დამტკიცებულია
შპს „მარველ კტ“-ის გენერალური დირექტორის
ი.ა. კუზნეცოვის ბრძანებით
2017 წლის 30 ივნისს.
- 1. საერთო დებულებები
1.1.ეს პოლიტიკა (შემდგომ – პოლიტიკა) შემუშავებულია 27.07.2006 წ. ფედერალური კანონის „პერსონალურ მონაცემებზე“ № 152-ფზ (შემდგომ – № 152-ფზ) შესაბამისად და წარმოადგენს შპს „მარველ კტ“-ის (შემდგომ – საზოგადოება) შიდა დოკუმენტს, რომლითაც განისაზღვრება პერსონალური მონაცემების დამუშავებისა და დაცვის მოქმედების წესი, რომელთა ოპერატორს წარმოადგენს საზოგადოება.
1.2.პოლიტიკა შემუშავებულია პერსონალური მონაცემების დამუშავებისა და დაცვის სფეროში კანონმდებლობის მოთხოვნების რეალიზაციის მიზნით და მიმართულია ადამიანისა და მოქალაქის უფლებათა და თავისუფლებათა დაცვის უზრუნველსაყოფად საზოგადოების მიერ მათი პერსონალური მონაცემების დამუშავებისას.
1.3.პოლიტიკის დებულებები ვრცელდება პერსონალური მონაცემების დამუშავებისა და დაცვის ურთიერთობებზე, რომლებიც საზოგადოებამ მოიპოვა როგორც ამ პოლიტიკის დამტკიცებამდე, ისე მისი დამტკიცების შემდეგ, გარდა იმ შემთხვევებისა, როდესაც პოლიტიკის დებულებები არ შეიძლება გავრცელდეს პოლიტიკის დამტკიცებამდე საზოგადოების მიერ მოპოვებული პერსონალური მონაცემების დამუშავებისა და დაცვის ურთიერთობებზე სამართლებრივი, ორგანიზაციული და სხვა მიზეზების გამო.
1.4.წინამდებარე პოლიტიკის დებულებები ვრცელდება სამართალმემკვიდრეთა და (ან) სუბიექტების წარმომადგენელთა მონაცემების დამუშავებისა და დაცვის შემთხვევაში, მაშინაც კი, როცა ეს პირები შიდა მარეგულირებელ დოკუმენტებში პირდაპირ არ არიან ნახსენები, მაგრამ ფაქტობრივად მონაწილეობენ საზოგადოებასთან ურთიერთობებში.
- 2. საზოგადოებაში პერსონალური მონაცემების დამუშავების პრინციპები,
წესი და მათი შემადგენლობა
2.1.წინამდებარე პოლიტიკის დებულებათა შესაბამისად საზოგადოებაში პერსონალური მონაცემების დამუშავება წარმოებს საზოგადოების, როგორც იურიდიული პირის,მიერ თავის უფლებათა და მოვალეობათა რეალიზაციასთან დაკავშირებით კომერციული საქმიანობის განხორციელების პროცესში.
2.2.საზოგადოება, როგორც თავის უფლებათა და მოვალეობათა მარეალიზებელი იურიდიული პირი, ამუშავებს პიზიკურ პირთა პერსონალურ მონაცემებს, რომლებიც წარმოადგენენ საზოგადოების კონტრაგენტებს (შესაძლო კონტრაგენტებს) სამოქალაქო-სამართლებრივი ხელშეკრულებების მიხედვით, ხელმძღვანელთა, კოლეგიალურ აღმასრულებელ ორგანოთა წევრების და იურიდიულ პირთა წარმომადგენლების პერსონალურ მონაცემებს, მოქალაქეთა პერსონალურ მონაცემებს, რომლებიც წერილობით მიმართავენ საზოგადოებას მისი საქმიანობის საკითხებთან დაკავშირებით, აგრეთვე სხვა ფიზიკურ პირთა პერსონალურ მონაცემებს, თუ ეს აუცილებელია საზოგადოების მიერ თავისი კომერციული საქმიანობის განხორციელებისათვის.
2.3.საზოგადოების მიერ პერსონალური მონაცემების მოპოვება და დამუშავება ხდება რუსეთის ფედერაციის ფადარალური კანონების და სხვა ნორმატიული სამართლებრივი აქტების საფუძველზე, ხოლო საჭიროების შემთხვევაში – პერსონალური მონაცემების სუბიექტის წერილობითი თანხმობის არსებობის შემთხვევაში.
2.4.საზოგადოებაზე დაკისრებული ფუნქციების შესრულების მიზნით საზოგადოება განსაზღვრული წესით უფლებამოსილია დაავალოს მესამე პირებს პერსონალური მონაცემების დამუშავება.
პირებთან, რომლებსაც საზოგადოება ავალებს პერსონალური მონაცემების დამუშავებას, იდება ხელშეკრულებები იმ პირობებით,რომლებითაც ეს პირები ვალდებულნი არიან დაიცვან პერსონალური მონაცემების დამუშავებისა და დაცვის მიმართ კანონმდებლობით გათვალისწინებული მოთხოვნები.
2.5.საზოგადოება აწვდის მის მიერ დამუშავებულ პერსონალურ მონაცემებს სახელმწიფო ორგანოებსა და ორგანიზაციებს, რომელთაც ფედერალური კანონის შესაბამისად უფლება აქვთ მიიღონ შესაბამისი პერსონალური მონაცემები.
2.6.საზოგადოებაში არ ხდება ისეთი პერსონალური მონაცემების დამუშავება, რომლებიც შეუთავსებელია მისი შეგროვების მიზნებთან. თუ ფედერალური კანონით სხვა რამ არ არის გთვალისწინებული საზოგადოებაში პერსონალური მონაცემების დამუშავების დამთავრების შემდეგ, მათ შორის მათი დამუშავების მიზნების მღწევის ან ამ მიზნების მიღწევის აუცილებლობის დაკარგვის შემთხვევაში, საზოგადოების მიერ დამუშავებული მონაცემები მთლიანად წაიშლება ან გაუპიროვნდება.
2.7.პერსონალური მონაცემების დამუშავებისას უზრუნველყოფილი იქნება მათი სიზუსტე, საკმარისობა, ხოლო აუცილებლობის შემთხვევაში – აქტუალურობაც დამუშავების მიზნების მიმართ. საზოგადოების მიერ მიღებულ იქნება ყველა საჭირო ზომა არასრული ან არაზუსტი პერსონალური მონაცემების წასაშლელად ან დასაზუსტებლად.
2.8.საზოგადოებაში პერსონალური მონაცემების დამუშავებისას, მათი უსაფრთხოების უზრუნველყოფის მთავარი ამოცანაა პერსონალურ მონაცემებზე მესამე პირთა არასანქცირებული წვდომის გამორიცხვა, პერსონალური მონაცემების მოპარვის მიზნით წინასწარგანზრახული საპროგრამო-ტექნიკური ან სხვა ზემოქმედების დაუშვებლობა, დამუშავების პროცესში მათი განადგურების (წაშლის) ან დამახინჯების თავიდან აცილება.
2.9.პერსონალური მონაცემებისდაცვის უზრუნველსაყოფად საზოგადოება ხელმძღვანელობს შემდეგი პრინციპებით:
1) კანონიერება:პერსონალური მონაცემების დაცვას საფუძვლად უდევს ნორმატიული სამართლებრივი აქტების დებულებები და პერსონალური მონაცემების დამუშავებისა და დაცვის სფეროში უფლებამოსილი სახელმწიფო ორგანოების მეთოდიკური დოკუმენტები;
2) სისტემურობა: საზოგადოებაში პერსონალური მონაცემების დამუშავება ხორციელდება ურთიერთდაკავშირებული, ურთიერთმოქმედი და დროში ცვალებადი ელემენტების, პირობებისა და ფაქტორების გათვალისწინებით, რომლებიც მნიშვნელოვანია პერსონალური მონაცემების დამუშავების დაცვის უზრუნველყოფის საკითხების გაგებისთვის და გადაჭრისთვის;
3) კომპლექსურობა:პერსონალური მონაცემების დაცვა ხდება საზოგადოების ინფორმაციულ სისტემებში (შემდგომ – ის) რეალიზებული ინფორმაციული ტექნოლოგიების ფუნქციონალური შესაძლებლობების გამოყენებით.
4) უწყვეტობა:პერსონალური მონაცემებისდაცვის უზრუნველყოფა ხორციელდება მათი დამუშავების ყველა ეტაპზე და პერსონალური მონაცემების დამუშავების სისტემების ფუნქციონირების ყველა რეჟიმში, მათ შორის სარემონტო და სარეგლამენტო სამუშაოებების შესრულებისას;
5) დროულობა:ზომები, რომლებიც უზრუნველყოფენ პერსონალური მონაცემების უსაფრთხოების დაცვას სათანადო დონეზე, მიიღება მონაცემთა დამუშავების დაწყებამდე;
6) მონაცვლეობა და სრულყოფის უწყვეტობა:პერსონალური მონაცემების დაცვის ზომებისა და საშუალებების მოდერნიზაცია და გაზრდა ხორციელდება საზოგადოებაში პერსონალური მონაცემების დამუშავების პრაქტიკის ანალიზის შედეგების საფუძველზე პერსონალური მონაცემების უსაფრთხოების საშიშროების რეალიზაციის ახალი ხერხებისა და საშუალებების გამოვლენის გათვალისწინებით, ინფორმაციის დაცვის სფეროში სამამულო და საზღვარგარეთული გამოცდილების გათვალისწინებით;
7) პერსონალური პასუხისმგებლობა: პასუხისმგებლობა პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაზე ეკისრება მუშაკებს იმ მოცულობით, რაც საჭიროა პერსონალური მონაცემების დამუშავებასთან და დაცვასთან დაკავშირებული მოვალეობების შესასრულებლად;
8) წვდომის უფლებათა მინიმიზაცია: პერსონალურ მონაცემებზე წვდომის უფლება ეძლევათ მუშაკებს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია თანამდებობრივი მოვალეობების შესასრულებლად;
9) მოქნილობა: პერსონალური მონაცემების დაცვის ფუნქციების უზრუნველყოფა საზოგადოებაში არსებული პერსონალური მონაცემების ინფორმაციული სისტემების (შემდგომ – პერსონალური მონაცემების ის) მახასიათებლების, აგრეთვე დასამუშავებელი პერსონალური მონაცემების მოცულობისა და შემადგენლობის ცვილებების შემთხვევაში;
10) დაცვის ალგორითმებისა და მექანიზმების გახსნილობა: საზოგადოების პერსონალური მონაცემების დაცვის სისტემის (შემდგომ – პერსონალური მონაცემების დს) ფუნქციონირების სტრუქტურა, ტექნოლოგიები და ალგორითმები არ იძლევიან პოტენციური დამრღვევების მიერ საზოგადოებაში არსებული პერსონალური მონაცემების უსაფრთხოების გადალახვის საშუალებას;
11) მეცნიერული საბუთიანობა და ტექნიკური რეალიზება: პერსონალური მონაცემების დაცვის ზომების დონე განისაზღვრებაინფორმაციული ტექნოლოგიებისა და ინფორმაციის დაცვის საშუალებათა განვითარების დონით;
12) სპეციალიზაცია და პროფესიონალიზმი: პერსონალური მონაცემების უსაფრთხოებისა და პერსონალური მონაცემების დაცვის საშუალებათა უზრუნველყოფისთვის საჭირო ზომების რეალიზაცია ხორციელდება სათანადო კვალიფიკაციისა და გამოცდილების მქონე მუშაკების მიერ;
13) კადრებისა და კონტრაგენტების შერჩევის პროცედურის ეფექტურობა: საზოგადოების საკადრო პოლიტიკა ითვალისწინებს პერსონალის საგულდაგულო შერჩევას და მუშაკთა მოტივაციას, რომლებიც იძლევიან მათ მიერ პერსონალური მონაცემების უსაფრთხოების დარღვევის გამორიცხვის ან მინიმიზირების საშუალებას; ადამიანურ ფაქტორთან დაკავშირებული პერსონალური მონაცემების უსაფრთხოების დარღვევის გაჩენის ალბათობის მინიმიზაციის უზრუნველყოფის მიღწევა შესაძლებელი ხდება საზოგადოების კონტრაგენტების შესახებ სრული ინფორმაციის მიღებით ხელშეკრულების დადებამდე;
14) დაკვირვებულობა და გამჭვირვალება: პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის ზომები ისე უნდა იყოს დაგეგმილი, რომ მათი გამოყენების შედეგები ნათლად უნდა იყოს შესამჩნევი (გამჭვირვალე) და შეფასებული იმ პირთა მიერ, რომლებიც ახორციელებენ კონტროლს;
15) კონტროლისა და შეფასების უწყვეტობა:პერსონალური მონაცემების დამუშავებისა და დაცვის სისტემების გამოყენებაზე წესდება მუდმივი კონტროლი, ხოლო კონტროლის შედეგები რეგულარულად ანალიზდება.
3. წვდომა დასამუშავებელ პერსონალურ მონაცემებზე
3.1. საზოგადოებაში დასამუშავებელ პერსონალურ მონაცემებზე წვდომის უფლებაგააჩნიათ
საზოგადოების ბრძანებით უფლებამოსილ პირებს, პირებს, რომლებსაც საზოგადოებამ დაავალა პერსონალური მონაცემების დამუშავება დადებული ხელშეკრულების საფუძველზე, და ასევე იმ პირებს, ვისი პერსონალური მონაცემები უნდა დამუშავდეს.
3.2. დასამუშავებელ პერსონალურ მონაცემებთან მუშაკების დაშვება ხორციელდება მათი
თანამდებობრივი მოვალეობებისა და საზოგადოების შიდა მარეგულირებელი დოკუმენტების შესაბამისად.
3.3. საზოგადოების მიერ დასამუშავებელ პერსონალურ მონაცემებთანპერსონალური
მონაცემთა სუბიექტის დაშვების წესი განისაზღვრება კანონმდებლობის შესაბამისად.
4. პერსონალური მონაცემების დაცვის წესები
4.1. საზოგადოება იღებს სამართლებრივ, ორგანიზაციულ და ტექნიკურ ზომებს (ან
უზრუნველყოფს მათ მიღებას), რომელებიც აუცილებელი და საკმარისია №152-ფედერალური კანონით და მის შესაბამისად მიღებული ნორმატიული სამართლებრივი აქტებით გათვალისწინებული მოვალეობების შესრულების უზრუნველსაყოფად, რათა გამოირიცხოს პერსონალურ მონაცემებზე სამართალსაწინააღმდეგო ან შემთხვევითი წვდომა, მათი განადგურება, შეცვლა, ბლოკირება, კოპირება, გაცემა, გავრცელება, აგრეთვე სხვა კანონსაწინააღმდეგო ქმედებები პერსონალურ მონაცემებთან მიმართებაში.
4.2. წინამდებარე პოლიტიკაში მითითებული ზომების შემადგენლობა, პერსონალური
მონაცემების შინაარსთან და მათი დაცვის საშუალებების შერჩევასთან ერთად, განისაზღვრება №152-ფედერალური კანონით და მის შესაბამისად მიღებული ნორმატიული სამართლებრივი აქტებით.
4.3. კანონმდებლობით გათვალისწინებულ შემთხვევებში პერსონალური მონაცემების
დამუშავება ხორციელდება საზოგადოების მიერ პერსონალური მონაცემების სუბიექტის თანხმობით.
საზოგადოების მიერ ხდება გამოვლენილი პერსონალური მონაცემების დამუშავებისა და დაცვის შესახებ კანონმდებლობის დარღვევებისაღმოფხვრა.
4.4. პერსონალური მონაცემების შენახვა ხორციელდება ისეთი ფორმით, რომ პერსონალური
მონაცემების სუბიექტის განსაზღვრა შესაძლებელ იქნას მხოლოდ იმ ვადით, რომელიცშეესაბამება პერსონალური მონაცემების დამუშევების მიზნებს, თუ შენახვის ვადა არ არის დადგენილი ფედერალური კანონით, ხელშეკრულებით, რომლის მიხედვით მხარე, სარგებლის მიმღები ან თავდები პერსონალური მონაცემების სუბიექტია.
4.5. საზოგადოება აცნობს საზოგადოების თანამშრომლებს, რომლებიც ახორციელებენ
უშუალოდ პერსონალური მონაცემების დამუშავებას, პერსონალური მონაცემების შესახებ კანონმდებლობის დებულებებს, მათ შორის პერსონალური მონაცემების დაცვის მოთხოვნებს, წინამდებარე პოლიტიკას და სხვა შიდა მარეგულირებელ დოკუმენტებს, რომლებიც ეხება პერსონალური მონაცემების დამუშავების საკითხს.
4.6. პერსონალური მონაცემების ინფორმაციულ სისტემაში პერსონალური მონაცემების
დამუშავებისას მათი უსაფრთხოების უზრუნველყოფა საზოგადოებაში ხდება შემდეგნაირად:
1) პერსონალური მონაცემების უსაფრთხოების რისკების განსაზღვრის გზით. პერსონალური მონაცემების უსაფრთხოების აქტუალური რისკების ტიპი და პერსონალური მონაცემების დაცულობის საჭირო დონე განისაზღვრება კანონმდებლობის მოთხოვნათა შესაბამისად;
2) პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად საჭირო ზომების შემცველობისა და შინაარსის განსაზღვრის გზით, ინფორმაციის დაცვის საშუალების შერჩევის გზით.
3) პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად საჭირო ორგანიზაციული და ტექნიკური ზომების გამოყენების გზით, რაც აუცილებელია პერსონალური მონაცემების დაცვის მიმართ მოთხოვნების შესრულებისათვის.