Аналитика
2026-05-04 00:00 fintech

Open Banking API: защита данных клиента по грузинскому праву

Open Banking API (ღია საბანკო API) - это стандартизированный программный интерфейс, через который банки и платёжные учреждения Грузии предоставляют третьим сторонам доступ к финансовым данным клиентов с их согласия. Правовую основу составляют Органический закон Грузии о Национальном банке, Закон о платёжной системе и платёжных услугах (2023), а также Закон о защите персональных данных (2024, в силе с 01.03.2025). По состоянию на май 2026 года Национальный банк Грузии (ეროვნული ბანკი, NBG) завершает внедрение обязательных технических стандартов Open Banking для лицензированных платёжных учреждений.

Для финтех-компаний, VASP и PSP, работающих в грузинской юрисдикции, вопрос защиты клиентских данных через API перестал быть сугубо техническим. Нарушение требований NBG влечёт приостановление лицензии, штрафы и гражданско-правовую ответственность перед клиентами. Статья разбирает: правовую рамку Open Banking в Грузии, требования к согласию клиента и обработке данных, ответственность участников экосистемы, типичные ошибки при интеграции API и стратегии снижения регуляторного риска.

Какую правовую рамку создаёт грузинское законодательство для Open Banking?

Правовая рамка Open Banking в Грузии формируется тремя уровнями регулирования: Закон о платёжной системе и платёжных услугах (2023) устанавливает категории участников и их обязанности; нормативные акты NBG детализируют технические и операционные требования; Закон о защите персональных данных (2024) определяет режим обработки финансовых данных клиентов. Совокупность этих актов создаёт для финтех-компаний в Грузии обязательства, сопоставимые по объёму с европейской директивой PSD2, хотя и с рядом существенных отличий.

Закон о платёжной системе 2023 года ввёл в грузинское право понятия «поставщик платёжных инициирующих услуг» и «поставщик услуг по информированию о счёте» - аналоги PISP и AISP из европейской практики. Каждая из этих категорий требует отдельной лицензии или регистрации в NBG. Банки, в свою очередь, обязаны предоставлять таким поставщикам доступ к API на недискриминационных условиях - отказ без технического обоснования квалифицируется как нарушение закона.

Закон о защите персональных данных 2024 года распространяется на любую обработку данных физических лиц, включая финансовые транзакции, остатки на счетах и историю платежей. Финансовые данные клиента отнесены к категории, требующей повышенной защиты: их передача через API третьей стороне без явного, информированного и отзываемого согласия клиента является нарушением закона. Надзор осуществляет Инспекция по защите персональных данных (პერსონალურ მონაცემთა დაცვის ინსპექცია).

Неочевидный риск для финтех-стартапов: многие компании, получившие VASP-регистрацию в NBG для работы с криптоактивами, ошибочно полагают, что она покрывает и платёжные услуги с доступом к банковским API. Это два разных режима лицензирования с разными требованиями к капиталу, комплаенсу и защите данных.

Какие требования NBG предъявляет к согласию клиента и обработке данных через API?

Национальный банк Грузии требует, чтобы согласие клиента на передачу данных через Open Banking API было явным, конкретным и ограниченным по сроку - не более 90 дней без повторного подтверждения. Это требование закреплено в нормативном акте NBG о платёжных услугах (2024) и воспроизводит принцип минимизации данных из Закона о защите персональных данных. Финтех-компания не вправе запрашивать доступ к данным, выходящим за пределы конкретной услуги, которую она оказывает клиенту.

Практически это означает следующее. Если PISP-компания инициирует платёж, она вправе получить только данные, необходимые для исполнения этого платежа: реквизиты счёта, доступный остаток, статус транзакции. Доступ к истории платежей за последние 12 месяцев для «улучшения пользовательского опыта» без отдельного согласия - нарушение как закона о платёжных услугах, так и закона о персональных данных.

Требования к технической реализации согласия:

  • Форма согласия должна быть отделена от общих условий использования сервиса и представлена на понятном клиенту языке
  • Клиент должен иметь возможность отозвать согласие в любой момент через интерфейс финтех-компании, а не только через банк
  • Финтех-компания обязана уведомить банк об отзыве согласия в течение 24 часов
  • Журнал согласий хранится не менее 5 лет и предоставляется NBG по запросу
  • Повторное использование ранее полученных данных после отзыва согласия запрещено и квалифицируется как незаконная обработка

Частая ошибка компаний из РФ и СНГ, выходящих на грузинский рынок: перенос механики «галочки в пользовательском соглашении» из привычных юрисдикций. В Грузии такой подход не соответствует требованиям NBG и Инспекции по защите данных. Регулятор при проверке запрашивает технические логи и UX-скриншоты формы согласия.

Чтобы получить чек-лист требований NBG к согласию клиента и обработке данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Как распределяется ответственность между банком, финтех-компанией и клиентом при утечке данных через API?

При утечке финансовых данных через Open Banking API грузинское право распределяет ответственность между участниками в зависимости от того, на каком звене цепочки произошло нарушение. Банк несёт ответственность за безопасность собственного API-шлюза; финтех-компания - за хранение, обработку и передачу данных на своей стороне. Гражданский кодекс Грузии (სამოქალაქო კოდექსი) предусматривает деликтную ответственность за ущерб, причинённый незаконной обработкой данных, - статья 992 ГК. Инспекция по защите персональных данных вправе наложить административный штраф до 1% годового оборота компании за первичное нарушение и до 3% - за повторное.

Разграничение ответственности на практике строится через договор между банком и финтех-компанией об условиях доступа к API. NBG рекомендует включать в такой договор: чёткое описание объёма передаваемых данных, технические стандарты безопасности (минимум TLS 1.2, OAuth 2.0), порядок уведомления об инцидентах (не позднее 72 часов с момента обнаружения - по аналогии с GDPR, но закреплено в нормативном акте NBG), распределение финансовой ответственности при утечке.

Клиент в этой схеме - пострадавшая сторона с правом на компенсацию. Он вправе обратиться как в Инспекцию по защите данных с жалобой, так и в суд с иском о возмещении ущерба. Городской суд Тбилиси (თბილისის საქალაქო სასამართლო) рассматривает такие иски в рамках общей гражданской юрисдикции; специализированного финансового суда в Грузии нет.

Компании из Тбилиси (зима 2025) помогли структурировать договорную документацию с банком-партнёром после того, как NBG в ходе плановой проверки выявил отсутствие формализованного соглашения об условиях API-доступа. Финтех-компания работала на основании технической документации банка без юридически обязывающего договора - это создавало неограниченный риск ответственности при любом инциденте с данными. Подготовка и согласование пакета документов заняли около трёх недель; лицензионная процедура была возобновлена без санкций.

Нераспределённая ответственность - наиболее частый источник регуляторных проблем в грузинской Open Banking-экосистеме. Финтех-компании нередко полагают, что банк как «держатель данных» несёт основную ответственность. NBG придерживается иной позиции: финтех-компания как самостоятельный оператор персональных данных несёт полную ответственность за обработку на своей стороне вне зависимости от источника данных.

Контекстный мост: описанное распределение ответственности работает по-разному в зависимости от типа лицензии, структуры договора с банком и технической архитектуры API-интеграции. Универсальная схема не существует - конкретная конфигурация рисков определяется на уровне документации.

Получили запрос от NBG или выявили пробел в договоре с банком-партнёром? Сроки реагирования ограниченыЕсли Национальный банк Грузии направил запрос по API-интеграции или вы обнаружили отсутствие формализованного соглашения об условиях доступа к данным - юристы Inter Law Firm проведут правовой аудит документации, подготовят договор с банком-партнёром и выстроят систему управления согласиями клиентов в соответствии с требованиями NBG и Закона о защите персональных данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Что нужно подготовить финтех-компании для соответствия требованиям по защите данных?

Соответствие требованиям грузинского законодательства по защите данных в контексте Open Banking требует одновременной работы на трёх уровнях: правовом, техническом и операционном. Финтех-компания, имеющая лицензию NBG или проходящая процедуру лицензирования, обязана документально подтвердить каждый из этих уровней - не в момент проверки, а в режиме текущего комплаенса.

Чек-лист: что подготовить финтех-компании для Open Banking-комплаенса в Грузии

  • Политика обработки персональных данных, соответствующая Закону о защите персональных данных 2024 года, с отдельным разделом об API-интеграциях и третьих сторонах
  • Форма согласия клиента на передачу данных через API: отдельный документ, не включённый в общие условия, с указанием объёма данных, срока действия согласия (не более 90 дней) и механизма отзыва
  • Договор с банком-партнёром об условиях API-доступа: объём данных, стандарты безопасности, порядок уведомления об инцидентах, распределение ответственности
  • Журнал согласий клиентов с техническими логами: хранение не менее 5 лет, доступ для NBG и Инспекции по запросу
  • Процедура реагирования на инциденты с данными: уведомление NBG и Инспекции в течение 72 часов, уведомление клиентов в разумный срок

Три сценария для разных типов финтех-компаний в Грузии:

Сценарий 1: PISP (инициирование платежей). Компания получает доступ к счёту клиента только для инициирования конкретного платежа. Объём данных минимален, но требования к безопасности канала передачи максимальны: NBG требует сертифицированного API-шлюза и двухфакторной аутентификации клиента. Срок рассмотрения заявки на лицензию - от 3 до 6 месяцев.

Сценарий 2: AISP (агрегация данных о счетах). Компания получает доступ к расширенному массиву данных: история транзакций, категории расходов, остатки. Это наиболее регуляторно чувствительный режим: Инспекция по защите данных рассматривает агрегацию финансовых данных как повышенный риск профилирования. Требуется отдельное обоснование цели обработки для каждой категории данных.

Сценарий 3: VASP с платёжной функцией. Компания совмещает работу с криптоактивами и фиатными платежами. Это наиболее сложный режим: два параллельных регуляторных трека (VASP-регистрация и платёжная лицензия), два набора требований к данным, потенциально два надзорных органа. NBG в 2025 году усилил контроль за такими гибридными моделями.

Матрица решений: ситуация - инструмент - срок - затраты - риски

Если компания только планирует API-интеграцию: начать с правового аудита модели данных до подачи заявки в NBG. Срок аудита - 2-3 недели. Затраты на юридическое сопровождение - от 3 000 лари. Риск без аудита: отказ NBG с требованием доработки, задержка лицензирования на 3-6 месяцев.

Если компания уже работает с API без формализованной документации: приоритет - договор с банком и журнал согласий. Срок подготовки - 3-4 недели. Риск без документации: при плановой проверке NBG - предписание об устранении нарушений с 30-дневным сроком; при инциденте с данными - административная ответственность без возможности сослаться на добросовестность.

Если компания получила предписание NBG или жалобу Инспекции: срок реагирования критичен. Предписание NBG об устранении нарушений даётся на 30 дней; пропуск срока влечёт приостановление лицензии. Жалоба в Инспекцию рассматривается в течение 60 дней; без юридической позиции компания рискует получить максимальный штраф.

Чтобы получить чек-лист комплаенс-требований по защите данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Какие риски несёт финтех-компания при нарушении требований по защите данных в Грузии?

Нарушение требований по защите данных в контексте Open Banking влечёт для финтех-компании в Грузии три параллельных вида ответственности: административную (Инспекция по защите персональных данных), регуляторную (NBG) и гражданско-правовую (иски клиентов). Все три могут реализоваться одновременно по итогам одного инцидента - грузинское право не предусматривает механизма «зачёта» административного штрафа в счёт гражданской ответственности.

Административная ответственность по Закону о защите персональных данных 2024 года: предупреждение при первичном нарушении без ущерба; штраф до 1% годового оборота при нарушении с последствиями; штраф до 3% при повторном нарушении или систематическом игнорировании требований. Для стартапа с оборотом 2 млн лари в год штраф в 3% составит 60 000 лари - сумма, способная поставить под угрозу операционную деятельность.

Регуляторная ответственность NBG: предписание об устранении нарушений (30 дней), приостановление лицензии, отзыв лицензии при систематических нарушениях. Приостановление лицензии означает полную остановку платёжных операций - для PSP или PISP это прямые потери выручки и репутационный ущерб.

Гражданско-правовая ответственность: клиент, чьи данные были незаконно обработаны или утекли, вправе требовать компенсации реального ущерба и морального вреда по статье 992 Гражданского кодекса. Верховный суд Грузии в последние годы демонстрирует тенденцию к расширительному толкованию понятия «ущерб» применительно к нарушениям в сфере данных.

В отличие от российского права, где административная ответственность за нарушения в сфере персональных данных традиционно была символической, грузинский регулятор с 2025 года применяет оборотные штрафы. Это принципиальное отличие, которое недооценивают компании, переносящие российскую практику управления рисками в грузинскую юрисдикцию.

Компании из Батуми (лето 2025) помогли выстроить систему управления инцидентами с данными после того, как NBG запросил документацию о порядке уведомления клиентов при утечке. Компания работала в сфере агрегации финансовых данных и не имела формализованной процедуры реагирования. Подготовка политики управления инцидентами, шаблонов уведомлений и технических регламентов позволила закрыть запрос NBG в установленный срок и избежать предписания.

Триггеры для немедленного юридического анализа: (1) NBG направил запрос о документации по API-интеграции - срок ответа 30 дней, пропуск влечёт предписание; (2) клиент или группа клиентов подали жалобу в Инспекцию по защите данных - Инспекция уведомляет компанию и запрашивает позицию в течение 10 рабочих дней; (3) банк-партнёр уведомил о выявленном инциденте безопасности на стороне API - 72-часовое окно уведомления регулятора начинает отсчёт с момента, когда финтех-компания узнала об инциденте, а не с момента его обнаружения банком.

Контекстный мост: конкретный объём рисков и приоритетность мер зависят от типа лицензии, архитектуры API-интеграции и истории взаимодействия с NBG. Стандартный чек-лист не заменяет правовой анализ конкретной модели.

Планируете запуск финтех-сервиса с API-доступом к банковским данным в Грузии? Тип лицензии определяет сроки запуска и требования к защите данныхЕсли вы разрабатываете PISP, AISP или гибридную VASP-модель с платёжной функцией - юристы Inter Law Firm проведут правовой аудит архитектуры данных, подготовят пакет документации для NBG и выстроят систему комплаенса по Закону о защите персональных данных 2024 года.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как выстроить защиту данных клиентов при работе с Open Banking API: стратегия для финтех-компании в Грузии

Устойчивая система защиты данных в Open Banking строится не как разовый комплаенс-проект, а как операционный процесс с регулярным обновлением. Грузинское законодательство в сфере финтех-регулирования развивается быстро: NBG выпускает нормативные акты в среднем раз в квартал, Инспекция по защите данных формирует правоприменительную практику. Компания, которая привела документацию в порядок в 2024 году и не обновляла её с тех пор, к 2026 году с высокой вероятностью имеет пробелы.

Стратегия защиты данных для финтех-компании в Грузии включает четыре элемента:

Правовая архитектура данных. До технической интеграции - определить правовое основание для каждой категории данных, которые компания планирует получать через API. Согласие клиента - не единственное основание: Закон о защите персональных данных 2024 года допускает также обработку в целях исполнения договора и в целях соблюдения законодательного требования (например, AML/KYC). Выбор основания влияет на объём данных, срок хранения и требования к документированию.

Договорная инфраструктура. Договор с банком-партнёром, соглашения с субподрядчиками (облачные провайдеры, аналитические платформы), внутренние политики. NBG при проверке запрашивает весь договорной стек - отсутствие любого звена создаёт регуляторный риск. Особое внимание: если данные клиентов обрабатываются на серверах за пределами Грузии, требуется соответствие требованиям трансграничной передачи данных по статье 22 Закона о защите персональных данных.

Техническая реализация. Privacy by design - принцип, прямо закреплённый в Законе о защите персональных данных 2024 года. Это означает, что защита данных должна быть встроена в архитектуру системы, а не добавлена поверх. NBG при технической проверке оценивает: шифрование данных в покое и при передаче, механизм токенизации учётных данных клиента, журналирование доступа к API, процедуру удаления данных после отзыва согласия.

Мониторинг и обновление. Назначение ответственного за защиту данных (аналог DPO), квартальный аудит соответствия нормативным актам NBG, ежегодный правовой аудит всей документации. Для компаний с оборотом свыше 5 млн лари NBG де-факто ожидает наличия выделенного комплаенс-офицера.

Сравнение с аналогичными процедурами: в России требования к согласию на обработку персональных данных формально схожи, но правоприменение существенно мягче - оборотные штрафы введены в 2024 году и пока применяются ограниченно. В Грузии Инспекция по защите данных с 2025 года демонстрирует готовность применять максимальные санкции к финансовым компаниям как к субъектам повышенного риска.

Направления практики по теме

Частые вопросы

1. Нужна ли финтех-компании отдельная лицензия NBG для доступа к Open Banking API в Грузии?

Да, для доступа к Open Banking API в Грузии требуется отдельная лицензия или регистрация в Национальном банке Грузии - в зависимости от типа услуги. Компания, инициирующая платежи (PISP), обязана получить лицензию платёжного учреждения; компания, агрегирующая данные о счетах (AISP), - пройти регистрацию в NBG по упрощённой процедуре. Срок рассмотрения заявки на лицензию составляет от трёх до шести месяцев; регистрация AISP - от одного до двух месяцев. Работа без соответствующего статуса квалифицируется как незаконная платёжная деятельность по Закону о платёжной системе 2023 года и влечёт административную ответственность и принудительное прекращение деятельности. VASP-регистрация для работы с криптоактивами не заменяет платёжную лицензию и не даёт права на API-доступ к банковским счетам клиентов.

2. Что происходит с данными клиента, если он отозвал согласие на доступ через API?

После отзыва клиентом согласия на доступ через Open Banking API финтех-компания обязана прекратить любую обработку данных, полученных на основании этого согласия, и уведомить банк-партнёра в течение 24 часов. Данные, собранные до отзыва, должны быть удалены или обезличены в срок, установленный политикой хранения данных компании, - как правило, не позднее 30 дней. Исключение составляют данные, которые компания обязана хранить по требованию AML-законодательства Грузии: они сохраняются в течение пяти лет вне зависимости от отзыва согласия, но доступ к ним ограничивается исключительно целями AML-комплаенса. Продолжение обработки данных после отзыва согласия квалифицируется как незаконная обработка по статье 5 Закона о защите персональных данных 2024 года.

3. Распространяется ли грузинский Закон о защите персональных данных на компанию, зарегистрированную за рубежом, но обслуживающую клиентов в Грузии?

Да, Закон о защите персональных данных Грузии 2024 года применяется к любой компании, которая обрабатывает данные физических лиц, находящихся на территории Грузии, - вне зависимости от места регистрации компании. Этот принцип экстерриториальности прямо закреплён в статье 3 Закона и воспроизводит подход GDPR. Иностранная финтех-компания, предоставляющая услуги грузинским пользователям через мобильное приложение или веб-интерфейс, обязана соблюдать требования грузинского законодательства о данных в полном объёме. Инспекция по защите персональных данных вправе инициировать проверку и наложить штраф; принудительное исполнение в отношении иностранных компаний осуществляется через механизмы международного сотрудничества и блокировку доступа к сервису на территории Грузии.

4. Какие технические стандарты безопасности требует NBG для API-интеграций?

Национальный банк Грузии требует для Open Banking API-интеграций минимального набора технических стандартов: протокол TLS версии 1.2 или выше для шифрования канала передачи данных, авторизация по протоколу OAuth 2.0 с токенами с ограниченным сроком действия, двухфакторная аутентификация клиента при инициировании платежа. Эти требования закреплены в нормативном акте NBG о платёжных услугах 2024 года. Дополнительно NBG рекомендует (а для системно значимых участников - требует) прохождение независимого аудита безопасности API не реже одного раза в год. Несоответствие техническим стандартам выявляется при плановой проверке NBG и влечёт предписание об устранении в течение 30 дней; при повторном выявлении - приостановление лицензии.

5. Чем грузинское регулирование Open Banking отличается от европейского PSD2?

Грузинское регулирование Open Banking, введённое Законом о платёжной системе 2023 года, концептуально воспроизводит европейскую директиву PSD2, но имеет существенные отличия в деталях. Во-первых, грузинский закон не устанавливает обязательных технических стандартов API на уровне закона - они определяются нормативными актами NBG, которые продолжают формироваться. Во-вторых, режим ответственности при несанкционированных транзакциях в Грузии менее детализирован: PSD2 устанавливает конкретные сроки возврата средств клиенту (один рабочий день), грузинский закон отсылает к общим нормам Гражданского кодекса. В-третьих, в Грузии отсутствует аналог европейского реестра авторизованных платёжных учреждений с открытым доступом - проверка статуса участника осуществляется через NBG по запросу. Для компаний, работающих одновременно в ЕС и Грузии, это означает необходимость поддерживать два параллельных комплаенс-трека.

Открытый банкинг в Грузии находится в стадии активного регуляторного формирования: NBG последовательно ужесточает требования к участникам, Инспекция по защите данных наращивает правоприменительную активность. Финтех-компании, выстроившие систему защиты данных как операционный процесс, а не разовый проект, получают конкурентное преимущество: они быстрее проходят лицензирование, реже получают предписания и сохраняют доверие банков-партнёров.

Юридическая фирма Inter Law Firm сопровождает финтех-компании, VASP и PSP в Грузии по вопросам лицензирования NBG, защиты данных и API-комплаенса. Мы можем помочь с правовым аудитом архитектуры данных, подготовкой договорной документации с банками-партнёрами, выстраиванием системы управления согласиями клиентов и реагированием на запросы NBG и Инспекции по защите персональных данных.

Чтобы получить чек-лист комплаенс-требований по Open Banking API для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Готовы обсудить правовую архитектуру вашего финтех-проекта в Грузии?Юристы Inter Law Firm проведут правовой анализ модели данных, определят необходимый тип лицензии NBG и подготовят документацию для запуска или приведения в соответствие с действующими требованиями.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Нино Джапаридзе, Партнёр, налоговая практика, info@interlawfirm.ru 04 мая 2026 года