Оценка воздействия на защиту данных (Data Protection Impact Assessment, DPIA) - это обязательная процедура анализа рисков, предусмотренная статьёй 46 Закона Грузии «О защите персональных данных» (2023, в силе с 1 марта 2024 года). По состоянию на май 2026 года Инспекция по защите персональных данных Грузии (მონაცემთა დაცვის ინსპექცია, Data Protection Inspectorate, DPI) уже инициировала первые проверки соблюдения требований к DPIA, и компании, не прошедшие процедуру, получают предписания с требованием устранить нарушение в течение 30 дней.
Статья разбирает: когда DPIA обязательна по грузинскому праву, какие категории обработки данных автоматически попадают под требование, как выглядит процедура на практике, какие санкции предусмотрены за уклонение и чем грузинский подход отличается от европейского GDPR.
Оценка воздействия на защиту данных обязательна в Грузии, когда планируемая обработка персональных данных с высокой вероятностью создаёт высокий риск для прав и свобод субъектов данных. Статья 46 Закона о защите персональных данных устанавливает общий критерий «высокого риска» и три категории обработки, при которых DPIA проводится в обязательном порядке без дополнительной оценки: систематическое профилирование, обработка специальных категорий данных в крупном масштабе и систематический мониторинг общедоступных мест.
Закон 2023 года существенно изменил подход по сравнению с предыдущей редакцией 2011 года. Ранее грузинское законодательство не содержало института DPIA как такового - компании были обязаны лишь уведомить DPI о начале обработки. Новый закон ввёл полноценную процедуру предварительной оценки рисков, приближённую к статье 35 GDPR, но с рядом существенных отличий в части сроков и обязательного взаимодействия с регулятором.
Важно учитывать, что критерий «высокого риска» в грузинском праве не тождественен европейскому. DPI вправе публиковать перечни видов обработки, для которых DPIA обязательна или, напротив, не требуется. По состоянию на май 2026 года такой перечень регулятором опубликован, и компании обязаны сверяться с ним до начала обработки.
Частая ошибка in-house counsel международных компаний - автоматически переносить GDPR-логику на грузинскую юрисдикцию. Перечень DPI не совпадает с перечнями европейских надзорных органов: ряд видов обработки, обязательных для DPIA в ЕС, в Грузии в перечень не включён, и наоборот.
Компании из Тбилиси (зима 2025) помогли структурировать процедуру DPIA для платформы онлайн-кредитования, обрабатывающей финансовые и поведенческие данные свыше 50 000 пользователей. Первоначально клиент полагал, что достаточно GDPR-совместимой документации материнской компании. После анализа грузинского перечня DPI выяснилось, что три из пяти операций обработки требовали отдельной DPIA по грузинскому праву - с иными критериями оценки и иным форматом документации.
Чтобы получить чек-лист комплаенс-требований по DPIA для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Три категории обработки данных в Грузии требуют DPIA автоматически - без дополнительной оценки уровня риска. Первая: систематическое и масштабное профилирование физических лиц, включая оценку кредитоспособности, анализ поведения и предиктивную аналитику. Вторая: обработка специальных категорий данных (здоровье, биометрия, расовое происхождение, религиозные убеждения, сексуальная ориентация) в крупном масштабе. Третья: систематический мониторинг общедоступных мест с использованием технических средств, включая видеонаблюдение с функцией распознавания лиц.
Помимо трёх автоматических категорий, статья 46 закона устанавливает открытый перечень признаков, при наличии которых компания обязана самостоятельно оценить необходимость DPIA:
Неочевидный риск для IT-компаний в Грузии: обработка данных сотрудников в рамках систем мониторинга рабочего времени, трекинга задач или анализа продуктивности может попасть под критерий «мониторинга уязвимых субъектов» (работников под надзором работодателя) и потребовать DPIA даже при небольшом числе сотрудников.
В отличие от GDPR, грузинский закон не устанавливает количественного порога «крупного масштаба» - DPI вправе определять его через разъяснения и правоприменительную практику. По текущей позиции регулятора, обработка данных более 10 000 субъектов в течение года рассматривается как индикатор крупного масштаба, однако этот порог не закреплён нормативно и может быть пересмотрен.
Что подготовить перед оценкой необходимости DPIA:
Процедура DPIA в Грузии включает четыре обязательных этапа и должна быть завершена до начала обработки данных - не после. Статья 47 закона устанавливает, что при выявлении высокого остаточного риска, который не удаётся снизить организационными или техническими мерами, компания обязана до начала обработки направить запрос на предварительную консультацию в DPI. Регулятор рассматривает запрос в течение восьми недель с возможностью продления до шестнадцати недель при сложных случаях.
Четыре этапа DPIA по грузинскому праву:
Документация DPIA хранится не менее трёх лет и предоставляется DPI по запросу в течение пяти рабочих дней. Закон не устанавливает единой формы документа, однако DPI опубликовал методические рекомендации с типовой структурой - их использование снижает риск претензий к полноте оценки.
На практике важно учитывать, что грузинский закон не требует привлечения внешнего аудитора для проведения DPIA - оценку может провести сотрудник компании или назначенный офицер по защите данных (Data Protection Officer, DPO). Однако при наличии высокого остаточного риска и обязательной консультации с DPI регулятор фактически оценивает качество проведённой DPIA, и поверхностная документация становится основанием для предписания.
Многие компании недооценивают этап предварительной консультации с DPI. Запрос в регулятор - не формальность: DPI вправе рекомендовать изменение операции обработки или запретить её до устранения выявленных рисков. Игнорирование рекомендации DPI после консультации квалифицируется как отягчающее обстоятельство при назначении санкций.
За непроведение обязательной DPIA или нарушение процедуры её проведения Инспекция по защите персональных данных Грузии вправе назначить административный штраф до 20 000 лари для юридических лиц и выдать предписание о приостановлении обработки данных. Статья 62 Закона о защите персональных данных устанавливает дифференцированную шкалу санкций в зависимости от тяжести нарушения и наличия умысла.
Санкционный механизм DPI включает три уровня реагирования. Первый - предписание об устранении нарушения с установлением срока (как правило, 30 дней). Второй - штраф при неисполнении предписания или при повторном нарушении: от 5 000 до 20 000 лари для юридических лиц. Третий - приостановление или запрет обработки данных как обеспечительная мера при наличии угрозы правам субъектов.
В отличие от GDPR, где штрафы исчисляются процентом от глобального оборота (до 4%), грузинский закон устанавливает фиксированные суммы. Для крупных международных компаний это означает, что финансовый риск относительно невысок - однако репутационный и операционный риск при приостановлении обработки данных может быть несопоставимо выше.
Неочевидный риск для корпоративных клиентов: нарушение требований к DPIA в Грузии может стать основанием для претензий со стороны головного офиса или материнской компании в рамках внутреннего комплаенс-аудита - особенно если компания работает в регулируемых отраслях (финансы, здравоохранение, телеком) и обязана подтверждать соответствие локальным требованиям защиты данных.
Компании из Батуми (лето 2025) помогли подготовить ответ на предписание DPI по результатам проверки системы видеонаблюдения с функцией распознавания лиц. Регулятор квалифицировал отсутствие DPIA как нарушение статьи 46 закона и установил 30-дневный срок устранения. После подготовки полной документации DPIA и направления её в DPI предписание было снято без назначения штрафа.
Чтобы получить чек-лист регуляторных требований по DPIA для компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Описанный порядок применим к стандартным ситуациям. Конкретная квалификация нарушения и размер санкции зависят от характера обработки, числа затронутых субъектов и истории взаимодействия компании с DPI. Ошибка в оценке уровня риска на этапе планирования обработки ограничивает возможности защиты при проверке.
Получили предписание DPI или планируете запуск обработки данных с высоким риском?Если Инспекция по защите персональных данных Грузии направила предписание или запрос - юристы Inter Law Firm проанализируют основания, подготовят документацию DPIA и представят интересы компании в административном порядке. Для новых проектов проведём предварительную оценку необходимости DPIA и подготовим полный пакет документации до начала обработки.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Грузинский Закон о защите персональных данных 2023 года структурно близок к GDPR, однако содержит ряд принципиальных отличий, которые определяют практику DPIA для международных компаний. Ключевое отличие: грузинский закон не предусматривает обязательного назначения DPO для большинства компаний - это влияет на то, кто несёт ответственность за проведение DPIA и подписывает документацию.
Сравнение по ключевым параметрам:
Обязательность DPO. По GDPR компании, систематически обрабатывающие данные в крупном масштабе, обязаны назначить DPO. Грузинский закон устанавливает обязанность назначить ответственное лицо (офицера по защите данных) только для государственных органов и компаний, обрабатывающих специальные категории данных в крупном масштабе. Для большинства частных компаний назначение DPO - право, а не обязанность.
Предварительная консультация с регулятором. И GDPR, и грузинский закон предусматривают обязательную консультацию с надзорным органом при высоком остаточном риске. Однако грузинский DPI рассматривает запрос в течение восьми недель (с продлением до шестнадцати), тогда как европейские регуляторы - как правило, восемь недель без продления. На практике это означает, что запуск высокорискованного проекта в Грузии может потребовать резервирования до четырёх месяцев на регуляторное согласование.
Перечни видов обработки. DPI Грузии публикует собственные перечни - они не совпадают с перечнями европейских надзорных органов. Компания, имеющая GDPR-совместимую DPIA, не может автоматически считать грузинские требования выполненными.
Трансграничная передача данных. Грузинский закон устанавливает требование к адекватности уровня защиты в стране-получателе (статья 55). Передача данных в страны без решения об адекватности требует дополнительных гарантий - стандартных договорных условий или обязательных корпоративных правил. Это отдельное основание для DPIA при трансграничных операциях.
Для корпоративных клиентов с головным офисом в ЕС или Великобритании практически значимо следующее: грузинская «дочка» или филиал обязаны провести самостоятельную DPIA по грузинскому праву даже при наличии групповой DPIA по GDPR. Объединение документации допустимо, но требует адаптации под грузинские критерии и перечень DPI.
3 сценария для разных типов бизнеса:
Сценарий 1: IT-компания в статусе Virtual Zone, обрабатывающая данные пользователей за рубежом. VZ-статус освобождает от ряда налоговых обязательств, но не от требований закона о персональных данных. Если компания обрабатывает данные грузинских резидентов или использует серверы на территории Грузии, закон применяется в полном объёме. DPIA обязательна при профилировании или обработке специальных категорий данных.
Сценарий 2: Международная компания с офисом в Тбилиси, использующая HR-систему с мониторингом активности сотрудников. Обработка данных работников под надзором работодателя - признак, требующий оценки необходимости DPIA. При использовании систем трекинга задач, анализа переписки или мониторинга рабочего времени DPIA, как правило, обязательна.
Сценарий 3: Финтех-компания, обрабатывающая финансовые и поведенческие данные для скоринга. Автоматизированное принятие решений с юридически значимыми последствиями (одобрение/отказ в кредите) - прямое основание для обязательной DPIA. Дополнительно: если число субъектов превышает 10 000, обработка квалифицируется как крупномасштабная.
Матрица решений: ситуация - инструмент - срок - затраты - риски:
Профилирование более 10 000 субъектов: обязательная DPIA - 4-8 недель на подготовку документации - от 3 000 лари (внутренние ресурсы) или от 8 000 лари (с привлечением юриста) - риск предписания DPI и приостановления обработки при отсутствии.
Видеонаблюдение с распознаванием лиц: обязательная DPIA + предварительная консультация с DPI при высоком остаточном риске - до 16 недель с учётом консультации - от 10 000 лари - риск запрета обработки до завершения консультации.
Трансграничная передача данных в страну без решения об адекватности: DPIA + стандартные договорные условия - 3-6 недель - от 5 000 лари - риск признания передачи незаконной и штраф до 20 000 лари.
Устойчивый процесс DPIA в компании строится не как разовая процедура под конкретный проект, а как встроенный элемент управления данными. Статья 46 закона требует проведения DPIA «до начала обработки» - это означает, что оценка должна быть интегрирована в процесс запуска новых продуктов, систем и операций с данными на уровне внутренних регламентов.
Практически значимые элементы процесса:
В отличие от России, где Роскомнадзор ведёт реестр операторов персональных данных и требует уведомления о начале обработки, грузинский DPI не ведёт аналогичного реестра операторов. Основной инструмент контроля - проверки по жалобам субъектов и плановые инспекции. Это означает, что компания не получает автоматического подтверждения соответствия требованиям - ответственность за корректность DPIA лежит полностью на операторе данных.
Неочевидный риск для корпоративных клиентов: при M&A-сделках в Грузии отсутствие DPIA по обязательным видам обработки становится выявленным нарушением в ходе due diligence и влияет на оценку регуляторных рисков приобретаемой компании. Покупатель, не проверивший наличие DPIA, принимает на себя накопленные нарушения.
Направления практики по теме
Сложность DPIA определяется не только характером обработки, но и зрелостью внутренних процессов компании. Компании без актуального реестра операций обработки, как правило, обнаруживают в ходе подготовки DPIA дополнительные нарушения - отсутствие правовых оснований для ряда операций, избыточные сроки хранения, неурегулированные трансграничные передачи. Выявление этих нарушений до проверки DPI - управляемая ситуация. После начала проверки - нет.
Нужен правовой аудит грузинской структуры по защите данных перед проверкой DPI или отчётностью перед головным офисом?Если компания запускает новую операцию обработки данных или готовится к аудиту - юристы Inter Law Firm проведут скрининг на необходимость DPIA, подготовят документацию в соответствии с требованиями грузинского DPI и разработают внутренние регламенты управления данными.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Наличие GDPR-совместимой DPIA не освобождает компанию от обязанности провести DPIA по грузинскому Закону о защите персональных данных 2023 года. Грузинский регулятор - Инспекция по защите персональных данных - применяет собственный перечень видов обработки и собственные критерии оценки риска, которые не совпадают с перечнями европейских надзорных органов. Компания вправе использовать GDPR-документацию как основу, однако обязана адаптировать её под грузинские требования: проверить соответствие перечню DPI, скорректировать описание правовых оснований обработки по грузинскому закону и привести формат документации в соответствие с методическими рекомендациями DPI. Отсутствие адаптированной грузинской DPIA при наличии GDPR-документации не является основанием для освобождения от санкций при проверке DPI.
Если компания начала обработку данных без обязательной DPIA, DPI вправе выдать предписание об устранении нарушения в течение 30 дней. При неисполнении предписания или при повторном нарушении назначается штраф от 5 000 до 20 000 лари по статье 62 Закона о защите персональных данных. В случае, если обработка создаёт угрозу правам субъектов, DPI вправе применить обеспечительную меру - приостановление обработки до завершения DPIA и устранения выявленных рисков. Для компании это означает операционную остановку соответствующего процесса или продукта. Самостоятельное проведение DPIA и уведомление DPI до начала проверки рассматривается регулятором как смягчающее обстоятельство.
Обработка данных сотрудников в системах мониторинга рабочего времени и трекинга задач требует оценки необходимости DPIA по грузинскому закону, поскольку работники относятся к уязвимым категориям субъектов, находящихся под надзором работодателя. Если система фиксирует только время прихода и ухода без анализа поведения или продуктивности, DPIA, как правило, не обязательна. Если система включает мониторинг активности на компьютере, анализ переписки, трекинг местоположения или оценку продуктивности - это признаки, при которых DPIA обязательна. Инспекция по защите персональных данных Грузии рассматривает такие системы как инструменты систематического мониторинга, что автоматически повышает уровень риска обработки. Рекомендуемый срок проведения DPIA для HR-систем - до их внедрения, не после.
Документация DPIA хранится не менее трёх лет с момента завершения операции обработки данных и предоставляется Инспекции по защите персональных данных Грузии по запросу в течение пяти рабочих дней. При существенном изменении операции обработки - расширении категорий данных, изменении целей, внедрении новых технологий или увеличении числа субъектов - компания обязана пересмотреть DPIA и при необходимости провести новую оценку. Закон не устанавливает конкретного порога «существенности» изменений, поэтому решение о пересмотре принимается оператором данных самостоятельно. DPI рекомендует проводить плановый пересмотр DPIA не реже одного раза в два года для долгосрочных операций обработки. Отсутствие актуальной документации при проверке приравнивается к отсутствию DPIA.
Грузинский Закон о защите персональных данных 2023 года применяется к иностранным компаниям, если они обрабатывают данные физических лиц, находящихся на территории Грузии, в связи с предложением им товаров или услуг либо мониторингом их поведения. Это экстерриториальный принцип, аналогичный статье 3 GDPR. Иностранная компания без офиса в Грузии, предоставляющая услуги грузинским пользователям через интернет, обязана соблюдать требования закона, включая обязанность проведения DPIA при наличии оснований. Инспекция по защите персональных данных Грузии вправе инициировать проверку такой компании и направить предписание. На практике правоприменение в отношении иностранных компаний без грузинского присутствия пока ограничено, однако риск возрастает по мере развития практики DPI.
Требования к DPIA в Грузии сформированы относительно недавно, и правоприменительная практика DPI продолжает формироваться. Компании, выстроившие процесс DPIA до первой проверки, получают существенное преимущество: возможность управлять рисками превентивно, а не реагировать на предписания в сжатые сроки.
Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам защиты персональных данных, IT-права и регуляторного комплаенса. Мы можем помочь с проведением DPIA, подготовкой документации для DPI, разработкой внутренних регламентов управления данными и представлением интересов компании при проверках Инспекции по защите персональных данных.
Чтобы получить чек-лист комплаенс-требований по защите персональных данных для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы разобраться с DPIA для вашей компании в Грузии?Юристы Inter Law Firm проведут скрининг операций обработки данных, определят, какие из них требуют DPIA по грузинскому праву, и подготовят полный пакет документации в соответствии с требованиями DPI.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 5 мая 2026 года