საქართველოს ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის წესის დამტკიცების შესახებ

საქართველოს ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის წესის დამტკიცების შესახებ საქართველოს ეროვნული ბანკის პრეზიდენტის ბრძანება  №230/04 2025 წლის 26 სექტემბერი ქ. თბილისი საქართველოს ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის წესის დამტკიცების შესახებ „საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონის მე-3 მუხლის მე-3 პუნქტის „ვ“ ქვეპუნქტის, მე-15 მუხლის პირველი პუნქტის „ზ“ ქვეპუნქტის, 63-ე მუხლის პირველი პუნქტისა და „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 37-ე მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტის საფუძველზე, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს „საქართველოს ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის წესი“ თანდართული რედაქციით. მუხლი 2🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.საქართველოს ეროვნული ბანკის პრეზიდენტინათელა თურნავა საქართველოს ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის წესი მუხლი 1🔗. ზოგადი დებულებები 1. საქართველოს ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის წესი (შემდგომში – „წესი“) განსაზღვრავს საქართველოს ეროვნული ბანკის (შემდგომში – „ეროვნული ბანკი“) მიერ საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის საკითხებს. 2. ეს წესი ვრცელდება ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირების ფარგლებში პერსონალურ მონაცემთა იმ სახელმწიფოებში გადაცემის შემთხვევებზე, რომლებიც არ შედის საქართველოს კანონმდებლობით განსაზღვრულ პერსონალურ მონაცემთა დაცვის სათანადო გარანტიების მქონე ქვეყნების ნუსხაში. მუხლი 2🔗. საგადახდო სისტემების ოპერირებისას პერსონალურ მონაცემთა საერთაშორისო გადაცემის მიზანი და მონაცემთა კატეგორიები 1. საქართველოს ეროვნული ბანკის მიერ საგადახდო სისტემების ოპერირებისას საგადახდო სისტემების პროგრამულ-ტექნიკური უზრუნველყოფის მწარმოებლისთვის ან/და ტექნიკურ გამართულობაზე პასუხისმგებელი კონტრაჰენტისთვის შესაძლებელია განხორციელდეს მონაცემების საერთაშორისო გადაცემა, რომლის მიზანია საგადახდო სისტემების უსაფრთხო, მდგრადი, ეფექტიანი და გამართული ფუნქციონირება, რაც, მათ შორის, მოიცავს საოპერაციო რისკების მართვას, ტექნიკური შეფერხების თავიდან აცილებას და აღმოფხვრას. 2. ამ მუხლის პირველი პუნქტით გათვალისწინებული მონაცემები შეიძლება მოიცავდეს საგადახდო სისტემების უსაფრთხო, მდგრადი, ეფექტიანი და გამართული ფუნქციონირების შეფერხებასთან ან/და შესაძლო შეფერხების თავიდან აცილებასთან დაკავშირებულ ინფორმაციას. აღნიშნული ინფორმაცია შეიძლება წარმოადგენდეს საგადახდო სისტემაში არსებული ხდომილობების და მოვლენების ჩანაწერებს (ლოგირებული ინფორმაცია/ჩანაწერთა ისტორია) და მოიცავდეს როგორც საგადახდო სისტემის მიერ ავტომატურად გენერირებულ, ასევე ტრანზაქციის ინიციირებისას ტრანზაქციის მონაწილეთა მიერ მითითებულ ნებისმიერი სახის ინფორმაციას, მათ შორის, პერსონალურ მონაცემებს, განსაკუთრებული კატეგორიის პერსონალურ მონაცემთა ჩათვლით. 3. ამ მუხლით გათვალისწინებული ინფორმაცია შესაძლოა გადაიცეს ისეთ სახელმწიფოში, რომელიც არ შედის საქართველოს კანონმდებლობით განსაზღვრულ პერსონალურ მონაცემთა დაცვის სათანადო გარანტიების მქონე ქვეყნების ნუსხაში. მუხლი 3🔗. პერსონალურ მონაცემთა უსაფრთხოება და შემდგომი გადაცემა 1. ეროვნული ბანკი ვალდებულია მიიღოს პერსონალურ მონაცემთა უსაფრთხო გადაცემისთვის აუცილებელი ორგანიზაციული და ტექნიკური ზომები. 2. საგადახდო სისტემების უსაფრთხო, მდგრადი, ეფექტიანი და გამართული ფუნქციონირების უზრუნველსაყოფად, ეროვნული ბანკის, როგორც საგადახდო სისტემის ოპერატორის მიერ, საგადახდო სისტემების პროგრამულ-ტექნიკური უზრუნველყოფის მწარმოებელთან ან/და ტექნიკურ გამართულობაზე პასუხისმგებელ კონტრაჰენტთან უნდა დაიდოს შესაბამისი ხელშეკრულება ან/და არსებულ ხელშეკრულებაში განხორციელდეს ცვლილება. აღნიშნული ხელშეკრულება პერსონალურ მონაცემთა საერთაშორისო გადაცემის უსაფრთხოების მიზნით უნდა მოიცავდეს სულ მცირე შემდეგ ვალდებულებებს: ა) მონაცემთა მიღებისას და დამუშავების სრული პერიოდის მანძილზე, მონაცემთა უსაფრთხოების დაცვას, მათ შორის, ისეთი ტექნიკური და ორგანიზაციული ზომების მიღებას, რომლებიც სათანადოდ უზრუნველყოფს მონაცემთა დაცვას, მათ შორის, უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან/და დაზიანებისგან; ბ) მიღებული პერსონალური მონაცემების დამუშავებას მხოლოდ ამ ხელშეკრულებით გათვალისწინებული მოვალეობების შესრულების მიზნითა და ფარგლებში, ასევე მხოლოდ იმ ვადით, რაც აუცილებელია ამ წესის მე-2 მუხლის პირველი პუნქტით გათვალისწინებული მიზნის მისაღწევად, ხოლო მიზნის მიღწევის შემდეგ პერსონალური მონაცემების წაშლას/განადგურებას; გ) პერსონალურ მონაცემთა უსაფრთხო გადაცემისთვის საჭირო ყველა ძირითადი კომპონენტის, მათ შორის, მონაცემთა დამუშავების პროცესში, ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაციით (GDPR) და ISO/IEC 27001 საერთაშორისო სტანდარტით განსაზღვრული მოთხოვნების დაცვას; დ) პერსონალურ მონაცემთა კონფიდენციალურობის დაცვას, მათ შორის, პერსონალური მონაცემების შემცველი ინფორმაციის მხოლოდ ხელშეკრულებით გათვალისწინებული პირებისთვის მიწოდების დასაშვებობას. ამ წესის მე-2 მუხლით გათვალისწინებული მონაცემები, აუცილებლობის შემთხვევაში, მესამე პირებს შეიძლება მიეწოდოთ მხოლოდ ეროვნული ბანკის (საგადახდო სისტემის ოპერატორის) წინასწარი წერილობითი თანხმობით, ასევე, იმ დათქმის გათვალისწინებით, რომ მონაცემთა მიმღები უზრუნველყოფს მონაცემთა უსაფრთხოებას და მიღებული მონაცემების იმავე მიზნით და პირობებით დამუშავებას და მიზნის მიღწევის შემდეგ მონაცემების წაშლას/განადგურებას. მუხლი 4🔗. მონაცემთა დამუშავების პრინციპები და მონაცემთა სუბიექტის უფლებების დაცვა ამ წესით განსაზღვრულ მონაცემთა დამუშავების პროცესში დაცული უნდა იყოს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-4 მუხლით განსაზღვრული პრინციპები და მე-3 თავით გათვალისწინებული მონაცემთა სუბიექტის უფლებები. ამ უფლებათა რეალიზების მიზნით, მონაცემთა სუბიექტი უფლებამოსილია მიმართოს პერსონალურ მონაცემთა დამუშავებისთვის პასუხისმგებელ პირებს და იმავე კანონით განსაზღვრულ შესაბამის ორგანოებს.