Аналитика
it

Cookie policy для грузинского сайта

Cookie policy для грузинского сайта - это документ, регулирующий сбор, хранение и использование файлов cookie и аналогичных технологий отслеживания на основании Закона Грузии о защите персональных данных (პერსონალური მონაცემების დაცვის შესახებ საქართველოს კანონი). По состоянию на май 2026 года обязанность публиковать cookie policy и получать информированное согласие пользователей распространяется на любой сайт, обрабатывающий данные лиц, находящихся на территории Грузии, - вне зависимости от страны регистрации оператора. Нарушение требований влечёт административную ответственность и проверку со стороны Инспекции по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, PDPI).

Гайд охватывает: правовую основу требований к cookies в Грузии, пошаговый порядок разработки и размещения cookie policy, механизм получения согласия, типичные ошибки операторов и алгоритм действий при проверке PDPI.

Чтобы получить чек-лист требований PDPI к cookie policy и механизму согласия для IT-проектов в Грузии, отправьте запрос на info@interlawfirm.ru

Какой закон регулирует cookies в Грузии и кого он касается?

Закон Грузии о защите персональных данных (редакция 2023 года, в силе с 1 марта 2024 года) устанавливает обязанность оператора информировать субъекта данных об обработке и получать его согласие до начала обработки - статья 5 и статья 7 Закона. Cookies, идентифицирующие пользователя или его устройство, квалифицируются как персональные данные. Закон применяется к любому оператору, чей сайт доступен пользователям в Грузии и собирает такие данные.

Территориальный охват закона шире, чем у многих аналогов в СНГ. Если финтех-стартап зарегистрирован в Эстонии, но привлекает пользователей из Грузии через грузинский домен или рекламу на грузинском языке, - требования PDPI к нему применимы. Это принципиальное отличие от российского подхода, где территориальность привязана к месту регистрации оператора.

Под действие закона подпадают:

  • аналитические cookies (Google Analytics, Hotjar, Mixpanel), связывающие сессию с идентификатором устройства;
  • маркетинговые cookies (Meta Pixel, Google Ads), передающие данные третьим лицам;
  • функциональные cookies, хранящие предпочтения авторизованного пользователя;
  • технические cookies сессии - если они не содержат идентифицирующих данных, согласие не требуется, но информирование обязательно.

Операторы, обрабатывающие данные в особо чувствительных категориях (здоровье, финансы, биометрия), обязаны получать явное письменное согласие - статья 8 Закона. Для финтех-проектов это означает повышенные требования к cookie banner уже на этапе регистрации пользователя.

Неочевидный риск: многие стартапы используют готовые шаблоны cookie policy, написанные под GDPR. Грузинский закон имеет собственную терминологию и требования к содержанию уведомления - прямое копирование GDPR-документа не закрывает обязательства перед PDPI.

Как составить cookie policy: пошаговый алгоритм

Разработка корректной cookie policy для грузинского сайта включает пять последовательных шагов: аудит cookies, классификацию, составление документа, настройку механизма согласия и регистрацию у оператора данных. Пропуск любого шага создаёт правовой пробел, который PDPI квалифицирует как нарушение статьи 5 Закона.

Шаг 1. Аудит cookies сайта

Перед составлением документа необходимо зафиксировать все cookies, которые сайт устанавливает или передаёт третьим лицам. Технический аудит проводится инструментами сканирования (Cookiebot, OneTrust Scanner или аналоги) и ручной проверкой через DevTools браузера. Результат - реестр cookies с указанием: название, источник (первая или третья сторона), срок хранения, цель, передача данных за рубеж.

Передача данных за пределы Грузии - отдельное основание для уведомления пользователя. Если аналитика идёт на серверы Google в США, это должно быть прямо указано в policy.

Шаг 2. Классификация cookies по категориям

Грузинский закон не вводит жёсткой классификации, но практика PDPI ориентируется на четыре категории: необходимые (технические), функциональные, аналитические, маркетинговые. Классификация влияет на правовое основание обработки: необходимые cookies обрабатываются на основании законного интереса (статья 6 Закона), остальные - только с согласия.

Шаг 3. Составление текста cookie policy

Документ должен содержать обязательные элементы по статье 9 Закона:

  • наименование и контакты оператора данных;
  • перечень категорий cookies и их цели;
  • срок хранения каждой категории;
  • информацию о третьих лицах, получающих данные;
  • порядок отзыва согласия;
  • права субъекта данных (доступ, исправление, удаление - статья 15 Закона);
  • контакты ответственного за защиту данных (DPO), если назначен.

Язык документа: грузинский обязателен для сайтов, ориентированных на грузинскую аудиторию. Русская и английская версии - дополнительно, по усмотрению оператора. PDPI при проверке запрашивает грузиноязычную версию как основную.

Шаг 4. Настройка механизма согласия (cookie banner)

Согласие должно быть: свободным, конкретным, информированным и однозначным - статья 7 Закона. Это означает, что:

  • баннер не может быть закрыт только кнопкой «Принять все» без возможности отказа;
  • предварительно проставленные галочки для аналитических и маркетинговых cookies недопустимы;
  • продолжение использования сайта не считается согласием;
  • пользователь должен иметь возможность отозвать согласие так же легко, как дал его.

Шаг 5. Регистрация обработки данных в PDPI

Операторы, обрабатывающие данные в автоматизированном режиме (а cookies - именно такой случай), обязаны уведомить PDPI о начале обработки через электронный реестр на сайте инспекции. Срок уведомления - до начала обработки. Отсутствие регистрации - самостоятельное нарушение, штраф до 2 000 лари для юридического лица по статье 45 Закона.

Чек-лист: что подготовить перед запуском cookie policy

  • Реестр всех cookies сайта с указанием источника, срока хранения и цели
  • Текст cookie policy на грузинском языке с обязательными элементами по статье 9 Закона
  • Настроенный cookie banner с раздельным согласием по категориям
  • Уведомление PDPI о начале обработки персональных данных
  • Внутренняя процедура обработки запросов на отзыв согласия и удаление данных

Компания из Тбилиси (финтех-стартап, зима 2025) обратилась за помощью после получения запроса от PDPI. Инспекция зафиксировала использование маркетинговых cookies без механизма раздельного согласия. Подготовили пакет документов, настроили cookie consent manager и направили ответ в PDPI в течение 10 рабочих дней. Административное производство было прекращено без наложения штрафа.

Чтобы получить чек-лист комплаенс-требований по cookie policy и обработке данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Описанный алгоритм охватывает стандартный случай. Финтех-проекты с лицензией NBG, VASP-операторы и платёжные сервисы работают в условиях дополнительных требований к обработке данных - как со стороны PDPI, так и со стороны Национального банка Грузии (ეროვნული ბანკი, NBG). Пересечение двух регуляторных режимов требует отдельного анализа.

Запускаете финтех-продукт в Грузии и не уверены в соответствии cookie policy требованиям PDPI и NBG?Если ваш сайт использует аналитику, маркетинговые пиксели или передаёт данные пользователей третьим лицам - юристы Inter Law Firm проведут аудит cookies, разработают документацию на грузинском языке и настроят механизм согласия в соответствии с Законом о защите персональных данных Грузии.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Какие ошибки в cookie policy чаще всего выявляет PDPI?

Инспекция по защите персональных данных при плановых и внеплановых проверках фиксирует три устойчивые категории нарушений: отсутствие механизма раздельного согласия, несоответствие текста policy реальному составу cookies и отсутствие регистрации обработки данных. Каждое из них влечёт самостоятельную ответственность по статье 45 Закона - штраф от 500 до 5 000 лари для юридического лица.

Ошибка 1. Cookie banner только с кнопкой «Принять»

Наиболее распространённое нарушение. Баннер без кнопки «Отклонить» или «Настроить» не обеспечивает свободного согласия по статье 7 Закона. PDPI квалифицирует такой баннер как принуждение к согласию. Исправление: добавить равнозначные по визуальному весу кнопки принятия и отклонения.

Ошибка 2. Несоответствие policy реальному составу cookies

Сайт устанавливает 12 cookies, а в документе описаны 4. Расхождение выявляется при техническом сканировании, которое PDPI проводит самостоятельно. Следствие - нарушение принципа прозрачности (статья 5 Закона) и требования об информировании (статья 9). Исправление: синхронизировать реестр cookies с текстом policy, обновлять при каждом изменении технической инфраструктуры.

Ошибка 3. Отсутствие информации о трансграничной передаче данных

Если аналитические или рекламные cookies передают данные на серверы за пределами Грузии, это должно быть прямо указано с наименованием получателя и страны. Умолчание квалифицируется как нарушение статьи 9 Закона. Особенно актуально для проектов, использующих Google Analytics 4, Meta Pixel, Amplitude.

Ошибка 4. Отсутствие процедуры отзыва согласия

Пользователь должен иметь возможность отозвать согласие в любой момент через интерфейс сайта - не только через email-запрос. Отсутствие такой функции нарушает статью 7 Закона. Технически это реализуется через cookie preference center, доступный из футера сайта.

Ошибка 5. Устаревшая policy после обновления сайта

Подключение нового аналитического инструмента или рекламной платформы без обновления cookie policy - нарушение принципа актуальности данных. PDPI при проверке сопоставляет дату последнего обновления документа с датой появления новых cookies. Рекомендуемая практика: аудит cookies при каждом значимом обновлении технической инфраструктуры.

Частая ошибка основателей финтех-проектов из СНГ - перенос логики российского 152-ФЗ на грузинскую юрисдикцию. В России согласие на cookies нередко оформляется через общую политику конфиденциальности с единой галочкой. Грузинский закон требует раздельного, категорийного согласия - это принципиальное различие, которое влияет на архитектуру всего consent-механизма.

Как проходит проверка PDPI и что делать при получении запроса

Инспекция по защите персональных данных вправе инициировать проверку по жалобе пользователя или в плановом порядке на основании статьи 38 Закона. Срок рассмотрения жалобы - до 60 рабочих дней. При выявлении нарушений PDPI направляет предписание об устранении с указанием срока - как правило, 30 рабочих дней.

При получении запроса PDPI необходимо:

  1. Зафиксировать дату получения - срок ответа исчисляется с этого момента.
  2. Провести внутренний аудит: сопоставить запрос с реальным составом cookies и документацией.
  3. Подготовить письменный ответ с приложением актуальной cookie policy, скриншотов cookie banner и технического реестра cookies.
  4. При наличии нарушений - устранить их до направления ответа и отразить принятые меры.
  5. Направить ответ через официальный канал PDPI (электронная почта инспекции или личный кабинет на сайте pdp.gov.ge).

Административное производство по статье 45 Закона предусматривает штраф от 500 до 5 000 лари для юридического лица. Повторное нарушение в течение года удваивает санкцию. Для финтех-компаний с лицензией NBG нарушение требований к обработке данных может стать основанием для отдельного надзорного реагирования со стороны Национального банка.

Компания из Батуми (e-commerce с финансовыми функциями, лето 2024) получила предписание PDPI об устранении нарушений в части cookie consent. Разработали обновлённую cookie policy, внедрили consent management platform и подготовили отчёт об устранении нарушений. Предписание было закрыто в установленный срок, повторных проверок не последовало.

Направления практики по теме

Частые вопросы

1. Нужна ли cookie policy, если сайт зарегистрирован не в Грузии, но работает с грузинскими пользователями?

Закон Грузии о защите персональных данных применяется к любому оператору, обрабатывающему данные лиц, находящихся на территории Грузии, - вне зависимости от страны регистрации компании или сервера. Если сайт доступен пользователям в Грузии и устанавливает идентифицирующие cookies, требования статьи 5 и статьи 9 Закона распространяются на такого оператора. Отсутствие грузинского юридического лица не освобождает от ответственности: PDPI вправе направить запрос иностранному оператору и инициировать административное производство. Для финтех-проектов, привлекающих грузинских пользователей, это означает необходимость cookie policy на грузинском языке и корректного consent-механизма ещё до запуска продукта на грузинский рынок.

2. Сколько стоит разработка cookie policy и настройка consent-механизма в Грузии?

Стоимость юридической разработки cookie policy для грузинского сайта составляет ориентировочно от 800 до 2 000 лари в зависимости от сложности технической инфраструктуры и количества категорий обрабатываемых данных. Настройка consent management platform (CMP) - отдельная техническая задача, стоимость которой зависит от выбранного инструмента: бесплатные решения (Cookiebot free tier, Osano) покрывают базовые требования, платные (OneTrust, Usercentrics) - от 300 USD в год. Штраф PDPI за отсутствие корректной cookie policy составляет от 500 до 5 000 лари, при повторном нарушении - до 10 000 лари. Для финтех-компании с лицензией NBG дополнительный регуляторный риск делает инвестицию в комплаенс экономически обоснованной.

3. Чем грузинские требования к cookies отличаются от GDPR?

Закон Грузии о защите персональных данных концептуально близок к GDPR, но имеет ряд существенных отличий. Во-первых, грузинский закон не вводит понятие «законного интереса» как самостоятельного основания для маркетинговых cookies - для них требуется явное согласие. Во-вторых, требования к содержанию уведомления (статья 9 Закона) сформулированы иначе, чем в статье 13 GDPR, - прямое копирование GDPR-документа создаёт пробелы. В-третьих, регулятор - PDPI - имеет более узкие полномочия по трансграничному принуждению по сравнению с европейскими DPA, однако активно использует механизм предписаний для операторов, работающих на грузинском рынке. Для финтех-проектов, уже имеющих GDPR-комплаенс, адаптация под грузинские требования занимает от двух до четырёх недель при наличии готовой документации.

Корректная cookie policy для грузинского сайта - это не формальный документ, а рабочий инструмент управления рисками. Закон Грузии о защите персональных данных устанавливает конкретные требования к составу документа, механизму согласия и регистрации обработки данных. Несоблюдение любого из них создаёт самостоятельное основание для административной ответственности.

Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-проекты в Грузии по вопросам защиты персональных данных. Мы можем помочь с аудитом cookies, разработкой cookie policy на грузинском языке, настройкой consent-механизма и взаимодействием с PDPI.

Чтобы получить полный чек-лист требований к cookie policy для сайта в Грузии, отправьте запрос на info@interlawfirm.ru

Нужна корректная cookie policy для вашего проекта в Грузии?Юристы Inter Law Firm проведут аудит cookies, разработают документацию в соответствии с Законом о защите персональных данных Грузии и помогут выстроить consent-механизм, который выдержит проверку PDPI.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 1 мая 2026 года