Провайдер услуг виртуальных активов (Virtual Asset Service Provider, VASP) в Грузии - это юридическое лицо, осуществляющее обмен, хранение или перевод виртуальных активов в интересах третьих лиц. Деятельность VASP регулируется Национальным банком Грузии (ეროვნული ბანკი, NBG) на основании Закона Грузии «О платёжных системах и платёжных услугах» и нормативных актов NBG по виртуальным активам. По состоянию на май 2026 года VASP обязаны одновременно соблюдать требования KYC/AML и нормы Закона Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, PDPL), вступившего в силу в обновлённой редакции в 2024 году.
Два режима создают реальное операционное противоречие: KYC требует собирать и хранить данные клиентов, PDPL - минимизировать их объём и ограничивать сроки хранения. Ниже - анализ того, как эти режимы соотносятся, где возникают конфликты и как VASP выстраивает комплаенс без нарушений ни одного из них.
Что требует NBG от VASP в части идентификации клиентов?
Национальный банк Грузии устанавливает для VASP обязательную процедуру идентификации клиента (KYC) на основании Закона «О содействии предотвращению отмывания денег и финансирования терроризма» и соответствующих нормативных актов NBG. Идентификация включает сбор полного имени, даты рождения, адреса, документа, удостоверяющего личность, а для юридических лиц - сведений о бенефициарных владельцах. Срок хранения KYC-документации составляет не менее пяти лет с момента завершения деловых отношений.
Требования NBG предусматривают три уровня проверки в зависимости от профиля риска клиента. Упрощённая идентификация (Simplified Due Diligence) применяется к клиентам с низким риском - как правило, при транзакциях ниже установленного порога. Стандартная идентификация (Customer Due Diligence, CDD) охватывает большинство клиентов и включает верификацию личности и мониторинг транзакций. Усиленная проверка (Enhanced Due Diligence, EDD) обязательна для политически значимых лиц, клиентов из юрисдикций высокого риска и при нетипичных транзакциях.
На практике VASP в Грузии нередко трактуют KYC-обязательства расширительно: собирают данные сверх минимально необходимого объёма, хранят их бессрочно или передают третьим сторонам без надлежащего правового основания. Именно здесь возникает конфликт с PDPL.
Неочевидный риск для VASP, работающих с клиентами из ЕС или Украины: NBG не требует соответствия GDPR, однако если данные субъектов из ЕС обрабатываются на серверах грузинского VASP, европейский регулятор может предъявить претензии независимо от грузинской лицензии. Это отдельный комплаенс-трек, который большинство грузинских VASP игнорируют.
Компании из Тбилиси (зима 2025) помогли структурировать KYC-процедуры после того, как NBG в ходе плановой проверки выявил несоответствие объёма собираемых данных требованиям пропорциональности. Компания хранила биометрические данные клиентов без правового основания - риск административного взыскания превышал 30 000 лари. После пересмотра политики сбора данных и приведения форм согласия в соответствие с PDPL претензии были сняты.
Чтобы получить чек-лист требований NBG для VASP по KYC/AML в Грузии, отправьте запрос на info@interlawfirm.ru
Требования NBG описывают минимальный объём данных и сроки хранения, но не определяют правовую основу обработки по PDPL. Это разрыв, который каждый VASP закрывает самостоятельно - и именно здесь возникает большинство нарушений.
Планируете запустить VASP в Грузии или уже работаете без формализованной политики данных?Тип лицензии NBG и объём KYC-данных определяют требования к системе защиты персональных данных. Юристы Inter Law Firm проанализируют вашу KYC-процедуру на соответствие PDPL, подготовят политику обработки данных и согласуют её с требованиями NBG.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как PDPL регулирует обработку персональных данных в финтехе?
Закон Грузии «О защите персональных данных» (PDPL) устанавливает шесть принципов обработки данных: законность, справедливость, прозрачность, ограничение цели, минимизация данных, точность, ограничение хранения и целостность. Надзор осуществляет Инспекция по защите персональных данных Грузии (პერსონალური მონაცემების დაცვის ინსპექცია). Для VASP ключевые принципы - минимизация данных и ограничение хранения - прямо конфликтуют с KYC-требованиями NBG о пятилетнем хранении.
PDPL определяет шесть правовых оснований для обработки персональных данных. Для VASP релевантны три: согласие субъекта, исполнение договора и выполнение юридического обязательства. Последнее основание - ключевое для KYC: обработка данных в целях AML/KYC квалифицируется как выполнение юридического обязательства по грузинскому законодательству, что снимает необходимость получать отдельное согласие клиента на эту часть обработки.
Однако «выполнение юридического обязательства» покрывает только тот объём данных, который прямо предписан NBG. Всё, что VASP собирает сверх этого минимума - поведенческие данные, история транзакций для маркетинга, геолокация - требует отдельного правового основания, как правило, согласия. Это разграничение на практике соблюдается редко.
Отдельный блок PDPL - специальные категории данных. Биометрия, используемая для верификации личности (сканирование лица, отпечатки пальцев), относится к специальным категориям и требует явного согласия субъекта либо иного специального основания. VASP, использующие биометрическую верификацию в KYC-процессе, обязаны выстроить отдельный правовой режим для этих данных.
Что подготовить VASP для соответствия PDPL:
- Реестр операций по обработке данных с указанием цели, правового основания и срока хранения для каждой категории данных
- Политику конфиденциальности на языке, понятном клиенту, с разграничением KYC-обработки и иных целей
- Процедуру реализации прав субъектов данных: доступ, исправление, удаление (с учётом ограничений, установленных KYC-обязательствами)
- Соглашения с обработчиками данных (KYC-провайдеры, облачные сервисы, скоринговые системы)
- Оценку воздействия на защиту данных (DPIA) при использовании биометрии или автоматизированного принятия решений
Где KYC и PDPL конфликтуют и как разрешить коллизию?
Конфликт между KYC и PDPL в грузинском праве носит структурный характер: оба режима действуют параллельно, ни один не имеет безусловного приоритета над другим. Разрешение коллизии строится на принципе специального закона - в части, прямо предписанной AML-законодательством, KYC-требования NBG имеют приоритет как специальная норма. За пределами этого минимума действует PDPL в полном объёме.
Три основных зоны конфликта:
Срок хранения данных. NBG требует хранить KYC-документацию не менее пяти лет. PDPL требует удалять данные, когда цель обработки достигнута. Решение: установить срок хранения ровно пять лет для KYC-данных с автоматическим удалением по истечении, зафиксировать это в политике хранения. Хранение сверх пяти лет без специального основания нарушает PDPL.
Право на удаление. Клиент вправе потребовать удаления своих данных по PDPL. Однако VASP не может удалить KYC-данные в течение пяти лет - это нарушит AML-требования. Решение: в политике конфиденциальности прямо указать, что право на удаление ограничено в части KYC-данных в силу юридического обязательства, и предоставить клиенту исчерпывающее объяснение.
Трансграничная передача данных. VASP, использующие зарубежные KYC-провайдеры (например, облачные платформы верификации личности), передают персональные данные за пределы Грузии. PDPL допускает трансграничную передачу только в страны с адекватным уровнем защиты данных или при наличии стандартных договорных условий. Список стран с адекватным уровнем защиты определяется Инспекцией по защите персональных данных. Передача в страны вне этого списка без договорных гарантий - нарушение PDPL.
В отличие от России, где ФЗ-152 прямо предписывает локализацию персональных данных граждан РФ на серверах в РФ, грузинский PDPL не устанавливает требования локализации. Данные можно хранить на зарубежных серверах при соблюдении условий трансграничной передачи. Это существенное преимущество грузинской юрисдикции для VASP с международной инфраструктурой.
Три сценария для разных типов VASP:
Сценарий 1 (малый VASP, обменник). Объём данных минимален, клиенты - физические лица. Приоритет: стандартная CDD-процедура, политика конфиденциальности, срок хранения пять лет, автоудаление. Затраты на комплаенс - от 3 000-5 000 лари на первоначальную настройку.
Сценарий 2 (платёжный VASP, PSP-функции). Работает с юридическими лицами, собирает данные бенефициаров. Дополнительно: реестр обработки данных, соглашения с обработчиками, процедура EDD с отдельным правовым основанием для расширенного сбора данных.
Сценарий 3 (VASP с биометрической верификацией). Использует liveness-check или сканирование документов через внешнего провайдера. Обязательно: DPIA, явное согласие на биометрию, договор с провайдером как обработчиком данных, проверка юрисдикции серверов провайдера.
Как NBG проверяет VASP на соответствие KYC и что происходит при нарушениях?
Национальный банк Грузии проводит проверки VASP в плановом и внеплановом порядке на основании Закона «О Национальном банке Грузии» и нормативных актов по виртуальным активам. Плановые проверки охватывают полный цикл KYC/AML-процедур: наличие политик, качество верификации, мониторинг транзакций, отчётность о подозрительных операциях. Внеплановые инициируются при поступлении жалоб или выявлении аномалий в отчётности.
Типичные нарушения, выявляемые NBG при проверках VASP:
- Отсутствие задокументированных KYC-политик или их несоответствие нормативным требованиям
- Неполная идентификация бенефициарных владельцев юридических лиц
- Отсутствие мониторинга транзакций или его формальный характер
- Непредставление отчётов о подозрительных операциях в Службу финансового мониторинга Грузии
- Хранение KYC-документации в ненадлежащем формате или с нарушением сроков
Санкции NBG за нарушения KYC/AML включают предписания об устранении нарушений, штрафы, приостановление деятельности и отзыв лицензии. Размер штрафов зависит от характера нарушения и может составлять от нескольких тысяч до десятков тысяч лари. Параллельно Инспекция по защите персональных данных вправе наложить собственные санкции за нарушения PDPL - два регулятора действуют независимо, и штрафы суммируются.
Многие VASP недооценивают риск одновременной проверки двумя регуляторами. NBG и Инспекция по защите персональных данных не координируют проверки, но оба вправе запросить одни и те же документы - политику обработки данных, договоры с провайдерами, журналы доступа к данным клиентов. Компания, не готовая ответить на оба запроса одновременно, рискует получить предписания от обоих органов.
Компании из Батуми (лето 2025) помогли подготовиться к плановой проверке NBG. В ходе предпроверочного аудита выявили, что KYC-провайдер компании передавал данные клиентов на серверы в юрисдикции без адекватного уровня защиты по PDPL. Заменили провайдера и заключили стандартные договорные условия с действующим. Проверка NBG прошла без предписаний, претензии Инспекции по защите данных не последовали.
Чтобы получить чек-лист комплаенс-требований по KYC/AML и PDPL для VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Подготовка к проверке NBG и одновременное соответствие PDPL - это не два параллельных проекта, а единая система. Разрыв между ними обнаруживается именно в момент проверки, когда времени на исправление уже нет.
NBG запросил документы или инициировал проверку вашего VASP?Если регулятор направил запрос или уведомление о проверке - юристы Inter Law Firm проведут предпроверочный аудит KYC/AML-процедур и политики обработки данных, подготовят ответы на запросы NBG и Инспекции по защите персональных данных, представят интересы компании в ходе проверки.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как выстроить комплаенс-систему VASP, совместимую с KYC и PDPL?
Совместимая комплаенс-система для VASP в Грузии строится на разграничении правовых оснований обработки данных по каждой цели. Это не единый документ, а архитектура из взаимосвязанных политик, процедур и договоров, каждый из которых закрывает конкретный регуляторный риск. Минимальный комплект занимает от четырёх до восьми недель на разработку и внедрение.
Ключевые элементы системы:
Матрица данных. Таблица всех категорий данных, которые VASP обрабатывает, с указанием цели, правового основания, срока хранения и ответственного лица. Для KYC-данных основание - юридическое обязательство, срок - пять лет. Для маркетинговых данных - согласие, срок - до отзыва согласия. Матрица - основа для реестра обработки, который PDPL требует вести в обязательном порядке.
Политика конфиденциальности. Публичный документ, объясняющий клиенту, какие данные собираются, зачем, на каком основании и как долго хранятся. Для VASP критично разграничить KYC-обработку (обязательная, клиент не может отказаться) и иные цели (добровольные, клиент вправе отказаться без последствий для обслуживания).
Договоры с обработчиками. Каждый внешний KYC-провайдер, облачный сервис, скоринговая система - обработчик данных по PDPL. Договор должен содержать: перечень обрабатываемых данных, цель, срок, обязательства по безопасности, запрет на использование данных в собственных целях провайдера, условия возврата или уничтожения данных по окончании договора.
Процедура реализации прав субъектов. VASP обязан ответить на запрос клиента о доступе к данным в течение 30 дней. Запрос на удаление - рассмотреть и либо удалить, либо письменно обосновать отказ со ссылкой на юридическое обязательство. Отсутствие процедуры - нарушение PDPL даже при отсутствии реальных запросов.
Оценка воздействия (DPIA). Обязательна при использовании биометрии, автоматизированного принятия решений (автоматический отказ в обслуживании по скоринговой модели) и масштабной обработке данных. DPIA документирует риски и меры по их снижению - это одновременно внутренний инструмент и доказательство добросовестности перед Инспекцией.
Матрица решений для типичных ситуаций VASP:
Ситуация: клиент запрашивает удаление данных в течение пяти лет после закрытия счёта. Инструмент: письменный отказ со ссылкой на статью AML-закона, обязывающую хранить данные пять лет. Срок ответа: 30 дней. Риск при нарушении: предписание Инспекции.
Ситуация: VASP хочет использовать KYC-данные для маркетинговой рассылки. Инструмент: отдельное согласие на маркетинг, не связанное с KYC-формой. Затраты: минимальные (доработка онбординга). Риск без согласия: штраф Инспекции и репутационный ущерб.
Ситуация: KYC-провайдер меняет юрисдикцию серверов. Инструмент: немедленный аудит договора, заключение стандартных договорных условий или смена провайдера. Срок: до начала передачи данных в новую юрисдикцию. Риск: нарушение PDPL с момента первой передачи.
Направления практики по теме
- Финтех и регулирование NBG - лицензирование VASP, PSP, EMI; комплаенс-системы; взаимодействие с регулятором
- IT и персональные данные - PDPL-аудит, политики обработки данных, DPIA, договоры с обработчиками
Частые вопросы
1. Обязан ли VASP в Грузии получать согласие клиента на обработку данных в рамках KYC?
Для KYC-обработки данных в целях AML-комплаенса согласие клиента не требуется - правовым основанием служит выполнение юридического обязательства по Закону Грузии «О содействии предотвращению отмывания денег и финансирования терроризма». Это означает, что клиент не может отказаться от предоставления KYC-данных без последствий для обслуживания - VASP вправе отказать в открытии счёта при непрохождении идентификации. Однако согласие необходимо для любой обработки данных сверх KYC-минимума: маркетинг, аналитика, передача партнёрам в коммерческих целях. Смешение KYC-обработки и маркетинговой обработки в одной форме согласия - типичная ошибка, которая делает согласие недействительным по PDPL, поскольку оно не является свободным.
2. Какой срок хранения KYC-данных установлен в Грузии и что происходит после его истечения?
Срок хранения KYC-документации в Грузии составляет не менее пяти лет с момента завершения деловых отношений с клиентом - это требование AML-законодательства. По истечении пяти лет PDPL требует удалить данные, поскольку цель обработки (выполнение юридического обязательства) достигнута. Хранение данных сверх пяти лет без специального правового основания является нарушением принципа ограничения хранения по PDPL и может повлечь предписание Инспекции по защите персональных данных. Практическое следствие для бизнеса: VASP обязан внедрить автоматизированную процедуру удаления данных по истечении срока хранения - ручной контроль в масштабе тысяч клиентов нереалистичен и создаёт системный риск нарушения.
3. Вправе ли VASP передавать KYC-данные клиентов зарубежным провайдерам верификации?
VASP вправе передавать KYC-данные зарубежным провайдерам при соблюдении условий трансграничной передачи по PDPL. Передача допустима в страны с адекватным уровнем защиты данных по перечню Инспекции по защите персональных данных Грузии либо при наличии стандартных договорных условий с провайдером. Передача в страну вне перечня без договорных гарантий является нарушением PDPL с момента первой передачи - независимо от того, произошла ли утечка данных. Практическое следствие: перед подключением любого зарубежного KYC-сервиса необходимо проверить юрисдикцию серверов, статус страны по перечню Инспекции и заключить договор с обработчиком данных, содержащий стандартные договорные условия.
4. Что происходит, если NBG и Инспекция по защите персональных данных одновременно проверяют VASP?
Национальный банк Грузии и Инспекция по защите персональных данных действуют как независимые регуляторы - они не координируют проверки и не уведомляют друг друга об их результатах. Это означает, что VASP может получить предписания от обоих органов одновременно, и штрафы суммируются. NBG вправе наложить санкции за нарушения KYC/AML, Инспекция - за нарушения PDPL, даже если нарушение касается одних и тех же данных. Практическое следствие: комплаенс-система VASP должна быть готова к одновременному запросу документов от двух регуляторов - политики обработки данных, договоры с провайдерами и журналы доступа к данным клиентов должны быть актуальными и доступными в любой момент.
5. Чем грузинский PDPL отличается от российского ФЗ-152 применительно к VASP?
Грузинский PDPL не устанавливает требования локализации персональных данных - в отличие от российского Федерального закона «О персональных данных» (ФЗ-152), который обязывает хранить данные граждан России на серверах в России. VASP в Грузии вправе использовать зарубежную облачную инфраструктуру при соблюдении условий трансграничной передачи. Это существенное операционное преимущество для компаний с международной инфраструктурой. Вместе с тем грузинский PDPL, как и GDPR, акцентирует принцип минимизации данных и права субъектов, тогда как ФЗ-152 исторически был менее требователен в этой части. Практическое следствие для релокантов из РФ: привычная модель «собираем всё, что можем» не работает в Грузии - Инспекция по защите персональных данных активно применяет принцип минимизации при проверках.
Совместимость KYC и PDPL для VASP в Грузии достигается не компромиссом между двумя режимами, а их чётким разграничением: KYC-обработка идёт на основании юридического обязательства с фиксированным сроком хранения, всё остальное - на отдельных правовых основаниях с отдельными процедурами. Компании, выстроившие эту архитектуру до проверки, проходят её без предписаний. Компании, которые не выстроили, получают претензии от двух регуляторов одновременно.
Юридическая фирма Inter Law Firm сопровождает VASP и финтех-компании в Грузии по вопросам лицензирования NBG, KYC/AML-комплаенса и соответствия PDPL. Мы можем помочь с аудитом действующей KYC-процедуры, разработкой политики обработки данных, подготовкой к проверке регулятора и структурированием договоров с обработчиками данных.
Чтобы получить чек-лист PDPL-комплаенса для VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы разобраться с KYC и PDPL для вашего VASP в Грузии?Юристы Inter Law Firm проведут правовой анализ вашей текущей системы обработки данных и KYC-процедур, выявят несоответствия требованиям NBG и PDPL и предложат конкретный план устранения рисков.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Нино Джапаридзе, Партнёр, налоговая практика, info@interlawfirm.ru 8 мая 2026 года