Аналитика
it

Cookie policy и data protection для грузинского интернет-магазина

Защита персональных данных (პერსონალური მონაცემების დაცვა) в Грузии регулируется Законом о персональных данных 2011 года (с существенными поправками 2023 года) и надзорным органом - Службой защиты персональных данных (პერსონალური მონაცემების დაცვის სამსახური, PDPO). По состоянию на май 2026 года любой грузинский интернет-магазин, собирающий данные покупателей - имена, email, адреса доставки, платёжные реквизиты, cookie-идентификаторы, - является оператором персональных данных и обязан соответствовать требованиям грузинского законодательства.

Для e-commerce в Грузии это не формальность: PDPO проводит плановые и внеплановые проверки, штрафы за нарушения достигают 10 000 лари, а отсутствие корректной cookie policy блокирует работу с рядом платёжных шлюзов и партнёров из ЕС. Гайд разбирает: какие данные считаются персональными по грузинскому праву, как правильно оформить cookie policy и политику конфиденциальности, какие технические и организационные меры обязательны, и что проверяет PDPO на практике.

Что считается персональными данными в грузинском законодательстве?

Персональные данные по грузинскому Закону о персональных данных - это любая информация, которая прямо или косвенно идентифицирует физическое лицо. Для интернет-магазина в Грузии это означает: имя и фамилия покупателя, адрес электронной почты, номер телефона, адрес доставки, IP-адрес, cookie-идентификатор браузера, история заказов и платёжные данные. Каждая из этих категорий требует правового основания для обработки - согласия субъекта или иного основания, прямо предусмотренного законом.

Грузинский закон разграничивает обычные персональные данные и специальные категории (статья 6): данные о здоровье, биометрия, расовая принадлежность. Для интернет-магазина специальные категории возникают редко - например, при продаже медицинских товаров с анкетированием покупателя. Обработка специальных категорий требует явного письменного согласия и дополнительных мер защиты.

Частая ошибка операторов в Грузии - считать, что cookie-файлы не являются персональными данными. Cookie-идентификатор в связке с IP-адресом и поведением на сайте позволяет идентифицировать конкретного пользователя, поэтому PDPO квалифицирует такие данные как персональные. Это означает: сбор cookie требует правового основания, а значит - корректного механизма получения согласия.

Важно: обработка данных без правового основания (статья 5 Закона о персональных данных) влечёт административную ответственность. PDPO вправе выдать предписание об устранении нарушения в течение 30 дней и наложить штраф при неисполнении.

Как правильно оформить cookie policy для интернет-магазина в Грузии?

Cookie policy (политика использования файлов cookie) для грузинского интернет-магазина должна содержать четыре обязательных элемента: перечень используемых cookie с указанием их назначения, срок хранения каждого типа, третьи стороны, которым передаются данные через cookie, и механизм отзыва согласия. Это требование вытекает из статьи 7 Закона о персональных данных и разъяснений PDPO 2024 года.

Cookie делятся на три функциональные категории применительно к грузинскому e-commerce:

  • Технически необходимые (корзина, сессия авторизации) - согласие не требуется, но пользователь должен быть проинформирован
  • Аналитические (Google Analytics, Yandex.Metrica) - требуют согласия до активации
  • Маркетинговые (ретаргетинг, Facebook Pixel, Google Ads) - требуют явного согласия до активации

Механизм получения согласия (cookie banner) должен соответствовать принципу «opt-in»: пользователь активно выбирает «Принять», а не видит предварительно проставленные галочки. Кнопка «Отклонить» должна быть визуально равнозначна кнопке «Принять» - не меньше, не серее, не спрятана в подменю. PDPO в ходе проверок 2024-2025 годов фиксировала нарушения именно в части дизайна баннера: кнопка отказа была намеренно скрыта.

Cookie policy размещается как отдельная страница сайта со ссылкой из footer и из cookie banner. Язык документа - грузинский как основной; русская и английская версии - дополнительные. Отсутствие грузинской версии PDPO расценивает как нарушение требования об информировании субъекта на понятном ему языке.

Чек-лист: что подготовить для корректной cookie policy

  • Провести аудит всех cookie на сайте (инструменты: cookiebot.com, OneTrust) и составить реестр с указанием типа, срока хранения и получателя данных
  • Разработать cookie banner с раздельными кнопками «Принять», «Отклонить» и «Настроить» (для каждой категории)
  • Подготовить страницу cookie policy на грузинском языке с перечнем всех cookie и ссылками на политики третьих сторон (Google, Meta и др.)
  • Настроить техническую блокировку аналитических и маркетинговых скриптов до получения согласия пользователя
  • Обеспечить хранение записей о согласии (timestamp, версия политики, выбор пользователя) не менее 3 лет

Чтобы получить чек-лист запуска cookie-комплаенса для малого e-commerce в Грузии, отправьте запрос на info@interlawfirm.ru

Какие требования предъявляет грузинский закон к политике конфиденциальности?

Политика конфиденциальности (privacy policy) - обязательный документ для любого грузинского интернет-магазина, обрабатывающего данные покупателей. Статья 8 Закона о персональных данных устанавливает перечень сведений, которые оператор обязан раскрыть субъекту до начала обработки: наименование и контакты оператора, цели и правовые основания обработки, категории данных, срок хранения, права субъекта и порядок их реализации, сведения о трансграничной передаче данных.

Для грузинского e-commerce трансграничная передача данных - стандартная ситуация: платёжные шлюзы (TBC Pay, Bank of Georgia Checkout, Stripe), CRM-системы (Salesforce, HubSpot), email-маркетинг (Mailchimp, SendGrid), облачные хранилища (AWS, Google Cloud) - все они предполагают передачу данных за пределы Грузии. Статья 22 Закона о персональных данных допускает трансграничную передачу в страны с «адекватным» уровнем защиты данных (список утверждается PDPO) либо при наличии стандартных договорных условий (Standard Contractual Clauses, SCC) с получателем.

Практический нюанс: Грузия не входит в список стран с «адекватным» уровнем защиты по праву ЕС, однако сама Грузия признаёт страны ЕС адекватными. Если ваш интернет-магазин работает с покупателями из ЕС - параллельно применяется GDPR, что требует отдельного анализа.

Права субъекта данных по грузинскому закону, которые должна отражать политика конфиденциальности:

  • Право на доступ к своим данным (статья 15) - оператор обязан ответить в течение 10 рабочих дней
  • Право на исправление неточных данных (статья 16)
  • Право на удаление данных («право быть забытым», статья 17) - при отсутствии законного основания для дальнейшего хранения
  • Право на ограничение обработки (статья 18)
  • Право на возражение против обработки (статья 21)

Компании из Тбилиси (зима 2025) помогли привести политику конфиденциальности в соответствие с требованиями PDPO после предписания регулятора. Магазин использовал типовой шаблон без указания правовых оснований обработки и без раздела о трансграничной передаче данных. После доработки документа и внедрения процедуры обработки запросов субъектов предписание было закрыто без штрафных санкций.

Корректная политика конфиденциальности - это не шаблон из интернета. Каждый раздел должен отражать реальную архитектуру обработки данных конкретного магазина: какие данные, в каких системах, на каком основании, с какими подрядчиками. Несоответствие документа фактической практике - самостоятельное нарушение, которое PDPO выявляет при проверке.

Чтобы получить чек-лист регуляторных требований по защите данных для e-commerce в Грузии, отправьте запрос на info@interlawfirm.ru

Если ваш магазин уже получил запрос от покупателя на удаление данных или предписание PDPO - сроки на реагирование ограничены, а ошибка в ответе усугубляет позицию оператора.

Получили предписание PDPO или запрос от покупателя на удаление данных?Если Служба защиты персональных данных Грузии направила предписание или покупатель потребовал удалить его данные - юристы Inter Law Firm проанализируют основания, подготовят ответ регулятору и приведут документацию в соответствие с требованиями грузинского закона.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как зарегистрироваться в реестре операторов персональных данных PDPO?

Регистрация в реестре операторов персональных данных (მონაცემთა დამმუშავებელთა რეესტრი) обязательна для операторов, обрабатывающих данные в «особых случаях», определённых статьёй 11 Закона о персональных данных: обработка специальных категорий данных, систематический мониторинг поведения субъектов, обработка данных в масштабе, превышающем пороговые значения PDPO. Для стандартного интернет-магазина в Грузии с оборотом до 500 000 лари регистрация, как правило, не обязательна - но оператор обязан провести самооценку и зафиксировать её результат.

Если магазин использует профилирование покупателей (рекомендательные алгоритмы, сегментация для таргетинга), обрабатывает данные детей или ведёт систематическое отслеживание поведения пользователей - регистрация в реестре PDPO становится обязательной. Процедура: подача заявления через официальный портал PDPO, указание категорий данных, целей обработки, мер защиты. Срок рассмотрения - 30 дней. Государственная пошлина - 200 лари.

Параллельно с вопросом регистрации операторы обязаны назначить ответственного за защиту данных (Data Protection Officer, DPO) при систематической обработке данных в крупном масштабе. Для малого e-commerce в Грузии DPO не обязателен, однако PDPO рекомендует назначить внутреннего координатора по вопросам данных - сотрудника, который принимает запросы субъектов и взаимодействует с регулятором.

В отличие от российского законодательства (Роскомнадзор требует уведомления при любой обработке персональных данных), грузинский подход дифференцирован: регистрация только для операторов с повышенным риском. Это снижает административную нагрузку на малый бизнес, но не освобождает от содержательных требований закона.

Какие технические меры защиты данных обязательны для e-commerce в Грузии?

Технические и организационные меры защиты данных (ТОЗМ) - обязательное требование статьи 13 Закона о персональных данных Грузии. Для интернет-магазина минимальный набор мер включает шифрование данных при передаче (TLS 1.2 и выше), контроль доступа к базам данных покупателей, журналирование операций с персональными данными и процедуру реагирования на утечки данных. Отсутствие документально подтверждённых ТОЗМ - самостоятельное основание для штрафа PDPO.

Статья 14 Закона о персональных данных устанавливает обязанность оператора уведомить PDPO об утечке данных в течение 72 часов с момента обнаружения - если утечка создаёт риск для прав и свобод субъектов. Для интернет-магазина это означает: утечка базы email-адресов покупателей или платёжных данных требует немедленного уведомления регулятора. Уведомление подаётся через официальный портал PDPO и должно содержать описание инцидента, категории и примерное число затронутых субъектов, принятые меры.

Неочевидный риск для грузинских e-commerce операторов - использование сторонних плагинов и виджетов (чаты, формы обратной связи, виджеты отзывов), которые самостоятельно собирают данные пользователей. Оператор несёт ответственность за действия таких «субобработчиков» (статья 9 Закона о персональных данных) и обязан заключить с ними договор об обработке данных (Data Processing Agreement, DPA). Отсутствие DPA с подрядчиком - нарушение, которое PDPO выявляет при проверке документации.

Компании из Батуми (осень 2024) помогли выстроить систему технической защиты данных после выявления уязвимости в форме оформления заказа. Данные покупателей передавались через незащищённое соединение, а доступ к базе данных имели четыре сотрудника без разграничения прав. После внедрения TLS, ролевой модели доступа и DPA с платёжным шлюзом магазин прошёл повторную проверку PDPO без замечаний.

Направления практики по теме

  • IT-право и защита данных - cookie policy, политика конфиденциальности, DPA, сопровождение проверок PDPO
  • Ритейл и e-commerce - правовая структура интернет-магазина, оферта, возвраты, платёжные системы в Грузии

Частые вопросы

1. Обязан ли грузинский интернет-магазин иметь cookie policy, если он работает только с покупателями внутри Грузии?

Да, грузинский интернет-магазин обязан иметь cookie policy вне зависимости от географии покупателей. Закон о персональных данных Грузии применяется к любому оператору, обрабатывающему данные физических лиц на территории Грузии, - это следует из статьи 3 закона. Cookie-идентификаторы, IP-адреса и поведенческие данные пользователей сайта квалифицируются как персональные данные, их сбор требует правового основания. Отсутствие cookie policy и механизма получения согласия - нарушение, за которое PDPO вправе выдать предписание и наложить штраф до 10 000 лари. Внутренний рынок не освобождает от требований грузинского законодательства.

2. Сколько времени занимает приведение интернет-магазина в соответствие с требованиями PDPO?

Приведение стандартного грузинского интернет-магазина в соответствие с требованиями Закона о персональных данных занимает от 3 до 6 недель при наличии технической команды и юридического сопровождения. Первая неделя - аудит текущей практики обработки данных и cookie. Вторая-третья неделя - разработка документации (cookie policy, политика конфиденциальности, DPA с подрядчиками). Четвёртая-шестая неделя - техническая реализация cookie banner, блокировка скриптов до согласия, настройка журналирования. Сроки увеличиваются, если магазин использует нестандартные платформы или большое число сторонних интеграций.

3. Что происходит, если интернет-магазин в Грузии нарушает требования по защите данных и PDPO проводит проверку?

Служба защиты персональных данных Грузии при выявлении нарушений действует в два этапа. Первый этап - предписание об устранении нарушения: оператору даётся срок от 10 до 30 дней на исправление. Второй этап - штраф при неисполнении предписания или при повторном нарушении: от 500 до 10 000 лари в зависимости от тяжести нарушения и масштаба обработки данных. При утечке данных, затронувшей значительное число субъектов, PDPO вправе передать материалы в прокуратуру - уголовная ответственность предусмотрена статьёй 157-1 Уголовного кодекса Грузии. На практике большинство проверок заканчивается предписанием, если оператор демонстрирует готовность к исправлению и сотрудничает с регулятором.

Грузинское законодательство о персональных данных продолжает сближаться с европейскими стандартами: поправки 2023 года усилили требования к согласию и трансграничной передаче данных, а PDPO последовательно наращивает надзорную активность. Для интернет-магазина в Грузии комплаенс в сфере защиты данных - это не разовая задача, а процесс: законодательство меняется, появляются новые интеграции, меняется состав обрабатываемых данных.

Юридическая фирма Inter Law Firm сопровождает e-commerce клиентов в Грузии по вопросам IT-права и защиты данных. Мы можем помочь с аудитом текущей практики обработки данных, разработкой cookie policy и политики конфиденциальности, подготовкой DPA с подрядчиками и сопровождением при проверках PDPO.

Чтобы получить чек-лист комплаенс-требований по защите данных для интернет-магазина в Грузии, отправьте запрос на info@interlawfirm.ru

Запускаете или масштабируете интернет-магазин в Грузии?Приведение cookie policy и политики конфиденциальности в соответствие с грузинским законодательством - это конкретный перечень документов и технических мер. Юристы Inter Law Firm проведут аудит текущей практики, разработают необходимую документацию и выстроят процедуры обработки запросов покупателей в соответствии с требованиями PDPO.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 4 мая 2026 года