Cookie policy для грузинского сайта - это документ, регулирующий сбор, хранение и использование файлов cookie и аналогичных технологий отслеживания на основании Закона Грузии о защите персональных данных (პერსონალური მონაცემების დაცვის შესახებ საქართველოს კანონი). По состоянию на май 2026 года обязанность публиковать cookie policy и получать информированное согласие пользователей распространяется на любой сайт, обрабатывающий данные лиц, находящихся на территории Грузии, - вне зависимости от страны регистрации оператора. Нарушение требований влечёт административную ответственность и проверку со стороны Инспекции по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, PDPI).
Гайд охватывает: правовую основу требований к cookies в Грузии, пошаговый порядок разработки и размещения cookie policy, механизм получения согласия, типичные ошибки операторов и алгоритм действий при проверке PDPI.
Чтобы получить чек-лист требований PDPI к cookie policy и механизму согласия для IT-проектов в Грузии, отправьте запрос на info@interlawfirm.ru
Закон Грузии о защите персональных данных (редакция 2023 года, в силе с 1 марта 2024 года) устанавливает обязанность оператора информировать субъекта данных об обработке и получать его согласие до начала обработки - статья 5 и статья 7 Закона. Cookies, идентифицирующие пользователя или его устройство, квалифицируются как персональные данные. Закон применяется к любому оператору, чей сайт доступен пользователям в Грузии и собирает такие данные.
Территориальный охват закона шире, чем у многих аналогов в СНГ. Если финтех-стартап зарегистрирован в Эстонии, но привлекает пользователей из Грузии через грузинский домен или рекламу на грузинском языке, - требования PDPI к нему применимы. Это принципиальное отличие от российского подхода, где территориальность привязана к месту регистрации оператора.
Под действие закона подпадают:
Операторы, обрабатывающие данные в особо чувствительных категориях (здоровье, финансы, биометрия), обязаны получать явное письменное согласие - статья 8 Закона. Для финтех-проектов это означает повышенные требования к cookie banner уже на этапе регистрации пользователя.
Неочевидный риск: многие стартапы используют готовые шаблоны cookie policy, написанные под GDPR. Грузинский закон имеет собственную терминологию и требования к содержанию уведомления - прямое копирование GDPR-документа не закрывает обязательства перед PDPI.
Разработка корректной cookie policy для грузинского сайта включает пять последовательных шагов: аудит cookies, классификацию, составление документа, настройку механизма согласия и регистрацию у оператора данных. Пропуск любого шага создаёт правовой пробел, который PDPI квалифицирует как нарушение статьи 5 Закона.
Шаг 1. Аудит cookies сайта
Перед составлением документа необходимо зафиксировать все cookies, которые сайт устанавливает или передаёт третьим лицам. Технический аудит проводится инструментами сканирования (Cookiebot, OneTrust Scanner или аналоги) и ручной проверкой через DevTools браузера. Результат - реестр cookies с указанием: название, источник (первая или третья сторона), срок хранения, цель, передача данных за рубеж.
Передача данных за пределы Грузии - отдельное основание для уведомления пользователя. Если аналитика идёт на серверы Google в США, это должно быть прямо указано в policy.
Шаг 2. Классификация cookies по категориям
Грузинский закон не вводит жёсткой классификации, но практика PDPI ориентируется на четыре категории: необходимые (технические), функциональные, аналитические, маркетинговые. Классификация влияет на правовое основание обработки: необходимые cookies обрабатываются на основании законного интереса (статья 6 Закона), остальные - только с согласия.
Шаг 3. Составление текста cookie policy
Документ должен содержать обязательные элементы по статье 9 Закона:
Язык документа: грузинский обязателен для сайтов, ориентированных на грузинскую аудиторию. Русская и английская версии - дополнительно, по усмотрению оператора. PDPI при проверке запрашивает грузиноязычную версию как основную.
Шаг 4. Настройка механизма согласия (cookie banner)
Согласие должно быть: свободным, конкретным, информированным и однозначным - статья 7 Закона. Это означает, что:
Шаг 5. Регистрация обработки данных в PDPI
Операторы, обрабатывающие данные в автоматизированном режиме (а cookies - именно такой случай), обязаны уведомить PDPI о начале обработки через электронный реестр на сайте инспекции. Срок уведомления - до начала обработки. Отсутствие регистрации - самостоятельное нарушение, штраф до 2 000 лари для юридического лица по статье 45 Закона.
Чек-лист: что подготовить перед запуском cookie policy
Компания из Тбилиси (финтех-стартап, зима 2025) обратилась за помощью после получения запроса от PDPI. Инспекция зафиксировала использование маркетинговых cookies без механизма раздельного согласия. Подготовили пакет документов, настроили cookie consent manager и направили ответ в PDPI в течение 10 рабочих дней. Административное производство было прекращено без наложения штрафа.
Чтобы получить чек-лист комплаенс-требований по cookie policy и обработке данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Описанный алгоритм охватывает стандартный случай. Финтех-проекты с лицензией NBG, VASP-операторы и платёжные сервисы работают в условиях дополнительных требований к обработке данных - как со стороны PDPI, так и со стороны Национального банка Грузии (ეროვნული ბანკი, NBG). Пересечение двух регуляторных режимов требует отдельного анализа.
Запускаете финтех-продукт в Грузии и не уверены в соответствии cookie policy требованиям PDPI и NBG?Если ваш сайт использует аналитику, маркетинговые пиксели или передаёт данные пользователей третьим лицам - юристы Inter Law Firm проведут аудит cookies, разработают документацию на грузинском языке и настроят механизм согласия в соответствии с Законом о защите персональных данных Грузии.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Инспекция по защите персональных данных при плановых и внеплановых проверках фиксирует три устойчивые категории нарушений: отсутствие механизма раздельного согласия, несоответствие текста policy реальному составу cookies и отсутствие регистрации обработки данных. Каждое из них влечёт самостоятельную ответственность по статье 45 Закона - штраф от 500 до 5 000 лари для юридического лица.
Ошибка 1. Cookie banner только с кнопкой «Принять»
Наиболее распространённое нарушение. Баннер без кнопки «Отклонить» или «Настроить» не обеспечивает свободного согласия по статье 7 Закона. PDPI квалифицирует такой баннер как принуждение к согласию. Исправление: добавить равнозначные по визуальному весу кнопки принятия и отклонения.
Ошибка 2. Несоответствие policy реальному составу cookies
Сайт устанавливает 12 cookies, а в документе описаны 4. Расхождение выявляется при техническом сканировании, которое PDPI проводит самостоятельно. Следствие - нарушение принципа прозрачности (статья 5 Закона) и требования об информировании (статья 9). Исправление: синхронизировать реестр cookies с текстом policy, обновлять при каждом изменении технической инфраструктуры.
Ошибка 3. Отсутствие информации о трансграничной передаче данных
Если аналитические или рекламные cookies передают данные на серверы за пределами Грузии, это должно быть прямо указано с наименованием получателя и страны. Умолчание квалифицируется как нарушение статьи 9 Закона. Особенно актуально для проектов, использующих Google Analytics 4, Meta Pixel, Amplitude.
Ошибка 4. Отсутствие процедуры отзыва согласия
Пользователь должен иметь возможность отозвать согласие в любой момент через интерфейс сайта - не только через email-запрос. Отсутствие такой функции нарушает статью 7 Закона. Технически это реализуется через cookie preference center, доступный из футера сайта.
Ошибка 5. Устаревшая policy после обновления сайта
Подключение нового аналитического инструмента или рекламной платформы без обновления cookie policy - нарушение принципа актуальности данных. PDPI при проверке сопоставляет дату последнего обновления документа с датой появления новых cookies. Рекомендуемая практика: аудит cookies при каждом значимом обновлении технической инфраструктуры.
Частая ошибка основателей финтех-проектов из СНГ - перенос логики российского 152-ФЗ на грузинскую юрисдикцию. В России согласие на cookies нередко оформляется через общую политику конфиденциальности с единой галочкой. Грузинский закон требует раздельного, категорийного согласия - это принципиальное различие, которое влияет на архитектуру всего consent-механизма.
Инспекция по защите персональных данных вправе инициировать проверку по жалобе пользователя или в плановом порядке на основании статьи 38 Закона. Срок рассмотрения жалобы - до 60 рабочих дней. При выявлении нарушений PDPI направляет предписание об устранении с указанием срока - как правило, 30 рабочих дней.
При получении запроса PDPI необходимо:
Административное производство по статье 45 Закона предусматривает штраф от 500 до 5 000 лари для юридического лица. Повторное нарушение в течение года удваивает санкцию. Для финтех-компаний с лицензией NBG нарушение требований к обработке данных может стать основанием для отдельного надзорного реагирования со стороны Национального банка.
Компания из Батуми (e-commerce с финансовыми функциями, лето 2024) получила предписание PDPI об устранении нарушений в части cookie consent. Разработали обновлённую cookie policy, внедрили consent management platform и подготовили отчёт об устранении нарушений. Предписание было закрыто в установленный срок, повторных проверок не последовало.
Направления практики по теме
Закон Грузии о защите персональных данных применяется к любому оператору, обрабатывающему данные лиц, находящихся на территории Грузии, - вне зависимости от страны регистрации компании или сервера. Если сайт доступен пользователям в Грузии и устанавливает идентифицирующие cookies, требования статьи 5 и статьи 9 Закона распространяются на такого оператора. Отсутствие грузинского юридического лица не освобождает от ответственности: PDPI вправе направить запрос иностранному оператору и инициировать административное производство. Для финтех-проектов, привлекающих грузинских пользователей, это означает необходимость cookie policy на грузинском языке и корректного consent-механизма ещё до запуска продукта на грузинский рынок.
Стоимость юридической разработки cookie policy для грузинского сайта составляет ориентировочно от 800 до 2 000 лари в зависимости от сложности технической инфраструктуры и количества категорий обрабатываемых данных. Настройка consent management platform (CMP) - отдельная техническая задача, стоимость которой зависит от выбранного инструмента: бесплатные решения (Cookiebot free tier, Osano) покрывают базовые требования, платные (OneTrust, Usercentrics) - от 300 USD в год. Штраф PDPI за отсутствие корректной cookie policy составляет от 500 до 5 000 лари, при повторном нарушении - до 10 000 лари. Для финтех-компании с лицензией NBG дополнительный регуляторный риск делает инвестицию в комплаенс экономически обоснованной.
Закон Грузии о защите персональных данных концептуально близок к GDPR, но имеет ряд существенных отличий. Во-первых, грузинский закон не вводит понятие «законного интереса» как самостоятельного основания для маркетинговых cookies - для них требуется явное согласие. Во-вторых, требования к содержанию уведомления (статья 9 Закона) сформулированы иначе, чем в статье 13 GDPR, - прямое копирование GDPR-документа создаёт пробелы. В-третьих, регулятор - PDPI - имеет более узкие полномочия по трансграничному принуждению по сравнению с европейскими DPA, однако активно использует механизм предписаний для операторов, работающих на грузинском рынке. Для финтех-проектов, уже имеющих GDPR-комплаенс, адаптация под грузинские требования занимает от двух до четырёх недель при наличии готовой документации.
Корректная cookie policy для грузинского сайта - это не формальный документ, а рабочий инструмент управления рисками. Закон Грузии о защите персональных данных устанавливает конкретные требования к составу документа, механизму согласия и регистрации обработки данных. Несоблюдение любого из них создаёт самостоятельное основание для административной ответственности.
Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-проекты в Грузии по вопросам защиты персональных данных. Мы можем помочь с аудитом cookies, разработкой cookie policy на грузинском языке, настройкой consent-механизма и взаимодействием с PDPI.
Чтобы получить полный чек-лист требований к cookie policy для сайта в Грузии, отправьте запрос на info@interlawfirm.ru
Нужна корректная cookie policy для вашего проекта в Грузии?Юристы Inter Law Firm проведут аудит cookies, разработают документацию в соответствии с Законом о защите персональных данных Грузии и помогут выстроить consent-механизм, который выдержит проверку PDPI.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 1 мая 2026 года