Нарушение защиты персональных данных (პერსონალური მონაცემების დაცვის დარღვევა, data breach) - это любой инцидент, в результате которого персональные данные были случайно или незаконно уничтожены, утрачены, изменены, раскрыты или к ним получен несанкционированный доступ. В Грузии обязанность уведомить регулятора закреплена в Законе о персональных данных (კანონი პერსონალური მონაცემების დაცვის შესახებ) и конкретизирована в подзаконных актах Инспектора по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი). По состоянию на май 2026 года срок уведомления составляет 72 часа с момента, когда контролёр данных узнал об инциденте.
Для международных компаний с офисом в Грузии, IT-команд, работающих в режиме Virtual Zone, и финтех-операторов под надзором Национального банка Грузии этот срок - не формальность. Нарушение процедуры влечёт административную ответственность и репутационные последствия. Гайд разбирает: кто обязан уведомлять, как запустить внутреннее расследование, что именно передать Инспектору и как выстроить процедуру так, чтобы 72 часа не превратились в кризис.
Обязанность уведомить Инспектора по защите персональных данных Грузии в течение 72 часов лежит на контролёре данных - организации или физическом лице, которое самостоятельно определяет цели и способы обработки персональных данных. Процессор данных (подрядчик, обрабатывающий данные по поручению) обязан немедленно уведомить контролёра, но не регулятора напрямую. Это разграничение закреплено в статье 4 Закона о персональных данных Грузии.
На практике это означает следующее: если грузинская дочерняя компания международного холдинга является контролёром данных грузинских пользователей или сотрудников, именно она несёт обязанность по уведомлению - независимо от того, где физически хранятся данные и где находится головной офис. Аутсорсинговый IT-подрядчик, обрабатывающий данные по договору с клиентом, обязан сообщить клиенту-контролёру немедленно - и в договоре должен быть прописан конкретный срок такого уведомления (рекомендуется не более 24 часов).
Частая ошибка компаний из РФ и СНГ, открывающих офисы в Грузии, - перенос российской модели, при которой уведомление Роскомнадзора воспринималось как формальность с размытыми сроками. В Грузии 72-часовой дедлайн отсчитывается с момента, когда контролёр «узнал или должен был узнать» об инциденте. Если мониторинг систем отсутствует и компания обнаружила утечку через неделю - регулятор вправе считать точкой отсчёта момент, когда инцидент мог быть обнаружен при надлежащем контроле.
Под действие закона подпадают: компании любой формы собственности, зарегистрированные в Грузии; иностранные компании, обрабатывающие данные лиц, находящихся на территории Грузии; государственные органы. Исключения для малого бизнеса или отдельных секторов грузинское законодательство не предусматривает.
Чтобы получить чек-лист комплаенс-требований по data breach notification для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Внутреннее расследование инцидента с персональными данными должно быть запущено немедленно после обнаружения - и завершить первичную оценку необходимо в течение первых 24 часов, чтобы оставить достаточно времени на подготовку уведомления регулятору. Грузинское законодательство не устанавливает формальных требований к процедуре расследования, однако Инспектор по защите персональных данных вправе запросить документацию о принятых мерах реагирования.
Первые действия при обнаружении инцидента определяют, уложится ли компания в 72-часовой дедлайн и насколько убедительным будет уведомление регулятору. Хаотичная реакция без назначенного ответственного и без фиксации временных меток - главная причина, по которой компании либо пропускают срок, либо направляют неполное уведомление.
Что подготовить для первичной оценки инцидента:
Если компания обрабатывает специальные категории данных (состояние здоровья, биометрические данные, данные о судимостях) - порог для обязательного уведомления ниже, а требования к содержанию уведомления строже. Это прямо следует из статьи 6 Закона о персональных данных Грузии, которая устанавливает повышенный режим защиты для таких категорий.
Компании из Тбилиси (зима 2025) - оператору медицинской информационной системы - удалось уложиться в 72-часовой срок уведомления после инцидента с несанкционированным доступом к базе данных пациентов. Ключевым фактором стало наличие заранее утверждённого плана реагирования на инциденты: ответственный был назначен в течение первого часа, первичная оценка завершена за 18 часов, уведомление Инспектору направлено на 54-м часу с приложением технического отчёта.
Контекстный мост: описанная последовательность действий - ориентир для типовой ситуации. Реальный инцидент может затрагивать несколько юрисдикций одновременно (например, если данные обрабатываются в Грузии, но компания зарегистрирована в ЕС или имеет клиентов в других странах), требовать параллельного уведомления нескольких регуляторов и взаимодействия с правоохранительными органами. Оценка конкретной ситуации требует анализа структуры обработки данных.
Инцидент уже произошёл, а 72 часа идут?Если компания обнаружила утечку данных и не уверена, подпадает ли инцидент под обязательное уведомление, - юристы Inter Law Firm проведут экспресс-оценку инцидента, определят объём обязательств перед Инспектором по защите персональных данных Грузии и подготовят уведомление с необходимой документацией.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Уведомление Инспектору по защите персональных данных Грузии должно содержать четыре обязательных блока: описание характера инцидента, категории и примерное число затронутых субъектов данных, контактные данные ответственного лица и описание принятых или планируемых мер реагирования. Эти требования установлены в подзаконных актах Инспектора и соответствуют международной практике, в том числе стандартам статьи 33 GDPR, на которые грузинское регулирование ориентировалось при разработке.
Уведомление направляется в Инспекцию по защите персональных данных (pdp.gov.ge) в письменной форме - через официальный портал или по установленным каналам связи. Устное уведомление или уведомление по электронной почте без подтверждения получения не считается надлежащим исполнением обязанности.
Структура уведомления на практике включает:
Если на момент истечения 72 часов компания не располагает полной информацией - допускается поэтапное уведомление. Первичное уведомление направляется с имеющимися данными, дополнительная информация передаётся по мере её получения. Важно зафиксировать в первичном уведомлении, что расследование продолжается и дополнение последует. Отсутствие уведомления вовсе - значительно более серьёзное нарушение, чем неполное уведомление с последующим дополнением.
Отдельный вопрос - уведомление самих субъектов данных. Грузинское законодательство обязывает контролёра уведомить субъектов данных, если инцидент с высокой вероятностью влечёт существенный риск для их прав и свобод. Срок такого уведомления - «без неоправданной задержки», конкретный дедлайн в днях законом не установлен, однако Инспектор трактует это как обязанность уведомить субъектов в разумно короткий срок после уведомления регулятора.
Нарушение обязанности уведомить Инспектора по защите персональных данных Грузии в установленный срок влечёт административную ответственность по Кодексу об административных правонарушениях Грузии. Размер штрафа для юридических лиц составляет от 1 000 до 5 000 лари за первичное нарушение; повторное нарушение в течение года увеличивает санкцию. Помимо штрафа, Инспектор вправе выдать предписание об устранении нарушений и приостановить обработку данных.
Для международных компаний и корпоративных клиентов с головным офисом за пределами Грузии важно понимать: административная ответственность в Грузии не исключает параллельной ответственности в других юрисдикциях. Если компания одновременно подпадает под GDPR (например, обрабатывает данные граждан ЕС), нарушение грузинской процедуры уведомления может быть учтено европейским регулятором как элемент системного несоблюдения требований защиты данных.
На практике Инспектор по защите персональных данных Грузии при оценке нарушения учитывает: предпринимала ли компания реальные меры по реагированию на инцидент, сотрудничала ли с регулятором, насколько серьёзными оказались последствия для субъектов данных. Компания, направившая неполное, но своевременное уведомление и активно взаимодействовавшая с Инспектором, получает значительно более мягкую реакцию, чем компания, проигнорировавшая срок.
Неочевидный риск для корпоративных клиентов - репутационные последствия, которые в Грузии могут быть более ощутимыми, чем сам штраф. Инспектор публикует сведения о значимых нарушениях. Для компаний, работающих в финтехе, медицине или e-commerce, публичное упоминание в контексте утечки данных напрямую влияет на доверие клиентов и партнёров.
Компании из Батуми (осень 2024) - оператору платёжного сервиса - удалось избежать штрафа после инцидента с несанкционированным доступом к данным транзакций. Уведомление Инспектору было направлено на 68-м часу; одновременно компания уведомила Национальный банк Грузии как отраслевого регулятора и предоставила детальный технический отчёт. Инспектор ограничился предписанием об усилении технических мер защиты без наложения штрафа.
Чтобы получить чек-лист регуляторных требований по data breach notification для компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Процедура уведомления - лишь видимая часть комплаенс-обязательств в сфере защиты данных. Реальная готовность к инциденту определяется тем, что компания сделала до него: политиками, техническими мерами, договорными условиями с подрядчиками. Без этого фундамента 72-часовой дедлайн становится невыполнимым при любом серьёзном инциденте.
Нужен правовой аудит грузинской структуры обработки данных перед отчётностью перед головным офисом?Если компания работает в Грузии и головной офис запрашивает подтверждение соответствия местным требованиям защиты данных - юристы Inter Law Firm проведут аудит процессов обработки данных, оценят договорную базу с подрядчиками и подготовят план приведения в соответствие с Законом о персональных данных Грузии.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Готовность к инциденту с персональными данными в Грузии определяется тремя элементами: внутренней политикой реагирования, договорными обязательствами подрядчиков и технической инфраструктурой мониторинга. Компания, у которой эти элементы выстроены до инцидента, укладывается в 72-часовой срок системно, а не в режиме аврала.
В отличие от российского законодательства, где требования к внутренним политикам защиты данных детально регламентированы подзаконными актами Роскомнадзора, грузинский Закон о персональных данных оставляет компаниям значительную свободу в выборе конкретных мер - при условии, что меры соразмерны рискам обработки. Это создаёт как возможность, так и риск: компания сама несёт ответственность за адекватность выбранных мер.
Три сценария для разных типов корпоративных клиентов:
Сценарий 1 - международная компания с офисом в Грузии: головной офис уже имеет GDPR-совместимую процедуру реагирования. Задача - адаптировать её к грузинским требованиям: добавить уведомление Инспектора по защите персональных данных Грузии как отдельный трек, назначить локального ответственного, прописать в договорах с грузинскими подрядчиками 24-часовой срок уведомления контролёра.
Сценарий 2 - IT-компания в статусе Virtual Zone: обрабатывает данные иностранных клиентов, но зарегистрирована в Грузии. Обязанность уведомления Инспектора возникает при инцидентах, затрагивающих данные лиц на территории Грузии (сотрудники, грузинские пользователи). Для данных иностранных клиентов применяется законодательство страны их нахождения - необходим анализ каждой категории данных отдельно.
Сценарий 3 - финтех-оператор под надзором Национального банка Грузии: помимо Инспектора по защите персональных данных, обязан уведомить Национальный банк Грузии (nbg.gov.ge) как отраслевого регулятора. Сроки и форма уведомления НБГ регулируются отдельными нормативными актами. Параллельное уведомление двух регуляторов требует координации, чтобы сообщения не противоречили друг другу.
Матрица решений по типу инцидента:
Несанкционированный доступ без подтверждённого извлечения данных - уведомление Инспектора обязательно при наличии риска для субъектов данных; срок 72 часа; затраты на подготовку уведомления - от 500 лари при наличии внутренней документации.
Утрата зашифрованного устройства (ноутбук, флэш-накопитель) - если шифрование соответствует актуальным стандартам, риск для субъектов данных минимален; уведомление может не потребоваться, но внутренняя документация инцидента обязательна.
Атака ransomware с шифрованием данных - высокий риск; уведомление Инспектора обязательно; параллельно - уведомление правоохранительных органов; срок 72 часа отсчитывается с момента обнаружения, а не с момента восстановления доступа к данным.
Направления практики по теме
Семьдесят два часа отсчитываются с момента, когда контролёр данных узнал или должен был узнать о нарушении защиты персональных данных. Грузинский Закон о персональных данных использует формулу «узнал или должен был узнать», что означает: если компания не имела системы мониторинга и обнаружила инцидент с опозданием, Инспектор по защите персональных данных Грузии вправе считать точкой отсчёта момент, когда инцидент мог быть обнаружен при надлежащем контроле. Для компании это означает практическую необходимость внедрить мониторинг систем обработки данных - его отсутствие не является основанием для продления срока, а напротив, может быть квалифицировано как самостоятельное нарушение требований безопасности обработки данных по статье 18 Закона о персональных данных Грузии.
Нарушение 72-часового срока уведомления Инспектора по защите персональных данных Грузии влечёт административный штраф от 1 000 до 5 000 лари для юридических лиц; повторное нарушение в течение одного года увеличивает санкцию. Помимо штрафа, Инспектор вправе выдать предписание об устранении нарушений и приостановить обработку данных - последнее для операционно активной компании означает фактическую остановку части бизнес-процессов. Для финтех-операторов и компаний под надзором Национального банка Грузии нарушение требований защиты данных может повлечь дополнительные санкции со стороны отраслевого регулятора. Компания, направившая неполное, но своевременное уведомление и активно взаимодействовавшая с Инспектором, как правило, получает значительно более мягкую реакцию регулятора, чем компания, проигнорировавшая срок.
Грузинский Закон о персональных данных обязывает контролёра уведомить субъектов данных, если инцидент с высокой вероятностью влечёт существенный риск для их прав и свобод - например, при утечке финансовых данных, данных о состоянии здоровья или данных, позволяющих совершить мошенничество. Конкретный срок уведомления субъектов в днях законом не установлен, однако Инспектор по защите персональных данных Грузии трактует требование «без неоправданной задержки» как обязанность уведомить субъектов в разумно короткий срок после уведомления регулятора - на практике это 3-5 рабочих дней. Уведомление субъектов должно содержать описание характера инцидента, категории затронутых данных и рекомендации по защите от возможных последствий.
Обязанность уведомить Инспектора по защите персональных данных Грузии в течение 72 часов - это не изолированное требование, а элемент системы комплаенса в сфере защиты данных. Компания, выстроившая внутренние процедуры, договорную базу с подрядчиками и техническую инфраструктуру мониторинга, воспринимает 72-часовой дедлайн как управляемую задачу, а не как кризис.
Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам защиты персональных данных, IT-права и регуляторного комплаенса. Мы можем помочь с разработкой политики реагирования на инциденты, аудитом договорной базы с подрядчиками, подготовкой уведомлений Инспектору и представлением интересов в административных процедурах.
Чтобы получить чек-лист комплаенс-требований по защите персональных данных для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы выстроить процедуру data breach response до следующего инцидента?Юристы Inter Law Firm проведут правовой анализ текущей структуры обработки данных, оценят соответствие требованиям Закона о персональных данных Грузии и подготовят план приведения в соответствие - с учётом специфики вашей отрасли и параллельных обязательств в других юрисдикциях.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 14 мая 2026 года