Защита персональных данных (პერსონალური მონაცემების დაცვა) в Грузии регулируется Законом о персональных данных 2011 года (с существенными поправками 2023 года) и надзорным органом - Службой защиты персональных данных (პერსონალური მონაცემების დაცვის სამსახური, PDPO). По состоянию на май 2026 года любой грузинский интернет-магазин, собирающий данные покупателей - имена, email, адреса доставки, платёжные реквизиты, cookie-идентификаторы, - является оператором персональных данных и обязан соответствовать требованиям грузинского законодательства.
Для e-commerce в Грузии это не формальность: PDPO проводит плановые и внеплановые проверки, штрафы за нарушения достигают 10 000 лари, а отсутствие корректной cookie policy блокирует работу с рядом платёжных шлюзов и партнёров из ЕС. Гайд разбирает: какие данные считаются персональными по грузинскому праву, как правильно оформить cookie policy и политику конфиденциальности, какие технические и организационные меры обязательны, и что проверяет PDPO на практике.
Персональные данные по грузинскому Закону о персональных данных - это любая информация, которая прямо или косвенно идентифицирует физическое лицо. Для интернет-магазина в Грузии это означает: имя и фамилия покупателя, адрес электронной почты, номер телефона, адрес доставки, IP-адрес, cookie-идентификатор браузера, история заказов и платёжные данные. Каждая из этих категорий требует правового основания для обработки - согласия субъекта или иного основания, прямо предусмотренного законом.
Грузинский закон разграничивает обычные персональные данные и специальные категории (статья 6): данные о здоровье, биометрия, расовая принадлежность. Для интернет-магазина специальные категории возникают редко - например, при продаже медицинских товаров с анкетированием покупателя. Обработка специальных категорий требует явного письменного согласия и дополнительных мер защиты.
Частая ошибка операторов в Грузии - считать, что cookie-файлы не являются персональными данными. Cookie-идентификатор в связке с IP-адресом и поведением на сайте позволяет идентифицировать конкретного пользователя, поэтому PDPO квалифицирует такие данные как персональные. Это означает: сбор cookie требует правового основания, а значит - корректного механизма получения согласия.
Важно: обработка данных без правового основания (статья 5 Закона о персональных данных) влечёт административную ответственность. PDPO вправе выдать предписание об устранении нарушения в течение 30 дней и наложить штраф при неисполнении.
Cookie policy (политика использования файлов cookie) для грузинского интернет-магазина должна содержать четыре обязательных элемента: перечень используемых cookie с указанием их назначения, срок хранения каждого типа, третьи стороны, которым передаются данные через cookie, и механизм отзыва согласия. Это требование вытекает из статьи 7 Закона о персональных данных и разъяснений PDPO 2024 года.
Cookie делятся на три функциональные категории применительно к грузинскому e-commerce:
Механизм получения согласия (cookie banner) должен соответствовать принципу «opt-in»: пользователь активно выбирает «Принять», а не видит предварительно проставленные галочки. Кнопка «Отклонить» должна быть визуально равнозначна кнопке «Принять» - не меньше, не серее, не спрятана в подменю. PDPO в ходе проверок 2024-2025 годов фиксировала нарушения именно в части дизайна баннера: кнопка отказа была намеренно скрыта.
Cookie policy размещается как отдельная страница сайта со ссылкой из footer и из cookie banner. Язык документа - грузинский как основной; русская и английская версии - дополнительные. Отсутствие грузинской версии PDPO расценивает как нарушение требования об информировании субъекта на понятном ему языке.
Чек-лист: что подготовить для корректной cookie policy
Чтобы получить чек-лист запуска cookie-комплаенса для малого e-commerce в Грузии, отправьте запрос на info@interlawfirm.ru
Политика конфиденциальности (privacy policy) - обязательный документ для любого грузинского интернет-магазина, обрабатывающего данные покупателей. Статья 8 Закона о персональных данных устанавливает перечень сведений, которые оператор обязан раскрыть субъекту до начала обработки: наименование и контакты оператора, цели и правовые основания обработки, категории данных, срок хранения, права субъекта и порядок их реализации, сведения о трансграничной передаче данных.
Для грузинского e-commerce трансграничная передача данных - стандартная ситуация: платёжные шлюзы (TBC Pay, Bank of Georgia Checkout, Stripe), CRM-системы (Salesforce, HubSpot), email-маркетинг (Mailchimp, SendGrid), облачные хранилища (AWS, Google Cloud) - все они предполагают передачу данных за пределы Грузии. Статья 22 Закона о персональных данных допускает трансграничную передачу в страны с «адекватным» уровнем защиты данных (список утверждается PDPO) либо при наличии стандартных договорных условий (Standard Contractual Clauses, SCC) с получателем.
Практический нюанс: Грузия не входит в список стран с «адекватным» уровнем защиты по праву ЕС, однако сама Грузия признаёт страны ЕС адекватными. Если ваш интернет-магазин работает с покупателями из ЕС - параллельно применяется GDPR, что требует отдельного анализа.
Права субъекта данных по грузинскому закону, которые должна отражать политика конфиденциальности:
Компании из Тбилиси (зима 2025) помогли привести политику конфиденциальности в соответствие с требованиями PDPO после предписания регулятора. Магазин использовал типовой шаблон без указания правовых оснований обработки и без раздела о трансграничной передаче данных. После доработки документа и внедрения процедуры обработки запросов субъектов предписание было закрыто без штрафных санкций.
Корректная политика конфиденциальности - это не шаблон из интернета. Каждый раздел должен отражать реальную архитектуру обработки данных конкретного магазина: какие данные, в каких системах, на каком основании, с какими подрядчиками. Несоответствие документа фактической практике - самостоятельное нарушение, которое PDPO выявляет при проверке.
Чтобы получить чек-лист регуляторных требований по защите данных для e-commerce в Грузии, отправьте запрос на info@interlawfirm.ru
Если ваш магазин уже получил запрос от покупателя на удаление данных или предписание PDPO - сроки на реагирование ограничены, а ошибка в ответе усугубляет позицию оператора.
Получили предписание PDPO или запрос от покупателя на удаление данных?Если Служба защиты персональных данных Грузии направила предписание или покупатель потребовал удалить его данные - юристы Inter Law Firm проанализируют основания, подготовят ответ регулятору и приведут документацию в соответствие с требованиями грузинского закона.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Регистрация в реестре операторов персональных данных (მონაცემთა დამმუშავებელთა რეესტრი) обязательна для операторов, обрабатывающих данные в «особых случаях», определённых статьёй 11 Закона о персональных данных: обработка специальных категорий данных, систематический мониторинг поведения субъектов, обработка данных в масштабе, превышающем пороговые значения PDPO. Для стандартного интернет-магазина в Грузии с оборотом до 500 000 лари регистрация, как правило, не обязательна - но оператор обязан провести самооценку и зафиксировать её результат.
Если магазин использует профилирование покупателей (рекомендательные алгоритмы, сегментация для таргетинга), обрабатывает данные детей или ведёт систематическое отслеживание поведения пользователей - регистрация в реестре PDPO становится обязательной. Процедура: подача заявления через официальный портал PDPO, указание категорий данных, целей обработки, мер защиты. Срок рассмотрения - 30 дней. Государственная пошлина - 200 лари.
Параллельно с вопросом регистрации операторы обязаны назначить ответственного за защиту данных (Data Protection Officer, DPO) при систематической обработке данных в крупном масштабе. Для малого e-commerce в Грузии DPO не обязателен, однако PDPO рекомендует назначить внутреннего координатора по вопросам данных - сотрудника, который принимает запросы субъектов и взаимодействует с регулятором.
В отличие от российского законодательства (Роскомнадзор требует уведомления при любой обработке персональных данных), грузинский подход дифференцирован: регистрация только для операторов с повышенным риском. Это снижает административную нагрузку на малый бизнес, но не освобождает от содержательных требований закона.
Технические и организационные меры защиты данных (ТОЗМ) - обязательное требование статьи 13 Закона о персональных данных Грузии. Для интернет-магазина минимальный набор мер включает шифрование данных при передаче (TLS 1.2 и выше), контроль доступа к базам данных покупателей, журналирование операций с персональными данными и процедуру реагирования на утечки данных. Отсутствие документально подтверждённых ТОЗМ - самостоятельное основание для штрафа PDPO.
Статья 14 Закона о персональных данных устанавливает обязанность оператора уведомить PDPO об утечке данных в течение 72 часов с момента обнаружения - если утечка создаёт риск для прав и свобод субъектов. Для интернет-магазина это означает: утечка базы email-адресов покупателей или платёжных данных требует немедленного уведомления регулятора. Уведомление подаётся через официальный портал PDPO и должно содержать описание инцидента, категории и примерное число затронутых субъектов, принятые меры.
Неочевидный риск для грузинских e-commerce операторов - использование сторонних плагинов и виджетов (чаты, формы обратной связи, виджеты отзывов), которые самостоятельно собирают данные пользователей. Оператор несёт ответственность за действия таких «субобработчиков» (статья 9 Закона о персональных данных) и обязан заключить с ними договор об обработке данных (Data Processing Agreement, DPA). Отсутствие DPA с подрядчиком - нарушение, которое PDPO выявляет при проверке документации.
Компании из Батуми (осень 2024) помогли выстроить систему технической защиты данных после выявления уязвимости в форме оформления заказа. Данные покупателей передавались через незащищённое соединение, а доступ к базе данных имели четыре сотрудника без разграничения прав. После внедрения TLS, ролевой модели доступа и DPA с платёжным шлюзом магазин прошёл повторную проверку PDPO без замечаний.
Направления практики по теме
Да, грузинский интернет-магазин обязан иметь cookie policy вне зависимости от географии покупателей. Закон о персональных данных Грузии применяется к любому оператору, обрабатывающему данные физических лиц на территории Грузии, - это следует из статьи 3 закона. Cookie-идентификаторы, IP-адреса и поведенческие данные пользователей сайта квалифицируются как персональные данные, их сбор требует правового основания. Отсутствие cookie policy и механизма получения согласия - нарушение, за которое PDPO вправе выдать предписание и наложить штраф до 10 000 лари. Внутренний рынок не освобождает от требований грузинского законодательства.
Приведение стандартного грузинского интернет-магазина в соответствие с требованиями Закона о персональных данных занимает от 3 до 6 недель при наличии технической команды и юридического сопровождения. Первая неделя - аудит текущей практики обработки данных и cookie. Вторая-третья неделя - разработка документации (cookie policy, политика конфиденциальности, DPA с подрядчиками). Четвёртая-шестая неделя - техническая реализация cookie banner, блокировка скриптов до согласия, настройка журналирования. Сроки увеличиваются, если магазин использует нестандартные платформы или большое число сторонних интеграций.
Служба защиты персональных данных Грузии при выявлении нарушений действует в два этапа. Первый этап - предписание об устранении нарушения: оператору даётся срок от 10 до 30 дней на исправление. Второй этап - штраф при неисполнении предписания или при повторном нарушении: от 500 до 10 000 лари в зависимости от тяжести нарушения и масштаба обработки данных. При утечке данных, затронувшей значительное число субъектов, PDPO вправе передать материалы в прокуратуру - уголовная ответственность предусмотрена статьёй 157-1 Уголовного кодекса Грузии. На практике большинство проверок заканчивается предписанием, если оператор демонстрирует готовность к исправлению и сотрудничает с регулятором.
Грузинское законодательство о персональных данных продолжает сближаться с европейскими стандартами: поправки 2023 года усилили требования к согласию и трансграничной передаче данных, а PDPO последовательно наращивает надзорную активность. Для интернет-магазина в Грузии комплаенс в сфере защиты данных - это не разовая задача, а процесс: законодательство меняется, появляются новые интеграции, меняется состав обрабатываемых данных.
Юридическая фирма Inter Law Firm сопровождает e-commerce клиентов в Грузии по вопросам IT-права и защиты данных. Мы можем помочь с аудитом текущей практики обработки данных, разработкой cookie policy и политики конфиденциальности, подготовкой DPA с подрядчиками и сопровождением при проверках PDPO.
Чтобы получить чек-лист комплаенс-требований по защите данных для интернет-магазина в Грузии, отправьте запрос на info@interlawfirm.ru
Запускаете или масштабируете интернет-магазин в Грузии?Приведение cookie policy и политики конфиденциальности в соответствие с грузинским законодательством - это конкретный перечень документов и технических мер. Юристы Inter Law Firm проведут аудит текущей практики, разработают необходимую документацию и выстроят процедуры обработки запросов покупателей в соответствии с требованиями PDPO.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 4 мая 2026 года