Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, PDPL), действующий в редакции 2023 года, прямо распространяется на трудовые отношения: работодатель является оператором персональных данных, а сотрудник - субъектом. По состоянию на май 2026 года любой мониторинг персонала - от видеонаблюдения до анализа корпоративной переписки - требует законного основания, соразмерности цели и, в большинстве случаев, предварительного уведомления работника.
Статья разбирает: какие инструменты контроля допустимы по грузинскому законодательству, на каком основании они применяются, как оформить мониторинг документально и какие санкции предусмотрены за нарушения PDPL. Материал ориентирован на руководителей компаний и HR-директоров, которые выстраивают политику контроля персонала в Грузии.
Мониторинг сотрудников в Грузии - это любая систематическая обработка персональных данных работника в рамках трудовых отношений: видеозапись, анализ трафика корпоративных устройств, геолокация, контроль рабочей переписки, учёт рабочего времени через программные средства. Закон PDPL не выделяет мониторинг в отдельную категорию, но статья 5 закона устанавливает принцип соразмерности: объём обрабатываемых данных должен соответствовать заявленной цели. Инспекция по защите персональных данных Грузии (საქართველოს პერსონალური მონაცემების დაცვის ინსპექცია, Personal Data Protection Inspection) в своих разъяснениях 2024 года прямо указала, что тотальный контроль без конкретной цели нарушает принцип минимизации данных.
Для бизнеса в Грузии это означает: нельзя установить систему мониторинга «на всякий случай». Каждый инструмент контроля должен быть привязан к конкретной законной цели - безопасность информационных систем, защита коммерческой тайны, соблюдение трудовой дисциплины. Отсутствие задокументированной цели - самостоятельное нарушение PDPL, независимо от того, были ли данные фактически использованы.
Грузинское законодательство в этой части существенно отличается от российского: в России работодатель традиционно пользовался широкой презумпцией права контролировать корпоративные ресурсы. В Грузии PDPL ставит во главу угла права субъекта данных, и бремя обоснования законности мониторинга лежит на операторе - то есть на работодателе.
Грузинский PDPL предусматривает несколько оснований для обработки персональных данных в трудовых отношениях. Наиболее применимые к мониторингу - три: исполнение трудового договора (статья 6 PDPL), законный интерес оператора (статья 6 PDPL) и согласие субъекта данных (статья 7 PDPL). Выбор основания определяет объём допустимого контроля и требования к документированию.
Исполнение трудового договора как основание применяется, когда мониторинг прямо связан с выполнением трудовых обязанностей: учёт рабочего времени, контроль доступа к производственным зонам, логирование действий в корпоративных системах для обеспечения информационной безопасности. Это основание не требует отдельного согласия, но требует, чтобы условие о мониторинге было отражено в трудовом договоре или локальном акте, с которым работник ознакомлен.
Законный интерес - более гибкое основание, но и более уязвимое при проверке. Работодатель должен провести балансировочный тест: интерес компании (защита коммерческой тайны, предотвращение утечек) против ожиданий конфиденциальности работника. Инспекция по защите персональных данных при проверках запрашивает документальное подтверждение такого теста. Без него ссылка на законный интерес не работает.
Согласие как основание для мониторинга в трудовых отношениях - наиболее проблематичное. Инспекция придерживается позиции, что согласие работника в условиях трудовой зависимости не может считаться свободным в полном смысле статьи 7 PDPL. Это не означает полного запрета, но означает: если мониторинг оспорен, работодатель должен доказать, что согласие было добровольным, а отказ не влёк негативных последствий для работника.
Частая ошибка компаний, переносящих практику из России: включение в трудовой договор пункта «работник соглашается на любой мониторинг корпоративных ресурсов» и считать вопрос закрытым. В Грузии такая формулировка не создаёт законного основания - она слишком широка, не привязана к конкретной цели и не проходит тест соразмерности по статье 5 PDPL.
Чтобы получить чек-лист регуляторных требований по мониторингу сотрудников для компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Выстраивая систему мониторинга, компании нередко останавливаются на этапе выбора технического решения и упускают правовую архитектуру. Между тем именно документальное оформление оснований определяет, устоит ли система при проверке Инспекции или жалобе работника.
Внедряете систему контроля персонала в Грузии? Правовая основа определяет допустимость каждого инструментаЕсли компания планирует мониторинг переписки, трафика или геолокации сотрудников - юристы Inter Law Firm проведут анализ допустимых оснований, подготовят локальные акты и политику обработки данных в соответствии с PDPL.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Допустимость конкретного инструмента контроля определяется тремя критериями: наличие законного основания, соразмерность цели и предварительное уведомление работника. Ни один из перечисленных ниже инструментов не является автоматически законным - каждый требует документального оформления.
Видеонаблюдение на рабочем месте. Допустимо при соблюдении трёх условий: наличие обоснованной цели (охрана имущества, безопасность), размещение предупреждающих знаков в зоне видеозаписи, уведомление работников в локальном акте. Запрещено: видеонаблюдение в туалетах, раздевалках, комнатах отдыха. Срок хранения записей должен быть установлен заранее - Инспекция рекомендует не более 30 дней без специального обоснования.
Мониторинг корпоративной электронной почты и мессенджеров. Допустим только в отношении корпоративных аккаунтов (не личных), при условии, что работник заранее уведомлён о возможности такого контроля. Анализ содержания писем - более высокий уровень вмешательства, чем анализ метаданных (кому, когда, объём). Для анализа содержания требуется более весомое обоснование: например, расследование конкретного инцидента безопасности.
Мониторинг интернет-трафика и активности на корпоративных устройствах. Допустим при наличии IT-политики, описывающей цели мониторинга, категории собираемых данных и порядок доступа к результатам. Автоматическая блокировка ресурсов (фильтрация) менее инвазивна, чем логирование посещённых сайтов, и проще обосновывается через законный интерес.
Геолокация сотрудников. Наиболее чувствительный инструмент. Допустима для сотрудников с разъездным характером работы (курьеры, торговые представители) при условии, что геолокация активна только в рабочее время и работник может это проверить. Постоянная геолокация вне рабочего времени - нарушение PDPL вне зависимости от основания.
Учёт рабочего времени через программные средства (тайм-трекеры). Наименее проблематичный инструмент при условии, что система фиксирует только рабочее время, а не скриншоты экрана или нажатия клавиш. Скриншот-мониторинг и кейлоггеры - высокоинвазивные инструменты, применение которых в Грузии требует исключительно сильного обоснования и, как правило, согласия работника.
Чек-лист «что подготовить» перед запуском системы мониторинга:
Компании из Тбилиси (осень 2024) помогли структурировать систему мониторинга IT-персонала после того, как один из сотрудников подал жалобу в Инспекцию по защите персональных данных. Компания использовала скриншот-мониторинг без уведомления работников. По результатам сопровождения: жалоба была закрыта без штрафа, система мониторинга переведена на законную основу с документальным оформлением всех оснований.
PDPL устанавливает несколько абсолютных ограничений, которые не преодолеваются ни согласием, ни локальным актом. Нарушение любого из них влечёт административную ответственность независимо от добросовестности работодателя.
Первое ограничение - запрет скрытого мониторинга без уведомления. Статья 8 PDPL обязывает оператора информировать субъекта данных об обработке до её начала. Скрытая установка программ слежения на корпоративные устройства без уведомления работника - нарушение, даже если устройство принадлежит компании.
Второе - принцип минимизации данных (статья 5 PDPL). Нельзя собирать данные «про запас». Если цель мониторинга - контроль рабочего времени, сбор содержания переписки для этой цели избыточен. Инспекция оценивает не только факт сбора, но и соответствие объёма данных заявленной цели.
Третье - ограничение срока хранения. Данные мониторинга должны храниться не дольше, чем необходимо для достижения цели. Бессрочное хранение записей видеонаблюдения или логов переписки - самостоятельное нарушение.
Четвёртое - запрет мониторинга личных коммуникаций. Даже на корпоративном устройстве работник вправе использовать личные аккаунты. Мониторинг личной почты или личных мессенджеров через корпоративный прокси - нарушение, которое не устраняется ни одним локальным актом.
Неочевидный риск для компаний с удалёнными сотрудниками: мониторинг домашней сети работника через VPN-соединение может захватывать данные членов его семьи - третьих лиц, не являющихся субъектами трудовых отношений. Это создаёт отдельный состав нарушения PDPL.
В отличие от России, где Роскомнадзор исторически концентрировался на крупных операторах данных, Инспекция по защите персональных данных Грузии активно рассматривает жалобы физических лиц, включая работников. По данным Инспекции, в 2024 году более 30% жалоб поступило именно в контексте трудовых отношений.
Административная ответственность за нарушение PDPL в Грузии установлена Кодексом об административных правонарушениях. Размер штрафа зависит от характера нарушения и субъекта: для юридических лиц штрафы составляют от 500 до 5 000 лари за отдельные нарушения, при повторных или грубых нарушениях - до 20 000 лари. Инспекция вправе выдать предписание об устранении нарушения, приостановить обработку данных и обратиться в суд.
Помимо административной ответственности, работник вправе обратиться в суд с иском о возмещении морального вреда, причинённого незаконным мониторингом. Городской суд Тбилиси (თბილისის საქალაქო სასამართლო) рассматривал подобные дела: суммы компенсации в практике варьируются от 500 до 3 000 лари в зависимости от степени вмешательства в частную жизнь.
Процедура проверки Инспекции выглядит так: жалоба работника - регистрация в течение 5 рабочих дней - запрос документов у работодателя (30 дней на ответ) - проверка на месте (при необходимости) - решение. Срок рассмотрения жалобы - до 3 месяцев. Работодатель, не представивший документы в установленный срок, автоматически получает дополнительный штраф за воспрепятствование проверке.
Триггер для немедленного реагирования: если работник направил письменный запрос о предоставлении сведений об обработке его персональных данных (право субъекта по статье 18 PDPL), работодатель обязан ответить в течение 10 рабочих дней. Пропуск этого срока - самостоятельное нарушение, которое Инспекция фиксирует отдельно от основной жалобы.
Компании из Кутаиси (весна 2025) помогли подготовить ответ на запрос Инспекции по защите персональных данных после жалобы бывшего сотрудника на незаконный мониторинг корпоративной почты. Работодатель не имел локального акта о мониторинге. По результатам сопровождения: предписание об устранении нарушения выдано без штрафа, локальная документация приведена в соответствие с PDPL в течение 20 дней.
Чтобы получить чек-лист комплаенс-требований по мониторингу сотрудников для компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Получение жалобы от работника или запроса от Инспекции - момент, когда цена ошибки резко возрастает. Стратегия реагирования в первые 10 рабочих дней определяет исход проверки: штраф и предписание или закрытие без санкций.
Получили жалобу от сотрудника или запрос Инспекции по персональным данным? Сроки на ответ ограниченыЕсли работник подал жалобу в Инспекцию по защите персональных данных Грузии или направил запрос о раскрытии данных - юристы Inter Law Firm проанализируют основания, подготовят ответ и представят интересы компании в административном порядке.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Правовое оформление мониторинга зависит от типа бизнеса, характера работы сотрудников и используемых инструментов. Универсального шаблона нет: документация, достаточная для IT-компании с удалёнными разработчиками, не подойдёт для торговой компании с выездными менеджерами.
Сценарий 1: IT-компания, удалённые сотрудники. Основные инструменты - тайм-трекер, мониторинг корпоративных репозиториев, VPN-логи. Основание - исполнение трудового договора и законный интерес (защита кода и данных клиентов). Необходимые документы: IT-политика с описанием инструментов мониторинга, трудовой договор с указанием на применение мониторинга, политика обработки персональных данных. Скриншот-мониторинг - только с отдельным согласием и обоснованием. Срок хранения логов - не более 90 дней без специального обоснования.
Сценарий 2: Торговая компания, выездные менеджеры. Основные инструменты - геолокация в рабочее время, корпоративный телефон. Основание - исполнение трудового договора (контроль выполнения маршрутов). Необходимые документы: локальный акт о геолокации с указанием, что отслеживание ведётся только в рабочее время, уведомление работников, технический регламент (кто имеет доступ к данным геолокации). Геолокация вне рабочего времени - запрещена без отдельного согласия.
Сценарий 3: Финансовая компания, офисные сотрудники. Основные инструменты - видеонаблюдение, мониторинг корпоративной почты, контроль доступа к финансовым системам. Основание - законный интерес (предотвращение мошенничества, соблюдение требований NBG). Необходимые документы: политика видеонаблюдения с указанием зон и сроков хранения, IT-политика с описанием мониторинга почты, предупреждающие знаки в зонах видеозаписи, балансировочный тест. Для финансовых компаний под надзором Национального банка Грузии (nbg.gov.ge) мониторинг доступа к системам может быть обязателен по регуляторным требованиям - это усиливает основание законного интереса.
Матрица решений: если цель мониторинга - безопасность информационных систем, достаточно IT-политики и уведомления (основание - законный интерес, срок - до 90 дней). Если цель - расследование конкретного инцидента, требуется отдельное решение уполномоченного лица с фиксацией основания и ограниченным кругом доступа к данным. Если цель - постоянный контроль производительности через скриншоты, требуется согласие работника с правом отзыва.
Направления практики по теме
Работодатель в Грузии вправе контролировать корпоративную электронную почту без отдельного согласия работника, если условие о мониторинге закреплено в трудовом договоре или локальном акте, с которым работник ознакомлен до начала трудовых отношений. Это основание - исполнение трудового договора по статье 6 PDPL. Однако анализ содержания писем (а не только метаданных) требует более весомого обоснования: как правило, наличие конкретного инцидента безопасности. Мониторинг личных аккаунтов работника, даже если он использует их на корпоративном устройстве, запрещён вне зависимости от наличия согласия в трудовом договоре. Без документального оформления любой мониторинг переписки создаёт риск штрафа от Инспекции по защите персональных данных в размере до 5 000 лари и гражданского иска от работника.
Инспекция по защите персональных данных Грузии вправе выдать предписание об устранении нарушения, наложить административный штраф и приостановить обработку данных. Штраф для юридических лиц составляет от 500 до 20 000 лари в зависимости от характера и повторности нарушения. Срок исполнения предписания - как правило, 30 дней. Неисполнение предписания влечёт повторный штраф. Параллельно работник вправе обратиться в Городской суд Тбилиси с иском о возмещении морального вреда: практика показывает суммы от 500 до 3 000 лари. Наибольший риск - скрытый мониторинг без уведомления: это квалифицируется как грубое нарушение и, как правило, влечёт максимальный размер штрафа.
Видеонаблюдение в офисе в Грузии не требует отдельного согласия работника, если выполнены три условия: наличие законной цели (охрана имущества, безопасность), размещение предупреждающих знаков в зонах видеозаписи и уведомление работников в локальном акте до начала съёмки. Основание - законный интерес оператора по статье 6 PDPL. Срок хранения записей должен быть установлен заранее: Инспекция рекомендует не более 30 дней без специального обоснования. Видеонаблюдение в туалетах, раздевалках и комнатах отдыха запрещено абсолютно - ни одно основание его не легализует. Нарушение этого запрета влечёт уголовную ответственность по Уголовному кодексу Грузии, а не только административную.
Грузинский PDPL в части мониторинга сотрудников принципиально отличается от российского Федерального закона «О персональных данных» по двум ключевым параметрам. Первый: в Грузии бремя доказывания законности мониторинга лежит на работодателе - он обязан документально подтвердить основание, цель и соразмерность. В России работодатель традиционно пользовался широкой презумпцией права контролировать корпоративные ресурсы. Второй: грузинская Инспекция активно рассматривает жалобы работников и выносит решения в течение трёх месяцев - это значительно быстрее, чем российская практика Роскомнадзора по трудовым спорам. Для компаний, переносящих практику управления персоналом из России в Грузию, это означает необходимость полного пересмотра документальной базы мониторинга.
Уведомление сотрудников о мониторинге в Грузии имеет юридическую силу, если оно содержит четыре обязательных элемента: описание инструментов мониторинга, цель обработки данных, срок хранения результатов и порядок доступа к ним. Уведомление должно быть вручено работнику до начала мониторинга - при приёме на работу или при введении новой системы контроля. Допустимые форматы: подпись в локальном акте, электронное подтверждение получения с фиксацией даты. Устное уведомление юридической силы не имеет. Инспекция при проверках запрашивает доказательства вручения уведомления каждому конкретному работнику - общая ссылка на размещение политики на корпоративном портале без подтверждения ознакомления признаётся недостаточной.
Мониторинг сотрудников в Грузии - законный инструмент управления, но только при соблюдении требований PDPL. Три ключевых условия: законное основание, предварительное уведомление работника и соразмерность объёма данных заявленной цели. Отсутствие любого из них превращает систему контроля в источник административной и гражданско-правовой ответственности.
Юридическая фирма Inter Law Firm сопровождает компании в Грузии по вопросам защиты персональных данных и IT-комплаенса. Мы можем помочь с аудитом существующих систем мониторинга на соответствие PDPL, разработкой локальных актов и политик обработки данных, а также с представлением интересов при проверках Инспекции.
Чтобы получить чек-лист документов для приведения системы мониторинга сотрудников в соответствие с PDPL Грузии, отправьте запрос на info@interlawfirm.ru
Готовы выстроить законную систему мониторинга или защитить компанию при проверке?Юристы Inter Law Firm проведут правовой анализ текущей практики мониторинга, выявят несоответствия PDPL и подготовят комплект документов для приведения системы в соответствие с грузинским законодательством.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 05 мая 2026 года