2023-12-17

ფინანსურ სექტორში პერსონალური მონაცემების დამუშავება

---

შეტყობინების საფუძველზე დაწყებული შემოწმება

ერთ-ერთი პირის მომართვის საფუძველზე დაწყებული შემოწმების ფარგლებში
დადგინდა, რომ ერთ-ერთი ბანკი მომხმარებლებს სთავაზობდა ინტერნეტბანკში
სატელეფონო ნომრის მეშვეობით თანხის გადარიცხვის შესაძლებლობას იმ შემთხვევაში,
თუ თანხის მიმღები პირი წარმოადგენდა ბანკის მომხმარებელს (მიუხედავად იმისა,
გააჩნდა თუ არა მას აქტიური ანგარიში ამავე ბანკში).

კერძოდ, ინტერნეტბანკში სატელეფონო ნომრის მეშვეობით თანხის მესამე
პირისთვის გადარიცხვის პროცესში თანხის მიმღები პირის სატელეფონო ნომრის
მითითების შემთხვევაში თავდაპირველად ხელმისაწვდომი ხდებოდა თანხის მიმღები
პირის სახელი და გვარი სრულად, ხოლო ბანკში განხორციელებული ცვლილების
შემდგომ ამავე პროცესში ხელმისაწვდომი ხდებოდა თანხის მიმღები პირის მხოლოდ
სახელი სრულად და გვარის პირველი ასოს ინიციალი. ინტერნეტბანკში სატელეფონო
ნომრით გადარიცხვის პროცესში თანხის მიმღები პირის მონაცემების ბანკის მიერ გადარიცხვის მსურველი პირისთვის გამჟღავნების მიზანს ბანკისთვის, როგორც
საგადახდო მომსახურების პროვაიდერისთვის, წარმოადგენდა თანხის მიმღების
იდენტიფიცირება და გადახდის ოპერაციის სწორად/წარმატებით შესრულება იმ ფაქტის
გათვალისწინებით, რომ თანხის მიმღები პირის იდენტიფიცირების გარეშე სატელეფონო
ნომრის არასწორად შეყვანის შემთხვევაში არსებობდა თანხის არასწორ პირთან
გადარიცხვის რისკი. ამასთან, როგორც შემოწმების ფარგლებში დადგინდა, თანხის
მიმღები პირის იდენტიფიცირებისთვის საკმარისი იყო თანხის გადარიცხვის მხოლოდ
ინიცირება და აუცილებელი არ იყო გადარიცხვის შესრულება.

სამსახურის გადაწყვეტილებით შეფასდა, რომ თანხის გადარიცხვისას ბანკს
ჰქონდა ლეგიტიმური ინტერესი, ინტერნეტბანკში თანხის გადამრიცხავი პირისთვის
მიეწოდებინა ინფორმაცია თანხის მიმღები პირის სახელისა და გვარის, ხოლო
ცვლილების განხორციელების შემდეგ – სახელის სრულად და გვარის პირველი ასოს
ინიციალის შესახებ და ამ გზით მოეხდინა მისი იდენტიფიცირება. თუმცა, აღნიშნული
პროცესი დაკავშირებული არ იყო მხოლოდ თანხის გადარიცხვასთან – პირს შეეძლო
ეს ქმედება სხვა მიზნითაც გამოეყენებინა, კერძოდ: მიეღო ინფორმაცია სატელეფონო
ნომრის ბანკში რეგისტრირებული მფლობელის ვინაობის შესახებ ან/და გაეგო, არის თუ
არა კონკრეტული პირი ბანკის მომხმარებელი. ნიშანდობლივია ისიც, რომ სახელის და
გვარის გამჟღავნების შემთხვევაში პირის იდენტიფიცირების რისკი გაცილებით მაღალი
იყო, თუმცა, მაგალითისთვის, სახელი სრულად და გვარის პირველი ასოს ინიციალიც
იძლეოდა აღნიშნულის შესაძლებლობას.

სამსახურის გადაწყვეტილებით დადგინდა, რომ ბანკის მიერ ინტერნეტბანკში
თანხის სატელეფონო ნომრის მეშვეობით გადარიცხვის ინიცირებისას იქმნებოდა
მომხმარებელთა მონაცემების უკანონო გამჟღავნების რისკი, რის გამოც ბანკი ცნობილ
იქნა სამართალდამრღვევად კანონის 46-ე მუხლის შესაბამისად და დაევალა ინტერნეტ-
ბანკში, ამავე ბანკის მომხმარებლის ანგარიშზე სატელეფონო ნომრის მეშვეობით თანხის
გადარიცხვის ინიცირების პროცესში, უზრუნველეყო თანხის მიმღები პირის მონაცემთა
იმგვარი მოდიფიკაცია, რომ შეუძლებელი ყოფილიყო მათი დაკავშირება მონაცემთა
სუბიექტთან ან ასეთი კავშირის დადგენას არაპროპორციულად დიდი ძალისხმევა,
ხარჯები და დრო დასჭირვებოდა.

აღსანიშნავია ისიც, რომ სამსახურმა არ გაიზიარა ბანკის განმარტება თანხის
სატელეფონო ნომრის მეშვეობით გადარიცხვის ინიცირებისას ბანკის ისეთი
მომხმარებლის იდენტიფიცირების საჭიროებასთან დაკავშირებით, რომელსაც არ
აქვს ბანკში აქტიური ანგარიშები. იდენტიფიცირების საჭიროება, რომელზეც ბანკი
მიუთითებდა, განპირობებული იყო გადახდის ოპერაციის სწორად/წარმატებით
შესრულების აუცილებლობით და არასწორი ტრანზაქციის შემთხვევაში თანხის
დაბრუნების რთული პროცედურით, შესაბამისად, იგი მიბმული იყო იმ რისკებზე,
რომლებიც შესაძლოა ბანკს წარმოშობოდა კონკრეტულ პროცესში. ბანკში ანგარიშის
მქონე მომხმარებლისთვის თანხის გადარიცხვის პროცესისგან განსხვავებით, როცა
პირის იდენტიფიცირება თანხის სწორი ადრესატისთვის გადასარიცხად შესაძლოა
ყოფილიყო ლეგიტიმური მიზანი თანხის ანგარიშის არმქონე პირისთვის გადარიცხვის
ინიცირების შემთხვევაში აღნიშნული ტრანზაქცია ინიცირებისთანავე მოკლებული
იყო განხორციელების შესაძლებლობას. ამდენად, გადარიცხვის ინიციატორისთვის
ინფორმაციის მიწოდება მის მიერ მითითებული სატელეფონო ნომრის მფლობელის
სახელთან და გვართან ან სახელთან (სრულად) და გვარის პირველი ასოს ინიციალთან
დაკავშირებით, რათა იგი დარწმუნებულიყო, რომ მის მიერ ინიცირებული ტრანზაქცია
სწორი ადრესატის მიმართ განხორციელდებოდა, ვერ იქნება მიჩნეული კანონიერ მიზნად,
რადგან შედეგი, რაც უნდა მოჰყვეს სწორი ადრესატის განსაზღვრას, პრაქტიკულად ვერ
მიიღწეოდა.

აღნიშნულის გათვალისწინებით, სამსახურის გადაწყვეტილებით, ბანკი ცნობილ იქნა
სამართალდამრღვევად კანონის 44-ე მუხლის პირველი პუნქტით გათვალისწინებული
ადმინისტრაციული სამართალდარღვევისთვის.

 

ერთ-ერთი კომერციული ბანკი

მონაცემთა სუბიექტის განცხადების საფუძველზე, პერსონალურ მონაცემთა დაცვის
სამსახურმა შეისწავლა ერთ-ერთი კომერციული ბანკის მიერ საკრედიტო საინფორმაციო
ბიუროს (შემდგომში – კომპანია)2 მონაცემთა ბაზაში განმცხადებლის პერსონალური
მონაცემების დამუშავების კანონიერება. განცხადების თანახმად, ბანკმა, ყოველგვარი
სამართლებრივი საფუძვლის გარეშე, დაამუშავა კომპანიის მონაცემთა ბაზაში არსებული
განმცხადებლის საკრედიტო ისტორიის შესახებ ინფორმაცია. განმცხადებლის
განმარტებით, ის არ იმყოფებოდა ბანკთან სამართლებრივ ურთიერთობაში და,
შესაბამისად, ბანკს არ ჰქონდა მისი თანხმობა მონაცემების დამუშავების თაობაზე.
ზემოაღნიშნულიდან გამომდინარე, განმცხადებელმა მოითხოვა ბანკის მიერ კომპანიის
მონაცემთა ბაზაში მისი მონაცემების დამუშავების კანონიერების შესწავლა და თანხმობის
გარეშე დამუშავებული მონაცემების წაშლა.

კომპანიას მონაცემთა უსაფრთხოების დაცვის მოთხოვნების შეუსრულებლობისთვის
დაეკისრა პასუხისმგებლობა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს
კანონის 46-ე მუხლის პირველი პუნქტით გათვალისწინებული ადმინისტრაციული
სამართალდარღვევისთვის და მიეცა სავალდებულოდ შესასრულებელი დავალება,
რათა მონაცემთა უსაფრთხოებისათვის მიღებული ზომები შესაბამისობაში ყოფილიყო
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-17 მუხლით
დადგენილ მოთხოვნებთან.