Защита персональных данных в Грузии регулируется Законом Грузии «О защите персональных данных» (საქართველოს კანონი პერსონალური მონაცემების დაცვის შესახებ) в редакции 2023 года. Закон распространяется на любую организацию, обрабатывающую данные физических лиц на территории Грузии, - включая IT-компании, финтех-сервисы, платёжные системы и VASP-операторов. По состоянию на май 2026 года надзорный орган - Инспекция по защите персональных данных (персональных данных инспекция, PDPO) - перешёл к активной правоприменительной практике: число проверок в 2025 году выросло в два раза по сравнению с 2023 годом.
Для IT-компаний и финтех-операторов в Грузии вопрос соответствия требованиям закона о данных стал операционным, а не только юридическим. Регулятор вправе приостановить обработку данных, наложить штраф и обязать устранить нарушение в короткий срок. Статья разбирает: кто обязан соблюдать грузинский закон о данных, какие требования предъявляются к IT-компаниям и финтех-операторам, как работает надзор PDPO, какова ответственность за нарушения и как выстроить комплаенс в грузинской юрисдикции.
Кто обязан соблюдать грузинский закон о защите персональных данных?
Закон Грузии «О защите персональных данных» распространяется на любого оператора данных - физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Для IT-компаний и финтех-операторов это означает: если вы обрабатываете данные пользователей, клиентов или сотрудников на территории Грузии - закон применяется к вам вне зависимости от юрисдикции регистрации компании.
Территориальный охват закона шире, чем многие предполагают. Компания, зарегистрированная за пределами Грузии, но предлагающая услуги грузинским пользователям или обрабатывающая данные лиц, находящихся в Грузии, подпадает под действие закона. Это прямо следует из статьи 3 закона и подтверждается позицией PDPO в методических разъяснениях 2024 года.
Для компаний со статусом Virtual Zone (ვირტუალური ზონა) ситуация требует отдельного анализа. Статус Virtual Zone освобождает от налога на прибыль с экспортных IT-услуг, но не создаёт исключений из требований закона о персональных данных. Если VZ-компания обрабатывает данные грузинских пользователей или хранит данные на серверах в Грузии - она обязана соблюдать закон в полном объёме.
Частая ошибка финтех-операторов из СНГ - предположение, что регистрация компании в офшорной юрисдикции или статус VZ автоматически выводит их из-под грузинского регулирования данных. На практике PDPO оценивает фактическую деятельность, а не юридический адрес.
Чтобы получить чек-лист требований к IT-компаниям и финтех-операторам по грузинскому закону о персональных данных, отправьте запрос на info@interlawfirm.ru
Какие требования предъявляет грузинский закон к обработке данных в IT и финтех?
Грузинский закон о персональных данных устанавливает шесть принципов обработки данных: законность, справедливость, прозрачность, ограничение цели, минимизация данных, точность, ограничение хранения и целостность. Для IT-компаний и финтех-операторов ключевые практические требования сосредоточены в трёх блоках: правовое основание обработки, технические и организационные меры, трансграничная передача данных.
Правовое основание обработки. Статья 5 закона устанавливает исчерпывающий перечень оснований: согласие субъекта, исполнение договора, законный интерес оператора, выполнение правовой обязанности. Для финтех-операторов, работающих в сфере платёжных услуг и кредитования, обработка данных в рамках AML/KYC-процедур опирается на законный интерес и выполнение правовой обязанности - эти основания не требуют отдельного согласия пользователя. Однако маркетинговая обработка данных, профилирование и передача данных третьим лицам в коммерческих целях требуют явного согласия.
Согласие должно быть: добровольным, конкретным, информированным и однозначным. Предварительно проставленные галочки в форме регистрации, согласие «по умолчанию» и объединение нескольких целей в одном согласии - нарушения, которые PDPO фиксирует при проверках наиболее часто.
Технические и организационные меры. Статья 22 закона обязывает оператора принять меры, соразмерные рискам обработки. Для IT-компаний это означает: шифрование данных при хранении и передаче, контроль доступа, логирование операций с данными, процедуры реагирования на инциденты. Финтех-операторы, лицензированные Национальным банком Грузии (საქართველოს ეროვნული ბანკი, NBG), дополнительно соблюдают требования NBG к информационной безопасности - они частично пересекаются с требованиями закона о данных, но не заменяют их.
Трансграничная передача данных. Статья 26 закона разрешает передачу данных в третьи страны при одном из условий: страна признана PDPO как обеспечивающая адекватный уровень защиты; получатель предоставил достаточные гарантии (стандартные договорные условия, обязательные корпоративные правила); субъект дал явное согласие на передачу. Для IT-компаний, использующих облачные сервисы AWS, Google Cloud или Azure с серверами за пределами Грузии, это требование создаёт практическую задачу: необходимо либо заключить соглашение об обработке данных (DPA) с провайдером, либо получить согласие пользователей на трансграничную передачу.
В отличие от российского законодательства, грузинский закон не требует локализации данных граждан Грузии на серверах внутри страны. Это существенное преимущество для IT-компаний, работающих с международной инфраструктурой.
Чек-лист: что подготовить для соответствия требованиям закона о данных
- Реестр операций по обработке данных (Record of Processing Activities) с указанием категорий данных, целей, оснований и сроков хранения
- Политика конфиденциальности на грузинском и русском языках, опубликованная на сайте или в приложении
- Формы согласия, соответствующие требованиям статьи 5 закона: отдельные для каждой цели обработки
- Соглашения об обработке данных (DPA) с облачными провайдерами и субподрядчиками
- Процедура реагирования на инциденты с данными: уведомление PDPO в течение 72 часов с момента обнаружения
Как работает надзор PDPO и что происходит при проверке?
Инспекция по защите персональных данных Грузии (PDPO) проводит как плановые, так и внеплановые проверки. Основания для внеплановой проверки - жалоба субъекта данных, сообщение об инциденте, публичная информация о нарушении. Срок проведения проверки составляет до 30 рабочих дней с возможностью продления. По результатам проверки PDPO вправе выдать предписание об устранении нарушения, наложить административный штраф или обратиться в суд с требованием о приостановлении обработки данных.
Для IT-компаний и финтех-операторов важно понимать алгоритм взаимодействия с PDPO при получении запроса или уведомления о проверке.
- Получение запроса PDPO - зафиксировать дату, определить ответственное лицо, оценить объём запрашиваемых документов
- Подготовка ответа - в течение срока, указанного в запросе (как правило, 10-15 рабочих дней); неполный или несвоевременный ответ расценивается как отягчающее обстоятельство
- Взаимодействие в ходе проверки - предоставление доступа к документации, реестрам обработки, техническим системам в пределах, установленных запросом
- Получение акта проверки - 10 рабочих дней на представление возражений
- Обжалование решения PDPO - в административном порядке (вышестоящий орган) или в Тбилисском городском суде (თბილისის საქალაქო სასამართლო) в течение одного месяца с даты получения решения
Неочевидный риск для финтех-операторов: PDPO активно взаимодействует с NBG при проверках платёжных сервисов и VASP-операторов. Нарушение закона о данных, выявленное PDPO, может стать основанием для отдельного расследования со стороны NBG в части соблюдения требований к информационной безопасности. Два параллельных регуляторных процесса существенно увеличивают операционную нагрузку и риски.
Компании из Тбилиси (осень 2025) помогли подготовить ответ на внеплановую проверку PDPO, инициированную по жалобе пользователя мобильного финтех-приложения. Первоначальный запрос регулятора охватывал 14 категорий документов. После структурирования позиции и подготовки полного пакета документации проверка завершилась предписанием об устранении двух технических нарушений без наложения штрафа - при том что первоначальный риск штрафа оценивался в диапазоне 15 000-25 000 лари.
Чтобы получить чек-лист подготовки к проверке PDPO для финтех-операторов и IT-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Проверка PDPO - это не только юридический, но и операционный риск. Компании, не имеющие выстроенной документации по обработке данных, тратят на подготовку ответа в два-три раза больше времени, чем те, у кого реестры и политики актуальны. Промедление с ответом или неполный пакет документов создают основания для штрафа даже при отсутствии существенного нарушения.
NBG запросил документы или PDPO инициировал проверку? Сроки на ответ ограниченыЕсли регулятор направил запрос или уведомление о проверке - юристы Inter Law Firm проанализируют основания, подготовят полный пакет документации и представят интересы компании в административном процессе. Работаем с IT-компаниями, финтех-операторами и VASP в грузинской юрисдикции.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Какова ответственность за нарушение закона о персональных данных в Грузии?
Административная ответственность за нарушение закона о персональных данных в Грузии установлена Кодексом об административных правонарушениях Грузии. Размер штрафа зависит от характера нарушения и составляет от 500 до 5 000 лари за единичное нарушение. При повторном нарушении или нарушении, повлёкшем существенный ущерб субъектам данных, PDPO вправе обратиться в суд с требованием о приостановлении обработки данных - это наиболее серьёзная санкция для действующего бизнеса.
Уголовная ответственность предусмотрена статьёй 157 Уголовного кодекса Грузии за незаконный сбор, хранение или распространение персональных данных, повлёкшее существенный вред. На практике уголовное преследование применяется редко - в случаях умышленной утечки данных или их продажи третьим лицам.
Гражданско-правовая ответственность: субъект данных вправе обратиться в суд с иском о возмещении ущерба, причинённого нарушением его прав в сфере персональных данных. Грузинская судебная практика по таким искам пока немногочисленна, однако прецеденты взыскания компенсации морального вреда уже есть.
Для финтех-операторов существенный риск - не только прямые штрафы, но и репутационные последствия. PDPO публикует информацию о завершённых проверках и наложенных санкциях на официальном сайте. Для компании, привлекающей инвестиции или проходящей due diligence перед выходом на новый рынок, запись о нарушении в реестре PDPO создаёт дополнительные препятствия.
В отличие от GDPR, грузинский закон не устанавливает штрафы в процентах от оборота компании. Это означает, что для крупного финтех-оператора прямые штрафы PDPO относительно невелики - но риск приостановления обработки данных или отзыва лицензии NBG несопоставимо выше.
Компании из Батуми (зима 2024) помогли оспорить предписание PDPO об устранении нарушений в части трансграничной передачи данных. Регулятор квалифицировал использование облачного сервиса без DPA как нарушение статьи 26 закона. После подготовки правовой позиции и заключения ретроактивного DPA с провайдером предписание было исполнено без штрафных санкций, а риск приостановления обработки данных - устранён.
Как выстроить комплаенс по персональным данным для IT-компании и финтех в Грузии?
Комплаенс по персональным данным для IT-компании или финтех-оператора в Грузии строится на трёх уровнях: документационный, технический и процессный. Минимально необходимый набор документов включает политику конфиденциальности, реестр операций по обработке данных, соглашения с субподрядчиками (DPA) и внутренние процедуры реагирования на инциденты. Без этого базового уровня любая проверка PDPO создаёт риск предписания или штрафа.
Документационный уровень. Реестр операций по обработке данных (аналог ROPA в GDPR) - ключевой документ при проверке PDPO. Он должен содержать: категории субъектов и данных, цели обработки, правовые основания, сроки хранения, получателей данных (включая субподрядчиков), информацию о трансграничной передаче. Для финтех-операторов отдельно фиксируются операции по обработке данных в рамках AML/KYC-процедур - они имеют специальное правовое основание и отдельные сроки хранения (как правило, не менее пяти лет по требованиям Закона Грузии «О содействии предотвращению легализации незаконных доходов»).
Технический уровень. Принцип privacy by design, закреплённый в статье 22 закона, означает, что защита данных должна быть встроена в архитектуру продукта, а не добавлена постфактум. Для IT-компаний это влияет на проектирование баз данных, API-интеграций и систем аналитики. Минимальные технические меры: шифрование данных в состоянии покоя и при передаче, разграничение прав доступа, журналирование операций с персональными данными, процедура удаления данных по истечении срока хранения.
Процессный уровень. Процедура реагирования на инциденты с данными - обязательный элемент комплаенса. Закон обязывает оператора уведомить PDPO об инциденте в течение 72 часов с момента его обнаружения (статья 24 закона). Если инцидент создаёт высокий риск для прав субъектов данных - необходимо также уведомить самих субъектов. Для финтех-операторов, лицензированных NBG, параллельно действует обязанность уведомления регулятора об инцидентах информационной безопасности - сроки и форма уведомления определяются нормативными актами NBG.
Три сценария для разных типов финтех-бизнеса в Грузии:
Сценарий 1: VASP-оператор (криптобиржа, кастодиан). Обрабатывает данные пользователей в рамках KYC-верификации, хранит данные транзакций. Ключевые риски: трансграничная передача данных верификационным сервисам (Jumio, Onfido и аналоги) без DPA; хранение биометрических данных без специального основания (биометрия - специальная категория данных по статье 6 закона); несоблюдение сроков хранения данных по AML-требованиям. Приоритет: заключить DPA с верификационными провайдерами, разграничить хранение биометрии и стандартных KYC-данных.
Сценарий 2: Платёжный сервис (PSP), лицензированный NBG. Обрабатывает платёжные данные, данные карт, историю транзакций. Ключевые риски: двойное регулирование (PDPO + NBG), несогласованность политик конфиденциальности с требованиями обоих регуляторов; передача данных платёжным системам (Visa, Mastercard) без надлежащего основания. Приоритет: синхронизировать комплаенс по данным с требованиями NBG, провести аудит договоров с платёжными системами.
Сценарий 3: IT-компания со статусом Virtual Zone. Разрабатывает SaaS-продукт для международных клиентов, обрабатывает данные пользователей из разных юрисдикций. Ключевые риски: применимость грузинского закона к данным иностранных пользователей (зависит от фактического места обработки); конфликт требований грузинского закона и GDPR при работе с европейскими клиентами. Приоритет: определить применимое право для каждой категории пользователей, выстроить многоуровневую политику конфиденциальности.
Матрица решений: ситуация - инструмент - срок - затраты - риски
Нет реестра операций по обработке данных: разработать ROPA с юридическим сопровождением - 2-4 недели - от 800-1 500 лари - риск предписания PDPO при первой проверке.
Нет DPA с облачным провайдером: заключить стандартное соглашение об обработке данных (большинство крупных провайдеров предоставляют типовой DPA) - 1-2 недели - минимальные затраты - риск квалификации как нарушения статьи 26 закона.
Инцидент с данными: уведомить PDPO в течение 72 часов, провести внутреннее расследование, при необходимости уведомить субъектов - 72 часа на первичное уведомление - от 500-1 000 лари на юридическое сопровождение - риск штрафа при пропуске срока уведомления.
Направления практики по теме
- Защита персональных данных и IT-право - комплаенс по грузинскому закону о данных, аудит, сопровождение проверок PDPO
- Финтех и регулирование NBG - лицензирование, VASP-регистрация, AML/KYC-комплаенс в Грузии
Частые вопросы
1. Распространяется ли грузинский закон о персональных данных на иностранную компанию, работающую с грузинскими пользователями?
Грузинский закон о персональных данных распространяется на иностранную компанию, если она обрабатывает данные физических лиц, находящихся на территории Грузии, или предлагает товары и услуги грузинским пользователям - вне зависимости от юрисдикции регистрации. Это следует из статьи 3 закона и подтверждается позицией PDPO. Для финтех-оператора, привлекающего грузинских пользователей через мобильное приложение или веб-сайт, закон применяется в полном объёме. Игнорирование этого требования создаёт риск предписания PDPO и штрафа от 500 до 5 000 лари за каждое выявленное нарушение, а при существенном ущербе субъектам данных - риск судебного запрета на обработку данных.
2. Нужно ли получать отдельное согласие пользователей на обработку данных в рамках KYC-верификации?
Обработка персональных данных в рамках KYC-верификации для финтех-операторов и VASP в Грузии, как правило, не требует отдельного согласия пользователя - она опирается на правовые основания «исполнение договора» и «выполнение правовой обязанности» по статье 5 закона. Закон Грузии «О содействии предотвращению легализации незаконных доходов» обязывает финансовые организации и VASP проводить идентификацию клиентов, что само по себе является достаточным правовым основанием. Однако биометрические данные (фото документа, селфи-верификация) относятся к специальным категориям данных по статье 6 закона и требуют явного согласия субъекта или иного специального основания. Смешение стандартных KYC-данных и биометрии в одной форме согласия - типичная ошибка, которую PDPO фиксирует при проверках финтех-операторов.
3. Каков срок уведомления PDPO об инциденте с персональными данными и что будет при его нарушении?
Оператор данных в Грузии обязан уведомить Инспекцию по защите персональных данных об инциденте в течение 72 часов с момента его обнаружения - это требование статьи 24 закона о персональных данных. Уведомление должно содержать: описание инцидента, категории и примерное число затронутых субъектов данных, вероятные последствия, принятые меры реагирования. Пропуск 72-часового срока является самостоятельным нарушением и влечёт административный штраф вне зависимости от того, был ли причинён реальный ущерб субъектам данных. Для финтех-операторов, лицензированных Национальным банком Грузии, параллельно действует обязанность уведомления NBG об инцидентах информационной безопасности - сроки и форма определяются нормативными актами банка и могут отличаться от требований PDPO.
4. Чем грузинский закон о персональных данных отличается от GDPR и российского закона о персональных данных?
Грузинский закон о персональных данных концептуально близок к GDPR, но имеет существенные отличия. В отличие от GDPR, грузинский закон не устанавливает штрафы в процентах от глобального оборота компании - максимальный административный штраф составляет 5 000 лари за единичное нарушение. В отличие от российского закона о персональных данных (Федеральный закон 152-ФЗ), грузинский закон не требует локализации данных граждан Грузии на серверах внутри страны - это принципиальное преимущество для IT-компаний с международной инфраструктурой. Грузинский закон не предусматривает обязательного назначения ответственного за защиту данных (аналога DPO в GDPR) для большинства операторов - это требование применяется только к государственным органам и операторам, обрабатывающим данные в особо крупных масштабах. При этом требования к согласию, правовым основаниям обработки и трансграничной передаче данных в грузинском законе сопоставимы с GDPR по строгости.
5. Как статус Virtual Zone влияет на требования к защите персональных данных?
Статус Virtual Zone в Грузии предоставляет налоговые льготы для IT-компаний - освобождение от налога на прибыль с доходов от экспорта IT-услуг - но не создаёт исключений из требований закона о персональных данных. VZ-компания, обрабатывающая данные грузинских пользователей или хранящая данные на серверах в Грузии, обязана соблюдать закон в полном объёме. Статус VZ выдаётся Агентством по инновациям и технологиям Грузии (GITA) и регулируется Законом Грузии «О свободных индустриальных зонах» - этот закон не содержит норм об обработке персональных данных. Для VZ-компаний, разрабатывающих продукты для европейских клиентов, может одновременно применяться GDPR - в этом случае необходимо выстраивать комплаенс с учётом обоих регуляторных режимов, что требует отдельного правового анализа.
Грузинский закон о персональных данных создаёт реальные операционные обязательства для IT-компаний и финтех-операторов - независимо от юрисдикции регистрации и налогового статуса. PDPO перешёл к активному правоприменению: число проверок растёт, а взаимодействие с NBG при проверках финтех-операторов создаёт риск двойного регуляторного давления. Компании, выстроившие документационный и процессный комплаенс заблаговременно, проходят проверки с минимальными последствиями.
Юридическая фирма Inter Law Firm сопровождает IT-компании, финтех-операторов и VASP в Грузии по вопросам защиты персональных данных, комплаенса с требованиями PDPO и NBG, а также при прохождении регуляторных проверок. Мы можем помочь с аудитом текущего состояния комплаенса, разработкой документации (политики конфиденциальности, реестры обработки, DPA), подготовкой к проверке PDPO и представлением интересов в административном и судебном порядке.
Чтобы получить чек-лист комплаенс-требований по персональным данным для IT-компаний и финтех-операторов в Грузии, отправьте запрос на info@interlawfirm.ru
Планируете запуск финтех-продукта или IT-сервиса в Грузии и хотите выстроить комплаенс по данным с нуля?Юристы Inter Law Firm проведут аудит требований применимого законодательства, разработают необходимую документацию и помогут выстроить процессы в соответствии с грузинским законом о персональных данных и требованиями NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 11 мая 2026 года