Аналитика
it

DPO в Грузии: когда назначение обязательно

Ответственный за защиту персональных данных (Data Protection Officer, DPO) - это должностное лицо или внешний специалист, которого оператор персональных данных назначает для обеспечения соответствия требованиям Закона Грузии «О защите персональных данных» (მონაცემთა დაცვის შესახებ კანონი). По состоянию на май 2026 года действует редакция закона, принятая в 2023 году и приведённая в соответствие с европейским стандартом GDPR. Государственный надзор осуществляет Служба защиты персональных данных (სახელმწიფო სერვისები პერსონალური მონაცემების დაცვის სფეროში, SSDP). Для международных компаний с офисом или операциями в Грузии вопрос обязательности DPO - это не формальность: SSDP проводит плановые и внеплановые проверки, а штрафы за нарушение достигают 10 000 лари.

Статья разбирает: критерии обязательного назначения DPO по грузинскому законодательству, требования к кандидату, процедуру оформления, разграничение внутреннего и внешнего DPO, а также ответственность за несоблюдение требований.

Когда грузинское законодательство обязывает назначить DPO?

Закон Грузии «О защите персональных данных» устанавливает три самостоятельных основания для обязательного назначения DPO. Первое - систематическая и масштабная обработка персональных данных в качестве основной деятельности оператора. Второе - обработка специальных категорий данных (здоровье, биометрия, судимости) в масштабе, превышающем единичные случаи. Третье - статус государственного органа или органа местного самоуправления. Любое из трёх оснований достаточно для возникновения обязанности.

Грузинское законодательство намеренно не устанавливает числовых порогов - ни по количеству субъектов данных, ни по объёму обрабатываемых записей. Это принципиальное отличие от практики ряда европейских юрисдикций, где национальные регуляторы давали ориентиры в виде конкретных цифр. SSDP оценивает «масштаб» и «систематичность» в каждом конкретном случае, опираясь на характер деятельности компании, регулярность обработки и круг субъектов.

Для международных компаний с офисом в Грузии это означает следующее: если головной офис уже назначил DPO под GDPR, это не освобождает грузинское юридическое лицо от самостоятельного выполнения требований грузинского закона. SSDP рассматривает грузинское юридическое лицо как самостоятельного оператора данных.

На практике важно учитывать, что в Грузии SSDP трактует понятие «основная деятельность» широко. Компания, которая обрабатывает данные клиентов как вспомогательную функцию (например, ведёт базу контактов для рассылки), может не попасть под критерий. Но платформа, монетизирующая данные пользователей, HR-сервис, медицинское приложение или система видеонаблюдения с аналитикой - попадают с высокой вероятностью.

Частая ошибка корпоративных клиентов из РФ и Украины - ориентироваться на российский закон о персональных данных (152-ФЗ), где обязанность назначать DPO отсутствует как таковая. В Грузии эта обязанность прямо закреплена в законе, и её игнорирование создаёт регуляторный риск с первого дня работы.

Какие виды обработки данных автоматически требуют DPO?

Грузинский закон выделяет специальные категории персональных данных, обработка которых в любом масштабе, превышающем единичные случаи, влечёт обязанность назначить DPO. К таким категориям относятся: данные о состоянии здоровья, биометрические данные, используемые для идентификации, генетические данные, данные о расовом или этническом происхождении, политических взглядах, религиозных убеждениях, членстве в профсоюзах, а также сведения о судимостях и уголовном преследовании.

Для корпоративного клиента это означает конкретные сценарии:

  • HR-система, хранящая медицинские справки сотрудников или данные об инвалидности, - обязательный DPO.
  • Система контроля доступа с распознаванием лиц или сканированием отпечатков пальцев - обязательный DPO.
  • Медицинский сервис, страховая компания, лаборатория - обязательный DPO.
  • Система видеонаблюдения с функцией идентификации личности - обязательный DPO.

Чек-лист «что подготовить» для оценки обязательности DPO:

  • Составить реестр всех категорий данных, которые обрабатывает компания, с указанием цели и правового основания.
  • Определить, относится ли хотя бы одна категория к специальным по грузинскому закону.
  • Оценить регулярность и масштаб обработки: разовая операция или систематический процесс.
  • Проверить, является ли обработка данных основной или вспомогательной деятельностью компании.
  • Зафиксировать вывод в письменном виде - SSDP вправе запросить обоснование решения о неназначении DPO.

Неочевидный риск: компании, которые используют внешние HR-платформы или облачные CRM с грузинскими данными клиентов, остаются операторами данных по грузинскому закону - даже если фактическую обработку ведёт платформа. Обязанность назначить DPO не переходит к обработчику автоматически.

Чтобы получить чек-лист регуляторных требований по защите персональных данных для компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Описанные критерии - отправная точка. Конкретная оценка зависит от архитектуры данных, договорных отношений с обработчиками и истории взаимодействия с SSDP. Ошибка в классификации на этапе анализа приводит к тому, что компания работает без DPO там, где он обязателен, - и узнаёт об этом в ходе проверки.

Не уверены, обязана ли ваша компания назначить DPO в Грузии?Если компания обрабатывает данные сотрудников, клиентов или пользователей в грузинской юрисдикции - юристы Inter Law Firm проведут аудит категорий данных и оснований обработки, дадут письменное заключение об обязательности DPO и помогут выстроить структуру соответствия требованиям грузинского закона.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Каковы требования к кандидату на роль DPO по грузинскому закону?

Закон Грузии «О защите персональных данных» не устанавливает формальных квалификационных требований в виде диплома или сертификата. Требование одно: DPO должен обладать профессиональными знаниями в области защиты персональных данных и практикой их применения. SSDP при проверке оценивает реальную компетентность, а не наличие бумаги.

На практике это означает, что DPO должен понимать: структуру грузинского закона и его соотношение с GDPR, права субъектов данных и порядок их реализации, требования к уведомлению SSDP, основания и порядок проведения проверок, а также технические меры защиты данных.

Грузинский закон допускает три модели назначения DPO:

Первая - внутренний DPO из числа сотрудников компании. Допустимо совмещение с другой должностью при условии отсутствия конфликта интересов. Юрисконсульт, директор по безопасности или IT-директор могут выполнять функции DPO, если их основная роль не создаёт конфликта с независимостью DPO.

Вторая - внешний DPO по договору об оказании услуг. Это юрист, консультант или специализированная организация. Для небольших офисов международных компаний в Грузии внешний DPO часто экономически эффективнее: не нужно нанимать отдельного сотрудника, а уровень экспертизы выше.

Третья - групповой DPO: одно лицо назначается DPO для нескольких юридических лиц группы компаний при условии доступности для каждого из них.

Принципиальное ограничение: DPO не может быть лицом, которое принимает решения об обработке данных. Генеральный директор, коммерческий директор, директор по маркетингу - не могут быть DPO своей же компании. Это прямой конфликт интересов, который SSDP квалифицирует как нарушение.

В отличие от российского законодательства, где ответственный за организацию обработки персональных данных назначается приказом без каких-либо требований к квалификации, грузинский закон предполагает реальную экспертизу. Назначение «для галочки» создаёт риск: при проверке SSDP вправе проверить компетентность DPO, задав ему конкретные вопросы о процедурах компании.

Компании из Тбилиси (зима 2025) помогли выстроить функцию DPO под требования грузинского закона. Международная IT-компания с офисом в Тбилиси назначила DPO из числа сотрудников без анализа конфликта интересов - им оказался руководитель отдела маркетинга, принимавший решения о таргетированной рекламе. После аудита структура была пересмотрена: функции DPO переданы внешнему специалисту, подготовлена документация для SSDP, устранён конфликт интересов.

Как оформить назначение DPO и уведомить SSDP?

Процедура назначения DPO в Грузии включает два обязательных элемента: внутреннее оформление и уведомление регулятора. Уведомление SSDP о назначении DPO является обязательным - без него назначение считается ненадлежащим даже при наличии всей внутренней документации. Срок уведомления законом прямо не установлен, однако SSDP рекомендует направлять его в разумный срок после назначения - на практике не позднее 10 рабочих дней.

Внутреннее оформление включает:

  1. Приказ о назначении DPO с указанием полномочий, зоны ответственности и гарантий независимости.
  2. Должностную инструкцию или регламент функций DPO - документ, описывающий конкретные задачи: ведение реестра операций обработки, взаимодействие с SSDP, консультирование сотрудников, реагирование на запросы субъектов данных.
  3. Политику защиты персональных данных компании - основной внутренний документ, который SSDP запрашивает при проверке в первую очередь.

Уведомление SSDP подаётся в письменной форме и содержит: наименование оператора данных, контактные данные DPO (имя, должность, электронная почта, телефон), описание категорий обрабатываемых данных и оснований назначения DPO. Контактные данные DPO публикуются на сайте компании - это требование закона, а не рекомендация.

Важный нюанс для групп компаний: если один DPO назначен для нескольких грузинских юридических лиц, каждое из них подаёт отдельное уведомление в SSDP. Единое групповое уведомление грузинский регулятор не принимает.

Компании из Батуми (осень 2024) помогли пройти внеплановую проверку SSDP без штрафных санкций. Торговая сеть с несколькими юридическими лицами в Грузии назначила одного DPO на группу, но уведомила SSDP только от головной компании. В ходе проверки это было квалифицировано как ненадлежащее оформление. Юристы подготовили пакет уведомлений от каждого юридического лица и сопроводили взаимодействие с регулятором - штраф наложен не был, компании выдано предписание об устранении нарушения.

Чтобы получить чек-лист комплаенс-требований по защите персональных данных для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Процедура выглядит стандартной, но детали имеют значение. Ошибка в уведомлении или неполный пакет внутренней документации - это основание для предписания SSDP, которое при повторном нарушении влечёт штраф. Компании, которые проходят проверку впервые, нередко недооценивают объём документации, которую регулятор вправе запросить.

Получили запрос от SSDP или готовитесь к проверке?Если Служба защиты персональных данных Грузии направила запрос или уведомление о проверке - юристы Inter Law Firm проанализируют основания, подготовят пакет документов и представят интересы компании в административном взаимодействии с SSDP.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Какова ответственность за отсутствие DPO и нарушение его функций?

Ответственность за нарушение требований о назначении DPO в Грузии установлена Законом «О защите персональных данных» и Кодексом об административных правонарушениях. Штраф за отсутствие обязательного DPO или ненадлежащее оформление назначения составляет до 5 000 лари для юридического лица при первом нарушении и до 10 000 лари при повторном. Помимо штрафа, SSDP вправе выдать предписание об устранении нарушения с установленным сроком исполнения.

Ответственность не ограничивается штрафом. SSDP вправе:

  • Приостановить обработку данных до устранения нарушения - для компании, чья деятельность строится на обработке данных, это операционный риск.
  • Обязать уведомить субъектов данных об инциденте, если нарушение повлекло утечку или несанкционированный доступ.
  • Передать материалы в правоохранительные органы при наличии признаков уголовно наказуемого деяния - незаконного сбора или распространения персональных данных.

Три сценария для разных типов бизнеса:

Сценарий 1 - международная компания с офисом в Тбилиси, обрабатывающая данные сотрудников и клиентов. Риск: SSDP инициирует проверку по жалобе сотрудника. Без DPO и без политики защиты данных - предписание + штраф до 5 000 лари + репутационный ущерб при публикации решения регулятора.

Сценарий 2 - финтех-компания или платёжный сервис с грузинской лицензией NBG. Риск: SSDP и NBG координируют надзор. Нарушение требований о DPO может стать основанием для дополнительной проверки со стороны NBG и повлиять на лицензионный статус.

Сценарий 3 - HR-платформа или рекрутинговый сервис, обрабатывающий резюме и данные о здоровье кандидатов. Риск: обработка специальных категорий данных без DPO - нарушение, которое SSDP квалифицирует как грубое. Штраф по верхней границе + предписание о прекращении обработки до назначения DPO.

Матрица решений: если компания обрабатывает только контактные данные клиентов для рассылки и не относится к государственным органам - DPO, вероятно, не обязателен, но рекомендован. Если компания обрабатывает биометрию, медицинские данные или является платформой с тысячами пользователей - DPO обязателен, и промедление создаёт прямой регуляторный риск. Если компания входит в международную группу с DPO под GDPR - необходима отдельная оценка для грузинского юридического лица.

Направления практики по теме

Частые вопросы

1. Обязана ли иностранная компания, работающая в Грузии через представительство, назначать DPO?

Иностранная компания, осуществляющая деятельность в Грузии через зарегистрированное представительство или филиал и обрабатывающая персональные данные грузинских субъектов, подпадает под действие Закона Грузии «О защите персональных данных» и обязана назначить DPO при наличии соответствующих оснований. Представительство или филиал рассматривается как самостоятельный оператор данных в грузинской юрисдикции. Наличие DPO в головном офисе под GDPR или иным иностранным законодательством не освобождает грузинское структурное подразделение от самостоятельного выполнения требований. SSDP вправе проверить любое лицо, обрабатывающее данные на территории Грузии, вне зависимости от места регистрации головной организации. Практическое следствие: при открытии офиса в Грузии вопрос о DPO должен решаться одновременно с регистрацией юридического лица, а не после первой проверки.

2. Может ли один человек совмещать должность DPO с другими обязанностями в компании?

Грузинский закон допускает совмещение функций DPO с другой должностью при условии отсутствия конфликта интересов. Конфликт возникает, когда сотрудник в своей основной роли принимает решения об обработке данных: определяет цели, методы или объём обработки. Руководители направлений маркетинга, продаж, HR и IT-разработки, как правило, не могут быть DPO своей компании - их основная деятельность прямо связана с решениями об обработке данных. Юрисконсульт, специалист по информационной безопасности или compliance-менеджер могут совмещать функции DPO, если их роль не предполагает принятия таких решений. SSDP при проверке оценивает реальное содержание должности, а не её название. Штраф за назначение DPO с конфликтом интересов - до 5 000 лари, при повторном нарушении до 10 000 лари.

3. Что происходит, если компания ошибочно решила, что DPO ей не нужен?

Если компания самостоятельно пришла к выводу об отсутствии обязанности назначить DPO, но SSDP при проверке квалифицирует это иначе, компании выдаётся предписание с требованием устранить нарушение в установленный срок - как правило, от 30 до 60 дней. Невыполнение предписания в срок влечёт штраф до 5 000 лари при первом нарушении. Повторное нарушение - до 10 000 лари. Важно, что грузинский закон не предусматривает освобождения от ответственности по основанию добросовестного заблуждения: ошибочная оценка не является смягчающим обстоятельством. Практическое следствие: решение о неназначении DPO должно быть задокументировано с обоснованием - тогда при проверке компания может продемонстрировать, что оценка проводилась, а не игнорировалась. Это влияет на квалификацию нарушения как умышленного или неосторожного.

4. Каковы обязанности DPO после назначения - что именно он должен делать?

DPO в Грузии обязан выполнять функции, прямо установленные Законом «О защите персональных данных»: консультировать оператора и сотрудников по вопросам соответствия закону, контролировать соблюдение требований внутри компании, взаимодействовать с SSDP в качестве контактного лица, участвовать в оценке воздействия на защиту данных при запуске новых продуктов или процессов. Срок хранения документации по обработке данных, которую ведёт DPO, составляет не менее 5 лет. DPO обязан быть доступен для субъектов данных, направляющих запросы о реализации своих прав - на доступ, исправление, удаление данных. Срок ответа на такой запрос по грузинскому закону составляет 10 рабочих дней. Практическое следствие: DPO - это не номинальная должность, а операционная функция, требующая реального участия в процессах компании. Компании, назначившие DPO формально, без передачи реальных полномочий, несут тот же регуляторный риск, что и компании без DPO.

5. Чем грузинский подход к DPO отличается от требований GDPR?

Грузинский Закон «О защите персональных данных» 2023 года концептуально следует GDPR, однако имеет ряд существенных отличий. Во-первых, грузинский закон не устанавливает числовых порогов для обязательного назначения DPO - ни по количеству субъектов, ни по объёму данных, тогда как европейские регуляторы давали ориентиры в виде конкретных цифр. Во-вторых, SSDP как регулятор значительно меньше по масштабу, чем крупные европейские DPA, и взаимодействие с ним носит более прямой характер - решения принимаются быстрее, но и проверки могут инициироваться оперативнее. В-третьих, максимальный штраф по грузинскому закону составляет 10 000 лари (около 3 700 USD), что несопоставимо с санкциями GDPR, но для малого и среднего бизнеса в Грузии является ощутимой суммой. Практическое следствие: компании, уже выстроившие GDPR-комплаенс, имеют хорошую базу для адаптации к грузинским требованиям, но прямой перенос документации без адаптации к грузинскому закону создаёт риски - особенно в части уведомления SSDP и требований к реестру операций обработки.

Назначение DPO в Грузии - это не административная формальность, а элемент операционной структуры компании, работающей с данными. Грузинский закон 2023 года создал реальный регуляторный механизм с работающим надзором: SSDP проводит проверки, выдаёт предписания и налагает штрафы. Для международных компаний с офисом в Грузии ключевой вывод прост: наличие DPO-структуры под GDPR не заменяет грузинского комплаенса, а вопрос об обязательности DPO требует отдельной оценки для каждого грузинского юридического лица.

Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам защиты персональных данных и IT-права. Мы можем помочь с оценкой обязательности DPO, подготовкой внутренней документации, уведомлением SSDP и представлением интересов при проверках.

Чтобы получить чек-лист требований к DPO и документации по защите персональных данных в Грузии, отправьте запрос на info@interlawfirm.ru

Нужна оценка соответствия требованиям о DPO для вашей компании в Грузии?Юристы Inter Law Firm проведут правовой анализ структуры обработки данных, дадут письменное заключение об обязательности DPO и подготовят полный пакет документов для SSDP с учётом грузинского законодательства.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 5 мая 2026 года