1.დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს სახელმწიფო აუდიტის სამსახურს, გარდა იმ შემთხვევისა, როდესაც ნაკლებად სავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.
2.დამუშავებაზე უფლებამოსილი პირი ვალდებულია ინციდენტის შესახებ დაუყოვნებლივ აცნობოს დამუშავებისთვის პასუხისმგებელ პირს.
3.ამ მუხლის პირველი პუნქტით გათვალისწინებული შეტყობინება უნდა შეიცავდეს შემდეგ ინფორმაციას: ა) ინციდენტის გარემოებების, სახისა და დროის შესახებ; ბ) ინციდენტის შედეგად უნებართვოდ გამჟღავნებული, დაზიანებული, წაშლილი, განადგურებული, მოპოვებული, დაკარგული, შეცვლილი მონაცემების სავარაუდო კატეგორიებისა და რაოდენობის, აგრეთვე იმ მონაცემთა სუბიექტების სავარაუდო კატეგორიებისა და რაოდენობის შესახებ, რომლებსაც ინციდენტის შედეგად შეექმნათ საფრთხე; გ) ინციდენტით გამოწვეული სავარაუდო ზიანის, მისი შემცირების ან აღმოფხვრის მიზნით დამუშავებისთვის პასუხისმგებელი პირის მიერ განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ; დ) იმის შესახებ, გეგმავს თუ არა დამუშავებისთვის პასუხისმგებელი პირი, ინციდენტის შესახებ შეატყობინოს მონაცემთა სუბიექტს (მონაცემთა სუბიექტებს) ამ კანონის 30-ე მუხლით დადგენილი წესით და რა ვადაში; ე) პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა საკონტაქტო პირის მონაცემებს.
4.თუ ამ მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის ერთიანად და სრულად მიწოდება შეუძლებელია, დამუშავებისთვის პასუხისმგებელ პირს უფლება აქვს, სახელმწიფო აუდიტის სამსახურთან შეთანხმებით, გონივრულ ვადაში, ეტაპობრივად მიაწოდოს ინფორმაცია.
5.თუ სახელმწიფო აუდიტის სამსახურისთვის წარდგენილი შეტყობინების თანახმად, დამუშავებისთვის პასუხისმგებელი პირი არ უზრუნველყოფს ან ვერ უზრუნველყოფს ინციდენტის თაობაზე მონაცემთა სუბიექტის (მონაცემთა სუბიექტების) ინფორმირებას, ინციდენტის გარემოებების, სავარაუდო ზიანის ან/და მონაცემთა სუბიექტების რაოდენობის გათვალისწინებით სახელმწიფო აუდიტის სამსახური უფლებამოსილია ინციდენტის შესახებ მის ხელთ არსებული ინფორმაცია გაასაჯაროოს, გარდა იმ შემთხვევისა, თუ არსებობს ამ კანონის 30-ე მუხლის მე-3 პუნქტით გათვალისწინებული ერთ-ერთი გარემოება.
6.ამ მუხლის მე-5 პუნქტით დადგენილი წესი არ მოქმედებს, თუ ამ მუხლის პირველი პუნქტით გათვალისწინებულ შეტყობინებას თან ახლავს მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო ან კერძო დაწესებულების მითითება, რომ ინციდენტის შესახებ ინფორმაციის გასაჯაროება საფრთხეს შეუქმნის: ა) სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოების და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს; ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს; გ) დანაშაულის თავიდან აცილებას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ოპერატიულ-სამძებრო საქმიანობას; დ) ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს.
7.სახელმწიფო აუდიტის სამსახური უფლებამოსილია ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შემთხვევებში არ გაასაჯაროოს ინფორმაცია მაშინაც, თუ შეტყობინებას თან არ ახლავს ამ მუხლის მე-6 პუნქტის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული რომელიმე მითითება.
8.სახელმწიფო აუდიტის სამსახურს ამ მუხლის მე-6 პუნქტით განსაზღვრული შესაბამისი ქვეპუნქტით გათვალისწინებული გარემოების თაობაზე დამუშავებისთვის პასუხისმგებელი პირი უთითებს ინციდენტის შესახებ შეტყობინებაში ამ მუხლის მე-9 პუნქტით დადგენილი წესის შესაბამისად.
9.ამ მუხლის პირველი პუნქტით გათვალისწინებული, ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, სახელმწიფო აუდიტის სამსახურისთვის ამ ინციდენტის შეტყობინების წესი დგინდება გენერალური აუდიტორის ნორმატიული აქტით.
10.ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შესაბამისი ქვეპუნქტით განსაზღვრულ სათანადო გარემოებაზე მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო დაწესებულება უთითებს საკუთარი კომპეტენციის/სამოქმედო სფეროს შესაბამისად.
11.ამ მუხლის მე-6 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების საფუძველს კრიტიკული ინფორმაციული სისტემის სუბიექტი, მისი კატეგორიის გათვალისწინებით, უთითებს ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების სფეროში შესაბამის კომპეტენტურ უწყებასთან შეთანხმებით. საქართველოს 2025 წლის 17 დეკემბრის კანონი №1289 – ვებგვერდი, 23.12.2025წ.


