Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о ПД) распространяется на любой субъект, обрабатывающий данные физических лиц на территории Грузии, - включая интернет-магазины, маркетплейсы и платформы дистанционной торговли. По состоянию на май 2026 года надзорный орган - Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია) - вправе назначать штрафы до 20 000 лари за нарушение требований закона. Для онлайн-ритейлера, работающего в Грузии или ориентированного на грузинских покупателей, несоответствие требованиям - это не абстрактный риск, а реальная административная и гражданско-правовая ответственность.
Статья разбирает: какие данные покупателей попадают под действие закона, какие обязанности возникают у интернет-магазина, как выстроить политику конфиденциальности и что грозит за нарушения. Материал ориентирован на торговые компании, работающие через грузинскую юрисдикцию, - от локальных магазинов до импортёров и дистрибьюторов с онлайн-каналом продаж.
Какие данные покупателей регулирует грузинский закон и кого он касается?
Закон о защите персональных данных Грузии охватывает любую информацию, позволяющую прямо или косвенно идентифицировать физическое лицо: имя, адрес доставки, номер телефона, адрес электронной почты, историю заказов, IP-адрес, данные платёжной карты и файлы cookies. Закон применяется к обработчику данных, если он зарегистрирован в Грузии или обрабатывает данные лиц, находящихся на территории Грузии, - вне зависимости от того, где физически расположены серверы.
Для интернет-магазина это означает следующее: регистрация заказа, создание личного кабинета покупателя, рассылка маркетинговых писем, установка счётчиков аналитики (Google Analytics, Meta Pixel) и передача данных курьерской службе - каждое из этих действий является «обработкой персональных данных» по смыслу статьи 2 Закона о ПД. Закон не делает исключений для малого бизнеса или стартапов: требования одинаковы для шпс с одним сотрудником и для крупного маркетплейса.
Частая ошибка торговых компаний, пришедших из российской юрисдикции, - считать, что грузинский закон менее строг, чем российский Федеральный закон № 152-ФЗ. На практике грузинский Закон о ПД по ряду позиций жёстче: он прямо регулирует cookies и требует явного согласия пользователя до их установки, тогда как в российском праве этот вопрос долгое время оставался в серой зоне.
Неочевидный риск для импортёров и дистрибьюторов: если вы передаёте данные покупателей зарубежному поставщику или логистическому партнёру за пределами Грузии, это квалифицируется как трансграничная передача данных и требует отдельного правового основания по статье 22 Закона о ПД.
Чтобы получить чек-лист запуска онлайн-магазина с учётом требований к персональным данным для малого торгового бизнеса в Грузии, отправьте запрос на info@interlawfirm.ru
Какие обязанности возникают у интернет-магазина при сборе данных покупателей?
Интернет-магазин, работающий в Грузии, обязан выполнить шесть базовых требований Закона о ПД: получить законное основание для обработки данных, уведомить покупателя об условиях обработки до её начала, обеспечить техническую и организационную защиту данных, не хранить данные дольше, чем необходимо для цели обработки, обеспечить возможность реализации прав субъекта данных и уведомить Инспекцию об утечке в течение 72 часов.
Законных оснований для обработки данных несколько (статья 5 Закона о ПД). Для интернет-магазина наиболее применимы два: исполнение договора (обработка данных для доставки заказа не требует отдельного согласия) и согласие субъекта данных (для маркетинговых рассылок, профилирования, передачи данных третьим лицам). Согласие должно быть свободным, конкретным, информированным и однозначным - предустановленная галочка «Я согласен» не соответствует требованиям закона.
Что подготовить до запуска онлайн-магазина в Грузии:
- Политику конфиденциальности на грузинском и русском языках с описанием целей обработки, перечня данных, сроков хранения и прав покупателя
- Форму получения согласия на маркетинговые коммуникации (отдельная галочка, не предустановленная)
- Cookie-баннер с возможностью отказа от нефункциональных cookies до их установки
- Договоры с обработчиками данных (курьерские службы, платёжные системы, CRM-провайдеры) - статья 7 Закона о ПД
- Процедуру реагирования на запросы покупателей о доступе, исправлении или удалении данных (срок ответа - 10 рабочих дней)
Компании из Тбилиси (зима 2025) помогли выстроить документальную базу для онлайн-магазина бытовой техники перед выходом на грузинский рынок. Клиент планировал запуск через 2 недели, не имея ни политики конфиденциальности, ни cookie-баннера, ни договоров с логистическим партнёром. За 10 рабочих дней подготовили полный пакет документов, включая двуязычную политику конфиденциальности и шаблоны договоров с обработчиками данных.
Перечисленные требования - базовый уровень соответствия. Конкретная конфигурация зависит от архитектуры магазина, используемых сервисов аналитики и географии покупателей. Ошибка в структуре согласия или в договоре с обработчиком данных может обнулить всю документальную работу.
Запускаете интернет-магазин в Грузии или выводите торговый бизнес онлайн?Выбор правовой структуры и документальная база на старте определяют риски на годы вперёд. Юристы Inter Law Firm проведут аудит требований к персональным данным, подготовят политику конфиденциальности, cookie-баннер и договоры с обработчиками данных в соответствии с грузинским законодательством.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как работает надзор Инспекции по защите персональных данных и каковы санкции?
Инспекция по защите персональных данных Грузии (პერსონალური მონაცემების დაცვის ინსპექცია) - независимый надзорный орган, действующий на основании статьи 37 Закона о ПД. Инспекция вправе проводить плановые и внеплановые проверки, запрашивать документы, выносить предписания об устранении нарушений и назначать административные штрафы. Максимальный размер штрафа за нарушение требований закона составляет 20 000 лари; за повторное нарушение в течение года - до 40 000 лари.
Инспекция инициирует проверку по трём основаниям: жалоба субъекта данных, информация о публичной утечке данных или плановый мониторинг отрасли. Для e-commerce наиболее частый триггер - жалоба покупателя, получившего маркетинговую рассылку без явного согласия, или обнаружившего, что его данные переданы третьим лицам без уведомления.
Помимо административных штрафов, нарушение Закона о ПД создаёт гражданско-правовую ответственность: покупатель вправе требовать компенсации морального вреда и убытков в суде на основании статьи 18 Закона о ПД в совокупности с нормами Гражданского кодекса Грузии (სამოქალაქო კოდექსი). Городской суд Тбилиси (თბილისის საქალაქო სასამართლო) уже рассматривал иски такого рода, и судебная практика постепенно формируется в пользу субъектов данных.
Три сценария для торгового бизнеса в Грузии:
Сценарий 1 (малый онлайн-ритейлер, когорта F): магазин собирает email-адреса покупателей для рассылки акций без отдельного согласия. Риск - предписание Инспекции и штраф до 5 000 лари при первом нарушении, плюс обязанность прекратить рассылку и удалить базу.
Сценарий 2 (импортёр с онлайн-каналом, когорта F): данные покупателей передаются зарубежному поставщику для аналитики без правового основания для трансграничной передачи. Риск - штраф до 20 000 лари и гражданские иски покупателей.
Сценарий 3 (маркетплейс, когорта B): утечка базы данных покупателей из-за уязвимости в CMS. Без уведомления Инспекции в течение 72 часов - дополнительный штраф и репутационные потери; с уведомлением - шанс на смягчение санкций.
Матрица решений: ситуация - инструмент - срок - затраты - риски.
- Нет политики конфиденциальности → разработать до запуска → 5-10 рабочих дней → от 800 лари → риск предписания и штрафа при первой жалобе
- Маркетинговая рассылка без согласия → остановить, получить согласие ретроспективно или удалить базу → немедленно → от 300 лари (юридическое сопровождение) → риск штрафа до 5 000 лари
- Утечка данных → уведомить Инспекцию в течение 72 часов, провести внутреннее расследование → 72 часа → от 1 500 лари → без уведомления - штраф до 20 000 лари
- Трансграничная передача без основания → заключить соглашение с получателем или получить согласие субъектов → 10-15 рабочих дней → от 1 000 лари → риск штрафа до 20 000 лари
Как выстроить политику конфиденциальности для грузинского интернет-магазина?
Политика конфиденциальности (Privacy Policy) для интернет-магазина в Грузии - это не формальный документ «для галочки», а юридически значимый инструмент, определяющий объём ответственности магазина перед покупателем и Инспекцией. Статья 6 Закона о ПД устанавливает обязательный перечень сведений, которые должны быть раскрыты субъекту данных до начала обработки.
Политика конфиденциальности грузинского интернет-магазина должна содержать: наименование и контакты обработчика данных (юридическое лицо, зарегистрированное в NAPR), цели обработки каждой категории данных, правовое основание для каждой цели, перечень третьих лиц - получателей данных (курьерские службы, платёжные системы, CRM, рекламные сети), сроки хранения данных по каждой категории, порядок реализации прав покупателя и контакты для обращений.
В отличие от российской практики, где политика конфиденциальности нередко представляет собой единый универсальный текст, грузинский Закон о ПД требует конкретности: указание «данные хранятся столько, сколько необходимо» не соответствует требованиям - нужны конкретные сроки (например, «данные о заказе хранятся 3 года в соответствии с требованиями налогового законодательства»).
Отдельный блок политики должен регулировать cookies. Грузинское законодательство разграничивает функциональные cookies (необходимы для работы сайта, согласие не требуется) и нефункциональные - аналитические, маркетинговые (требуют явного согласия до установки). Cookie-баннер должен предоставлять реальную возможность отказа, а не просто информировать о наличии cookies.
Чтобы получить чек-лист регуляторных требований к политике конфиденциальности и cookie-баннеру для торговых компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Трансграничная передача данных: что важно знать импортёру и дистрибьютору
Трансграничная передача персональных данных покупателей за пределы Грузии регулируется статьёй 22 Закона о ПД и является одним из наиболее сложных вопросов для торговых компаний, работающих в международных цепочках поставок. Передача данных в страну, не обеспечивающую адекватный уровень защиты, допустима только при наличии одного из трёх оснований: согласие субъекта данных, стандартные договорные условия, утверждённые Инспекцией, или решение Инспекции об адекватности уровня защиты в стране-получателе.
Для импортёра или дистрибьютора, работающего через грузинскую юрисдикцию, это означает следующее: передача данных покупателей зарубежному поставщику для аналитики продаж, передача данных международной курьерской службе для доставки или использование CRM-системы с серверами за пределами Грузии - каждая из этих операций требует правового основания. Наиболее практичный инструмент - стандартные договорные условия (аналог SCС в европейском праве), включённые в договор с иностранным контрагентом.
Неочевидный риск: использование популярных международных платформ (Shopify, WooCommerce с зарубежным хостингом, Mailchimp) автоматически создаёт трансграничную передачу данных. Большинство этих платформ предлагают стандартные договорные условия для обработчиков данных - их нужно активировать в настройках аккаунта и зафиксировать документально.
Компании из Батуми (лето 2024) помогли структурировать передачу данных покупателей между грузинским интернет-магазином и турецким логистическим партнёром. Клиент не знал, что передача данных без договора с обработчиком создаёт риск штрафа свыше 15 000 лари. Подготовили договор с обработчиком данных, включающий стандартные договорные условия, и адаптировали политику конфиденциальности магазина.
Описанная схема применима к стандартным случаям трансграничной передачи. Если цепочка передачи данных включает несколько юрисдикций или данные относятся к специальным категориям (платёжные данные, данные о здоровье), правовая структура усложняется.
Ведёте торговлю через Грузию и передаёте данные покупателей зарубежным партнёрам?Таможенный режим и НДС-структура - не единственные риски в международной торговле. Юристы Inter Law Firm проведут аудит трансграничных потоков данных, подготовят договоры с обработчиками и адаптируют политику конфиденциальности к требованиям грузинского законодательства.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Права покупателей и как интернет-магазин обязан на них реагировать
Закон о ПД Грузии закрепляет за покупателем как субъектом данных шесть основных прав: право на доступ к своим данным, право на исправление недостоверных данных, право на удаление данных («право быть забытым»), право на ограничение обработки, право на переносимость данных и право на возражение против обработки в маркетинговых целях. Интернет-магазин обязан ответить на запрос покупателя в течение 10 рабочих дней (статья 30 Закона о ПД).
На практике наиболее частые запросы покупателей в e-commerce - это запрос на удаление аккаунта и всех связанных данных, а также отказ от маркетинговых рассылок. Для первого случая магазин обязан удалить данные, если нет законного основания для их дальнейшего хранения (например, незакрытые обязательства по договору или требования налогового законодательства). Для второго - отписка должна быть реализована немедленно и без дополнительных условий.
Игнорирование запроса покупателя или отказ без законного основания - самостоятельное нарушение Закона о ПД, которое может стать основанием для жалобы в Инспекцию и административного штрафа вне зависимости от того, соответствует ли магазин другим требованиям закона.
Направления практики по теме
- Защита персональных данных и IT-право - аудит соответствия, политики конфиденциальности, договоры с обработчиками данных для бизнеса в Грузии
- Ритейл и e-commerce - правовое сопровождение онлайн-торговли в Грузии: регистрация, контракты, регуляторные требования
- Интеллектуальная собственность - регистрация товарных знаков через Sakpatenti и Мадридскую систему для интернет-магазинов
Частые вопросы
1. Обязан ли небольшой интернет-магазин в Грузии соблюдать Закон о защите персональных данных?
Закон о защите персональных данных Грузии не устанавливает порогов по размеру бизнеса или обороту: он применяется к любому субъекту, обрабатывающему данные физических лиц на территории Грузии, включая индивидуальных предпринимателей и микро-шпс. Если интернет-магазин собирает имена, адреса доставки или email-адреса покупателей - он является обработчиком данных по смыслу статьи 2 Закона о ПД. Инспекция по защите персональных данных вправе инициировать проверку по жалобе любого покупателя вне зависимости от масштаба бизнеса. Штраф за первое нарушение может составить до 5 000-20 000 лари в зависимости от характера нарушения - для малого бизнеса это существенная сумма.
2. Нужно ли получать согласие покупателя на обработку данных при оформлении заказа?
Согласие покупателя на обработку данных при оформлении заказа требуется не всегда: статья 5 Закона о ПД допускает обработку без согласия, если она необходима для исполнения договора. Данные, которые магазин обрабатывает для доставки заказа (имя, адрес, телефон), не требуют отдельного согласия - достаточно уведомления в политике конфиденциальности. Согласие обязательно для маркетинговых рассылок, профилирования покупателей, передачи данных третьим лицам в рекламных целях и установки нефункциональных cookies. Согласие должно быть получено до начала обработки и оформлено как отдельное действие покупателя - предустановленная галочка не соответствует требованиям закона.
3. Что грозит интернет-магазину за утечку данных покупателей в Грузии?
При утечке персональных данных покупателей интернет-магазин обязан уведомить Инспекцию по защите персональных данных Грузии в течение 72 часов с момента обнаружения инцидента - это требование статьи 36 Закона о ПД. Нарушение срока уведомления само по себе является отдельным основанием для штрафа до 20 000 лари. Помимо административной ответственности, пострадавшие покупатели вправе предъявить гражданский иск о компенсации ущерба. Магазин, который уведомил Инспекцию своевременно и провёл внутреннее расследование, имеет значительно больше шансов на смягчение санкций, чем тот, кто скрыл инцидент.
4. Распространяется ли грузинский Закон о персональных данных на иностранный интернет-магазин, продающий товары в Грузию?
Грузинский Закон о защите персональных данных применяется к иностранному интернет-магазину, если он целенаправленно ориентирован на покупателей в Грузии: принимает оплату в лари, предлагает доставку по грузинским адресам или использует грузинский язык на сайте. Это принцип экстерриториального применения, аналогичный статье 3 европейского регламента GDPR. Иностранный магазин, обрабатывающий данные грузинских покупателей без соответствия требованиям Закона о ПД, рискует получить предписание Инспекции и штраф. На практике Инспекция пока фокусируется на субъектах, зарегистрированных в Грузии, однако правовой риск для иностранных операторов существует и будет возрастать по мере развития правоприменительной практики.
5. Чем грузинское регулирование персональных данных отличается от российского закона № 152-ФЗ?
Грузинский Закон о защите персональных данных и российский Федеральный закон № 152-ФЗ имеют схожую структуру, но существенно различаются в деталях. Во-первых, грузинский закон прямо и детально регулирует cookies и требует явного согласия до их установки - российское законодательство долгое время не содержало такого требования. Во-вторых, в Грузии нет требования о локализации данных (хранение на серверах в Грузии), которое является ключевым в российском праве с 2015 года, - грузинский закон регулирует трансграничную передачу через механизм правовых оснований. В-третьих, срок ответа на запрос субъекта данных в Грузии составляет 10 рабочих дней, тогда как в России - 30 календарных дней. Для бизнеса, привыкшего к российским требованиям, это означает необходимость пересмотра внутренних процедур при выходе на грузинский рынок.
Грузинское законодательство о персональных данных создаёт реальные обязательства для каждого интернет-магазина, работающего в стране или ориентированного на грузинских покупателей. Политика конфиденциальности, cookie-баннер, договоры с обработчиками данных и процедура реагирования на запросы покупателей - это не опциональные элементы, а обязательные компоненты правовой инфраструктуры онлайн-торговли. Штрафы Инспекции и гражданские иски покупателей - не теоретические риски, а инструменты, которые уже применяются на практике.
Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам защиты персональных данных и правового обеспечения онлайн-торговли. Мы можем помочь с аудитом соответствия требованиям Закона о ПД, разработкой политики конфиденциальности и cookie-баннера, подготовкой договоров с обработчиками данных и выстраиванием процедуры реагирования на инциденты.
Чтобы получить чек-лист соответствия требованиям грузинского Закона о персональных данных для интернет-магазина, отправьте запрос на info@interlawfirm.ru
Нужна правовая база для онлайн-торговли в Грузии?Юристы Inter Law Firm проведут правовой анализ вашей ситуации и предложат стратегию соответствия требованиям грузинского законодательства о персональных данных с учётом специфики вашего бизнеса.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 1 мая 2026 года