Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о ПД) регулирует сбор, хранение, обработку и передачу данных физических лиц на территории Грузии. По состоянию на май 2026 года надзорным органом выступает Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, PDPI), которая вправе проводить плановые и внеплановые проверки, выносить предписания и назначать штрафы до 10 000 лари за одно нарушение.
Для IT-компаний, финтех-стартапов и VASP-операторов, работающих в Грузии, требования Закона о ПД - не формальность. Обработка платёжных данных, KYC-документов, поведенческой аналитики и пользовательских профилей подпадает под действие закона вне зависимости от того, зарегистрирована ли компания как Virtual Zone или работает в стандартном режиме. Статья разбирает: кто обязан соблюдать закон, какие конкретные требования предъявляются к IT-компаниям, как устроена ответственность за нарушения и как выстроить комплаенс без избыточных затрат.
Кто обязан соблюдать грузинский закон о защите персональных данных?
Закон о защите персональных данных Грузии распространяется на любое физическое или юридическое лицо, которое обрабатывает данные граждан Грузии или данные, собранные на территории Грузии, - вне зависимости от места регистрации компании. Это означает, что иностранная IT-компания без грузинского юридического лица, но с пользователями в Грузии, формально подпадает под действие закона.
На практике PDPI концентрирует надзор на компаниях, зарегистрированных в Грузии: шпс (შპს) и სს, а также на филиалах иностранных юридических лиц. Для Virtual Zone-компаний (статус выдаёт GITA) ситуация неоднозначна: VZ-льготы касаются налогов, но не освобождают от требований в области персональных данных. Если VZ-компания обрабатывает данные грузинских пользователей или сотрудников, она обязана соблюдать Закон о ПД в полном объёме.
Закон разграничивает два ключевых субъекта. Оператор данных (მონაცემთა დამმუშავებელი) - лицо, которое определяет цели и способы обработки данных. Обработчик данных - лицо, которое обрабатывает данные по поручению оператора. IT-компания, разрабатывающая SaaS-продукт для грузинского рынка, как правило, является оператором. Компания, предоставляющая облачную инфраструктуру или аутсорсинговые услуги, может быть обработчиком - но это не снимает с неё всех обязательств.
Частая ошибка финтех-стартапов и VASP-операторов в Грузии - предположение, что регистрация в статусе Virtual Zone или наличие лицензии NBG автоматически закрывает вопрос комплаенса по персональным данным. Это не так: PDPI и NBG - разные регуляторы с разными полномочиями, и соответствие требованиям одного не означает соответствия требованиям другого.
Чтобы получить чек-лист требований PDPI для финтех-компаний и VASP-операторов в Грузии, отправьте запрос на info@interlawfirm.ru
Какие требования закон предъявляет к обработке данных в IT-компании?
Грузинский Закон о защите персональных данных устанавливает шесть принципов обработки данных: законность, справедливость, прозрачность, ограничение цели, минимизация данных, точность и ограничение хранения. Нарушение любого из них - самостоятельное основание для предписания PDPI. Для IT-компании это означает конкретные операционные требования, которые нужно встроить в продукт и процессы.
Правовое основание для обработки. Каждая категория данных требует отдельного правового основания. Для большинства IT-продуктов это согласие пользователя (статья 5 Закона о ПД) или исполнение договора. Согласие должно быть информированным, конкретным и добровольным - предустановленные галочки в форме регистрации не соответствуют этому требованию. PDPI в своих рекомендациях прямо указывает на недопустимость «молчаливого согласия».
Политика конфиденциальности. Оператор обязан предоставить субъекту данных информацию об обработке до начала сбора данных. Минимальный состав: цели обработки, правовое основание, срок хранения, права субъекта, контакты оператора. Политика конфиденциальности на сайте или в приложении - обязательный элемент, а не маркетинговый аксессуар. Отсутствие политики или её несоответствие фактической практике обработки - наиболее частое нарушение, выявляемое при проверках PDPI.
Специальные категории данных. Биометрические данные, данные о здоровье, финансовые данные в расширенном понимании, данные о судимостях - для них закон устанавливает повышенные требования. Обработка возможна только при наличии явного согласия или иного специального основания. Для финтех-компаний и VASP это особенно актуально: KYC-данные, включая копии паспортов и данные о транзакциях, могут квалифицироваться как специальные категории.
Сроки хранения. Данные не могут храниться дольше, чем необходимо для достижения цели обработки. Для финансовых данных минимальный срок хранения устанавливается отраслевым регулированием (NBG, AML-требования) - как правило, 5-10 лет. Для данных маркетинговой аналитики разумный срок - 12-24 месяца. Отсутствие политики удаления данных - типичный пробел в комплаенсе IT-стартапов.
Cookie и трекинг. Использование аналитических и маркетинговых cookie требует информированного согласия пользователя. Технически необходимые cookie (авторизация, корзина) согласия не требуют. Это требование часто игнорируется грузинскими IT-компаниями, хотя PDPI уже выносила предписания по этому основанию.
Что подготовить для базового комплаенса по персональным данным:
- Реестр операций по обработке данных (Record of Processing Activities) с указанием целей, оснований, сроков и получателей
- Политику конфиденциальности на языке(-ах) пользователей продукта
- Механизм получения и отзыва согласия (для каждой цели обработки отдельно)
- Политику хранения и удаления данных с конкретными сроками по категориям
- Процедуру ответа на запросы субъектов данных (срок - 10 рабочих дней по закону)
Нужен ли IT-компании в Грузии офицер по защите данных (DPO)?
Назначение офицера по защите данных (DPO, Data Protection Officer) является обязательным для операторов, которые обрабатывают данные в крупном масштабе, обрабатывают специальные категории данных или осуществляют систематический мониторинг субъектов данных. Грузинский закон не устанавливает числового порога «крупного масштаба», что создаёт правовую неопределённость - PDPI трактует этот критерий расширительно применительно к финтех-компаниям и платформам с пользовательской базой от нескольких тысяч человек.
На практике PDPI рекомендует всем операторам, обрабатывающим данные более 1 000 субъектов в месяц, назначить DPO или как минимум определить ответственное лицо за вопросы защиты данных. Для финтех-стартапа или VASP-оператора с KYC-процессом это означает обязательность DPO с момента запуска продукта.
DPO может быть штатным сотрудником или внешним специалистом (аутсорсинг). Закон не требует, чтобы DPO был гражданином Грузии или имел грузинскую квалификацию. Контактные данные DPO должны быть опубликованы и переданы в PDPI. Функции DPO: мониторинг соответствия закону, взаимодействие с PDPI, консультирование по оценке воздействия на защиту данных (DPIA), обучение персонала.
Неочевидный риск: если DPO назначен формально, но фактически не выполняет функции (нет доступа к процессам обработки, нет полномочий), PDPI при проверке может квалифицировать это как нарушение, равнозначное отсутствию DPO. Формальное назначение без реальных полномочий не защищает от ответственности.
Компания из Тбилиси, разрабатывающая платёжное приложение (весна 2025), обратилась за помощью после получения предписания PDPI. Инспекция выявила отсутствие реального DPO и несоответствие политики конфиденциальности фактической практике обработки данных. Подготовили пакет документов, назначили внешнего DPO и устранили нарушения в течение 30 дней - в установленный предписанием срок. Штраф не был применён, поскольку нарушения были устранены до истечения срока предписания.
Как регулируется трансграничная передача персональных данных из Грузии?
Трансграничная передача персональных данных из Грузии в третьи страны допускается при соблюдении одного из условий: страна-получатель обеспечивает адекватный уровень защиты данных, либо оператор применяет надлежащие гарантии (стандартные договорные условия, обязательные корпоративные правила), либо субъект данных дал явное согласие на передачу. Перечень стран с адекватным уровнем защиты PDPI публикует на официальном сайте.
Для IT-компаний и финтех-операторов, использующих облачные сервисы (AWS, Google Cloud, Azure) с серверами за пределами Грузии, это означает необходимость заключения Data Processing Agreement (DPA) с облачным провайдером. Стандартные условия крупных облачных провайдеров, как правило, включают механизмы, соответствующие требованиям грузинского закона, - но это нужно верифицировать, а не принимать на веру.
В отличие от российского законодательства, грузинский закон не требует локализации персональных данных граждан Грузии на серверах внутри страны. Это существенное преимущество для IT-компаний: можно использовать глобальную облачную инфраструктуру при условии надлежащего оформления передачи данных.
Неочевидный риск для VASP-операторов: передача KYC-данных иностранным партнёрам по AML-комплаенсу (например, в рамках Travel Rule) требует отдельного правового основания по Закону о ПД. Ссылка на требования NBG или FATF сама по себе не является достаточным основанием для передачи данных третьим лицам.
Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных для финтех-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Описанные требования применяются по-разному в зависимости от архитектуры продукта, юрисдикций партнёров и объёма передаваемых данных. Ошибка в квалификации передачи данных на этапе проектирования продукта дороже обходится при проверке, чем превентивный правовой анализ.
Используете облачные сервисы или передаёте данные пользователей за рубеж? Это требует правового оформленияЕсли ваша IT-компания или VASP-оператор передаёт данные грузинских пользователей на серверы за пределами Грузии - юристы Inter Law Firm проверят соответствие требованиям Закона о ПД, подготовят DPA с облачным провайдером и разработают политику трансграничной передачи данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Какова ответственность за нарушения закона о персональных данных в Грузии?
Инспекция по защите персональных данных Грузии вправе применять следующие меры: предписание об устранении нарушений, административный штраф, приостановление обработки данных, обращение в суд с иском о запрете деятельности. Административный штраф за нарушение Закона о ПД составляет от 500 до 10 000 лари за одно нарушение. При повторном нарушении в течение года размер штрафа удваивается.
На практике PDPI чаще использует предписания, а не штрафы - особенно при первичном нарушении и готовности оператора к сотрудничеству. Срок исполнения предписания - как правило, 30 дней. Если нарушение не устранено в срок, PDPI переходит к штрафным санкциям. Приостановление обработки данных - крайняя мера, применяемая при систематических или грубых нарушениях, затрагивающих права большого числа субъектов.
Помимо административной ответственности, субъект данных вправе обратиться в суд с иском о возмещении ущерба, причинённого незаконной обработкой его данных. Грузинские суды рассматривают такие иски на основании общих норм деликтной ответственности Гражданского кодекса Грузии (სამოქალაქო კოდექსი). Практика взыскания компенсаций пока немногочисленна, но прецеденты есть.
Для финтех-компаний и VASP-операторов существует дополнительный риск: утечка данных или нарушение требований по защите данных может стать основанием для проверки со стороны NBG и повлиять на лицензионный статус. Регуляторы обмениваются информацией, и нарушение в одной сфере способно инициировать проверку в другой.
Три сценария ответственности, с которыми сталкиваются IT-компании в Грузии:
Сценарий 1. Малый финтех-стартап (когорта E, до 5 000 пользователей). Отсутствие политики конфиденциальности и механизма согласия. PDPI выносит предписание по жалобе пользователя. Срок устранения - 30 дней. При устранении в срок - штраф не применяется. Затраты на приведение в соответствие: 3 000-8 000 лари (юридическое сопровождение + разработка документации).
Сценарий 2. VASP-оператор с KYC-процессом. Передача KYC-данных иностранному партнёру без надлежащего DPA. PDPI инициирует проверку по собственной инициативе. Штраф - до 10 000 лари, предписание о приостановлении передачи данных до устранения нарушения. Приостановление фактически блокирует AML-комплаенс и операционную деятельность.
Сценарий 3. Зрелая IT-компания (50+ сотрудников, B2B SaaS). Утечка данных клиентов в результате кибератаки. Обязанность уведомить PDPI в течение 72 часов (статья 22 Закона о ПД). Несвоевременное уведомление - самостоятельное нарушение. Параллельно - иски от пострадавших клиентов по договорной и деликтной ответственности.
Компания из Батуми, предоставляющая SaaS-решение для грузинских ритейлеров (зима 2024), столкнулась с утечкой данных клиентов после взлома. Помогли выстроить процедуру уведомления PDPI в установленный срок, подготовили коммуникацию для пострадавших клиентов и разработали план устранения уязвимостей. Административного штрафа удалось избежать - PDPI приняла во внимание оперативное уведомление и сотрудничество оператора.
Как выстроить комплаенс по персональным данным: практический подход для IT-компании в Грузии
Комплаенс по персональным данным для IT-компании в Грузии строится на трёх уровнях: документация, технические меры и организационные процессы. Минимальный жизнеспособный комплаенс (MVP-комплаенс) занимает 4-8 недель при наличии юридического сопровождения и обходится в 5 000-15 000 лари в зависимости от сложности продукта и объёма обрабатываемых данных.
Уровень 1. Документация. Политика конфиденциальности, пользовательское соглашение с разделом об обработке данных, внутренняя политика защиты данных, реестр операций по обработке, DPA с подрядчиками и облачными провайдерами. Для компаний, обязанных назначить DPO, - приказ о назначении и должностная инструкция DPO.
Уровень 2. Технические меры. Шифрование данных в хранении и при передаче, разграничение доступа по принципу минимальных привилегий, логирование доступа к персональным данным, механизм отзыва согласия и удаления данных по запросу пользователя, процедура реагирования на инциденты безопасности. Технические меры должны быть соразмерны рискам обработки - PDPI оценивает их при проверке.
Уровень 3. Организационные процессы. Обучение сотрудников, работающих с персональными данными (минимум раз в год), процедура ответа на запросы субъектов данных (срок - 10 рабочих дней), процедура уведомления PDPI об инцидентах (72 часа), регулярный аудит соответствия (раз в год или при существенном изменении продукта).
Матрица решений для IT-компании в Грузии:
- Стартап на этапе MVP, до 1 000 пользователей: базовая документация (политика конфиденциальности, механизм согласия) + технические меры уровня 2. DPO - по усмотрению. Затраты: 3 000-6 000 лари. Срок: 2-4 недели.
- Финтех / VASP с KYC, 1 000+ пользователей: полный комплаенс уровней 1-3, обязательный DPO, DPIA для KYC-процесса, DPA с партнёрами. Затраты: 8 000-20 000 лари. Срок: 6-10 недель.
- Зрелая IT-компания, B2B SaaS, корпоративные клиенты: полный комплаенс + ежегодный аудит + сертификация по ISO 27001 (не обязательна по грузинскому закону, но востребована корпоративными клиентами). Затраты: 15 000-40 000 лари первоначально + 5 000-10 000 лари ежегодно.
Сравнение с российским законодательством: грузинский Закон о ПД не требует локализации данных, не предусматривает обязательной регистрации оператора в реестре Роскомнадзора и не устанавливает уголовной ответственности за нарушения. Это делает грузинский режим значительно менее обременительным для IT-бизнеса - при условии базового комплаенса.
Чтобы получить чек-лист комплаенс-требований по персональным данным для IT-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Описанная структура комплаенса - отправная точка, а не универсальный рецепт. Конкретный объём мер зависит от архитектуры продукта, категорий обрабатываемых данных и регуляторного профиля компании. Ошибка в оценке рисков на старте обходится дороже, чем превентивный правовой аудит.
Запускаете финтех-продукт или VASP в Грузии? Комплаенс по персональным данным нужен до первого пользователяЕсли ваша компания обрабатывает KYC-данные, платёжную информацию или пользовательские профили - юристы Inter Law Firm проведут аудит текущего состояния, разработают пакет документации и выстроят процессы в соответствии с требованиями грузинского Закона о защите персональных данных и требованиями NBG.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Направления практики по теме
- IT-право и защита данных - комплаенс по персональным данным, DPO-сопровождение, аудит соответствия Закону о ПД Грузии
- Финтех и регулирование - лицензирование NBG, VASP-регистрация, AML/KYC-комплаенс в Грузии
- Интеллектуальная собственность - регистрация товарных знаков в Грузии (Sakpatenti), защита программного обеспечения
Частые вопросы
1. Распространяется ли грузинский закон о персональных данных на Virtual Zone-компании?
Грузинский Закон о защите персональных данных распространяется на Virtual Zone-компании в полном объёме, если они обрабатывают данные грузинских пользователей или сотрудников. Статус Virtual Zone, предоставляемый GITA на основании Закона об информационных технологиях, освобождает компанию от налога на прибыль и НДС с экспортных IT-услуг, но не создаёт исключений из требований Закона о ПД. Инспекция по защите персональных данных Грузии вправе проверять VZ-компании наравне с обычными операторами. На практике VZ-компании, обрабатывающие данные исключительно иностранных пользователей без присутствия в Грузии, находятся в правовой серой зоне - PDPI не имеет механизма принуждения в отношении нерезидентов. Однако при наличии грузинского юридического лица, сотрудников или банковских счетов в Грузии риск проверки реален.
2. В течение какого срока нужно уведомить PDPI об утечке персональных данных?
Оператор персональных данных в Грузии обязан уведомить Инспекцию по защите персональных данных об инциденте безопасности, повлёкшем утечку данных, в течение 72 часов с момента обнаружения инцидента - это требование статьи 22 Закона о защите персональных данных Грузии. Если уведомление направлено позже установленного срока, несвоевременное уведомление квалифицируется как самостоятельное нарушение и влечёт отдельный штраф до 10 000 лари. При высоком риске для прав субъектов данных оператор также обязан уведомить самих пострадавших пользователей без необоснованной задержки. Для IT-компаний это означает необходимость заранее разработать и протестировать процедуру реагирования на инциденты - обнаружение утечки в пятницу вечером не продлевает 72-часовой срок.
3. Обязательно ли назначать DPO для небольшого финтех-стартапа в Грузии?
Назначение офицера по защите данных является обязательным для операторов, которые систематически обрабатывают специальные категории данных или осуществляют мониторинг субъектов данных в крупном масштабе - это установлено Законом о защите персональных данных Грузии. Для финтех-стартапа с KYC-процессом, обрабатывающего паспортные данные, биометрию и финансовую историю пользователей, обязательность DPO фактически наступает с момента запуска продукта, поскольку KYC-данные квалифицируются как специальные категории. Инспекция по защите персональных данных рекомендует назначать DPO при обработке данных более 1 000 субъектов в месяц. DPO может быть внешним специалистом - это снижает затраты для стартапа до 500-1 500 лари в месяц при аутсорсинговой модели. Отсутствие DPO при наличии обязанности его назначить - одно из нарушений, которые PDPI выявляет при плановых проверках финтех-компаний.
4. Нужно ли получать согласие пользователей на использование аналитических cookie в Грузии?
Использование аналитических и маркетинговых cookie на сайте или в приложении требует информированного согласия пользователя по грузинскому Закону о защите персональных данных - это следует из принципа законности обработки данных, закреплённого в статье 5 Закона. Технически необходимые cookie (сессионные, авторизационные) согласия не требуют. Согласие на cookie должно быть получено до установки cookie, быть конкретным (отдельно для аналитики и маркетинга) и допускать отзыв. Инспекция по защите персональных данных Грузии уже выносила предписания по жалобам пользователей, связанным с cookie-политикой. Для IT-компании с аудиторией в Грузии это означает необходимость корректного cookie-баннера - не просто уведомления, а механизма получения согласия с возможностью отказа от необязательных cookie.
5. Как грузинский режим защиты данных соотносится с европейским GDPR?
Грузинский Закон о защите персональных данных создавался под влиянием европейского регулирования и содержит схожие принципы, но не является эквивалентом GDPR. Ключевые отличия: грузинский закон не предусматривает права на переносимость данных в полном объёме, не устанавливает обязательной оценки воздействия (DPIA) для всех высокорисковых операций, а штрафы несопоставимо ниже - максимум 10 000 лари против 20 миллионов евро или 4% глобального оборота по GDPR. При этом Грузия не включена в перечень стран с адекватным уровнем защиты данных по решению Европейской комиссии, что создаёт сложности для IT-компаний, передающих данные из ЕС в Грузию: такая передача требует стандартных договорных условий или иных гарантий по GDPR. Для компаний, работающих одновременно на грузинском и европейском рынках, необходимо соблюдать оба режима - грузинский и европейский - в части, применимой к каждой юрисдикции.
Грузинский Закон о защите персональных данных создаёт реальные операционные обязательства для IT-компаний и финтех-операторов - от разработки политики конфиденциальности до назначения DPO и выстраивания процедуры реагирования на инциденты. Надзорный орган - PDPI - последовательно наращивает активность проверок, и игнорирование требований закона становится всё более дорогостоящей стратегией.
Юридическая фирма Inter Law Firm сопровождает IT-компании, финтех-стартапы и VASP-операторов в Грузии по вопросам защиты персональных данных. Мы можем помочь с аудитом текущего состояния комплаенса, разработкой документации, назначением внешнего DPO и сопровождением при проверках PDPI.
Чтобы получить чек-лист комплаенс-требований по персональным данным для IT-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы разобраться с комплаенсом по персональным данным в Грузии?Юристы Inter Law Firm проведут правовой аудит вашей IT-компании или финтех-продукта, разработают необходимую документацию и выстроят процессы в соответствии с требованиями грузинского законодательства - без избыточной бюрократии и с учётом специфики вашего продукта.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 4 мая 2026 года