Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о ПД) регулирует сбор, хранение, обработку и передачу персональных данных физических лиц на территории Грузии. Надзор осуществляет Служба защиты персональных данных (პერსონალური მონაცემების დაცვის სამსახური, SPDPA). По состоянию на май 2026 года действующая редакция Закона о ПД предусматривает административные штрафы до 10 000 лари за нарушения в сфере обработки данных, а для финтех-компаний и платёжных сервисов требования SPDPA пересекаются с регуляторными ожиданиями Национального банка Грузии (NBG).
Статья охватывает: правовую основу и сферу применения Закона о ПД, ключевые обязательства IT-компаний и финтех-игроков, требования к трансграничной передаче данных, порядок реагирования на инциденты, типичные ошибки и стратегии построения комплаенс-программы в грузинской юрисдикции.
Кого охватывает грузинский закон о персональных данных?
Закон о ПД распространяется на любое лицо - физическое или юридическое, - которое обрабатывает персональные данные граждан Грузии или лиц, находящихся на территории страны, вне зависимости от места регистрации компании. Это означает, что иностранная IT-компания, предоставляющая сервис грузинским пользователям, подпадает под действие Закона о ПД даже без юридического присутствия в Грузии. Для финтех-компаний и VASP, работающих с грузинскими клиентами, это требование актуально с первого дня операций.
Персональные данные по грузинскому праву - любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо: имя, адрес, номер телефона, IP-адрес, cookie-идентификаторы, биометрические данные, данные о транзакциях. Закон выделяет особую категорию чувствительных данных (статья 6 Закона о ПД): данные о здоровье, расовой принадлежности, религиозных убеждениях, судимостях, биометрические данные. Обработка чувствительных данных требует явного письменного согласия субъекта или иного специального основания.
Практика SPDPA показывает, что финтех-компании и платёжные сервисы входят в приоритетную группу надзора: они обрабатывают одновременно финансовые и идентификационные данные, что создаёт повышенный регуляторный интерес. В отличие от российского законодательства о персональных данных (Федеральный закон № 152-ФЗ), грузинский Закон о ПД не требует локализации данных на серверах в Грузии - это существенное отличие для компаний, привыкших к российским требованиям.
Чтобы получить чек-лист требований SPDPA для финтех-компаний и IT-бизнеса в Грузии, отправьте запрос на info@interlawfirm.ru
Какие обязательства несёт IT-компания как оператор данных в Грузии?
Оператор данных (მონაცემთა დამუშავების პასუხისმგებელი პირი) по Закону о ПД - лицо, самостоятельно определяющее цели и способы обработки персональных данных. Для IT-компании, работающей в Грузии, это влечёт конкретный перечень обязательств: правовое основание для каждой операции обработки, информирование субъектов, обеспечение прав субъектов данных, уведомление SPDPA об инцидентах в течение 72 часов с момента обнаружения.
Правовые основания обработки по статье 5 Закона о ПД включают: согласие субъекта, исполнение договора, выполнение законного обязательства, защита жизненно важных интересов, выполнение задачи в публичных интересах, законный интерес оператора. Для финтех-компаний наиболее распространённые основания - исполнение договора (при KYC-верификации) и законное обязательство (при AML-проверках по требованию NBG). Согласие как основание для финтех-операций применяется реже - оно должно быть свободным, конкретным, информированным и отзываемым.
Права субъектов данных по Закону о ПД включают: право на доступ к своим данным, право на исправление, право на удаление («право на забвение»), право на ограничение обработки, право на переносимость данных, право на возражение против обработки. Срок ответа на запрос субъекта - 10 рабочих дней с возможностью продления до 30 дней при сложных запросах. Игнорирование запросов субъектов - одно из наиболее частых оснований для жалоб в SPDPA.
Чек-лист: что подготовить IT-компании для базового комплаенса по Закону о ПД
- Реестр операций обработки данных с указанием целей, оснований и категорий данных для каждого процесса
- Политика конфиденциальности на грузинском языке (и на языке интерфейса сервиса) с раскрытием всех обязательных сведений по статье 8 Закона о ПД
- Процедура реагирования на запросы субъектов данных с фиксацией сроков (10 рабочих дней)
- Договоры с обработчиками данных (процессорами) - третьими лицами, которым передаются данные
- Процедура уведомления SPDPA об инцидентах безопасности в течение 72 часов
Неочевидный риск для стартапов: многие IT-компании, получившие статус Virtual Zone (VZ) через GITA, ошибочно полагают, что налоговые льготы VZ автоматически означают упрощённый регуляторный режим. Это не так - Закон о ПД применяется к VZ-компаниям в полном объёме, включая требования к обработке данных иностранных клиентов.
Компания из Тбилиси, разрабатывающая мобильное финтех-приложение (весна 2025), получила предписание SPDPA после жалобы пользователя на отсутствие возможности удалить аккаунт. Политика конфиденциальности компании не содержала описания процедуры реализации «права на забвение». После доработки документации и внедрения технической процедуры удаления данных предписание было исполнено без штрафа - SPDPA учла оперативное реагирование.
Описанные требования - базовый уровень. Конкретная конфигурация обязательств зависит от типа данных, архитектуры продукта и наличия обработчиков в третьих странах. Ошибка в определении правового основания обработки на этапе проектирования продукта дороже исправляется, чем закладывается изначально.
Строите финтех-продукт в Грузии и не уверены, соответствует ли архитектура данных требованиям SPDPA?Если ваш сервис обрабатывает данные грузинских пользователей или вы готовитесь к лицензированию в NBG - юристы Inter Law Firm проведут аудит операций обработки данных, выявят пробелы в документации и разработают комплаенс-программу под конкретную архитектуру продукта.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как регулируется трансграничная передача персональных данных из Грузии?
Трансграничная передача персональных данных из Грузии в третьи страны регулируется статьёй 22 Закона о ПД. Передача допустима в страны, обеспечивающие «адекватный уровень защиты» по оценке SPDPA, либо при наличии специального основания - согласия субъекта, исполнения договора, защиты жизненно важных интересов или применения стандартных договорных условий, одобренных SPDPA. Список стран с адекватным уровнем защиты SPDPA публикует на официальном сайте.
Для IT-компаний и финтех-игроков трансграничная передача данных - повседневная реальность: облачные провайдеры (AWS, Google Cloud, Azure), платёжные процессоры, аналитические сервисы, CRM-системы. Каждая такая передача требует правового основания. Наиболее практичный инструмент при отсутствии страны в списке адекватных - стандартные договорные условия (СДУ), которые включаются в договор с иностранным обработчиком.
Частая ошибка русскоязычных предпринимателей - использование российских серверов для хранения данных грузинских пользователей без оформления трансграничной передачи. Россия не входит в список стран с адекватным уровнем защиты по оценке SPDPA, поэтому такая передача требует либо согласия каждого субъекта, либо включения СДУ в договор с российским провайдером. На практике ни то, ни другое часто не оформляется.
В отличие от GDPR, грузинский Закон о ПД не предусматривает механизм Binding Corporate Rules (BCR) для внутригрупповых передач данных. Для международных групп компаний с грузинской «дочкой» это означает, что каждая передача данных внутри группы в страну без адекватного уровня защиты требует отдельного договорного основания.
Матрица решений для трансграничной передачи данных из Грузии:
- Страна получателя входит в список SPDPA: передача без дополнительных условий, достаточно фиксации в реестре операций
- Страна получателя не входит в список, получатель - внешний обработчик: включить СДУ в договор с обработчиком, зафиксировать в реестре
- Страна получателя не входит в список, передача разовая (исполнение договора с субъектом): правовое основание - статья 22(2)(б) Закона о ПД, документировать каждый случай
- Страна получателя не входит в список, передача систематическая без договора с субъектом: получить явное согласие субъекта или отказаться от передачи
Какие требования к обработке данных предъявляет NBG к финтех-компаниям?
Национальный банк Грузии (NBG) в рамках лицензирования платёжных сервисов и VASP-регистрации предъявляет требования к информационной безопасности и защите данных клиентов, которые дополняют и частично пересекаются с Законом о ПД. Нормативные акты NBG по информационной безопасности обязывают лицензированные финтех-компании внедрять технические и организационные меры защиты данных, проводить регулярные аудиты безопасности и уведомлять NBG об инцидентах, затрагивающих данные клиентов.
Для VASP (поставщиков услуг виртуальных активов), регистрируемых в NBG, требования к обработке данных включают: идентификацию клиентов (KYC) в соответствии с антиотмывочным законодательством, хранение записей о транзакциях не менее 5 лет, передачу данных о транзакциях по запросу уполномоченных органов. Эти требования создают специфическую ситуацию: данные, собранные для AML-целей, обрабатываются на основании законного обязательства (не согласия), что ограничивает применимость «права на забвение» к таким данным.
Три сценария для финтех-компаний в Грузии:
Сценарий 1 (стартап, когорта E, ранняя стадия). Компания разрабатывает платёжное приложение, ещё не лицензирована NBG. Обязательства по Закону о ПД применяются с момента начала обработки данных пользователей - то есть с момента запуска бета-тестирования. Ошибка - откладывать комплаенс до получения лицензии. Минимальный набор: политика конфиденциальности, реестр операций, процедура ответа на запросы субъектов.
Сценарий 2 (лицензированный PSP, когорта E). Платёжный сервис с лицензией NBG обрабатывает данные тысяч клиентов. Требования SPDPA и NBG пересекаются в части уведомления об инцидентах: NBG требует уведомления в течение 24 часов, SPDPA - в течение 72 часов. На практике компании выстраивают единый процесс с 24-часовым стандартом, покрывающим оба требования.
Сценарий 3 (международная группа, когорта D/E). Иностранная финтех-компания открывает грузинскую «дочку» для работы на рынке Грузии. Данные грузинских клиентов обрабатываются на серверах головной компании в ЕС. Передача данных в ЕС не требует дополнительных оснований (ЕС входит в список адекватных юрисдикций по оценке SPDPA). Однако внутригрупповые соглашения об обработке данных должны быть оформлены письменно.
Компания из Батуми, предоставляющая услуги обмена криптовалют (зима 2024-2025), прошла регистрацию VASP в NBG. В ходе подготовки к регистрации выяснилось, что политика конфиденциальности компании не содержала описания оснований для обработки данных в рамках AML-процедур и сроков хранения записей о транзакциях. Доработка документации заняла около 3 недель и позволила избежать запросов от NBG в ходе регистрационной процедуры.
Чтобы получить чек-лист комплаенс-требований по защите данных для финтех-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Требования NBG и SPDPA формально независимы, но на практике регуляторы обмениваются информацией. Нарушение Закона о ПД, выявленное SPDPA, может стать основанием для запроса NBG в рамках надзора за лицензированной компанией. Разрыв между комплаенсом по данным и финансовым комплаенсом - источник регуляторного риска, который часто недооценивают.
Пропуск 72-часового срока уведомления SPDPA об инциденте безопасности данных влечёт штраф до 5 000 лари и создаёт основание для внеплановой проверки. Для лицензированного финтех-игрока внеплановая проверка SPDPA в период надзора NBG - дополнительный регуляторный стресс, который можно устранить заблаговременно выстроенным процессом реагирования на инциденты.
Многие недооценивают, что SPDPA вправе инициировать проверку не только по жалобе субъекта, но и по собственной инициативе - на основании публичной информации о деятельности компании, включая условия использования сервиса и политику конфиденциальности, размещённые на сайте.
Типичная ошибка финтех-стартапов из СНГ - копирование политики конфиденциальности с российского или украинского сайта без адаптации к грузинскому праву. Такая политика не содержит ссылок на Закон о ПД, не указывает SPDPA как надзорный орган и не описывает права субъектов в соответствии с грузинским законодательством. SPDPA расценивает это как нарушение требований к информированию субъектов по статье 8 Закона о ПД.
Контекстный мост: описанные требования к уведомлению об инцидентах и взаимодействию с регуляторами требуют заблаговременно выстроенных процессов. Реагирование в режиме «пожара» после инцидента ограничивает возможности для минимизации последствий и увеличивает регуляторный риск.
NBG запросил документы по защите данных или SPDPA инициировала проверку?Если регулятор направил запрос или уведомление - юристы Inter Law Firm проанализируют основания, подготовят ответ и сопроводят взаимодействие с SPDPA и NBG. Для финтех-компаний на стадии лицензирования проведём аудит документации по защите данных и устраним пробелы до подачи заявки.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как выстроить комплаенс-программу по защите данных для IT-компании в Грузии
Комплаенс-программа по защите данных для IT-компании в Грузии строится на четырёх элементах: картирование данных, правовая документация, технические меры и операционные процедуры. Закон о ПД не предписывает конкретную структуру программы, но SPDPA в своих рекомендациях ориентируется на стандарты, близкие к GDPR. Для компаний, уже имеющих GDPR-комплаенс, адаптация к грузинским требованиям занимает от 2 до 6 недель в зависимости от сложности архитектуры данных.
Картирование данных - первый и наиболее трудоёмкий этап. Компания должна зафиксировать: какие данные собираются, на каком основании, с какой целью, где хранятся, кому передаются, как долго хранятся. Результат - реестр операций обработки данных. Для финтех-компании с несколькими продуктами реестр может включать 20-50 отдельных операций обработки.
Правовая документация включает: политику конфиденциальности (публичный документ для пользователей), внутреннюю политику защиты данных, договоры с обработчиками данных (Data Processing Agreements), процедуры реализации прав субъектов, процедуру реагирования на инциденты. Политика конфиденциальности по статье 8 Закона о ПД должна содержать: наименование и контакты оператора, цели и основания обработки, категории данных, получателей данных, сроки хранения, права субъектов и порядок их реализации, контакты SPDPA для подачи жалоб.
Назначение ответственного за защиту данных (DPO) по грузинскому Закону о ПД не является обязательным для всех компаний - в отличие от GDPR, где DPO обязателен для определённых категорий операторов. Однако SPDPA рекомендует назначение DPO для компаний, обрабатывающих данные в большом масштабе или обрабатывающих чувствительные данные. Для финтех-компаний с базой клиентов свыше 10 000 человек назначение DPO - разумная практика, снижающая регуляторный риск.
Технические меры включают: шифрование данных при хранении и передаче, контроль доступа на основе принципа минимальных привилегий, логирование доступа к персональным данным, регулярное тестирование систем безопасности. Закон о ПД не устанавливает конкретных технических стандартов, но SPDPA при проверках ориентируется на соответствие общепризнанным стандартам информационной безопасности.
Экономика комплаенса: затраты на построение базовой комплаенс-программы для IT-стартапа в Грузии составляют от 3 000 до 8 000 лари (юридическое сопровождение + документация). Для финтех-компании с лицензией NBG - от 8 000 до 20 000 лари с учётом аудита безопасности. Штраф SPDPA за нарушение требований к обработке данных - до 10 000 лари за каждое нарушение. Репутационный ущерб и риск приостановления лицензии NBG делают инвестицию в комплаенс экономически обоснованной.
Направления практики по теме
- IT-право и защита данных - комплаенс по Закону о ПД, аудит операций обработки данных, документация для SPDPA
- Финтех и регулирование - лицензирование NBG, VASP-регистрация, пересечение требований AML и защиты данных
Частые вопросы
1. Обязана ли иностранная IT-компания без офиса в Грузии соблюдать грузинский Закон о защите персональных данных?
Иностранная IT-компания обязана соблюдать грузинский Закон о защите персональных данных, если она обрабатывает данные лиц, находящихся на территории Грузии, вне зависимости от места регистрации компании. Это прямо следует из территориального принципа применения Закона о ПД. Критерий - не регистрация компании, а местонахождение субъекта данных в момент обработки. Для SaaS-сервисов, мобильных приложений и платёжных платформ, доступных грузинским пользователям, это означает обязательное наличие политики конфиденциальности, соответствующей грузинскому праву, и процедур реализации прав субъектов. SPDPA вправе направить запрос иностранной компании и инициировать административное производство. Практический риск для компании без грузинского юридического лица - сложность принудительного исполнения, но репутационные последствия и блокировка сервиса для грузинских пользователей остаются реальными инструментами воздействия.
2. Каков срок уведомления SPDPA об утечке данных и что происходит при его нарушении?
Срок уведомления Службы защиты персональных данных Грузии об инциденте безопасности, затронувшем персональные данные, составляет 72 часа с момента обнаружения инцидента. Это требование установлено Законом о ПД и применяется к операторам данных, обрабатывающим данные в значительном объёме или обрабатывающим чувствительные данные. Нарушение срока уведомления влечёт административный штраф до 5 000 лари и создаёт основание для внеплановой проверки SPDPA. Для финтех-компаний с лицензией NBG дополнительно действует требование уведомления NBG в течение 24 часов - более жёсткий стандарт, который на практике задаёт единый ориентир для всей процедуры реагирования. Уведомление должно содержать: описание инцидента, категории и приблизительное число затронутых субъектов, вероятные последствия, принятые меры реагирования.
3. Нужно ли назначать ответственного за защиту данных (DPO) по грузинскому законодательству?
Назначение ответственного за защиту данных (DPO) по грузинскому Закону о ПД не является обязательным для всех операторов данных - в отличие от GDPR, где обязательность DPO определяется типом обработки. Грузинский Закон о ПД не устанавливает жёсткого перечня случаев обязательного назначения DPO. Однако SPDPA в своих рекомендациях указывает на целесообразность назначения DPO для компаний, систематически обрабатывающих данные в крупном масштабе или обрабатывающих чувствительные данные. Для финтех-компаний с базой клиентов свыше 10 000 человек и для VASP, работающих с биометрическими данными при KYC-верификации, назначение DPO снижает регуляторный риск и упрощает взаимодействие с SPDPA при проверках. Функции DPO может выполнять штатный сотрудник или внешний юрист.
4. Как соотносятся требования GDPR и грузинского Закона о ПД для компаний, работающих в обеих юрисдикциях?
Грузинский Закон о ПД разрабатывался с учётом стандартов GDPR, поэтому базовые принципы совпадают: законность обработки, ограничение цели, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность. Компания с действующим GDPR-комплаенсом имеет существенное преимущество при адаптации к грузинским требованиям - основная документация уже существует и требует адаптации, а не создания с нуля. Ключевые различия: грузинский Закон о ПД не предусматривает механизм BCR для внутригрупповых передач, не устанавливает обязательный DPO для конкретных категорий операторов, не содержит требования о назначении представителя в Грузии для иностранных компаний (аналог статьи 27 GDPR). Штрафы по грузинскому Закону о ПД существенно ниже, чем по GDPR: максимум 10 000 лари против 20 миллионов евро или 4% глобального оборота по GDPR. Срок адаптации GDPR-документации к грузинским требованиям - от 2 до 4 недель.
5. Что происходит с данными клиентов при ликвидации или продаже IT-компании в Грузии?
При ликвидации IT-компании в Грузии персональные данные клиентов должны быть либо уничтожены, либо переданы правопреемнику с соблюдением требований Закона о ПД. Уничтожение данных фиксируется документально - акт об уничтожении хранится в течение срока исковой давности. При продаже бизнеса (M&A-сделке) передача базы данных клиентов является передачей персональных данных и требует правового основания: как правило, это законный интерес оператора или согласие субъектов. Покупатель становится новым оператором данных и обязан уведомить субъектов об изменении оператора в разумный срок - SPDPA ориентируется на 30 дней с момента завершения сделки. Непроведение этой процедуры при M&A-сделках - типичная ошибка, которая создаёт регуляторный риск для покупателя уже после закрытия сделки. Для финтех-компаний с лицензией NBG передача клиентской базы при продаже дополнительно требует уведомления NBG.
Защита персональных данных в Грузии - не формальный комплаенс, а операционное требование, напрямую влияющее на возможность лицензирования, работу с банками и репутацию на рынке. Для IT-компаний и финтех-игроков пересечение требований SPDPA и NBG создаёт двойной регуляторный периметр, который эффективнее выстраивать системно, а не реагировать на каждый запрос отдельно.
Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-игроков в Грузии по вопросам защиты персональных данных, лицензирования NBG и VASP-регистрации. Мы можем помочь с аудитом операций обработки данных, разработкой комплаенс-документации под требования SPDPA и подготовкой к регуляторным проверкам.
Чтобы получить чек-лист требований к защите данных для IT-компаний и финтех-бизнеса в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы выстроить комплаенс по защите данных или нужна оценка текущей ситуации?Юристы Inter Law Firm проведут правовой анализ операций обработки данных вашей компании и предложат стратегию комплаенса с учётом требований грузинского законодательства и специфики вашего продукта.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 11 мая 2026 года