მონაცემთა დაცვა და მონაცემთა უსაფრთხოების პოლიტიკა

პერსონალური მონაცემების დაცვა და, შესაბამისად, თქვენი კონფიდენციალურობა არის საკითხი, რომელსაც GrowMore ძალიან სერიოზულად უდგება. ჩვენ გვინდა ვისარგებლოთ შემთხვევით და მოგაწოდოთ ინფორმაცია ჩვენს მიერ შენახული მონაცემების შესახებ, როგორ ვიყენებთ მათ და რას ნიშნავს ეს თქვენთვის, როდესაც იყენებთ ჩვენს პერსონალიზებულ, მორგებულ სერვისებს. იმისათვის, რომ გარანტირებული იყოს თქვენი კონფიდენციალურობის მაქსიმალური დაცვა, ჩვენ ყოველთვის ვიცავთ მონაცემთა დაცვის დებულებებს. გთხოვთ, გაითვალისწინოთ, რომ ჩვენი ვებსაიტები და კანდიდატების შეფასების პარტნიორები შეიძლება შეიცავდეს ბმულებს მესამე მხარის მიერ ოპერირებად ვებსაიტებზე, რომლებიც არ არის დაფარული ამ მონაცემთა დაცვის პოლიტიკით, რადგან ჩვენ არ გვაქვს გავლენა ან კონტროლი იმაზე, შეესაბამება თუ არა ასეთი საიტების ოპერატორები მონაცემთა დაცვის დებულებებს.

ამ დოკუმენტის მიზანია უზრუნველყოს, რომ ჩვენს დაქირავების სააგენტოში მონაცემთა დამუშავების ყველა აქტივობა შეესაბამება GDPR-ს და რომ პერსონალური მონაცემები შეგროვდება, დამუშავდება და ინახება უსაფრთხო და კანონიერი გზით.

1. სფერო:

ეს პოლიტიკა და პროტოკოლების დოკუმენტი ვრცელდება მონაცემთა დამუშავების ყველა აქტივობაზე, რომელსაც ახორციელებს GrowMore მონაცემთა მაკონტროლებლების სახელით ჩვენთან სახელშეკრულებო ურთიერთობებში, GDPR 28-ე მუხლის შესაბამისად. ეს მოიცავს პერსონალური მონაცემების დამუშავებას, რომელიც ეხება კანდიდატებსა და კლიენტებს, ასევე მონაცემთა სხვა სუბიექტებს, როგორც ეს განსაზღვრულია GDPR-ით.

GrowMore-ის ინფორმაციული უსაფრთხოების ზომების ორგანიზაცია სტრუქტურირებული და დანერგილია მრავალ პროტოკოლში, მათ შორის ფიზიკურ უსაფრთხოებაზე, სისტემაზე/მონაცემებზე/გადაცემის წვდომის კონტროლი, მონაცემთა სარეზერვო და აღდგენა, იდენტიფიკაცია და ავთენტიფიკაცია, ინციდენტზე რეაგირება და BCP დაგეგმვა, და თანამშრომლების ტრენინგი და ინფორმირებულობა უსაფრთხოების უზრუნველსაყოფად. პერსონალური მონაცემები და დემონსტრირება მონაცემთა დაცვის რეგულაციებთან შესაბამისობაში.

2. მონაცემთა დაცვისა და მონაცემთა უსაფრთხოების პრინციპები:

ჩვენი დასაქმების სააგენტო პერსონალური მონაცემების დამუშავებისას დაიცავს მონაცემთა დაცვისა და მონაცემთა უსაფრთხოების შემდეგ პრინციპებს:

2.1. კანონიერება, სამართლიანობა და გამჭვირვალობა: პერსონალური მონაცემები დამუშავდება კანონიერად, სამართლიანად და გამჭვირვალედ მონაცემთა სუბიექტებთან მიმართებაში.

2.2. მიზნის შეზღუდვა: პერსონალური მონაცემები შეგროვდება განსაზღვრული, აშკარა და ლეგიტიმური მიზნებისთვის და არ იქნება შემდგომ დამუშავებული იმ მიზნებთან შეუთავსებელი ფორმით.

2.3. მონაცემთა მინიმიზაცია: პერსონალური მონაცემები იქნება ადეკვატური, შესაბამისი და შემოიფარგლება იმ მიზნებით, რისთვისაც ისინი მუშავდება.

2.4. სიზუსტე: პერსონალური მონაცემები იქნება ზუსტი და საჭიროების შემთხვევაში განახლდება.

2.5. შენახვის შეზღუდვა: პერსონალური მონაცემები შეინახება ისეთი ფორმით, რომელიც იძლევა მონაცემთა სუბიექტების იდენტიფიკაციის საშუალებას არა უმეტეს იმ მიზნებისათვის, რისთვისაც მუშავდება პერსონალური მონაცემები.

2.6. მთლიანობა და კონფიდენციალურობა: პერსონალური მონაცემები დამუშავდება ისე, რომ უზრუნველყოფს პერსონალური მონაცემების შესაბამის უსაფრთხოებას, მათ შორის დაცვას არაავტორიზებული ან უკანონო დამუშავებისგან და შემთხვევითი დაკარგვის, განადგურებისგან ან დაზიანებისგან, შესაბამისი ტექნიკური ან ორგანიზაციული ზომების გამოყენებით.

3. მონაცემთა დაცვისა და მონაცემთა უსაფრთხოების ზომები:

ჩვენმა დაქირავების სააგენტომ განახორციელა შემდეგი ტექნიკური და ორგანიზაციული ღონისძიებები პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად:

3.1. წვდომის კონტროლი: პერსონალურ მონაცემებზე წვდომა შეიზღუდება ავტორიზებული პერსონალისთვის და მონაცემთა სუბიექტებს ექნებათ მათ პერსონალურ მონაცემებზე წვდომის უფლება.

  • წვდომის კონტროლი: წვდომის კონტროლი განხორციელდა იმის უზრუნველსაყოფად, რომ მხოლოდ ავტორიზებულ პერსონალს ჰქონდეს წვდომა IT სისტემებზე, რომლებიც ამუშავებენ პერსონალურ მონაცემებს. წვდომა ენიჭება მინიმალური პრივილეგიის პრინციპს, რაც ნიშნავს, რომ პირებს ენიჭებათ წვდომა მხოლოდ იმ მონაცემებსა და სისტემებზე, რომლებიც მათ სჭირდებათ თავიანთი მოვალეობების შესასრულებლად.
  • ფიზიკური ბარიერები: ფიზიკური ბარიერები, როგორიცაა წვდომის გასაღებები, დანერგილია IT სისტემებზე არაავტორიზებული წვდომის თავიდან ასაცილებლად, რომლებიც ამუშავებენ პერსონალურ მონაცემებს. სერვერის ქეისზე, ქსელის დახურვაზე და სხვა კრიტიკულ ზონებზე წვდომა შეზღუდულია და კონტროლდება.
  • უსაფრთხოების ინფორმირებულობა: უსაფრთხოების ცნობიერების ამაღლების ტრენინგი უტარდება ყველა პერსონალს, რომელსაც აქვს წვდომა IT სისტემებზე, რომლებიც ამუშავებენ პერსონალურ მონაცემებს. ეს ტრენინგი მოიცავს ინფორმაციას ფიზიკური უსაფრთხოების ზომების მნიშვნელობისა და მონაცემთა დარღვევის შედეგების შესახებ.
  • ინციდენტზე რეაგირება: ინციდენტზე რეაგირების გეგმები არსებობს, რათა უპასუხონ ნებისმიერ ფიზიკურ უსაფრთხოების ინციდენტს, რომელიც შეიძლება მოხდეს. გეგმები მოიცავს ინციდენტების მოხსენების პროცედურებს, ინციდენტის გავლენის შეფასებას და საჭიროების შემთხვევაში შესაბამისი ორგანოების ინფორმირებას.

3.2. მონაცემთა გამიჯვნა: სხვადასხვა მიზნებისთვის შეგროვებული პერსონალური მონაცემები ცალ-ცალკე დამუშავდება და წვდომა მიენიჭება მხოლოდ უფლებამოსილ პერსონალს.

3.3. ფსევდონიმიზაცია: პერსონალური მონაცემების ფსევდონიმიზაცია მოხდება საჭიროების შემთხვევაში მონაცემთა სუბიექტების ვინაობის დასაცავად.

3.4. გადაცემის წვდომის კონტროლი: განხორციელდა ზომები იმის უზრუნველსაყოფად, რომ პერსონალური მონაცემების წაკითხვა, კოპირება, შეცვლა ან წაშლა შეუძლებელია არაავტორიზებული პირების მიერ ელექტრონული გადაცემის დროს ან ტრანსპორტირების ან მონაცემთა მედიაზე შენახვის დროს და რომ იმ უბნების კონტროლი და იდენტიფიცირება, სადაც პერსონალური მონაცემების გადაცემაა შესაძლებელი. უნდა მოხდეს მონაცემთა გადაცემის სისტემებით.

  • პაროლის დაცვა: პაროლები საჭიროა პერსონალური მონაცემების ყველა ელექტრონული გადაცემისთვის და პაროლის პოლიტიკა ძლიერი პაროლების გამოყენების უზრუნველსაყოფად დაცულია და ისინი რეგულარულად განახლდება.
  • მონაცემთა შენახვის უსაფრთხო მედია: ყველა მონაცემი, რომელიც გამოიყენება პერსონალური მონაცემების გადასატანად, როგორიცაა USB დისკები და გარე მყარი დისკები დაცული პაროლით. ეს მონაცემთა მედია ინახება უსაფრთხო ადგილებში, რომლებიც ხელმისაწვდომია მხოლოდ ავტორიზებული პერსონალისთვის.

3.5. შესვლის კონტროლი: IT სისტემაში შეყვანილი, შეცვლილი ან წაშლილი პერსონალური მონაცემები ჩაიწერება და მონაცემთა სუბიექტებს ექნებათ უფლება იცოდნენ, თუ ვინ მიუწვდებოდა მათ პერსონალურ მონაცემებს.

3.6. ხელმისაწვდომობის კონტროლი: პერსონალური მონაცემები დაცული იქნება შემთხვევითი განადგურებისგან ან დაკარგვისგან და განხორციელდება სწრაფი აღდგენის ზომები.

3.7. მონაცემთა ხელმისაწვდომობის კონტროლი: ზომები იმის უზრუნველსაყოფად, რომ პირებს, რომლებსაც უფლება აქვთ გამოიყენონ IT სისტემა, ჰქონდეთ წვდომა მხოლოდ პერსონალურ მონაცემებზე მათი წვდომის უფლებების შესაბამისად:

  • უფლებათა ჯგუფის დავალებები: პერსონალურ მონაცემებზე წვდომა ენიჭება უფლებათა ჯგუფების საფუძველზე, რომლებიც წარმოადგენენ პირთა ჯგუფებს, რომლებსაც აქვთ მსგავსი სამუშაო პასუხისმგებლობები და წვდომის მოთხოვნები. თითოეულ უფლებათა ჯგუფს ენიჭება წვდომის სპეციალური ნებართვები, რათა უზრუნველყოს მხოლოდ ავტორიზებულ პერსონალს პერსონალურ მონაცემებზე წვდომა.
  • წვდომის მოთხოვნები: წვდომის მოთხოვნები განიხილება და ამტკიცებს უფლებამოსილი პერსონალის მიერ, რათა დარწმუნდეს, რომ პირებს მიენიჭებათ წვდომა პერსონალურ მონაცემებზე მხოლოდ იმ შემთხვევაში, თუ მათ აქვთ მასზე წვდომის ლეგიტიმური საჭიროება. წვდომის მოთხოვნები განიხილება ინდივიდის უფლებათა ჯგუფის დავალების შესაბამისად, რათა უზრუნველყოფილი იყოს, რომ წვდომა მხოლოდ მათი სამუშაო პასუხისმგებლობებიდან გამომდინარე მიენიჭება.
  • მონაცემთა დანაწევრება: პერსონალური მონაცემების სეგრეგირება ხდება უფლებათა ჯგუფების საფუძველზე, რათა უზრუნველყოს, რომ თითოეულ ჯგუფს ჰქონდეს წვდომა მხოლოდ იმ მონაცემებზე, რომლებიც აუცილებელია მათი სამუშაო პასუხისმგებლობებისთვის. ეს ხელს უწყობს პერსონალურ მონაცემებზე არაავტორიზებული წვდომის თავიდან აცილებას და ზღუდავს მონაცემთა დარღვევის რისკს.
  • რეგულარული წვდომის მიმოხილვა: წვდომის უფლებების რეგულარული მიმოხილვა ტარდება იმის უზრუნველსაყოფად, რომ პირები წვდებიან მხოლოდ პერსონალურ მონაცემებს, რომლებიც აუცილებელია მათი სამუშაო პასუხისმგებლობისთვის. ეს მიმოხილვები ხელს უწყობს ნებისმიერი არაავტორიზებული წვდომის მცდელობის ან საეჭვო აქტივობის იდენტიფიცირებას და იძლევა შესაბამისი ზომების მიღებას მონაცემთა დარღვევის თავიდან ასაცილებლად.
  • წვდომის გაუქმება: პერსონალურ მონაცემებზე წვდომა გაუქმებულია, როდესაც ინდივიდი აღარ საჭიროებს წვდომას ან ტოვებს ორგანიზაციას. ეს ეხმარება უზრუნველყოს, რომ პერსონალური მონაცემები ხელმისაწვდომი იყოს მხოლოდ ავტორიზებული პერსონალისთვის და ამცირებს ყოფილი თანამშრომლების ან კონტრაქტორების მიერ გამოწვეული მონაცემთა დარღვევის რისკს.

3.8 იდენტიფიკაცია და ავთენტიფიკაცია

  • მომხმარებლის ავტორიზაცია: წვდომა IT სისტემებზე, რომლებიც ამუშავებენ პერსონალურ მონაცემებს, ენიჭება მხოლოდ ავტორიზებულ პერსონალს, რომელიც დამოწმებულია მათი მომხმარებლის ID-ებით და პაროლებით. მომხმარებლის ID უნიკალურია თითოეული მომხმარებლისთვის და არის შესული და მონიტორინგი.
  • რეგულარული მიმოხილვები: რეგულარული მიმოხილვები ტარდება იმის უზრუნველსაყოფად, რომ წვდომის კონტროლი და შესვლის კონტროლის ზომები ეფექტურია. ნებისმიერი საკითხი ან შეშფოთება დაუყოვნებლივ განიხილება.

3.9 ბიზნესის უწყვეტობის მართვა და კატასტროფის აღდგენა:

  • რეგულარული სარეზერვო ასლები: პერსონალური მონაცემების რეგულარული სარეზერვო ასლები მიიღება იმის უზრუნველსაყოფად, რომ შემთხვევითი განადგურების ან დაკარგვის შემთხვევაში მონაცემთა სწრაფად აღდგენა შესაძლებელია. სარეზერვო პროცედურები რეგულარულად განიხილება და ტესტირება ხდება მათი ეფექტურობის უზრუნველსაყოფად.
  • კატასტროფის აღდგენის დაგეგმვა: კატასტროფის აღდგენის გეგმები შემუშავებულია იმისთვის, რომ უზრუნველყოს პერსონალური მონაცემების სწრაფად აღდგენა კატასტროფის ან დიდი შეფერხების შემთხვევაში. ზოგადი BCP პოლიტიკა: https://recruitment.growmo.re/business-continuity-planning/

4. მონაცემთა დაცვის ოფიცერი (DPO):

ჩვენმა დაქირავების სააგენტომ დანიშნა მონაცემთა დაცვის ოფიცერი (DPO), რომელიც აკონტროლებს მონაცემთა დაცვისა და მონაცემთა უსაფრთხოების პოლიტიკასა და პროცედურებს და იმოქმედებს მონაცემთა სუბიექტებისა და ზედამხედველობის ორგანოების საკონტაქტო პუნქტად. DPO პასუხისმგებელია მონაცემთა დაცვის კანონებთან და რეგულაციებთან შესაბამისობის მონიტორინგზე, კონფიდენციალურობის საკითხებზე რჩევის გაცემაზე და იმის უზრუნველსაყოფად, რომ ჩვენი პოლიტიკა და პროცედურები განახლებულია.

5. მონაცემთა დაცვაზე ზემოქმედების შეფასება (DPIA):

ჩვენი დასაქმების სააგენტო ატარებს მონაცემთა დაცვაზე ზემოქმედების შეფასებას (DPIA), სადაც ეს აუცილებელია, რათა შეაფასოს მონაცემთა დამუშავების აქტივობების გავლენა პერსონალური მონაცემების დაცვაზე. DPIA ტარდება ნებისმიერი ახალი გადამუშავების აქტივობის დაწყებამდე და საჭიროების შემთხვევაში, პერიოდულად განახლდება.

6. მონაცემთა დარღვევის შეტყობინება:

პერსონალური მონაცემების დარღვევის შემთხვევაში, ჩვენი დასაქმების სააგენტო დაუყოვნებლივ მიიღებს ზომებს დარღვევის შესაჩერებლად და დაზარალებულ პირებზე ზემოქმედების შესაფასებლად. ჩვენ ასევე ვაცნობებთ შესაბამის სამეთვალყურეო ორგანოს დარღვევის შესახებ ცნობიდან 72 საათის განმავლობაში, როგორც ამას მოითხოვს GDPR. გარდა ამისა, ჩვენ შეატყობინებთ დაზარალებულ პირებს ზედმეტი შეფერხების გარეშე, მივაწვდით მათ მკაფიო და ლაკონურ ინფორმაციას დარღვევის შესახებ და მის აღმოსაფხვრელად მიღებული ზომების შესახებ.

7. მონაცემთა შენახვა და განკარგვა

ჩვენი დაქირავების სააგენტო ინახავს პერსონალურ მონაცემებს მხოლოდ იმდენ ხანს, რამდენიც საჭიროა იმ მიზნების შესასრულებლად, რისთვისაც ისინი შეგროვდა, მათ შორის ნებისმიერი კანონიერი ან მარეგულირებელი მოთხოვნების შენახვა. მას შემდეგ რაც მონაცემები აღარ იქნება საჭირო, ჩვენ უზრუნველვყოფთ მათი უსაფრთხოდ და სამუდამოდ განკარგვას შესაბამისი მეთოდების გამოყენებით, როგორიცაა მონაცემთა დაქუცმაცება, წაშლა ან წაშლა ჩვენი სისტემებიდან.

8. კონფიდენციალურობაზე ზემოქმედების შეფასება (PIA)

ჩვენი დაქირავების სააგენტო ატარებს PIA-ს ნებისმიერი ახალი პროექტის, პროცესის ან სისტემისთვის, რომელიც მოიცავს პერსონალური მონაცემების დამუშავებას, როგორც ამას მოითხოვს GDPR. PIA აფასებს პოტენციურ გავლენას ინდივიდუალურ კონფიდენციალურობის უფლებებზე და ადგენს არის თუ არა საჭირო დამატებითი ზომები პერსონალური მონაცემების დასაცავად. ჩვენ ასევე კონსულტაციებს ვახდენთ ჩვენს მონაცემთა დაცვის ოფიცერთან და/ან იურიდიულ მრჩეველთან შესაბამის კანონებთან და რეგულაციებთან შესაბამისობის უზრუნველსაყოფად.

9. თანამშრომელთა ტრენინგი

ჩვენი დაქირავების სააგენტო რეგულარულ ტრენინგს გაუწევს ყველა თანამშრომელს, რომელიც ამუშავებს პერსონალურ მონაცემებს, რათა უზრუნველყოს, რომ მათ მუდმივად იცოდნენ მონაცემთა დაცვისა და მონაცემთა უსაფრთხოების ვალდებულებები, ასევე შეუსრულებლობის რისკები და შედეგები. ეს ტრენინგი მოიცავს ინფორმაციას მონაცემთა დაცვის კანონებისა და რეგულაციების, ჩვენი პოლიტიკისა და პროცედურების და პერსონალური მონაცემების დაცვის საუკეთესო პრაქტიკის შესახებ. GrowMore მოწოდებულია დაიცვას პირადი მონაცემების კონფიდენციალურობა და უსაფრთხოება და დაიცვას ყველა შესაბამისი კანონი და რეგულაცია. ჩვენ გავაგრძელებთ მონიტორინგს და განხილვას ჩვენი პოლიტიკისა და პროცედურების უზრუნველსაყოფად, რომ ისინი ეფექტური დარჩეს პერსონალური მონაცემების დასაცავად და GDPR-ით გათვალისწინებული ჩვენი ვალდებულებების შესრულებაში. თუ თქვენ გაქვთ რაიმე დამატებითი შეკითხვა მონაცემთა დაცვისა და კონფიდენციალურობის შესახებ, გთხოვთ, გთხოვთ დაგვიკავშირდეთ [email protected].