Защита персональных данных в Грузии регулируется Законом Грузии «О защите персональных данных» (საქართველოს კანონი «პერსონალური მონაცემების დაცვის შესახებ», далее - Закон о ПД) в редакции 2023 года. По состоянию на май 2026 года надзор осуществляет Инспектор по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი, Personal Data Protection Inspector, PDPI). Для IT-компаний и финтех-сервисов, работающих с данными пользователей в Грузии, Закон о ПД - не рамочная декларация: Инспектор проводит плановые и внеплановые проверки, выносит предписания и назначает штрафы до 20 000 лари за нарушение требований к обработке данных.
Статья разбирает: кого охватывает грузинский Закон о ПД, какие требования предъявляются к IT-компаниям и финтех-сервисам, как устроена трансграничная передача данных, что проверяет Инспектор и как выстроить комплаенс без избыточных затрат.
На кого распространяется грузинский Закон о защите персональных данных?
Закон о ПД распространяется на любое лицо - физическое или юридическое, государственное или частное, - которое обрабатывает персональные данные физических лиц на территории Грузии или в отношении лиц, находящихся в Грузии. Для IT-компании со статусом Virtual Zone (VZ) это означает: даже если корпоративный налог на экспортные доходы равен нулю, обязательства по защите данных пользователей сохраняются в полном объёме. Иностранная компания, предоставляющая сервис грузинским пользователям через веб-интерфейс или мобильное приложение, также подпадает под действие Закона.
Закон о ПД использует понятие «оператор данных» (მონაცემთა დამმუშავებელი) - лицо, которое самостоятельно определяет цели и способы обработки персональных данных. Финтех-сервис, собирающий данные клиентов для KYC-процедур, является оператором. Подрядчик, обрабатывающий данные по поручению финтех-компании (например, облачный провайдер или аналитическая платформа), является обработчиком (უფლებამოსილი პირი). Разграничение важно: оператор несёт полную ответственность перед Инспектором, обработчик - только в части нарушения договорных инструкций.
Персональными данными по грузинскому праву признаётся любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо: имя, email, IP-адрес, идентификатор устройства, геолокация, поведенческие паттерны. Для финтех-сервисов особую категорию составляют биометрические данные и данные о финансовых операциях - их обработка требует явного согласия субъекта или специального правового основания.
Частая ошибка IT-предпринимателей из России и Украины - предположение, что грузинское законодательство о данных менее строгое, чем GDPR или российский 152-ФЗ. На практике Инспектор активно использует полномочия по проверке: в 2024-2025 годах число внеплановых проверок в секторе финансовых технологий выросло. Неочевидный риск - отсутствие зарегистрированной политики конфиденциальности на грузинском языке при работе с грузинскими пользователями может быть квалифицировано как нарушение требований к информированию субъекта данных (статья 7 Закона о ПД).
Чтобы получить чек-лист запуска IT-сервиса с соблюдением требований по персональным данным для малого бизнеса и стартапов в Грузии, отправьте запрос на info@interlawfirm.ru
Определение статуса оператора или обработчика - первый шаг перед выстраиванием комплаенс-системы. Ошибка в квалификации на этом этапе влечёт неверное распределение ответственности между партнёрами и пробелы в договорной документации.
Запускаете финтех-сервис или IT-продукт в Грузии и не уверены, какие требования по данным применимы к вашей модели?Тип лицензии NBG и статус оператора данных определяют объём обязательств ещё до первого пользователя. Юристы Inter Law Firm проведут правовой анализ вашей бизнес-модели, определят статус оператора/обработчика, разработают политику конфиденциальности и договорную документацию с подрядчиками в соответствии с грузинским Законом о ПД.Обсудить ситуацию ->info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Какие требования к обработке данных предъявляет грузинский закон к IT-компаниям?
Грузинский Закон о ПД устанавливает шесть принципов обработки персональных данных: законность, справедливость, прозрачность, ограничение цели, минимизация данных, точность, ограничение хранения и целостность. Для IT-компании это означает конкретные операционные обязательства: собирать только те данные, которые необходимы для заявленной цели, хранить их не дольше установленного срока и обеспечивать их защиту от несанкционированного доступа.
Правовые основания обработки. Статья 5 Закона о ПД перечисляет допустимые основания: согласие субъекта, исполнение договора, законное обязательство, защита жизненно важных интересов, публичный интерес, законный интерес оператора. Для финтех-сервисов наиболее распространённые основания - исполнение договора (обработка данных клиента для проведения платёжной операции) и законное обязательство (KYC/AML-требования по Закону Грузии «О содействии предотвращению отмывания денег»). Согласие используется для маркетинговых коммуникаций и аналитики поведения пользователей.
Согласие субъекта данных должно быть свободным, конкретным, информированным и однозначным. Предварительно проставленные галочки в форме регистрации не соответствуют требованиям статьи 6 Закона о ПД. Для обработки специальных категорий данных (биометрия, данные о здоровье, финансовые данные в расширенном объёме) требуется явное согласие - отдельная форма с конкретным описанием цели.
Права субъектов данных. Пользователь вправе: получить информацию об обрабатываемых данных (статья 17), потребовать исправления неточных данных (статья 18), потребовать удаления данных при отсутствии правового основания для их хранения (статья 19), возразить против обработки (статья 21). IT-компания обязана ответить на запрос субъекта в течение 10 рабочих дней. Отсутствие процедуры обработки таких запросов - типичное нарушение, выявляемое при проверках Инспектора.
Что подготовить для соответствия базовым требованиям:
- Политика конфиденциальности на грузинском языке (и на языке интерфейса сервиса), размещённая в открытом доступе
- Реестр операций по обработке данных с указанием цели, правового основания, категорий данных и сроков хранения
- Договоры с обработчиками данных (подрядчиками, облачными провайдерами) с обязательными положениями о защите данных по статье 11 Закона о ПД
- Процедура обработки запросов субъектов данных (срок ответа - 10 рабочих дней)
- Процедура уведомления Инспектора об утечке данных в течение 72 часов с момента обнаружения
Уведомление об утечке данных - требование, которое многие IT-компании в Грузии игнорируют до первого инцидента. Статья 23 Закона о ПД обязывает оператора уведомить Инспектора в течение 72 часов с момента обнаружения нарушения безопасности, повлёкшего риск для прав субъектов. Если нарушение создаёт высокий риск - необходимо также уведомить самих субъектов данных. Отсутствие процедуры реагирования на инциденты превращает технический сбой в регуляторное нарушение.
В отличие от российского 152-ФЗ, грузинский Закон о ПД не требует локализации данных российских граждан на серверах в Грузии - требование локализации в грузинском праве отсутствует как таковое. Это создаёт операционное преимущество для IT-компаний, использующих международную облачную инфраструктуру.
Как устроена трансграничная передача персональных данных из Грузии?
Трансграничная передача персональных данных из Грузии в третьи страны регулируется статьёй 22 Закона о ПД. Передача данных допустима без дополнительных условий в страны, признанные Инспектором обеспечивающими адекватный уровень защиты данных. Список таких стран включает государства - члены ЕС, Великобританию, Израиль, Японию и ряд других юрисдикций. Передача в страны без адекватного уровня защиты - в том числе в Россию, США (без дополнительных гарантий) и большинство стран СНГ - требует применения дополнительных механизмов.
Допустимые механизмы для передачи данных в страны без адекватного уровня защиты: стандартные договорные положения (аналог SCC в GDPR), обязательные корпоративные правила для группы компаний, явное согласие субъекта данных с информированием о рисках, необходимость исполнения договора с субъектом данных. Для финтех-сервисов, передающих данные транзакций в процессинговые центры за рубежом, наиболее практичный механизм - стандартные договорные положения, включённые в соглашение с процессором.
Неочевидный риск для VASP и PSP: передача данных KYC-верификации (документы, удостоверяющие личность, биометрия) в зарубежные compliance-платформы без надлежащего правового механизма является нарушением статьи 22 Закона о ПД, даже если сама платформа сертифицирована по ISO 27001. Сертификация безопасности не заменяет правовое основание для трансграничной передачи.
Компании из Тбилиси (зима 2025) - финтех-стартапу, проводящему KYC-верификацию через зарубежную SaaS-платформу, - помогли структурировать трансграничную передачу данных: разработали стандартные договорные положения с провайдером и обновили политику конфиденциальности. Это позволило устранить нарушение до плановой проверки Инспектора и избежать предписания.
Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных для финтех-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Структура трансграничной передачи данных напрямую влияет на лицензионные риски: Национальный банк Грузии (NBG) при рассмотрении заявок на лицензию PSP и VASP оценивает в том числе соответствие требованиям по защите данных клиентов. Несоответствие Закону о ПД может стать основанием для дополнительных запросов или задержки лицензирования.
NBG запросил дополнительные документы или вы готовитесь к лицензированию PSP/VASP в Грузии?Каждый день задержки - упущенный рынок. Юристы Inter Law Firm проведут аудит соответствия требованиям по защите данных, подготовят стандартные договорные положения для трансграничной передачи и сформируют пакет документации для NBG в части data protection compliance.Обсудить ситуацию ->info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Что проверяет Инспектор по защите персональных данных и каковы санкции?
Инспектор по защите персональных данных Грузии проводит плановые проверки операторов из секторов повышенного риска (финансовые услуги, здравоохранение, телекоммуникации) и внеплановые проверки по жалобам субъектов данных или по собственной инициативе при наличии признаков нарушения. Для IT-компании и финтех-сервиса плановая проверка охватывает: наличие и содержание политики конфиденциальности, правовые основания обработки данных, договоры с обработчиками, реестр операций, процедуры реагирования на запросы субъектов и инциденты безопасности.
Санкции по Закону о ПД. Инспектор вправе: вынести предписание об устранении нарушения, наложить административный штраф, обратиться в суд с иском о прекращении обработки данных. Размер штрафов по состоянию на май 2026 года: предупреждение или штраф до 2 000 лари за первичные нарушения, штраф до 5 000 лари за повторные нарушения, штраф до 20 000 лари за нарушения, повлёкшие существенный вред субъектам данных или обработку специальных категорий данных без правового основания. Для финтех-компании с лицензией NBG предписание Инспектора может также стать основанием для регуляторных действий со стороны Национального банка.
Типичные нарушения, выявляемые при проверках:
- Отсутствие политики конфиденциальности или её несоответствие фактическим операциям по обработке данных
- Обработка данных без правового основания (согласие не получено, договорное основание не задокументировано)
- Отсутствие договоров с обработчиками данных или их несоответствие требованиям статьи 11 Закона о ПД
- Хранение данных сверх установленного срока без правового основания
- Отсутствие процедуры уведомления об утечках данных
Административное обжалование решений Инспектора осуществляется в Тбилисском городском суде (თბილისის საქალაქო სასამართლო) в течение одного месяца с момента получения решения. Судебная практика по делам об обжаловании предписаний Инспектора формируется: суды в целом поддерживают позицию регулятора при наличии документально подтверждённых нарушений, однако снижают размер штрафов при доказанном устранении нарушения до вынесения решения.
Компании из Батуми (лето 2024) - оператору платёжного сервиса - помогли оспорить предписание Инспектора о прекращении обработки данных. Предписание было вынесено по жалобе пользователя на отсутствие ответа на запрос об удалении данных. После представления доказательств технического сбоя в системе обработки запросов и внедрения новой процедуры суд отменил предписание о прекращении обработки, сохранив только штраф в размере 1 500 лари вместо первоначальных 8 000 лари.
Как выстроить data protection комплаенс для IT-компании и финтех-сервиса в Грузии?
Комплаенс по защите персональных данных для IT-компании в Грузии строится на четырёх уровнях: документация, договорная база, технические меры и операционные процедуры. Минимально достаточный уровень для стартапа на стадии запуска - документация и договорная база; технические меры и процедуры масштабируются по мере роста. Полный комплаенс для финтех-сервиса с лицензией NBG требует всех четырёх уровней до начала операционной деятельности.
Документация. Политика конфиденциальности - публичный документ, описывающий цели, правовые основания, категории данных, сроки хранения, права субъектов и контактные данные оператора. Для финтех-сервиса с грузинскими пользователями политика должна быть доступна на грузинском языке. Внутренний реестр операций по обработке данных - непубличный документ для операторов, обрабатывающих данные в значительном объёме или обрабатывающих специальные категории данных.
Договорная база. Соглашения об обработке данных (Data Processing Agreements, DPA) с каждым подрядчиком, получающим доступ к персональным данным пользователей: облачные провайдеры, аналитические платформы, KYC-сервисы, службы поддержки. Стандартные договорные положения для трансграничной передачи данных в страны без адекватного уровня защиты.
Технические меры. Шифрование данных при хранении и передаче, контроль доступа на основе ролей, журналирование операций с персональными данными, процедуры резервного копирования и восстановления. Конкретный набор мер зависит от категорий обрабатываемых данных и объёма обработки.
Операционные процедуры. Процедура обработки запросов субъектов данных (срок - 10 рабочих дней), процедура реагирования на инциденты безопасности с уведомлением Инспектора в течение 72 часов, процедура оценки воздействия на защиту данных (DPIA) для новых продуктов или функций с высоким риском.
Три сценария для разных типов бизнеса:
Сценарий 1 - IT-стартап, Virtual Zone, B2B-сервис для зарубежных клиентов. Минимальный комплаенс: политика конфиденциальности, DPA с подрядчиками, процедура обработки запросов. Риск проверки Инспектора - низкий при отсутствии грузинских пользователей, но статус VZ не освобождает от обязательств при обработке данных сотрудников в Грузии.
Сценарий 2 - Финтех-сервис с лицензией PSP, работающий с грузинскими потребителями. Полный комплаенс обязателен до начала операционной деятельности. NBG при лицензировании запрашивает документацию по защите данных. Риск проверки Инспектора - высокий (сектор повышенного риска).
Сценарий 3 - VASP (криптовалютный обменник или кастодиан), зарегистрированный в реестре NBG. Обработка биометрических данных при KYC требует явного согласия и специальных технических мер. Трансграничная передача данных в зарубежные compliance-платформы требует стандартных договорных положений. Риск - совокупный: нарушение Закона о ПД и нарушение AML-требований могут рассматриваться совместно.
Матрица решений:
Ситуация «запуск нового продукта с обработкой биометрии» - инструмент «DPIA + явное согласие + специальные технические меры» - срок подготовки 2-4 недели - затраты от 3 000-5 000 лари на юридическое сопровождение - риск без подготовки: штраф до 20 000 лари и предписание о прекращении обработки.
Ситуация «передача данных в зарубежный KYC-провайдер» - инструмент «стандартные договорные положения» - срок подготовки 1-2 недели - затраты от 1 500-2 500 лари - риск без подготовки: нарушение статьи 22 Закона о ПД, предписание, задержка лицензирования NBG.
Ситуация «жалоба пользователя Инспектору» - инструмент «ответ субъекту + документирование + при необходимости обжалование предписания» - срок реагирования 10 рабочих дней - затраты от 2 000 лари на сопровождение - риск без реагирования: предписание и штраф до 5 000 лари за повторное нарушение.
Направления практики по теме
- IT-право и защита данных - комплаенс по Закону о ПД, политики конфиденциальности, DPA
- Финтех и регулирование - лицензирование NBG, VASP-регистрация, AML/KYC-комплаенс
- Интеллектуальная собственность - защита IT-продуктов, регистрация товарных знаков в Грузии
Частые вопросы
1. Обязана ли IT-компания со статусом Virtual Zone соблюдать грузинский Закон о защите персональных данных?
IT-компания со статусом Virtual Zone в Грузии обязана соблюдать Закон о защите персональных данных в полном объёме, если обрабатывает персональные данные физических лиц на территории Грузии или в отношении лиц, находящихся в Грузии. Статус Virtual Zone предоставляет налоговые льготы (нулевая ставка налога на прибыль с экспортных доходов по Налоговому кодексу Грузии), но не освобождает от регуляторных обязательств в сфере защиты данных. На практике это означает: данные сотрудников грузинского офиса, данные грузинских пользователей тестовых версий продукта и данные, обрабатываемые на серверах в Грузии, подпадают под действие Закона. Инспектор по защите персональных данных не делает исключений для VZ-компаний при проведении проверок.
2. Какой штраф грозит финтех-сервису за нарушение требований по защите данных в Грузии?
Инспектор по защите персональных данных Грузии вправе назначить штраф до 20 000 лари за нарушения, повлёкшие существенный вред субъектам данных или связанные с незаконной обработкой специальных категорий данных (биометрия, финансовые данные в расширенном объёме). За первичные нарушения без существенного вреда - предупреждение или штраф до 2 000 лари; за повторные нарушения - до 5 000 лари. Для финтех-сервиса с лицензией Национального банка Грузии предписание Инспектора создаёт дополнительный регуляторный риск: NBG вправе учитывать нарушения в сфере защиты данных при оценке соответствия лицензиата требованиям. Совокупный риск - штраф плюс регуляторные последствия от NBG - делает комплаенс по защите данных обязательным элементом операционной модели финтех-компании.
3. Нужно ли уведомлять Инспектора при каждой утечке данных?
Оператор данных в Грузии обязан уведомить Инспектора по защите персональных данных в течение 72 часов с момента обнаружения нарушения безопасности, если это нарушение создаёт риск для прав и свобод субъектов данных, - такое требование установлено статьёй 23 Закона о ПД. Если риск для субъектов данных высокий (например, утечка финансовых данных или документов, удостоверяющих личность), оператор обязан также уведомить самих субъектов без неоправданной задержки. Технические инциденты без реального риска для субъектов (например, кратковременный сбой без несанкционированного доступа к данным) не требуют уведомления, но должны быть задокументированы внутренне. Отсутствие процедуры реагирования на инциденты и несоблюдение 72-часового срока - самостоятельные нарушения, за которые Инспектор назначает штраф независимо от последствий утечки.
4. Чем грузинский Закон о защите персональных данных отличается от GDPR?
Грузинский Закон о защите персональных данных концептуально близок к GDPR, но имеет несколько существенных отличий. Первое: в Грузии отсутствует требование о назначении Data Protection Officer (DPO) - должностного лица по защите данных - для большинства операторов; GDPR делает это обязательным для ряда категорий организаций. Второе: грузинский закон не предусматривает механизма «одного окна» для трансграничных операторов - каждая юрисдикция регулируется отдельно. Третье: максимальный штраф по грузинскому закону составляет 20 000 лари (около 7 000 USD), тогда как GDPR предусматривает штрафы до 20 миллионов евро или четырёх процентов глобального оборота. Четвёртое: грузинский закон не содержит требования о локализации данных, что создаёт операционную гибкость для IT-компаний, использующих международную облачную инфраструктуру. Для IT-компании, уже соответствующей GDPR, адаптация к грузинскому Закону о ПД потребует преимущественно локализации документации и настройки процедуры обработки запросов субъектов.
5. Как правильно оформить согласие пользователя на обработку данных в мобильном приложении в Грузии?
Согласие пользователя на обработку персональных данных в мобильном приложении должно соответствовать требованиям статьи 6 Закона о ПД: быть свободным, конкретным, информированным и однозначным. Это означает: отдельная форма согласия для каждой цели обработки (аналитика, маркетинг, передача третьим лицам), активное действие пользователя (нажатие кнопки «Согласен», а не предварительно проставленная галочка), возможность отозвать согласие так же легко, как оно было дано. Для обработки биометрических данных (например, Face ID для авторизации) требуется явное согласие с отдельным описанием цели и технических мер защиты. Согласие, полученное как условие доступа к базовому функционалу приложения, может быть признано недобровольным и недействительным. На практике Инспектор проверяет механизм получения согласия в первую очередь при рассмотрении жалоб пользователей.
Грузинский Закон о защите персональных данных создаёт реальные регуляторные обязательства для IT-компаний и финтех-сервисов - независимо от налогового режима и юрисдикции регистрации. Ключевые риски сосредоточены в трёх точках: правовые основания обработки данных, трансграничная передача и процедура реагирования на инциденты. Для финтех-сервисов с лицензией NBG несоответствие Закону о ПД создаёт совокупный регуляторный риск, выходящий за рамки штрафов Инспектора.
Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-сервисы в Грузии по вопросам защиты персональных данных, лицензирования NBG и IT-комплаенса. Мы можем помочь с разработкой политики конфиденциальности, структурированием трансграничной передачи данных, подготовкой DPA с подрядчиками и сопровождением при проверках Инспектора.
Чтобы получить чек-лист документации по защите персональных данных для IT-компаний и финтех-сервисов в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы выстроить data protection комплаенс или столкнулись с проверкой Инспектора?Юристы Inter Law Firm проведут правовой анализ текущего состояния комплаенса, подготовят необходимую документацию и представят интересы компании при взаимодействии с Инспектором по защите персональных данных или NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию ->info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 07 мая 2026 года