შესწორება და სხვ.);
- უფლებამოსილი პირი ვალდებულია დაუყოვნებლივ აცნობოს პასუხისმგებელ პირს ნებისმიერი მონაცემთა უსაფრთხოების ინციდენტის შესახებ;
- უფლებამოსილი პირი ვალდებულია ჰქონდეს მონაცემთა უსაფრთხოების ინციდენტზე რეაგირების პოლიტიკის დოკუმენტი.
მუხლი 7. მონაცემების შენახვა და უსაფრთხოება
მომხმარებლის/კლიენტის მიერ SmartCLM-ის პლატფორმისთვის მიწოდებული მონაცემები, რომლებიც საჭიროა დოკუმენტების შექმნისთვის და გენერირებისთვის „SmartCLM."-ის პლატფორმის მონაცემთა ბაზაში ინახება ღრუბლოვან სივრცეში დაშიფრული ფორმით, კლიენტთან დადებული SmartCLM-ის სერვისით სარგებლობის ხელშეკრულების მოქმედების ვადით, ხოლო ხელშეკრულების მოქმედების ვადის ამოწურვის შემდგომ მონაცემები 1 (ერთი) თვის ვადაში წაიშლება, თუ მომსახურების ხელშეკრულება არ განახლდება.
კლიენტებთან დადებული მომსახურბის ხელშეკრულებები, ასევე ხელშეკრულების შესრულებასთან დაკავშირებული დოკუმენტები ინახება ხელშეკრულების ვადის ამოწურვიდან/შეწყვეტიდან 5 (ხუთი) წლის განმავლობაში;
SmartCLM-ში დასაქმებულების შრომითი ხელშეკრულების შესრულების მიზნებიდან გამომდინარე დამუშავებული ინფორმაცია ინახება შრომითი ხელშეკრულების ვადის გასვლიდან ან/და შეწყვეტიდან 5 (ხუთი) წლის განმავლობაში. თუ აღნიშნული ინფორმაცია დაკავშირებულია მიმდინარე სამართალწარმოების მიზნებთან, მისი შენახვა ხორციელდება სამართალწარმოების დასრულებამდე. სამართალწარმოების დასრულებისთანავე, 5-წლიანი შენახვის ვადა არ ვრცელდება აღნიშნულ ინფორმაციაზე, ხოლო მონაცემთა შემდგომი შენახვა ან დამუშავება ხორციელდება მხოლოდ იმ შემთხვევაში, თუ არსებობს შესაბამისი კანონით განსაზღვრული საფუძველი. ხოლო აპლიკანტების მონაცემები ინახება კონკურსის დასრულებიდან 6 (ექვსი) თვის გამავლობაში.
კომპანია მონაცემთა დაცვის უსაფრთხოებისთვის იყენებს მრავალშრიან (Multi-layer) ტექნიკურ ზომებს, რათა მაქსიმალურად დაცული იყოს პერსონალური მონაცემები უკანონო წვდომისაგან:
1. წვდომის კონტროლი და ავთენტიფიკაცია
- ა) ძლიერი პაროლის პოლიტიკა;
- ბ) ორფაქტორიანი ავთენტიფიკაცია;
- გ) ავტომატური ბლოკირება;
2. მონაცემთა დაშიფვრა
ა) მონაცემები დაცულია დაშიფვრის ორივე ძირითადი მეთოდით:
- მონაცემთა დაშიფვრა შენახვისას (Encryption at rest): ყველა პერსონალური მონაცემი, რომელიც ინახება SmartCLM-ის პლატფორმის მონაცემთა ბაზებსა და ღრუბლოვან საცავებში, ინახება დაშიფრული ფორმით.
- მონაცემთა დაშიფვრა გადაცემისას (Encryption in transit): მონაცემთა გადაცემა მომხმარებლის ბრაუზერსა და ჩვენს სერვერებს შორის, ასევე სერვისებს შორის Application API TLS/SSL პროტოკოლების გამოყენებით, რაც უზრუნველყოფს, რომ მონაცემები გადაიცეს დაშიფრული სახით.
3. სისტემების უსაფრთხოება და დაცვა
- ა) უსაფრთხოების პატჩები და განახლებები;
- ბ) ქსელის უსაფრთხოება;
4. სარეზერვო ასლების შექმნა და აღდგენა
- მონაცემთა რეგულარული კოპირება;
- აღდგენის ტესტირება;
კომპანია უზრუნველყოფს, რომ SmartCLM-ის შიგნით, წვდომა პერსონალურ მონაცემებზე იყოს ჟურნალიზებული (Logged) და რეგულარულად იქნეს შემოწმებული (Audited).
მუხლი 9. მონაცემთა სუბიექტის უფლებები
9.1 კანონი განსაზღვრავს მონაცემთა სუბიექტის შემდეგ უფლებებს, შესაბამისად მონაცემთა სუბიექტს უფლება აქვს ისარგებლოს ქვემოთ მოცემული უფლებებით:
| მონაცემთა სუბიექტის უფლების კატეგორია | ნორმატიული საფუძველი — „პერსონალურ მონაცემთა დაცვის შესახებ" კანონის ქვემოთ მოცემული მუხლები |
|---|---|
| მონაცემთა დამუშავების შესახებ ინფორმაციის მიღების უფლება | მე-13 მუხლი |
| მონაცემთა გაცნობისა და ასლის მიღების უფლება | მე-14 მუხლი |
| მონაცემთა გასწორების, განახლებისა და შევსების უფლება | მე-15 მუხლი |
| მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლება | მე-16 მუხლი |
| მონაცემთა დაბლოკვის უფლება | მე-17 მუხლი |
| მონაცემთა გადატანის (პორტირების) უფლება | მე-18 მუხლი |
| ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღებასთან დაკავშირებული უფლებები | მე-19 მუხლი |
| თანხმობის გამოხმობის უფლება | მე-20 მუხლი |
| გასაჩივრების უფლება | 22-ე მუხლი |
მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, დამუშავებისთვის პასუხისმგებელი პირი (კომპანია) ვალდებულია კანონით დადგენილი წესით უზრუნველყოს მონაცემთა სუბიექტის უფლებების განხორციელება, მათ შორის, მიიღოს ყველა ზომა ამავე კანონის მოთხოვნებთან შესაბამისობის და საჭიროების შემთხვევაში, მათი დემონსტრირების მიზნით.
მონაცემთა სუბიექტის უფლებების დაცვის ვალდებულება ვრცელდება აგრეთვე დამუშავებაზე უფლებამოსილ პირზე მასთან დაცულ/არსებულ მონაცემებთან მიმართებით ასეთის არსებობის შემთხვევაში.
9.2 პერსონალურ მონაცემთა დაცვის საკითხებზე კითხვების შემთხვევაში შეგიძლია მიმართოთ შემდეგ ელ.ფოსტაზე: welcome@smartclm.ai
მონაცემთა სუბიექტის მიერ საჭირო ინფორმაციის მითითება
მიმართვისას სუბიექტმა უნდა მიუთითოს:
- 1) სრული სახელის და გვარის ან იურიდიული პირის დასახელება;
- 2) პირადობის დამადასტურებელი ინფორმაცია (მაგალითად, პირადი ნომერი);
- 3) კონკრეტული მოთხოვნა - პერსონალურ მონაცემთა დაკავშირებით;
- 4) ნებისმიერ შემთხვევაში, დამატებითი ინფორმაცია, რომელიც საშუალებას მისცემს კომპანიას ზუსტად განსაზღვროს მონაცემები, რომელთა შესახებაც მიმართვაა წარმოდგენილი.
კომპანია განცხადება/საჩივრის მიღებიდან 2 კვირის განმავლობაში წერილობითი ფორმით მიაწვდის დასაბუთებულ ინფორმას მონაცემთა სუბიექტს დასმულ საკითხთან დაკავშირებით.
მუხლი 10. ინციდენტის შესახებ შეტყობინების ვალდებულება
10.1 დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, გარდა იმ შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.
10.2 თუ ინციდენტი მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ინციდენტის აღმოჩენიდან პირველი შესაძლებლობისთანავე, გაუმართლებელი დაყოვნების გარეშე აცნობოს მონაცემთა სუბიექტს ინციდენტის შესახებ;
10.3 დამუშავებაზე უფლებამოსილი პირი ვალდებულია ინციდენტის შესახებ დაუყოვნებლივ აცნობოს დამუშავებისთვის პასუხისმგებელ პირს;
10.4 მონაცემთა დამუშავებაზე პასუხისმგებელ პირს (კომპანიას) შემუშავებული აქვს მონაცემთა უსაფრთხოების ინციდენტზე რეაგირების პოლიტიკის დოკუმენტი, რომელის მიზანია მონაცემთა უსაფრთხოების ინციდენტებზე რეაგირების ერთიანი სტანდარტის განსაზღვრა, რათა უზრუნველყოფილი იყოს პერსონალური მონაცემების დაცვა და რისკების მინიმიზაცია.
მუხლი 11. აღსრულება
11.1 წინამდებარე პოლიტიკის დოკუმენტით გათვალისწინებული ღონისძიებების უზრუნველსაყოფად კომპანია (საჭიროების მიხედვით) შეიმუშავებს დამატებით წერილობით დოკუმენტებს და იღებს სხვა შესაბამის ზომებს კანონით განსაზღვრული წესით;
11.2 პერსონალურ მონაცემთა დაცვის პოლიტიკის დოკუმენტი მტკიცდება კომპანიის დირექტორის ბრძანების საფუძველზე და ხელმისაწვდომია დაინტერესებული პირებისთვის კომპანიის ოფიციალურ ვებ-გვერდზე https://www.smartclm.ai/ge/
მუხლი 12. პოლიტიკის დოკუმენტის მოქმედება და მასში ცვლილების შეტანა
12.1 წინამდებარე პოლიტიკის დოკუმენტი გადაიხედება სულ მცირე წელიწადში ერთხელ მაინც და საჭიროების შემთხვევაში, მასში სათანადო ცვლილებები განხორციელდება;
12.2 წინამდებარე პოლიტიკის დოკუმენტი კომპანიის თანამშრომლებისთვის გაცნობის დღიდან შესასრულებლად სვალდებულოა.
თქვენ, როგორც მონაცემთა სუბიექტს უფლება გაქვთ, პერსონალურ მონაცემთა დაცვის საკითხებთან დაკავშირებით თქვენი უფლებების დასაცავად/საჩივრის წარსადგენად მიმართოთ როგორც „შპს „სმარტსიელემ"-ს" ან/და სახელმწიფო აუდიტის სამსახურს.
საკონტაქტო ინფორმაცია:
ტელეფონი: +995 500 001235
ელ.ფოსტა: welcome@smartclm.ai
იურიდიული მისამართი: თბილისი, მთაწმინდის რაიონი, ვასილ პეტრიაშვილის ქ., N 46 ბ. 5
