Аналитика
it

GDPR vs грузинский PDPL: gap analysis

Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - PDPL) в редакции 2023 года является основным нормативным актом, регулирующим обработку персональных данных в грузинской юрисдикции. По состоянию на май 2026 года PDPL применяется ко всем операторам данных, работающим на территории Грузии, независимо от места их регистрации - аналогично экстерриториальному принципу GDPR. Надзор осуществляет Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, далее - Инспекция). Максимальный штраф по PDPL составляет 10 000 лари за отдельное нарушение - в разы меньше, чем 20 млн евро по GDPR, однако административная практика Инспекции ужесточается.

Статья разбирает: структурные различия GDPR и PDPL, ключевые пробелы грузинского регулирования, практические риски для международных компаний и стратегию достижения двойного соответствия.

Каковы структурные различия между GDPR и грузинским PDPL?

Грузинский PDPL строился с ориентацией на европейскую модель, однако воспроизводит её неполно. Оба акта закрепляют схожий понятийный аппарат - контролёр данных, обработчик, субъект данных, специальные категории - и опираются на принципы законности, соразмерности и целевого ограничения. Ключевое структурное отличие: GDPR содержит 99 статей и 173 рецитала, PDPL - значительно более компактный акт без детализированных рецитальных разъяснений. Это создаёт интерпретационные лакуны, которые Инспекция заполняет методическими рекомендациями, не имеющими силы закона.

Правовые основания обработки в PDPL в целом совпадают с GDPR: согласие, договор, законный интерес, публичная функция, жизненно важный интерес, правовая обязанность. Однако концепция «законного интереса» (legitimate interest) в PDPL не сопровождается балансировочным тестом, обязательным по статье 6(1)(f) GDPR. На практике это означает, что грузинские компании нередко ссылаются на законный интерес без документирования теста - и это не нарушение по PDPL, но создаёт риск при параллельной проверке GDPR-compliance.

Специальные категории данных в PDPL (здоровье, биометрия, расовое происхождение, политические взгляды, религия, судимость) совпадают с перечнем GDPR по существу, но PDPL не выделяет генетические данные в отдельную категорию - они подпадают под «биометрические» в широком толковании Инспекции. Для IT-компаний, работающих с геномными или медицинскими данными, это различие требует отдельной правовой квалификации.

Минимальный набор документов для базового соответствия PDPL:

  • Политика обработки персональных данных (публичная, на грузинском языке)
  • Реестр операций по обработке (внутренний, аналог GDPR Art. 30)
  • Форма согласия субъекта данных с указанием цели, срока и получателей
  • Процедура реагирования на запросы субъектов данных (срок - 10 рабочих дней по PDPL)
  • Соглашение с обработчиком данных (data processing agreement)

Чтобы получить чек-лист комплаенс-требований по защите персональных данных для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Международные компании, уже прошедшие GDPR-аудит, нередко полагают, что грузинский PDPL автоматически покрывается их европейской документацией. Это не так: PDPL содержит специфические требования к форме уведомлений, языку документов и порядку регистрации в Инспекции, которые не предусмотрены GDPR и требуют отдельной локализации.

Нужна оценка разрыва между вашей текущей GDPR-документацией и требованиями PDPL Грузии?Если ваша компания работает в Грузии и уже имеет GDPR-compliance - юристы Inter Law Firm проведут gap analysis, определят пробелы в грузинской документации и подготовят локализованный пакет под требования Инспекции по защите персональных данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Где грузинский PDPL отстаёт от GDPR: ключевые пробелы

Грузинский PDPL не содержит обязательного требования о назначении ответственного за защиту данных (Data Protection Officer, DPO) для частных компаний - в отличие от статьи 37 GDPR, которая вводит такую обязанность для операторов, осуществляющих масштабную обработку специальных категорий или систематический мониторинг субъектов. По PDPL назначение DPO носит рекомендательный характер для большинства организаций. Это создаёт асимметрию: европейский головной офис требует DPO по GDPR, грузинский филиал формально обходится без него - но при инциденте отсутствие ответственного лица усугубляет позицию перед Инспекцией.

Оценка воздействия на защиту данных (Data Protection Impact Assessment, DPIA) по GDPR обязательна при высоком риске для прав субъектов - статья 35 GDPR содержит конкретные триггеры: профилирование, биометрическая идентификация, масштабная обработка специальных категорий. PDPL не закрепляет DPIA как самостоятельный инструмент. Инспекция рекомендует проводить оценку рисков, однако без законодательно установленных триггеров и методологии. Для компаний, разрабатывающих продукты с элементами ИИ или профилирования, это означает: GDPR-DPIA есть, грузинского аналога нет - и при аудите Инспекции придётся объяснять логику оценки рисков в терминах, которые PDPL прямо не использует.

Уведомление об утечке данных - ещё один значимый разрыв. GDPR статья 33 устанавливает 72-часовой срок уведомления надзорного органа. PDPL предусматривает обязанность уведомления Инспекции, однако конкретный срок в законе менее жёстко формализован, чем в GDPR. На практике Инспекция ориентируется на «разумный срок» и рассматривает задержку свыше 72 часов как отягчающее обстоятельство - фактически применяя стандарт GDPR без его прямого закрепления в PDPL.

Компании из Тбилиси (зима 2025) - грузинский офис европейского SaaS-провайдера - обратились после того, как Инспекция инициировала проверку по жалобе пользователя. Выяснилось, что компания имела полный GDPR-пакет, но не локализовала политику конфиденциальности на грузинский язык и не зарегистрировала операции обработки в Инспекции. Штраф составил около 4 000 лари - не критично финансово, но создал прецедент в реестре нарушителей, что осложнило последующее тендерное участие.

Чтобы получить чек-лист регуляторных требований по защите данных для компаний, работающих в Грузии параллельно с GDPR, отправьте запрос на info@interlawfirm.ru

Как работает трансграничная передача данных по PDPL и чем это отличается от GDPR?

Трансграничная передача персональных данных по грузинскому PDPL допускается в страны, обеспечивающие «адекватный уровень защиты» - перечень таких стран определяется Инспекцией. По состоянию на май 2026 года Грузия не включена в список адекватных стран по решению Европейской комиссии в рамках GDPR (статья 45), что создаёт практическую проблему для передачи данных из ЕС в Грузию: европейские контрагенты обязаны использовать стандартные договорные условия (Standard Contractual Clauses, SCC) или иные механизмы статьи 46 GDPR.

GDPR предусматривает детализированную иерархию механизмов трансграничной передачи: решение об адекватности - SCC - обязательные корпоративные правила (BCR) - специфические исключения статьи 49. PDPL воспроизводит концепцию адекватности и допускает передачу на основании договорных гарантий, однако не содержит аналога BCR как самостоятельного инструмента. Для транснациональных корпораций с внутригрупповыми потоками данных это означает: BCR, одобренные европейским регулятором, не имеют автоматического признания в Грузии - требуется отдельное договорное оформление внутригрупповых передач.

Практический риск возникает в следующем сценарии: грузинский офис получает данные клиентов из европейского головного офиса, обрабатывает их локально и передаёт результаты обратно. С точки зрения GDPR - это передача в третью страну без решения об адекватности, требующая SCC. С точки зрения PDPL - это получение данных из страны с адекватным уровнем защиты (ЕС входит в перечень Инспекции), что само по себе правомерно. Но документация для двух регуляторов должна быть выстроена параллельно - и нередко компании закрывают только одну сторону.

Неочевидный риск для IT-аутсорсеров: грузинские разработчики, работающие с европейскими клиентами по модели «обработчик данных», формально подпадают под GDPR как обработчики - даже если их клиент не требует подписания DPA. При этом PDPL регулирует их как контролёров в отношении собственных сотрудников и подрядчиков. Двойной статус требует двойной документации - и это не дублирование, а разные правовые обязательства перед разными регуляторами.

Каковы права субъектов данных по PDPL и где они уже, чем по GDPR?

Права субъектов данных по грузинскому PDPL включают: право на доступ, исправление, удаление, ограничение обработки и возражение. Срок ответа на запрос субъекта - 10 рабочих дней, с возможностью продления до 30 дней при обоснованной сложности. GDPR устанавливает базовый срок в один календарный месяц с аналогичным правом продления до трёх месяцев.

Право на переносимость данных (data portability) закреплено в статье 20 GDPR и применяется при автоматизированной обработке на основании согласия или договора. PDPL не содержит самостоятельной нормы о переносимости данных - это один из наиболее значимых пробелов для IT-продуктов и платформенных сервисов. Пользователь грузинского приложения не может потребовать выгрузки своих данных в машиночитаемом формате на основании PDPL - только если это предусмотрено условиями сервиса добровольно.

Право на возражение против профилирования и автоматизированного принятия решений детально регулируется статьями 21-22 GDPR. PDPL содержит общую норму о праве возражения, однако не выделяет автоматизированное принятие решений как отдельный институт с правом на «человеческое рассмотрение». Для компаний, использующих алгоритмическую оценку кредитоспособности, скоринг или рекомендательные системы, это означает: GDPR-требования к таким системам строже, и их соблюдение не гарантирует автоматического соответствия духу PDPL при расширительном толковании Инспекцией.

Компании из Батуми (лето 2025) - финтех-стартап с грузинской регистрацией и европейскими инвесторами - помогли выстроить документацию, покрывающую одновременно требования PDPL и GDPR. Ключевым решением стало внедрение единого реестра запросов субъектов данных с 10-дневным операционным сроком (жёстче, чем требует PDPL, но соответствует GDPR), что позволило использовать одну процедуру для обоих регуляторов вместо двух параллельных.

Какова стратегия двойного соответствия GDPR и PDPL для международных компаний в Грузии

Стратегия двойного соответствия строится на принципе «высшего стандарта»: там, где GDPR строже PDPL, применяется GDPR-стандарт - это автоматически покрывает грузинские требования. Там, где PDPL содержит специфические требования, отсутствующие в GDPR (язык документов, регистрация в Инспекции, местные формы уведомлений), добавляется грузинский слой. Такой подход исключает дублирование усилий и минимизирует операционные затраты на поддержание двух независимых систем.

Практическая матрица решений для международной компании с офисом в Грузии:

Сценарий 1: Европейский контролёр, грузинский обработчик. Применяется GDPR как основной акт для контролёра; грузинский офис как обработчик подписывает DPA по GDPR-стандарту. Дополнительно: локализация политики конфиденциальности на грузинский язык, регистрация в Инспекции как обработчика. Срок подготовки документации - 3-4 недели.

Сценарий 2: Грузинский контролёр с европейскими пользователями. PDPL применяется как lex loci; GDPR применяется экстерриториально в части европейских субъектов данных. Требуется: назначение представителя в ЕС (статья 27 GDPR), SCC для передачи данных в Грузию, параллельная документация под оба акта. Срок - 6-8 недель при наличии базовой GDPR-документации.

Сценарий 3: Грузинская компания без европейских пользователей. Применяется только PDPL. Минимальный пакет: политика обработки, реестр операций, форма согласия, DPA с подрядчиками, процедура реагирования на запросы. Срок - 2-3 недели.

Три сценария объединяет одно: регистрация в Инспекции по защите персональных данных обязательна для всех операторов, обрабатывающих данные на территории Грузии, - это требование PDPL, которое не имеет прямого аналога в GDPR (где уведомление регулятора заменено внутренним реестром по статье 30).

Частая ошибка in-house counsel международных компаний - делегировать грузинский PDPL-комплаенс тому же подрядчику, который вёл GDPR-проект, без проверки его знания грузинского законодательства. GDPR-эксперт из Берлина или Варшавы не знает практики Инспекции, не читает её методические рекомендации на грузинском языке и не отслеживает изменения в PDPL. Результат - документация, формально похожая на GDPR-пакет, но не соответствующая грузинским требованиям по форме и содержанию.

Неочевидный риск для CFO и country manager: при due diligence перед M&A-сделкой или привлечением инвестиций грузинский PDPL-комплаенс проверяется отдельно от GDPR. Отсутствие регистрации в Инспекции или нелокализованная документация - типичные находки, которые снижают оценку компании или создают условия для корректировки цены сделки.

Направления практики по теме

Международные компании, выстраивающие грузинский офис, нередко обнаруживают разрыв между GDPR-документацией и требованиями PDPL уже в момент первого запроса Инспекции - а не на этапе планирования. Устранение пробелов в реактивном режиме дороже и рискованнее, чем превентивный gap analysis.

Открываете офис в Грузии или нанимаете сотрудников и обрабатываете данные клиентов - нужна оценка соответствия PDPL?Если у вашей компании уже есть GDPR-документация, но нет грузинского PDPL-пакета - юристы Inter Law Firm проведут gap analysis, подготовят локализованную документацию и зарегистрируют компанию в Инспекции по защите персональных данных Грузии.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Частые вопросы

1. Распространяется ли грузинский PDPL на иностранные компании, не имеющие офиса в Грузии?

Грузинский Закон о защите персональных данных распространяется на иностранные компании, если они обрабатывают данные физических лиц, находящихся на территории Грузии, - вне зависимости от наличия юридического лица в стране. Этот экстерриториальный принцип аналогичен статье 3(2) GDPR. На практике Инспекция по защите персональных данных Грузии пока концентрирует надзорные усилия на компаниях с грузинской регистрацией, однако методические рекомендации 2024 года прямо указывают на применимость PDPL к иностранным операторам. Для компании без офиса в Грузии, но с грузинскими пользователями или клиентами, минимальный шаг - разработка политики конфиденциальности, соответствующей PDPL, и определение порядка реагирования на запросы грузинских субъектов данных.

2. Обязательно ли назначать DPO по грузинскому PDPL?

Назначение ответственного за защиту данных (Data Protection Officer) по грузинскому PDPL не является обязательным для большинства частных компаний - в отличие от статьи 37 GDPR, которая вводит такую обязанность при масштабной обработке специальных категорий данных или систематическом мониторинге субъектов. Инспекция по защите персональных данных Грузии рекомендует назначение DPO или ответственного сотрудника для компаний, обрабатывающих данные более 1 000 субъектов в месяц, однако это рекомендация, а не норма закона. На практике отсутствие назначенного ответственного лица при инциденте с данными рассматривается Инспекцией как отягчающее обстоятельство при определении размера штрафа - до 10 000 лари за нарушение.

3. Каков срок уведомления Инспекции об утечке данных по PDPL?

Грузинский PDPL обязывает оператора уведомить Инспекцию по защите персональных данных об утечке, создающей риск для прав субъектов, однако конкретный срок в законе менее жёстко формализован, чем 72-часовое требование статьи 33 GDPR. Инспекция в своей надзорной практике ориентируется на «разумный срок» и рассматривает задержку уведомления свыше 72 часов как нарушение. Для компаний, параллельно соблюдающих GDPR, рекомендуется применять единую процедуру с 72-часовым триггером - это покрывает оба регулятора. Уведомление субъектов данных о высокорисковой утечке обязательно по обоим актам; форма уведомления по PDPL должна быть на грузинском языке.

4. Нужны ли стандартные договорные условия (SCC) для передачи данных из ЕС в Грузию?

Передача персональных данных из Европейского союза в Грузию требует применения механизмов статьи 46 GDPR, поскольку Грузия не включена в список стран с адекватным уровнем защиты по решению Европейской комиссии. Наиболее распространённый инструмент - стандартные договорные условия (SCC) в редакции Решения Комиссии 2021/914. Для внутригрупповых передач возможны обязательные корпоративные правила (BCR), однако их одобрение занимает от 12 до 18 месяцев. С точки зрения грузинского PDPL, получение данных из ЕС правомерно, поскольку ЕС входит в перечень стран с адекватным уровнем защиты по оценке Инспекции. Таким образом, SCC требуются на стороне европейского отправителя, а не грузинского получателя - но документация должна быть у обеих сторон.

5. Что грозит компании за нарушение PDPL в Грузии?

Инспекция по защите персональных данных Грузии вправе наложить административный штраф до 10 000 лари за отдельное нарушение PDPL - это существенно меньше, чем максимальные санкции GDPR (до 20 млн евро или 4% глобального оборота). Помимо штрафа, Инспекция вправе выдать предписание об устранении нарушения, приостановить обработку данных и внести компанию в публичный реестр нарушителей. Последнее имеет практические последствия: участие в государственных тендерах, получение лицензий и привлечение инвестиций становятся затруднёнными. В 2024-2025 годах Инспекция увеличила число плановых и внеплановых проверок - тренд на ужесточение надзора продолжается.

Двойное соответствие GDPR и PDPL достижимо без удвоения операционных затрат - при условии, что gap analysis проведён до, а не после первого запроса регулятора. Ключевые пробелы PDPL относительно GDPR - отсутствие обязательного DPO, отсутствие DPIA как законодательного инструмента, отсутствие права на переносимость данных - не означают более мягкого режима: они означают большую интерпретационную неопределённость, которую Инспекция заполняет по собственному усмотрению.

Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам защиты персональных данных, IT-права и цифрового комплаенса. Мы можем помочь с gap analysis GDPR/PDPL, подготовкой локализованной документации, регистрацией в Инспекции и сопровождением проверок.

Чтобы получить чек-лист документов для соответствия грузинскому PDPL для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Нужна правовая позиция по PDPL-комплаенсу для вашего грузинского офиса?Юристы Inter Law Firm проведут gap analysis между вашей текущей документацией и требованиями грузинского законодательства о защите персональных данных и предложат стратегию с учётом специфики Инспекции.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 4 мая 2026 года