კონფიდენციალურობის პოლიტიკა

1. ვინ ვართ ჩვენ

წინამდებარე კონფიდენციალურობის პოლიტიკა („პოლიტიკა“) განმარტავს, თუ შპს ბლული (Bluelly LLC), საიდენტიფიკაციო კოდი 405751315, რეგისტრირებული საქართველოს კანონმდებლობის შესაბამისად („ბლული“, „ჩვენ“, „ჩვენი“) — როგორ აგროვებს, იყენებს, ინახავს, იცავს და გადასცემს თქვენს პირად მონაცემებს ბლულის ვებგვერდისა („საიტი“) და მობილური აპლიკაციის („აპი“) გამოყენებისას (ერთობლივად — „პლატფორმა“).

ბლული წარმოადგენს ციფრულ საშუამავლო პლატფორმას, რომელიც მომხმარებლებს სთავაზობს: მოკლევადიანი და გრძელვადიანი საცხოვრებლის დაჯავშნის სერვისს, Experiences (ტური, ლაშქრობა, კულინარია, ექსკურსია) და ექსკლუზიურ ალგორითმზე დაფუძნებულ ჯგუფური მოგზაურობის ფორმირების სერვისს.

ეს პოლიტიკა შედგენილია შემდეგი სამართლებრივი ჩარჩოს მოთხოვნებთან სრული შესაბამისობის უზრუნველსაყოფად:

• საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“
• ევროკავშირის ზოგადი მონაცემთა დაცვის რეგულაცია (GDPR, Regulation (EU) 2016/679)
• Apple App Store-ის მიმოხილვის სახელმძღვანელო პრინციპები (App Store Review Guidelines, განყოფილება 5.1)
• Google Play-ის დეველოპერების პოლიტიკა (Google Play Developer Policy Center — User Data)
• EU Digital Services Act (DSA, Regulation (EU) 2022/2065)
• EU AI Act (Regulation (EU) 2024/1689) — შესაბამის ნაწილებში
• California Consumer Privacy Act (CCPA) — კალიფორნიის მომხმარებლების მიმართ

ბლულის პლატფორმაზე რეგისტრაციით ან მისი გამოყენებით თქვენ ადასტურებთ, რომ გაეცანით ამ პოლიტიკას და თანხმობთ მის პირობებს. თუ არ ეთანხმებით — გთხოვთ, შეწყვიტოთ პლატფორმის გამოყენება.

2. რა მონაცემებს ვაგროვებთ

ჩვენ ვაგროვებთ მხოლოდ იმ პირად მონაცემებს, რომელიც აუცილებელია პლატფორმის სერვისების გაწევისათვის („მონაცემთა მინიმიზაციის“ პრინციპი — GDPR მუხლი 5(1)(c)).

2.1. მომხმარებლის მიერ პირდაპირ მოწოდებული მონაცემები

საიდენტიფიკაციო მონაცემები:

• სრული სახელი და გვარი
• დაბადების თარიღი და ასაკის დადასტურება (18+ სტატუსი)
• სქესი, მოქალაქეობა
• პირადი საიდენტიფიკაციო ნომერი — მხოლოდ KYC/AML ვერიფიკაციის საჭიროებისას

საკონტაქტო მონაცემები:

• ელ-ფოსტის მისამართი
• ტელეფონის ნომერი
• საფოსტო/საცხოვრებელი მისამართი (მხოლოდ საჭიროებისას)

ვერიფიკაციის (KYC) მონაცემები:

• პირადობის დამადასტურებელი დოკუმენტის ფოტო ან ასლი
• სახის ბიომეტრიული გამოსახულება (selfie/liveness check) — ვერიფიკაციის პროვაიდერ Identomat-ის მეშვეობით
• ეს მონაცემები მუშავდება მხოლოდ ფულის გათეთრების საწინააღმდეგო (AML) კანონმდებლობის შესასრულებლად

ფინანსური მონაცემები:

• ბარათის ტიპი და ბოლო 4 ციფრი (სრული ბარათის მონაცემები ჩვენთან არ ინახება — ამუშავდება PCI-DSS შესაბამის გადახდის სისტემაში)
• ტრანზაქციების ისტორია პლატფორმაზე
• ბანკის ანგარიშის რეკვიზიტები — მხოლოდ მასპინძლებისა და ორგანიზატორებისათვის გადახდების განხორციელებისთვის

სპეციალური (განსაკუთრებული) კატეგორიის მონაცემები — ჯგუფური მოგზაურობის სერვისი:

• ფსიქოლოგიური ტესტის შედეგები: პიროვნული თვისებები, ჩვევები, ინტერესები
• ეს მონაცემები მუშავდება მომხმარებლის ცხადი, ინფორმირებული, ნებაყოფლობითი თანხმობით (GDPR მუხლი 9(2)(a))
• მომხმარებელს ნებისმიერ დროს შეუძლია გააუქმოს ეს თანხმობა

2.2. ავტომატურად შეგროვებული მონაცემები

• IP მისამართი, ქვეყანა, ქალაქი
• მოწყობილობის ტიპი, ოპერაციული სისტემა, ვერსია
• მობილური მოწყობილობის იდენტიფიკატორი (Device ID)
• ბრაუზერის ტიპი (ვებგვერდის შემთხვევაში)
• კამერა, მდებარეობა, შეტყობინებები — მხოლოდ თქვენი ნებართვის შემდეგ, შესაბამისი ფუნქციებისათვის
• ქუქი ფაილები, SDK-ები და ანალიტიკური ინსტრუმენტები — ქვემოთ მოყვანილი ჩამონათვალის შესაბამისად

2.3. ქცევითი და გამოყენების მონაცემები

• ძიების ისტორია, ნანახი განცხადებები
• ჯავშნების ისტორია, ტრანზაქციები
• დაწერილი შეფასებები და რეიტინგები
• კომუნიკაცია პლატფორმის შიდა ჩატის/ზარის სისტემის მეშვეობით
• ფსიქოლოგიური ტესტის ჩამოტვირთვის/შევსების მონაცემები

3. დამუშავების სამართლებრივი საფუძვლები

ყველა მონაცემთა დამუშავება ეფუძნება GDPR-ის მე-6 მუხლით (და სენსიტიური მონაცემების შემთხვევაში — მე-9 მუხლით) გათვალისწინებულ ერთ-ერთ კანონიერ საფუძველს:

• ხელშეკრულების შესრულება (GDPR 6(1)(b)) — ჯავშნის დამუშავება, ანგარიშის მართვა, გადახდა
• კანონისმიერი ვალდებულება (GDPR 6(1)(c)) — AML/KYC, საგადასახადო, ბუღალტრული ჩანაწერები
• ლეგიტიმური ინტერესი (GDPR 6(1)(f)) — თაღლითობის პრევენცია, პლატფორმის უსაფრთხოება, სერვისის გაუმჯობესება
• თქვენი თანხმობა (GDPR 6(1)(a) / 9(2)(a)) — მარკეტინგული კომუნიკაციები; ფსიქოლოგიური ტესტის (სენსიტიური) მონაცემების დამუშავება; არა-სავალდებულო Analytics/Tracking

სენსიტიური მონაცემების (ფსიქოლოგიური ტესტი) დამუშავება ხდება მხოლოდ ცხადი, ცალკე გამოხატული, ნებაყოფლობითი, ინფორმირებული და გამოხმობადი თანხმობის საფუძველზე.

4. გამოყენების მიზნები

ჩვენ ვამუშავებთ თქვენს მონაცემებს მხოლოდ კონკრეტული, განსაზღვრული და კანონიერი მიზნებისათვის:

4.1. სერვისის გაწევა

• ანგარიშის შექმნა და ავთენტიფიკაცია
• ჯავშნის, გადახდების, დეპოზიტის და ანაზღაურების დამუშავება
• მასპინძელთან და ორგანიზატორთან კოორდინაცია
• ექსკლუზიურ ალგორითმზე დაფუძნებული ჯგუფის ფორმირება (მხოლოდ თანხმობის საფუძველზე)

4.2. კანონიერი ვალდებულებები

• KYC/AML — პირადობის დამოწმება, ფულის გათეთრების პრევენცია
• საგადასახადო ჩანაწერების შენახვა (საქართველოს საგადასახადო კოდექსი)
• კომპეტენტური ორგანოებისათვის ინფორმაციის მიწოდება კანონისმიერი მოთხოვნისას

4.3. უსაფრთხოება და პრევენცია

• პლატფორმის ბოროტად გამოყენების, თაღლითობის, ყალბი განცხადებების პრევენცია
• ანგარიშის ავტორიზაციის დადასტურება
• ექსკლუზიურ ალგორითმის სამართლიანობის/ნეიტრალურობის აუდიტი

4.4. სერვისის გაუმჯობესება

• პლატფორმის ფუნქციონირების ანალიზი (Aggregated/Anonymised ანალიტიკა)
• მომხმარებლის გამოცდილების პერსონალიზაცია

4.5. კომუნიკაცია

• სერვისთან დაკავშირებული შეტყობინებები (ჯავშნის დადასტურება, შეხსენება, ცვლილება)
• მარკეტინგული კომუნიკაცია — მხოლოდ თქვენი ცხადი თანხმობის შემდეგ, ნებისმიერ დროს გამოხმობადი

5. მონაცემთა გაზიარება მესამე პირებთან

ბლული არ ყიდის თქვენს პირად მონაცემებს. ჩვენ ვაზიარებთ მონაცემებს მხოლოდ შემდეგ, კანონიერად გამართლებულ შემთხვევებში:

გადახდის პროცესი — PCI-DSS სერტიფიცირებული გადახდის სისტემები (მაგ., Stripe, TBC Pay, BOG) — ტრანზაქციების დამუშავებისთვის. სრული ბარათის მონაცემები ჩვენს სერვერებზე არ ინახება.

KYC/ვერიფიკაციის სერვისი — Identomat — მომხმარებლის პირადობის ავტომატური ვერიფიკაციისათვის. ვერიფიკაციის მონაცემები გადაეცემა Identomat-ს შესაბამისი Data Processing Agreement-ის საფუძველზე.

ინფრასტრუქტურა და ჰოსტინგი — IT ინფრასტრუქტურის პროვაიდერები (მაგ., AWS, Google Cloud) — მონაცემთა შენახვა და დამუშავება GDPR-სთან შესაბამის გარემოში.

მასპინძელი / Experience-ის ორგანიზატორი — ჯავშნის დადასტურების შემდეგ — მხოლოდ მინიმალური, სერვისისთვის აუცილებელი მონაცემები: სახელი, სქესი, მოქალაქეობა, ტელეფონის ნომერი. ფინანსური, ბიომეტრიული ან სენსიტიური მონაცემები არ გაიზიარება.

ჯგუფური მოგზაურობის სხვა წევრები — მხოლოდ თქვენი ცხადი თანხმობით და მინიმალური, ჯგუფის ფუნქციონირებისთვის საჭირო მოცულობით.

სამართალდამცავი ორგანოები / სასამართლოები — კანონისმიერი ვალდებულების ან სასამართლო განჩინების საფუძველზე. სადაც კანონი ნებას გვაძლევს, თქვენ გეცნობებათ ასეთი გაზიარების შესახებ.

ანალიტიკის სერვისები — ანონიმური ან ფსევდონიმური მონაცემები — სარეკლამო ან ანალიტიკური სერვისებისათვის, მხოლოდ თქვენი ნებართვის საფუძველზე (სადაც კანონი ამ ნებართვას მოითხოვს).

ყველა მომსახურების მიმწოდებელი (Sub-Processors) ვალდებულია შეასრულოს GDPR-ის მე-28 მუხლის მოთხოვნები Data Processing Agreement-ის საფუძველზე.

6. საერთაშორისო გადაცემები

თქვენი მონაცემები ძირითადად მუშავდება საქართველოში. EU/EEA-ს ფარგლებს გარეთ გადაცემის შემთხვევაში, ჩვენ ვიყენებთ:

• EU სტანდარტული სახელშეკრულებო დათქმები (Standard Contractual Clauses — SCC), ან
• ადეკვატურობის გადაწყვეტილება (Adequacy Decision), ან
• GDPR-ის 46-ე მუხლით გათვალისწინებული სხვა დამცავი ღონისძიება

ამ ღონისძიებების შესახებ დეტალური ინფორმაციისთვის დაგვიკავშირდით ქვემოთ მოყვანილი კონტაქტის მეშვეობით.

7. შენახვის ვადები

ჩვენ ვინახავთ თქვენს მონაცემებს მხოლოდ იმდენ ხანს, რამდენიც აუცილებელია:

• ანგარიშის მონაცემები — ანგარიშის გაუქმებამდე + 90 დღე (კანონიერი მოთხოვნების არარსებობის შემთხვევაში)
• ჯავშნებისა და ტრანზაქციების ჩანაწერები — 7 წელი (საქართველოს საგადასახადო კოდექსი)
• KYC/ბიომეტრიული მონაცემები — AML კანონმდებლობით გათვალისწინებული ვადა (მინ. 5 წელი)
• ფსიქოლოგიური ტესტის მონაცემები — ჯგუფის დაშლამდე ან თანხმობის გამოხმობამდე
• მარკეტინგული პრეფერენციები — თანხმობის გამოხმობამდე ან 3 წელი
• ანალიტიკის ლოგები — 13 თვე

ვადის გასვლის შემდეგ, მონაცემები წაიშლება ან არაიდენტიფიცირებადად მუშავდება.

8. თქვენი უფლებები

GDPR-ისა და საქართველოს კანონმდებლობის შესაბამისად, თქვენ გაქვთ შემდეგი უფლებები:

8.1. Apple App Store და Google Play-ის სპეციალური მოთხოვნები

Apple-ისა და Google-ის პოლიტიკის შესაბამისად, ჩვენ გარანტიას ვაძლევთ:

• ანგარიშის წაშლის ფუნქცია — ხელმისაწვდომია აპლიკაციაში „პარამეტრები → ანგარიში → ანგარიშის წაშლა“. ანგარიშის წაშლა იწვევს ყველა პერსონალური მონაცემის წაშლას (კანონისმიერი შენახვის ვალდებულებების გამოკლებით)
• მოწყობილობის ნებართვებზე კონტროლი — კამერა, მდებარეობა, შეტყობინებები — ნებისმიერ დროს შეიძლება გამოიხმოს მოწყობილობის პარამეტრებიდან
• Push-შეტყობინებებზე — ნებართვა შეიძლება გამოიხმოს ნებისმიერ დროს OS-ის პარამეტრებიდან
• ყველა მესამე მხარის პროგრამული უზრუნველყოფის დეველოპმენტი, რომელიც გამოიყენება ჩვენს აპლიკაციაში, ნაჩვენებია ამ პოლიტიკაში

8.2. GDPR-ის ძირითადი უფლებები

• წვდომის უფლება (GDPR მ. 15) — ინფორმაციის მოთხოვნა, თუ რა მონაცემები გვაქვს თქვენზე
• შესწორების უფლება (GDPR მ. 16) — არასრული ან არასწორი მონაცემების გამოსწორება
• წაშლის უფლება / „დავიწყების უფლება“ (GDPR მ. 17) — კანონისმიერი ვადების ფარგლებში
• დამუშავების შეზღუდვის უფლება (GDPR მ. 18)
• მონაცემთა გადაცემადობის უფლება (GDPR მ. 20) — მანქანით წასაკითხ ფორმატში
• წინააღმდეგობის გამოცხადების უფლება (GDPR მ. 21) — მათ შორის, პირდაპირი მარკეტინგის წინააღმდეგ
• ავტომატური გადაწყვეტილების მიმართ უფლება (GDPR მ. 22) — AI-ის შეფასების ადამიანის მიერ გადასინჯვის მოთხოვნის ჩათვლით
• თანხმობის გამოხმობის უფლება — ნებისმიერ დროს, გამოხმობამდე განხორციელებული დამუშავების კანონიერებაზე გავლენის გარეშე

უფლებების განხორციელებისათვის მიმართეთ: ელ-ფოსტა — ან ანგარიშის პარამეტრების გვერდიდან. ჩვენ ვუპასუხებთ 30 კალენდარული დღის ვადაში.

საჩივრის შეტანის უფლება: GDPR-ის ქვეშ, EU-ს წევრ სახელმწიფოში მცხოვრებ პირებს უფლება აქვთ, საჩივარი შეიტანონ საზედამხედველო ორგანოში. საქართველოს მოქალაქეებს — საქართველოს პერსონალურ მონაცემთა დაცვის სამსახურში (pdp.gov.ge).

9. ექსკლუზიური ალგორითმი და ხელოვნური ინტელექტი (AI) და ავტომატური გადაწყვეტილება

ჩვენი ჯგუფური მოგზაურობის სერვისი იყენებს ექსკლუზიურ ალგორითმს და AI მოდელს ფსიქოლოგიური ტესტის შედეგების ანალიზისათვის და ჯგუფის ფორმირებისათვის. ამ სისტემის მიმართ ვალდებულებას ვიღებთ რომ:

• გამჭვირვალობა — ჩვენ ყოველთვის წინასწარ გეტყვით, რომ ალგორითმი ან AI ახდენს შეფასებას, რა კატეგორიის მონაცემს იყენებს, და რა შედეგებამდე მიდის
• ადამიანის ჩარევა — AI-ის შეფასება არ წარმოადგენს სამართლებრივ გადაწყვეტილებას. ნებისმიერ დროს შეგიძლიათ მოითხოვოთ ადამიანის მიერ გადასინჯვა (GDPR მ. 22, AI Act)
• არა-დისკრიმინაცია — AI მოდელი ვერ მოახდენს პირდაპირ ან ირიბ დისკრიმინაციას რასის, ეთნიკური წარმომავლობის, სქესის, რელიგიის, სექსუალური ორიენტაციის, ასაკის, შეზღუდული შესაძლებლობის ან სხვა დაცული მახასიათებლის საფუძველზე
• რეგულარული აუდიტი — AI მოდელი ექვემდებარება სამართლიანობის, სიზუსტის და ნეიტრალურობის რეგულარულ შეფასებას
• არა სამედიცინო — AI შეფასება არ წარმოადგენს ფსიქოლოგიურ, ფსიქიატრიულ ან სამედიცინო დიაგნოზს

10. ქუქი ფაილები და ანალიტიკა

10.1. ვებ-ქუქი ფაილები

ჩვენი ვებგვერდი იყენებს ქუქ ფაილებს შემდეგი კატეგორიებით:

• აუცილებელი ქუქები — ვებგვერდის მუშაობისათვის სავალდებულო. თანხმობა არ სჭირდება
• ფუნქციონალური ქუქები — შეინახავს თქვენს პარამეტრებს (ენა, ვალუტა). თანხმობა შეიძლება გამოიხმოს
• ანალიტიკური ქუქები — გამოყენების სტატისტიკა (Google Analytics). მხოლოდ თანხმობის შემდეგ
• მარკეტინგული ქუქები — სარეკლამო ანალიტიკა. მხოლოდ თანხმობის შემდეგ

ქუქ ფაილებზე კონტროლი: ვებგვერდზე Cookie Banner-ის მეშვეობით, ან ბრაუზერის პარამეტრებიდან. Apple Safari-სა და iOS-ზე — iOS-ის კონფიდენციალურობის პარამეტრებიდან.

10.2. მობილური SDK-ები და ტრეკინგი

ჩვენი მობილური აპლიკაცია შეიძლება შეიცავდეს შემდეგ პროგრამული უზრუნველყოფის:

• Firebase Analytics (Google) — Aggregated ანალიტიკა. iOS-ზე ექვემდებარება App Tracking Transparency (ATT) ჩარჩოს
• Identomat SDK — KYC ვერიფიკაციისათვის
• გადახდის სერვისის SDK — ტრანზაქციებისათვის

iOS-ზე: App Tracking Transparency (ATT) — ჩვენ ვითხოვთ თქვენი ნებართვას სხვა კომპანიების აპებსა და ვებგვერდებზე თქვენი ქცევის ანალიზამდე. „ნუ ადევნებ“ — ნებართვის გაუცემლობა ანახვის/ანალიტიკური ტრეკინგს გამორთავს, სერვისი კი სრულად გაგრძელდება.

11. უსაფრთხოება

ბლული იყენებს ინდუსტრიული სტანდარტის ტექნიკურ და ორგანიზაციულ ზომებს (GDPR მ. 32):

• TLS 1.2+ — ყველა ქსელური გადაცემა დაშიფრულია
• მოსვენებული მონაცემების დაშიფვრა (Encryption at Rest)
• წვდომის მართვა — მინიმალური პრივილეგიის პრინციპი
• რეგულარული უსაფრთხოების ტესტირება, Penetration Testing
• ინციდენტის სამართავი პროცედურა — მონაცემთა გაჟონვის შემთხვევაში GDPR-ის 33-ე მუხლის შესაბამისად 72 საათში ეცნობება საზედამხედველო ორგანოს
• PCI-DSS სტანდარტის გადახდის პროცესინგი

გაითვალისწინეთ: ინტერნეტ კომუნიკაციის 100%-იანი უსაფრთხოება შეუძლებელია. ბოროტი განზრახვის შემთხვევაში ჩვენ მყისიერად ვიმოქმედებთ და გაცნობებთ.

12. არასრულწლოვანები

ბლულის სერვისები გათვლილია 18 წელს გადაცილებულ პირებზე. ჩვენ შეგნებულად არ ვაგროვებთ 18 წლამდე პირების პირად მონაცემებს. თუ გაიგებთ, რომ 18 წლამდე მომხმარებელი დარეგისტრირდა, გთხოვთ მოგვწეროთ ელ-ფოსტა — მონაცემები დაუყოვნებლივ წაიშლება.

13. კალიფორნიის მცხოვრებთა (CCPA) სპეციალური უფლებები

კალიფორნიის მომხმარებელთა კონფიდენციალურობის კანონის (CCPA, Cal. Civ. Code § 1798.100 et seq.) შესაბამისად, კალიფორნიის მოქალაქეებს გაქვთ:

• ინფორმაციის უფლება — თქვენზე შეგროვებული, გაზიარებული ან „გაყიდული“ (sold) მონაცემების შესახებ
• წაშლის უფლება — გამონაკლისების ჩათვლით
• Opt-Out of Sale — ჩვენ არ ვყიდით თქვენს მონაცემებს. „Do Not Sell or Share My Personal Information“ ფუნქცია ხელმისაწვდომია ანგარიშის პარამეტრებში
• Sensitive Personal Information-ის შეზღუდვის უფლება
• არა-დისკრიმინაცია — CCPA-ს უფლების გამოყენება არ იწვევს სერვისში დისკრიმინაციას

14. მესამე მხარის ბმულები

პლატფორმა შეიძლება შეიცავდეს ბმულებს სხვა ვებგვერდებზე ან სერვისებზე. ჩვენ არ ვაგებთ პასუხს მესამე მხარის კონფიდენციალურობის პრაქტიკაზე. გირჩევთ, გაეცნოთ ამ ვებგვერდების კონფიდენციალურობის პოლიტიკას.

15. ცვლილებები კონფიდენციალურობის პოლიტიკაში

ჩვენ შეიძლება განვაახლოთ ეს პოლიტიკა. არსებითი ცვლილებების შემთხვევაში:

• გაიგზავნება შეტყობინება ელ-ფოსტაზე და/ან Push შეტყობინება (30 დღით ადრე)
• განახლდება „ბოლო განახლების“ თარიღი
• iOS-ისა და Android-ის App Store-ის პოლიტიკის შესაბამისად, მნიშვნელოვანი ცვლილებები (განსაკუთრებით ახალი, ადრე არასათანადოდ გამჟღავნებული მონაცემთა გამოყენება) საჭიროებს ხელახლა თანხმობის გამოხატვას

ცვლილებებზე თანხმობა გამოიხატება პლატფორმის გამოყენების გაგრძელებით (არარსებითი ცვლილებები) ან ახლი თანხმობის ფორმით (არსებითი ცვლილებები).

16. საკონტაქტო ინფორმაცია

მონაცემთა დაცვის ყველა საკითხში, უფლებების განხორციელებისათვის ან ჩვენი პრაქტიკის შესახებ შეკითხვებისათვის, გთხოვთ მიმართოთ:

• შპს ბლული (Bluelly LLC)
• საიდენტიფიკაციო კოდი: 405751315
• ელ-ფოსტა: — legal team to provide before publication —
• ვებგვერდი: — legal team to provide before publication —

ჩვენ ვუპასუხებთ GDPR-ის 12-ე მუხლის შესაბამისად — 30 კალენდარული დღის ვადაში (საჭიროების შემთხვევაში — გახანგრძლივება 60 დღემდე, შეტყობინებით).