პერსონალურ მონაცემთა დაცვის პოლიტიკა
ბოლო განახლება: 16 ივლისი, 2026
მუხლი 1. პერსონალურ მონაცემთა დაცვის პოლიტიკის მიზანი
წინამდებარე პოლიტიკის მიზანია განმარტოს, როგორ აგროვებს, იყენებს, ინახავს და იცავს რივო პერსონალურ მონაცემებს, რა მიზნით მუშავდება ისინი და რა უფლებები აქვთ მონაცემთა სუბიექტებს.
რივო პერსონალურ მონაცემებს ამუშავებს საქართველოს კანონის „პერსონალურ მონაცემთა დაცვის შესახებ“, ხოლო შესაბამის შემთხვევებში — მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) მოთხოვნების შესაბამისად.
მუხლი 2. პერსონალურ მონაცემთა დაცვის პოლიტიკის მოქმედების სფერო
წინამდებარე პოლიტიკა ვრცელდება რივოს მიერ პერსონალური მონაცემების ავტომატური, ნახევრად ავტომატური და არაავტომატური საშუალებებით დამუშავებაზე.
პოლიტიკა ვრცელდება რივოს პლატფორმის მომხმარებლებზე, კანდიდატებზე (სამუშაოს მაძიებლებზე), დამსაქმებელთა წარმომადგენლებსა და პარტნიორებზე, რომელთა პერსონალურ მონაცემებს რივო ამუშავებს.
მუხლი 3. ტერმინთა განმარტება
- რივო – მონაცემთა დამუშავებაზე პასუხისმგებელი პირი.
- დამუშავებაზე უფლებამოსილი პირი − იურიდიული პირი, რომელიც მონაცემებს ამუშავებს დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით.
- პერსონალური მონაცემი (შემდგომ − მონაცემი) − ნებისმიერი ინფორმაცია, რომელიც უკავშირდება იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს.
- განსაკუთრებული კატეგორიის მონაცემი − მონაცემი, რომელიც დაკავშირებულია პირის რასობრივ ან ეთნიკურ კუთვნილებასთან, პოლიტიკურ შეხედულებებთან, რელიგიურ ან ფილოსოფიურ მრწამსთან, პროფესიულ კავშირში გაწევრიანებასთან, ჯანმრთელობის მდგომარეობასთან, სქესობრივ ცხოვრებასთან, ნასამართლობასთან, ადმინისტრაციულ პატიმრობასთან, აღკვეთის ღონისძიებასთან, საპროცესო შეთანხმებასთან, განრიდებასთან, დანაშაულის მსხვერპლად აღიარებასთან ან დაზარალებულად ცნობასთან, აგრეთვე ბიომეტრიულ და გენეტიკურ მონაცემებთან.
- ბიომეტრიული მონაცემი − ფიზიკური, ფსიქიკური ან ქცევითი მახასიათებელი, რომელიც უნიკალურია თითოეული ფიზიკური პირისთვის და მისი იდენტიფიცირების საშუალებას იძლევა.
- მონაცემთა დამუშავება − მონაცემებთან დაკავშირებული ნებისმიერი მოქმედება, მათ შორის შეგროვება, ჩაწერა, ორგანიზება, შენახვა, შეცვლა, გამოყენება, გადაცემა, გამჟღავნება, დაბლოკვა, წაშლა ან განადგურება.
- მონაცემთა ავტომატური დამუშავება − მონაცემთა ინფორმაციული ტექნოლოგიების გამოყენებით დამუშავება.
- მონაცემთა ნახევრად ავტომატური დამუშავება − მონაცემთა ინფორმაციული ტექნოლოგიებისა და არაავტომატური საშუალებების ერთობლივი გამოყენებით დამუშავება.
- მონაცემთა სუბიექტი − ნებისმიერი ფიზიკური პირი, რომლის შესახებ მონაცემი მუშავდება.
- თანხმობა − მონაცემთა სუბიექტის ნებაყოფლობითი და ინფორმირებული თანხმობა მისი მონაცემების კონკრეტული მიზნით დამუშავებაზე.
- მონაცემთა სუბიექტის წერილობითი თანხმობა − წერილობით ან მასთან გათანაბრებული ფორმით გამოხატული თანხმობა პერსონალური მონაცემების განსაზღვრული მიზნით დამუშავზე.
- უფლებამოსილი პირი − ნებისმიერი ფიზიკური ან იურიდიული პირი, რომელიც ამუშავებს მონაცემებს მონაცემთა დამმუშავებლისთვის ან მისი სახელით.
- მონაცემთა დაბლოკვა − მონაცემთა დამუშავების დროებითი შეჩერება.
- მონაცემთა დეპერსონალიზაცია − მონაცემთა იმგვარი მოდიფიკაცია, რომ მათი დაკავშირება კონკრეტულ პირთან შეუძლებელი ან არაპროპორციულად რთული იყოს.
- საიდენტიფიკაციო ნომერი − პირადი ნომერი ან კანონით განსაზღვრული სხვა საიდენტიფიკაციო ნომერი, რომლის საშუალებითაც შესაძლებელია ფიზიკური პირის იდენტიფიცირება.
მონაცემთა სუბიექტის პერსონალური მონაცემების ჩამონათვალი:
- სახელი და გვარი;
- ტელეფონის ნომერი;
- ელფოსტის მისამართი;
- CV (რეზიუმე), სამუშაო გამოცდილების, განათლების, პროფესიული უნარებისა და კვალიფიკაციის შესახებ ინფორმაცია;
- განათლების დამადასტურებელი დოკუმენტები (ლიცენზია, სერტიფიკატი, დიპლომი, ატესტატი) (ასეთის ატვირთვის შემთხვევაში);
- DISC ტესტის ფარგლებში მიღებული ინფორმაცია და შედეგები (ასეთის არსებობის შემთხვევაში);
- AI ფუნქციების (მათ შორის AI გასაუბრების) გამოყენების ფარგლებში მონაცემთა სუბიექტის მიერ მოწოდებული ინფორმაცია (ასეთის არსებობის შემთხვევაში);
- პირადი ნომერი (მხოლოდ დამსაქმებლებისა და პარტნიორებისთვის, კანონმდებლობით ან ანგარიშსწორებისთვის გათვალისწინებულ შემთხვევებში);
- მისამართი (მხოლოდ დამსაქმებლებისა და პარტნიორებისთვის, საბილინგო/საკონტაქტო მიზნებისთვის);
- საბანკო/საგადახდო რეკვიზიტები (მხოლოდ დამსაქმებლებისა და პარტნიორებისთვის, ფასიანი მომსახურების შეძენისას);
- მომსახურების/პარტნიორობის ხელშეკრულება (მხოლოდ დამსაქმებლებისა და პარტნიორებისთვის);
- მონაცემთა სუბიექტის შესახებ სხვა ინფორმაცია, რომლის დამუშავებაც აუცილებელია რივოს მომსახურების გაწევის ან კანონით დაკისრებული ვალდებულებების შესრულებისათვის.
მუხლი 4. პერსონალურ მონაცემთა დამუშავების ტიპი და მიზნები
რივო ამუშავებს მხოლოდ იმ პერსონალურ მონაცემებს, რომლებიც აუცილებელია პლატფორმის ფუნქციონირებისა და მომსახურების გასაწევად.
პერსონალური მონაცემები შესაძლოა დამუშავდეს შემდეგი მიზნებით:
| პერსონალური მონაცემები | დამუშავების მიზანი | სამართლებრივი საფუძველი |
|---|---|---|
| საკონტაქტო ინფორმაცია (სახელი, გვარი, ელფოსტა, ტელეფონის ნომერი) | ანგარიშის შექმნა, მომხმარებელთან კომუნიკაცია და პლატფორმით სარგებლობა | მონაცემთა სუბიექტის თანხმობა, ხელშეკრულების შესრულება |
| CV (რეზიუმე), განათლება, სამუშაო გამოცდილება, პროფესიული უნარები, ვაკანსიებზე განაცხადების ისტორია და სხვა პროფესიული ინფორმაცია | კანდიდატის პროფილის შექმნა, ვაკანსიებთან შეხამება, განაცხადების გაგზავნა და AI ფუნქციების გამოყენება | ხელშეკრულების შესრულება, მონაცემთა სუბიექტის თანხმობა |
| DISC ტესტის ფარგლებში მიღებული ინფორმაცია და შედეგები (ასეთის არსებობის შემთხვევაში) | პროფესიული პროფილის ანალიზი და შესაბამისი რეკომენდაციების მომზადება | მონაცემთა სუბიექტის თანხმობა |
| AI ფუნქციების ფარგლებში მოწოდებული ინფორმაცია (მათ შორის AI Interview) | AI სერვისების მიწოდება, კანდიდატისა და ვაკანსიის უკეთესი შესაბამისობის განსაზღვრა | მონაცემთა სუბიექტის თანხმობა, ხელშეკრულების შესრულება |
| საბანკო/საგადახდო რეკვიზიტები (მხოლოდ დამსაქმებლები/პარტნიორები) | ანგარიშსწორება და ფასიანი მომსახურების მიწოდება | კანონისმიერი და სახელშეკრულებო ვალდებულებების შესრულება |
| პირადი ნომერი და ხელშეკრულების/საბილინგო დეტალები (მხოლოდ დამსაქმებლები/პარტნიორები) | ხელშეკრულების გაფორმება, ანგარიშსწორება და საგადასახადო ვალდებულებების შესრულება | კანონისმიერი და სახელშეკრულებო ვალდებულებების შესრულება |
AI Interview-ის ფარგლებში მომხმარებლის მიერ მოწოდებული ინფორმაცია მუშავდება რეალურ დროში შესაბამისი ფუნქციის შესასრულებლად. აღნიშნული ინფორმაცია არ ინახება, გარდა იმ შემთხვევისა, როდესაც ეს აუცილებელია მომხმარებლის მიერ მოთხოვნილი მომსახურების შესრულებისთვის ან კანონით არის გათვალისწინებული.
რივო ამუშავებს მხოლოდ იმ მოცულობის მონაცემებს, რომელიც აუცილებელია კონკრეტული მიზნის მისაღწევად.
მუხლი 5. კანონიერად დამუშავების უზრუნველყოფის პრინციპები
რივო პერსონალურ მონაცემებს ამუშავებს სამართლიანად, კანონიერად და გამჭვირვალედ, მონაცემთა სუბიექტის უფლებებისა და ღირსების სრული პატივისცემით.
პერსონალური მონაცემები:
- გროვდება მხოლოდ კონკრეტული, მკაფიო და ლეგიტიმური მიზნებისთვის;
- მუშავდება მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი მიზნის მისაღწევად;
- არის ზუსტი და საჭიროების შემთხვევაში ახლდება;
- ინახება მხოლოდ იმ ვადით, რაც აუცილებელია დამუშავების მიზნისათვის ან კანონით არის მოთხოვნილი;
- დამუშავების მიზნის მიღწევის შემდეგ იშლება კანონმდებლობის მოთხოვნების შესაბამისად.
მუხლი 6. მონაცემთა დამუშავების საფუძვლები
რივო პერსონალურ მონაცემებს ამუშავებს მხოლოდ იმ შემთხვევაში, როდესაც არსებობს კანონით გათვალისწინებული ერთ-ერთი სამართლებრივი საფუძველი, მათ შორის:
- მონაცემთა სუბიექტის თანხმობა;
- ხელშეკრულების დადება ან შესრულება;
- რივოსთვის კანონმდებლობით დაკისრებული ვალდებულების შესრულება;
- რივოს ან მესამე პირის ლეგიტიმური ინტერესის დაცვა, თუ ამას არ აღემატება მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის ინტერესი;
- მონაცემები საჯაროდ ხელმისაწვდომია ან მონაცემთა სუბიექტმა თავად გახადა ისინი საჯაროდ ხელმისაწვდომი;
- კანონით გათვალისწინებული სხვა სამართლებრივი საფუძველი.
მუხლი 7. პერსონალური მონაცემების გაზიარება
რივო პერსონალურ მონაცემებს სხვა პირებს უზიარებს მხოლოდ მაშინ, როდესაც ეს აუცილებელია პლატფორმის ფუნქციონირებისთვის, შესაბამისი მომსახურების გასაწევად, მომხმარებლის მოთხოვნის შესასრულებლად ან კანონმდებლობით გათვალისწინებული ვალდებულების დასაცავად.
პერსონალური მონაცემები შეიძლება გაზიარდეს:
- დამსაქმებელ კომპანიასთან, როდესაც კანდიდატი განაცხადს აკეთებს შესაბამის ვაკანსიაზე ან თანხმობას აცხადებს თავისი პროფილის გაზიარებაზე;
- პლატფორმის ფუნქციონირებაში ჩართულ მომსახურების მიმწოდებლებთან, მათ შორის ჰოსტინგის, ტექნიკური მხარდაჭერის, კომუნიკაციისა და სხვა საჭირო სერვისების მომწოდებლებთან;
- კომპეტენტურ სახელმწიფო ორგანოებთან, თუ მონაცემების გადაცემა გათვალისწინებულია კანონით ან ეფუძნება უფლებამოსილი ორგანოს კანონიერ მოთხოვნას;
- სხვა პირთან, თუ არსებობს მონაცემთა სუბიექტის თანხმობა ან კანონმდებლობით გათვალისწინებული სხვა სამართლებრივი საფუძველი.
მესამე პირებს მონაცემებზე წვდომა ენიჭებათ მხოლოდ იმ მოცულობით, რაც აუცილებელია კონკრეტული მიზნის მისაღწევად. რივო უზრუნველყოფს, რომ მის მიერ შერჩეულ მომსახურების მიმწოდებლებს ეკისრებოდეთ მონაცემთა კონფიდენციალურობისა და უსაფრთხოების დაცვის ვალდებულება.
მუხლი 8. რივოს სტატუსი მონაცემთა დამუშავების პროცესში
რივოს სტატუსი განისაზღვრება იმის მიხედვით, ვისი მიზნებისა და დავალების საფუძველზე მუშავდება პერსონალური მონაცემები.
8.1. რივო, როგორც მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი
რივო არის მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი, როდესაც თავად განსაზღვრავს პერსონალური მონაცემების დამუშავების მიზნებსა და საშუალებებს, მათ შორის, როდესაც ფიზიკური პირი დამოუკიდებლად რეგისტრირდება პლატფორმაზე და იყენებს რივოს სერვისებს.
8.2. რივო, როგორც მონაცემთა დამუშავებაზე უფლებამოსილი პირი
რივო არის მონაცემთა დამუშავებაზე უფლებამოსილი პირი, როდესაც თანამშრომლობს დამსაქმებელ ან სხვა კომპანიასთან და ამ კომპანიის სახელით, მისი დავალებისა და განსაზღვრული მიზნების შესაბამისად ამუშავებს კანდიდატების, თანამშრომლების ან სხვა მონაცემთა სუბიექტების პერსონალურ მონაცემებს.
მუხლი 9. მონაცემთა უსაფრთხოების უზრუნველყოფა
რივოს საინფორმაციო აქტივების, სისტემებისა და მონაცემთა უსაფრთხოების სტანდარტები, წესები და მექანიზმები დეტალურად არის გაწერილი საინფორმაციო უსაფრთხოების პოლიტიკაში. კონკრეტული უსაფრთხოების ზომების დოკუმენტი ხელმისაწვდომია აქ: ტექნიკური და ორგანიზაციული ზომები (TOMs). ქუქი (Cookie) ფაილების გამოყენების წესები მოცემულია ქუქი ჩანაწერების პოლიტიკაში.
9.1. სად და როგორ ინახება მონაცემები?
რივო მონაცემებს ინახავს მართულ ღრუბლოვან და სერვერლეს (serverless) გარემოებებში:
- აპლიკაციის ჰოსტინგი: Cloudflare Pages (გლობალური CDN ქსელი).
- მონაცემთა ბაზა და ფაილების საცავი: Supabase (AWS ინფრასტრუქტურა ევროკავშირის ტერიტორიაზე).
- სარეზერვო ასლები: ყოველდღიური სარეზერვო ასლები და მონაცემთა ნებისმიერ მომენტში აღდგენის (PITR) სერვისები მართულია Supabase-ის მიერ.
9.2. ვის აქვს მონაცემებზე წვდომა?
მონაცემებზე წვდომა მკაცრად არის შეზღუდული მინიმალური პრივილეგიის პრინციპით:
- მომხმარებლები/კანდიდატები: აქვთ წვდომა მხოლოდ საკუთარ პერსონალურ მონაცემებზე.
- ორგანიზაციები/დამსაქმებლები: აქვთ წვდომა მხოლოდ მათ მიერ გამოქვეყნებულ ვაკანსიებსა და მათთვის ნებადართულ/შესყიდულ კანდიდატთა პროფილებზე.
- ადმინისტრატორები: წვდომა ეძლევათ მხოლოდ კონკრეტული როლის უფლებამოსილების ფარგლებში, რაც კონტროლდება სისტემური RLS წესებით.
9.3. როგორ არის მონაცემები დაცული?
უსაფრთხოების ტექნიკური მექანიზმები მოიცავს:
- ერთჯერადი კოდით ავტორიზაცია: პლატფორმა არ ინახავს მუდმივ პაროლებს; ავტორიზაცია ხდება ელფოსტაზე გაგზავნილი ერთჯერადი კოდით (OTP).
- შიფრაცია გადაცემისას: ყველა მოთხოვნა და მონაცემი იშიფრება TLS 1.3 პროტოკოლის გამოყენებით.
- Row-Level Security (RLS): მონაცემთა ბაზაში RLS პოლიტიკები უზრუნველყოფენ მონაცემთა მკაცრ იზოლაციას მომხმარებლებსა და ორგანიზაციებს შორის.
9.4. რამდენ ხანს ინახება მონაცემები?
რივო მონაცემებს ინახავს მომხმარებლის მიერ ანგარიშის წაშლამდე, ან ბოლო აქტივობიდან 1 წლის განმავლობაში, რის შემდეგაც ხდება არააქტიური მონაცემების პერიოდული ავტომატური წაშლა.
9.5. როგორ იშლება მონაცემები?
მომხმარებლის ან პროფილის წაშლისას, მონაცემთა ბაზის კასკადური წაშლის წესების (Deletion Cascades) საფუძველზე სრულად და სამუდამოდ ნადგურდება კანდიდატის ყველა მონაცემი, ატვირთული ფაილები და გაგზავნილი განაცხადები.
9.6. შესაძლებელია თუ არა წაშლილი მონაცემების აღდგენა?
მონაცემების საბოლოოდ წაშლის შემდეგ მათი აღდგენა შეუძლებელია.
მუხლი 10. დამსაქმებელი კომპანიის დავალებით მონაცემთა დამუშავება
როდესაც რივო დამსაქმებელი ან სხვა კომპანიის დავალებით მოქმედებს, იგი პერსონალურ მონაცემებს ამუშავებს მხოლოდ:
- შესაბამისი კომპანიის დავალებისა და მითითებების საფუძველზე;
- მხარეებს შორის გაფორმებული ხელშეკრულების შესაბამისად;
- იმ მიზნითა და მოცულობით, რომელიც შესაბამისი მომსახურების გასაწევად არის საჭირო;
- კანონმდებლობით დადგენილი მოთხოვნების დაცვით.
რივო ასეთ მონაცემებს საკუთარი, დამოუკიდებელი მიზნებისთვის არ იყენებს.
მონაცემებზე წვდომა ენიჭებათ მხოლოდ იმ პირებს, რომლებსაც ეს მონაცემები შესაბამისი სამუშაოს შესასრულებლად სჭირდებათ.
მომსახურების დასრულების შემდეგ მონაცემები ინახება, ბრუნდება ან იშლება დამსაქმებელი კომპანიის მითითების, მხარეებს შორის გაფორმებული ხელშეკრულებისა და კანონმდებლობის შესაბამისად.
მუხლი 11. მონაცემების საერთაშორისო გადაცემა
რივომ პერსონალური მონაცემები საქართველოს ფარგლებს გარეთ შეიძლება გადასცეს მხოლოდ მაშინ, როდესაც ეს აუცილებელია პლატფორმის ფუნქციონირებისთვის, შესაბამისი მომსახურების მისაწოდებლად ან დამსაქმებელ კომპანიასთან თანამშრომლობისთვის.
მონაცემების საერთაშორისო გადაცემა ხორციელდება მოქმედი კანონმდებლობის შესაბამისად და მონაცემთა უსაფრთხოების სათანადო გარანტიების დაცვით.
მუხლი 12. მონაცემთა სუბიექტის უფლებები და თანხმობის გაუქმება
მონაცემთა სუბიექტს უფლება აქვს მიიღოს ინფორმაცია იმის შესახებ, ამუშავებს თუ არა რივო მის პერსონალურ მონაცემებს და როგორ ხდება აღნიშნული მონაცემების დამუშავება.
მონაცემთა სუბიექტს შეუძლია:
- გაეცნოს მის შესახებ არსებულ პერსონალურ მონაცემებს და მიიღოს მათი ასლები;
- მოითხოვოს არაზუსტი, არასრული ან მოძველებული მონაცემების გასწორება, განახლება ან შევსება;
- მოითხოვოს მონაცემების დაბლოკვა;
- მოითხოვოს მონაცემთა დამუშავების შეწყვეტა;
- მოითხოვოს მონაცემების წაშლა ან განადგურება;
- მოითხოვოს მონაცემების გადატანა, კანონმდებლობით გათვალისწინებულ შემთხვევებში;
- გააუქმოს პერსონალური მონაცემების დამუშავებაზე გაცემული თანხმობა;
- ისარგებლოს კანონმდებლობით გათვალისწინებული სხვა უფლებებით.
თუ რივო მონაცემებს დამსაქმებელი კომპანიის დავალებით ამუშავებს, მონაცემთა სუბიექტის მოთხოვნა შეიძლება გადაეგზავნოს შესაბამის კომპანიას, როგორც მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს. რივო შესაბამის კომპანიას მოთხოვნის განხილვასა და შესრულებაში დაეხმარება.
მონაცემთა სუბიექტს თანხმობის გაუქმება ნებისმიერ დროს შეუძლია, თუ მონაცემთა დამუშავება მის თანხმობას ეფუძნება. თანხმობის გაუქმება არ მოქმედებს გაუქმებამდე განხორციელებული მონაცემთა დამუშავების კანონიერებაზე.
