Аналитика
it

Cross-border transfer данных из Грузии: правила

Трансграничная передача персональных данных (მონაცემთა გადაცემა საზღვარგარეთ) - это передача персональных данных, обрабатываемых в Грузии, контролёру или обработчику, находящемуся в иностранном государстве. Правовую основу составляет Закон Грузии о защите персональных данных (საქართველოს კანონი პერსონალური მონაცემების დაცვის შესახებ, далее - Закон о ПД) 2011 года с поправками 2023 года. По состоянию на май 2026 года надзор осуществляет Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, далее - Инспекция). Для международных компаний с офисом или операциями в Грузии несоблюдение требований к cross-border transfer влечёт административную ответственность и операционные ограничения.

Статья разбирает: правовые основания для трансграничной передачи данных из Грузии, условия применимости каждого основания, требования к документации, ответственность и практику Инспекции, а также стратегию compliance для международных структур.

Какие правовые основания допускают cross-border transfer данных из Грузии?

Трансграничная передача персональных данных из Грузии допустима при наличии одного из оснований, предусмотренных статьями 22-24 Закона о ПД. Первое - передача в страну с адекватным уровнем защиты данных, признанным Инспекцией. Второе - наличие надлежащих гарантий: стандартных договорных условий, обязательных корпоративных правил или иных инструментов. Третье - согласие субъекта данных при соблюдении условий статьи 5 Закона о ПД. Четвёртое - передача необходима для исполнения договора с субъектом данных или в его интересах. Без одного из этих оснований передача данных за рубеж незаконна вне зависимости от того, является ли получатель аффилированной структурой.

Грузинское законодательство о персональных данных строится по модели, близкой к европейской директиве 95/46/EC, однако не идентичной GDPR. Это принципиально важно для международных компаний, привыкших к GDPR-логике: ряд инструментов, стандартных для ЕС, в Грузии либо не имеет прямого аналога, либо требует адаптации под местные требования.

Инспекция ведёт реестр стран с адекватным уровнем защиты. По состоянию на май 2026 года в него включены государства - члены ЕС, государства ЕЭЗ, а также ряд других юрисдикций, признанных Инспекцией. Передача данных в страны, не включённые в реестр, - включая Россию, ОАЭ, большинство юрисдикций СНГ - требует отдельного правового основания.

Частая ошибка международных компаний - предположение, что передача данных внутри корпоративной группы автоматически допустима. Грузинский закон не содержит исключения для внутригрупповых передач: каждая трансграничная операция требует самостоятельного правового основания.

Что такое «адекватный уровень защиты» и как он влияет на передачу данных?

Адекватный уровень защиты данных - это признание Инспекцией того, что правовая система иностранного государства обеспечивает защиту персональных данных, сопоставимую с грузинским стандартом. Передача данных в такую страну не требует дополнительных гарантий или согласия субъекта - достаточно самого факта передачи в признанную юрисдикцию. Перечень таких стран публикуется на официальном сайте Инспекции и периодически обновляется.

Для компаний, передающих данные в страны без признанного адекватного уровня, доступны следующие инструменты:

  • Стандартные договорные условия (СДУ) - типовые контракты между контролёром и обработчиком данных, содержащие гарантии защиты. Инспекция разработала рекомендованные шаблоны, однако их использование не является строго обязательным - стороны вправе согласовать собственные условия при соблюдении минимальных требований статьи 23 Закона о ПД.
  • Обязательные корпоративные правила (Binding Corporate Rules, BCR) - внутренние политики группы компаний, утверждённые Инспекцией. Процедура утверждения занимает от 3 до 6 месяцев и требует предварительной консультации с Инспекцией.
  • Согласие субъекта данных - применимо, если субъект прямо и информированно согласился на передачу данных в конкретную страну с указанием рисков. Согласие должно быть получено до передачи и задокументировано.
  • Необходимость исполнения договора - применимо только если передача данных прямо необходима для исполнения договора с самим субъектом данных, а не с третьим лицом.

Неочевидный риск: многие компании используют согласие субъекта как «универсальное» основание для cross-border transfer. Инспекция последовательно ограничивает такой подход: согласие не может быть условием предоставления услуги, если передача данных не является её неотъемлемой частью. Использование принудительного согласия квалифицируется как нарушение статьи 5 Закона о ПД.

Компании из Тбилиси (зима 2024-2025) помогли выстроить правовую базу для передачи данных клиентов в головной офис в ОАЭ. Первоначально компания использовала согласие субъектов как единственное основание - Инспекция признала такой подход недостаточным при плановой проверке. После разработки стандартных договорных условий и обновления политики конфиденциальности передача данных была легализована без штрафных последствий.

Чтобы получить чек-лист комплаенс-требований по трансграничной передаче персональных данных для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Описанные инструменты работают по-разному в зависимости от структуры компании, типа данных и страны-получателя. Выбор неподходящего основания - не техническая ошибка, а нарушение, которое Инспекция фиксирует при проверке.

Передаёте данные клиентов или сотрудников за рубеж из грузинского офиса?Если ваша компания передаёт персональные данные в головной офис, облачные сервисы или партнёрам за пределами Грузии - юристы Inter Law Firm проведут правовой аудит текущей схемы передачи, определят применимое основание по Закону о ПД и подготовят необходимую документацию: стандартные договорные условия, политику конфиденциальности, реестр операций обработки.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Какие обязанности возникают у контролёра данных при cross-border transfer?

Контролёр данных (data controller) при трансграничной передаче из Грузии обязан: до передачи - определить правовое основание и задокументировать его; уведомить субъекта данных о факте передачи, стране-получателе и применяемых гарантиях; заключить договор с обработчиком данных (data processor) в соответствии со статьёй 13 Закона о ПД. Срок хранения данных за рубежом не должен превышать срок, установленный для обработки в Грузии. Нарушение любого из этих требований - самостоятельное основание для административной ответственности.

Обязанности контролёра при cross-border transfer структурированы в три блока:

Документация до передачи:

  • Реестр операций обработки с указанием трансграничных передач (статья 7 Закона о ПД)
  • Правовое основание передачи с подтверждающими документами
  • Договор с обработчиком данных или стандартные договорные условия
  • Оценка воздействия на защиту данных (DPIA) - обязательна при передаче специальных категорий данных

Информирование субъекта:

  • Политика конфиденциальности должна содержать: страну-получателя, категории передаваемых данных, применяемые гарантии, контакты Инспекции
  • Обновление политики при изменении схемы передачи - в течение 10 рабочих дней

Контроль обработчика:

  • Договор с обработчиком должен ограничивать цели обработки, устанавливать меры безопасности и право контролёра на аудит
  • Субобработчики (sub-processors) допускаются только с письменного согласия контролёра

Что подготовить перед первой трансграничной передачей данных:

  • Реестр операций обработки с описанием всех трансграничных потоков данных
  • Правовое основание для каждой передачи (документ: решение об адекватности, СДУ, согласие, договор)
  • Договор с иностранным обработчиком данных по требованиям статьи 13 Закона о ПД
  • Обновлённая политика конфиденциальности с разделом о трансграничной передаче
  • Внутренняя процедура реагирования на запросы субъектов данных и Инспекции

В отличие от GDPR, грузинский Закон о ПД не предусматривает обязательного назначения представителя в Грузии для иностранных компаний, обрабатывающих данные грузинских резидентов. Однако Инспекция вправе направлять запросы напрямую контролёру - отсутствие ответа в установленный срок (как правило, 10 рабочих дней) квалифицируется как отдельное нарушение.

Как Инспекция по защите персональных данных контролирует cross-border transfer?

Инспекция по защите персональных данных Грузии осуществляет надзор в форме плановых и внеплановых проверок, рассмотрения жалоб субъектов данных и мониторинга публично доступной информации. Плановые проверки проводятся на основании годового плана, публикуемого на сайте Инспекции. Внеплановая проверка инициируется при поступлении жалобы или при наличии признаков нарушения. Срок проверки - до 30 рабочих дней с возможностью продления. По результатам Инспекция вправе выдать предписание об устранении нарушений, наложить административный штраф или обратиться в суд.

Административная ответственность за нарушения в сфере трансграничной передачи данных установлена Кодексом об административных правонарушениях Грузии. Размер штрафа варьируется в зависимости от характера нарушения: за незаконную передачу данных - от 500 до 2 000 лари для физических лиц и от 2 000 до 10 000 лари для юридических лиц. Повторное нарушение в течение года удваивает санкцию. Помимо штрафа, Инспекция вправе потребовать прекращения передачи данных - это операционный риск, который для международных компаний может означать остановку бизнес-процессов.

На практике важно учитывать, что Инспекция активно использует мониторинг политик конфиденциальности на сайтах компаний. Отсутствие раздела о трансграничной передаче данных или его несоответствие фактической практике - один из наиболее частых поводов для внеплановой проверки.

Компании из Батуми (осень 2025) помогли подготовиться к плановой проверке Инспекции. Компания использовала облачные сервисы американского провайдера для хранения данных клиентов, однако договор с провайдером не содержал обязательных условий по статье 13 Закона о ПД. В ходе подготовки к проверке были переработаны договор с обработчиком, политика конфиденциальности и реестр операций обработки. Проверка завершилась без предписаний.

Чтобы получить чек-лист регуляторных требований по защите персональных данных для компаний с международными операциями в Грузии, отправьте запрос на info@interlawfirm.ru

Текущая практика Инспекции показывает: приоритет проверок смещается в сторону компаний, обрабатывающих данные в значительных объёмах или передающих специальные категории данных (здоровье, биометрия, финансовые данные). Для международных структур это означает повышенный регуляторный риск.

Пропуск срока ответа на запрос Инспекции (10 рабочих дней) или непредставление документов по требованию проверяющих - самостоятельное нарушение, которое фиксируется независимо от того, было ли исходное нарушение по существу.

Инспекция запросила документы или инициировала проверку?Если ваша компания получила запрос от Инспекции по защите персональных данных Грузии или уведомление о плановой проверке - юристы Inter Law Firm проанализируют текущую схему обработки и передачи данных, подготовят ответ на запрос и сопроводят проверку, включая представление интересов в административном порядке.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как выстроить compliance по cross-border transfer для международной структуры в Грузии?

Compliance по трансграничной передаче данных для международной компании в Грузии строится на трёх уровнях: правовое основание для каждого потока данных, договорная база с обработчиками и субобработчиками, операционные процедуры реагирования на запросы субъектов и Инспекции. Компании, уже имеющие GDPR-compliance, получают преимущество: значительная часть документации адаптируется, а не создаётся с нуля. Однако прямое копирование GDPR-документов без адаптации к грузинскому праву - типичная ошибка, которая не защищает от претензий Инспекции.

Три сценария для международных структур:

Сценарий 1: Грузинский офис как обработчик данных головного офиса. Грузинская компания обрабатывает данные по инструкции иностранного контролёра. Требуется: договор между контролёром и обработчиком по статье 13 Закона о ПД, ограничение целей обработки, меры безопасности. Грузинская компания несёт ответственность за нарушения на своей стороне независимо от инструкций головного офиса.

Сценарий 2: Грузинская компания как самостоятельный контролёр, передающий данные за рубеж. Наиболее распространённая ситуация для компаний, работающих с грузинскими клиентами. Требуется полный комплект документации: реестр операций, правовое основание, договоры с обработчиками, политика конфиденциальности. Ответственность - полная, как у контролёра.

Сценарий 3: Иностранная компания, обрабатывающая данные грузинских резидентов без офиса в Грузии. Закон о ПД применяется, если обработка направлена на предложение товаров или услуг лицам в Грузии. Инспекция вправе инициировать проверку и направить предписание. Отсутствие юридического лица в Грузии не исключает ответственности.

Матрица решений для выбора правового основания cross-border transfer:

Страна-получатель входит в реестр адекватных юрисдикций - передача допустима без дополнительных условий, достаточно фиксации в реестре операций обработки. Срок: немедленно. Затраты: минимальные (документирование).

Страна-получатель не входит в реестр, получатель - аффилированная структура - оптимальный инструмент: обязательные корпоративные правила (BCR). Срок утверждения Инспекцией: 3-6 месяцев. Затраты: от 3 000-5 000 лари на разработку и сопровождение процедуры.

Страна-получатель не входит в реестр, получатель - независимый обработчик - оптимальный инструмент: стандартные договорные условия. Срок: 2-4 недели на разработку и согласование. Затраты: от 1 500-2 500 лари.

Передача необходима для исполнения договора с субъектом данных - основание по статье 24 Закона о ПД. Применимо только при прямой необходимости, не для вспомогательных операций. Документирование обязательно.

В отличие от российского законодательства о персональных данных (Федеральный закон 152-ФЗ), грузинский Закон о ПД не устанавливает требования локализации данных - обязанности хранить данные грузинских граждан исключительно на серверах в Грузии нет. Это существенное преимущество для международных структур, использующих единую облачную инфраструктуру.

Направления практики по теме

Частые вопросы

1. Нужно ли уведомлять Инспекцию о каждой трансграничной передаче данных?

Грузинский Закон о защите персональных данных не требует предварительного уведомления Инспекции о каждой трансграничной передаче данных - в отличие от ряда других юрисдикций. Контролёр обязан задокументировать передачу в реестре операций обработки и обеспечить наличие правового основания. Инспекция вправе запросить реестр и подтверждающие документы в ходе проверки - срок предоставления, как правило, составляет 10 рабочих дней. Исключение: передача специальных категорий данных (здоровье, биометрия, данные о судимостях) требует предварительной оценки воздействия на защиту данных (DPIA) по статье 6 Закона о ПД. Непроведение DPIA при передаче специальных категорий данных - самостоятельное нарушение со штрафом до 10 000 лари для юридических лиц.

2. Применяется ли грузинский Закон о ПД к иностранной компании, не имеющей офиса в Грузии?

Грузинский Закон о защите персональных данных применяется к иностранной компании, если она обрабатывает данные лиц, находящихся в Грузии, в связи с предложением им товаров или услуг - вне зависимости от наличия юридического лица в стране. Инспекция вправе инициировать проверку и направить предписание иностранному контролёру. Штраф для юридических лиц за незаконную обработку данных составляет от 2 000 до 10 000 лари, при повторном нарушении - до 20 000 лари. На практике Инспекция фокусируется прежде всего на компаниях с реальным присутствием в Грузии, однако тренд на расширение юрисдикции в отношении иностранных операторов усиливается.

3. Можно ли использовать GDPR-документацию для compliance в Грузии?

GDPR-документация может служить основой для грузинского compliance, однако прямое копирование без адаптации не обеспечивает соответствия требованиям Закона о ПД. Ключевые различия: грузинский закон не предусматривает концепцию «законного интереса» (legitimate interest) как самостоятельного основания обработки - этот инструмент, широко используемый в GDPR-практике, в Грузии не применяется. Стандартные договорные условия ЕС (EU SCCs) не являются автоматически признанными в Грузии - их необходимо адаптировать под требования статьи 23 Закона о ПД. Реестр операций обработки ведётся по форме, рекомендованной Инспекцией, а не по GDPR-шаблону. Адаптация существующей GDPR-документации занимает, как правило, 2-4 недели и обходится значительно дешевле разработки с нуля.

4. Каковы риски при использовании облачных сервисов иностранных провайдеров?

Использование облачных сервисов иностранного провайдера для хранения или обработки данных грузинских резидентов квалифицируется как трансграничная передача данных по статье 22 Закона о ПД. Грузинская компания-контролёр несёт ответственность за действия облачного провайдера как обработчика данных. Обязательные условия: договор с провайдером должен содержать положения статьи 13 Закона о ПД - ограничение целей, меры безопасности, право на аудит, порядок уведомления об инцидентах. Стандартные пользовательские соглашения крупных облачных провайдеров (AWS, Google Cloud, Microsoft Azure) не содержат этих положений в явном виде - требуется заключение дополнительного соглашения об обработке данных (Data Processing Agreement). Штраф за отсутствие надлежащего договора с обработчиком - от 1 000 до 5 000 лари.

5. Что происходит при утечке данных, переданных за рубеж?

При утечке персональных данных, переданных иностранному обработчику, грузинский контролёр обязан уведомить Инспекцию в течение 72 часов с момента обнаружения инцидента - по аналогии с требованием статьи 33 GDPR, закреплённым в статье 16 Закона о ПД. Уведомление должно содержать: характер инцидента, категории и приблизительное число затронутых субъектов, вероятные последствия, принятые меры. Если утечка создаёт высокий риск для прав субъектов данных - необходимо также уведомить самих субъектов без неоправданной задержки. Непредставление уведомления в срок влечёт штраф от 2 000 до 10 000 лари. Факт передачи данных иностранному обработчику не освобождает контролёра от ответственности за инцидент на стороне обработчика.

Трансграничная передача персональных данных из Грузии - регулируемая операция с конкретными правовыми основаниями, документационными требованиями и административной ответственностью. Грузинский Закон о ПД не устанавливает требования локализации данных, однако требует надлежащего правового основания для каждого потока данных за рубеж и договорного оформления отношений с иностранными обработчиками.

Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам защиты персональных данных и IT-compliance. Мы можем помочь с аудитом схем трансграничной передачи данных, разработкой стандартных договорных условий и политик конфиденциальности, подготовкой к проверкам Инспекции и сопровождением административных процедур.

Чтобы получить чек-лист документации для cross-border transfer персональных данных из Грузии, отправьте запрос на info@interlawfirm.ru

Нужен правовой аудит схемы передачи данных перед проверкой или сделкой?Юристы Inter Law Firm проанализируют текущую схему обработки и трансграничной передачи данных, определят правовые основания, подготовят необходимую документацию и выработают стратегию compliance с учётом грузинского законодательства.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 01 мая 2026 года