Персональные данные в Грузии (პერსონალური მონაცემები) - это любая информация, которая прямо или косвенно идентифицирует физическое лицо. Правовую основу составляет Закон Грузии «О защите персональных данных» 2011 года (с существенными поправками 2023 года), а надзор осуществляет Инспектор по защите персональных данных (პერსონალურ მონაცემთა დაცვის ინსპექტორი). По состоянию на май 2026 года грузинское законодательство в этой сфере продолжает сближаться с европейским стандартом GDPR, однако сохраняет ряд принципиальных отличий, критичных для IT-компаний, финтех-стартапов и VASP-операторов.
Статья разбирает: кто является оператором данных по грузинскому праву, какие обязанности возникают при запуске IT-продукта или финтех-сервиса в Грузии, как устроена ответственность за нарушения, каков порядок трансграничной передачи данных и что проверяет Инспектор на практике.
Кто обязан соблюдать грузинский закон о защите персональных данных?
Закон о защите персональных данных Грузии распространяется на любое лицо - физическое или юридическое, грузинское или иностранное, - которое обрабатывает данные граждан и резидентов Грузии либо использует для этого оборудование, расположенное на территории страны. Для IT-компании в статусе Virtual Zone (VZ) или International Company Status (ICS) это означает: даже при нулевой ставке корпоративного налога обязанности по защите данных сохраняются в полном объёме.
Закон вводит понятие «ответственного лица» (მონაცემთა დამმუშავებელი) - аналог контроллера в GDPR - и «уполномоченного лица» (уполномоченного процессора). Ответственное лицо определяет цели и способы обработки; уполномоченное действует по его инструкции. Разграничение принципиально: ответственное лицо несёт прямую административную ответственность перед Инспектором, уполномоченное - только в части нарушения договора с ответственным лицом.
Для финтех-компаний и VASP-операторов, работающих под надзором Национального банка Грузии (ეროვნული ბანკი, NBG), требования по защите данных накладываются поверх пруденциальных требований NBG. KYC-данные клиентов (паспорт, адрес, транзакционная история) квалифицируются как персональные данные и подпадают под двойной режим: закон о персональных данных плюс нормативные акты NBG об AML/KYC. Несоответствие одному из режимов создаёт риск одновременно от двух регуляторов.
На практике важно учитывать, что в Грузии территориальный критерий применяется широко. Компания, зарегистрированная в Тбилиси, но обслуживающая пользователей из других стран через грузинскую инфраструктуру, подпадает под грузинский закон в части данных грузинских резидентов. Частая ошибка основателей финтех-стартапов - считать, что VZ-статус создаёт «регуляторный пузырь»: налоговые льготы и обязанности по данным существуют в разных правовых плоскостях.
Чтобы получить чек-лист требований к обработке персональных данных для финтех-стартапа в Грузии, отправьте запрос на info@interlawfirm.ru
Какие обязанности возникают у IT-оператора при запуске продукта в Грузии?
Ответственное лицо обязано уведомить Инспектора по защите персональных данных до начала обработки данных - это требование статьи 25 Закона о защите персональных данных. Уведомление подаётся в электронном виде через портал Инспектора; срок рассмотрения - до 10 рабочих дней. Обработка данных без уведомления квалифицируется как самостоятельное нарушение вне зависимости от того, соответствует ли сама обработка закону по существу.
Ключевые обязанности оператора по грузинскому праву:
- Определить правовое основание обработки: согласие субъекта, исполнение договора, законный интерес или требование закона (статья 5 Закона о персональных данных). Без чёткого основания любая обработка незаконна.
- Разработать и опубликовать политику конфиденциальности на грузинском языке (для сервисов, ориентированных на грузинских пользователей). Отсутствие грузинской версии - типичное нарушение у иностранных стартапов.
- Обеспечить технические и организационные меры защиты: шифрование, контроль доступа, журналирование операций с данными.
- Назначить ответственного за защиту данных внутри компании (аналог DPO в GDPR), если обработка ведётся в крупном масштабе или затрагивает чувствительные категории данных.
- Уведомить Инспектора об утечке данных в течение 72 часов с момента обнаружения - требование, введённое поправками 2023 года.
Что подготовить перед запуском IT-продукта в Грузии:
- Реестр операций по обработке данных с указанием категорий данных, целей, сроков хранения и правовых оснований
- Политика конфиденциальности на грузинском и русском (или английском) языках
- Договор с уполномоченным лицом (процессором), если обработку ведёт третья сторона - облачный провайдер, аналитический сервис
- Уведомление в адрес Инспектора по защите персональных данных
- Внутренняя процедура реагирования на инциденты (утечки) с назначенным ответственным
Отдельного внимания заслуживает обработка данных сотрудников. Трудовой кодекс Грузии (2010, реформа 2020 года) не содержит специальных норм о данных работников, поэтому применяется общий закон о персональных данных. Мониторинг переписки сотрудников, геолокация, биометрия при входе в офис - всё это требует отдельного правового основания и, как правило, письменного согласия.
Компании из Тбилиси (зима 2025) помогли выстроить систему обработки данных пользователей для SaaS-платформы с базой свыше 40 000 грузинских пользователей. До обращения компания работала без уведомления Инспектора и без грузинской версии политики конфиденциальности. После правового аудита и приведения документации в соответствие удалось избежать административного взыскания: Инспектор принял во внимание добровольное устранение нарушений.
Нарушение обязанности по уведомлению Инспектора влечёт штраф до 2 000 лари за первичное нарушение и до 5 000 лари при повторном. Для финтех-компании с лицензией NBG административное взыскание от Инспектора может стать основанием для дополнительной проверки со стороны Национального банка - это мультипликатор регуляторного риска, который часто недооценивают.
Описанный перечень обязанностей - базовый. Конкретный состав требований зависит от типа данных, масштаба обработки и наличия трансграничной передачи. Ошибки в документации на старте сложнее исправить после начала работы продукта, чем до запуска.
Запускаете финтех-сервис или IT-продукт в Грузии? Требования NBG и закона о данных нужно выполнить до первого пользователяЕсли вы планируете обработку данных грузинских пользователей - юристы Inter Law Firm проведут правовой аудит продукта, подготовят документацию для Инспектора и разработают политику конфиденциальности с учётом требований NBG и грузинского законодательства.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как устроена трансграничная передача данных по грузинскому праву?
Трансграничная передача персональных данных в Грузии допустима при соблюдении одного из трёх условий: страна-получатель признана Инспектором как обеспечивающая адекватный уровень защиты; передача осуществляется на основании стандартных договорных условий, одобренных Инспектором; субъект данных дал явное согласие на передачу с уведомлением о рисках. Это требование статьи 22 Закона о защите персональных данных.
Список стран с адекватным уровнем защиты Грузия формирует самостоятельно - он не совпадает автоматически со списком ЕС. По состоянию на май 2026 года в него включены государства - члены ЕС, ряд стран Совета Европы и некоторые другие юрисдикции. Россия, Беларусь и Украина в этот список не входят. Для IT-компаний, передающих данные грузинских пользователей на серверы в этих странах, требуется либо стандартный договор с процессором, либо явное согласие каждого пользователя.
Для VASP-операторов и финтех-компаний трансграничная передача данных в рамках AML-комплаенса (передача информации в финансовую разведку другой страны, Travel Rule) регулируется отдельно - нормативными актами NBG и международными соглашениями Грузии. Здесь закон о персональных данных применяется с изъятиями: передача в рамках законного требования иностранного регулятора не требует согласия субъекта, но должна быть задокументирована.
В отличие от России, где трансграничная передача данных требует предварительного уведомления Роскомнадзора и локализации данных граждан РФ на серверах в России, грузинское законодательство не устанавливает требования локализации. Данные грузинских пользователей можно хранить на серверах в ЕС или США без нарушения грузинского закона - при условии соблюдения требований к трансграничной передаче.
Неочевидный риск: облачные провайдеры (AWS, Google Cloud, Azure) квалифицируются как уполномоченные лица (процессоры). Использование их сервисов без заключения договора об обработке данных (Data Processing Agreement, DPA) - нарушение статьи 7 Закона о персональных данных. Большинство крупных провайдеров предоставляют стандартный DPA по запросу, но IT-компании в Грузии часто не оформляют его формально, считая, что пользовательское соглашение с провайдером достаточно.
Чтобы получить чек-лист требований NBG к обработке данных для VASP и финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Какова ответственность за нарушения закона о персональных данных в Грузии?
Инспектор по защите персональных данных Грузии вправе проводить плановые и внеплановые проверки, выносить предписания об устранении нарушений и налагать административные штрафы. Размер штрафа по Кодексу об административных правонарушениях Грузии составляет от 500 до 10 000 лари в зависимости от характера нарушения и его повторности. Уголовная ответственность наступает при незаконном получении или распространении данных с использованием служебного положения - статья 157 Уголовного кодекса Грузии.
Практика проверок Инспектора в 2024-2025 годах показывает несколько устойчивых паттернов. Во-первых, Инспектор активно реагирует на жалобы пользователей - это основной триггер внеплановых проверок. Во-вторых, проверяется наличие уведомления о регистрации в реестре операторов. В-третьих, Инспектор запрашивает документацию по конкретным инцидентам: утечкам, несанкционированному доступу, жалобам на нежелательные рассылки.
Для финтех-компаний и VASP-операторов критичен следующий сценарий: жалоба пользователя на несанкционированное использование его данных в маркетинговых целях инициирует проверку Инспектора, которая выявляет отсутствие надлежащего согласия. Инспектор выносит предписание и штраф. Параллельно NBG получает информацию о нарушении в рамках межведомственного взаимодействия и инициирует собственную проверку на предмет соответствия AML/KYC-процедур. Итог: два регуляторных производства вместо одного, суммарные затраты на юридическое сопровождение - от 15 000 лари и выше.
Компании из Батуми (лето 2025) помогли урегулировать претензию Инспектора по защите данных, связанную с использованием email-базы клиентов для рассылки без надлежащего согласия. Первоначальное предписание предусматривало штраф свыше 8 000 лари и обязание уничтожить базу. После подготовки возражений, документирования ретроспективного согласия части пользователей и разработки новой процедуры сбора согласий штраф был снижен до 2 500 лари, база сохранена в части верифицированных согласий.
Пропуск 72-часового срока уведомления Инспектора об утечке данных - отдельное нарушение с отдельным штрафом. Для компании, допустившей утечку и не уведомившей Инспектора, итоговая сумма санкций складывается из штрафа за саму утечку (ненадлежащие меры защиты) и штрафа за нарушение процедуры уведомления. Суммарно - до 15 000-20 000 лари плюс репутационные последствия публичного предписания.
Описанные сценарии - типовые, но не исчерпывающие. Конкретный состав нарушения и размер санкции зависят от обстоятельств дела, позиции Инспектора и качества документации компании. Позиция, выстроенная до начала проверки, принципиально отличается от реактивной защиты после получения предписания.
NBG запросил документы или Инспектор инициировал проверку? Каждый день без правовой позиции сужает возможности защитыЕсли вы получили запрос от Инспектора по защите данных или предписание об устранении нарушений - юристы Inter Law Firm проанализируют основания проверки, подготовят возражения и представят интересы компании в административном производстве.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как грузинский режим защиты данных соотносится с GDPR и что это значит для IT-бизнеса?
Грузинский закон о персональных данных создавался с ориентацией на Конвенцию Совета Европы о защите данных (Конвенция 108) и частично воспроизводит логику GDPR, однако между ними есть принципиальные различия, важные для IT-компаний с международной аудиторией. Грузинское право не требует назначения представителя в ЕС, не предусматривает механизм «одного окна» для трансграничных операторов и не устанавливает оборотных штрафов (до 4% глобального оборота, как в GDPR). Максимальный административный штраф по грузинскому праву - 10 000 лари (около 3 700 USD).
Это различие создаёт асимметрию: для IT-компании, работающей одновременно в Грузии и ЕС, грузинский режим менее жёсткий по санкциям, но не менее требовательный по процедурам. Компания, выстроившая GDPR-совместимую систему, в большинстве случаев автоматически соответствует грузинским требованиям - с одним исключением: уведомление Инспектора (реестрация оператора) в Грузии обязательна отдельно, GDPR-регистрация её не заменяет.
Для Virtual Zone компаний ситуация специфична. VZ-статус предполагает, что компания оказывает IT-услуги исключительно за пределами Грузии. Если фактически услуги оказываются грузинским пользователям - это нарушает условия VZ-статуса и одновременно создаёт обязанности по грузинскому закону о данных. Налоговая служба и Инспектор по данным действуют независимо, но выявление нарушения одним регулятором может инициировать проверку другого.
Три сценария для разных типов IT-бизнеса в Грузии:
Сценарий 1. Финтех-стартап с лицензией NBG (когорта E). Двойной регуляторный режим: закон о данных плюс нормативы NBG. Приоритет - разграничить роли контроллера и процессора в KYC-цепочке, оформить DPA с провайдерами идентификации, выстроить процедуру уведомления об инцидентах для обоих регуляторов.
Сценарий 2. SaaS-компания в статусе Virtual Zone. Ключевой вопрос - кто фактические пользователи продукта. Если среди них есть грузинские резиденты, возникают обязанности по грузинскому закону о данных вне зависимости от VZ-статуса. Необходим аудит пользовательской базы и разграничение потоков данных.
Сценарий 3. Международная IT-компания с офисом в Тбилиси. Грузинский офис как субъект грузинского права несёт самостоятельные обязанности оператора данных в части данных грузинских сотрудников и локальных пользователей. GDPR-документация головного офиса не освобождает от регистрации у Инспектора.
Матрица решений: ситуация - инструмент - срок - затраты - риски.
Запуск нового IT-продукта с грузинскими пользователями: правовой аудит + уведомление Инспектора + разработка политики конфиденциальности - срок 2-3 недели - затраты от 3 000-5 000 лари - риск без действий: штраф до 5 000 лари плюс предписание об остановке обработки.
Получение предписания Инспектора: подготовка возражений + документирование мер устранения - срок 10-20 рабочих дней (срок обжалования) - затраты от 5 000-8 000 лари - риск без действий: вступление предписания в силу, штраф, возможная проверка NBG.
Трансграничная передача данных без DPA: оформление договора с процессором + ретроспективное документирование - срок 1-2 недели - затраты от 1 500-3 000 лари - риск без действий: нарушение статьи 7 Закона о персональных данных, штраф до 3 000 лари.
Направления практики по теме
- IT-право и защита данных - сопровождение IT-компаний и финтех-стартапов в Грузии: регистрация оператора, политики конфиденциальности, DPA
- Финтех и регулирование NBG - лицензирование, AML/KYC-комплаенс, взаимодействие с Национальным банком Грузии
- Интеллектуальная собственность - регистрация товарных знаков в Sakpatenti, защита программного обеспечения
Частые вопросы
1. Нужно ли IT-компании в статусе Virtual Zone регистрироваться у Инспектора по защите данных Грузии?
Да, IT-компания в статусе Virtual Zone обязана уведомить Инспектора по защите персональных данных Грузии, если обрабатывает данные физических лиц - сотрудников, подрядчиков или пользователей, - вне зависимости от налогового режима. Статья 25 Закона о защите персональных данных не содержит исключений для VZ-компаний. Уведомление подаётся до начала обработки данных; срок рассмотрения - до 10 рабочих дней. Обработка без уведомления влечёт штраф до 2 000 лари за первичное нарушение. На практике VZ-компании часто ошибочно полагают, что налоговые льготы распространяются и на регуляторные обязанности по данным - это не так.
2. Какой штраф грозит за утечку персональных данных пользователей в Грузии?
За ненадлежащую защиту персональных данных, повлёкшую утечку, Инспектор вправе наложить штраф до 5 000 лари при первичном нарушении и до 10 000 лари при повторном - на основании Кодекса об административных правонарушениях Грузии. Отдельно штрафуется нарушение обязанности уведомить Инспектора об инциденте в течение 72 часов (требование поправок 2023 года к Закону о персональных данных) - до 3 000 лари. Для финтех-компании с лицензией Национального банка Грузии утечка данных может дополнительно инициировать проверку NBG, что увеличивает суммарные затраты на урегулирование до 15 000-20 000 лари и выше.
3. Можно ли хранить данные грузинских пользователей на серверах за рубежом?
Грузинское законодательство не устанавливает требования локализации данных - хранить данные грузинских пользователей на серверах в ЕС, США или других странах законно. Однако трансграничная передача данных допустима только при выполнении условий статьи 22 Закона о защите персональных данных: страна-получатель признана Инспектором как обеспечивающая адекватный уровень защиты, либо с процессором заключён стандартный договор об обработке данных (DPA), либо получено явное согласие пользователя. Облачные провайдеры (AWS, Google Cloud, Azure) квалифицируются как уполномоченные лица, и DPA с ними обязателен. Отсутствие DPA - самостоятельное нарушение, даже если сама передача данных технически безопасна.
4. Чем грузинский закон о персональных данных отличается от GDPR для IT-компании?
Грузинский закон о персональных данных ориентирован на Конвенцию Совета Европы 108 и воспроизводит базовую логику GDPR, однако имеет три принципиальных отличия. Первое: максимальный административный штраф в Грузии составляет 10 000 лари (около 3 700 USD) против 4% глобального оборота по GDPR - разница на порядки. Второе: грузинский закон не предусматривает механизм «одного окна» для трансграничных операторов - каждая юрисдикция регулируется отдельно. Третье: уведомление Инспектора по защите данных Грузии (регистрация оператора) обязательна самостоятельно - GDPR-регистрация или соответствие GDPR её не заменяют. Для IT-компании, уже выстроившей GDPR-совместимую систему, адаптация к грузинским требованиям занимает 2-4 недели и требует преимущественно документационных изменений.
5. Как Инспектор по защите данных Грузии проводит проверки IT-компаний на практике?
Инспектор по защите персональных данных Грузии инициирует проверки по двум основным каналам: плановые проверки по реестру операторов и внеплановые - по жалобам пользователей или сигналам из других ведомств. Внеплановая проверка начинается с запроса документации: реестра операций по обработке данных, политики конфиденциальности, договоров с процессорами, записей о согласиях пользователей. Срок представления документов - как правило, 10-15 рабочих дней. Отсутствие документации или её несоответствие закону влечёт предписание об устранении нарушений и штраф. На практике компании, добровольно устраняющие нарушения до вынесения предписания, получают сниженные санкции - Инспектор учитывает кооперативную позицию при определении размера штрафа.
Грузинское законодательство о персональных данных создаёт реальные обязанности для IT-компаний, финтех-стартапов и VASP-операторов - вне зависимости от налогового режима и страны происхождения. Ключевые риски сосредоточены в трёх точках: отсутствие регистрации оператора, ненадлежащее оформление трансграничной передачи данных и нарушение 72-часового срока уведомления об инцидентах. Для финтех-компаний под надзором NBG каждое из этих нарушений создаёт мультипликатор регуляторного риска.
Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-стартапы в Грузии по вопросам защиты персональных данных, взаимодействия с Инспектором и регуляторного комплаенса. Мы можем помочь с аудитом соответствия, разработкой документации, регистрацией оператора и представлением интересов при проверках.
Чтобы получить чек-лист соответствия закону о персональных данных для IT-компании в Грузии, отправьте запрос на info@interlawfirm.ru
Нужна правовая оценка системы обработки данных вашей компании в Грузии?Юристы Inter Law Firm проведут аудит соответствия грузинскому закону о персональных данных, подготовят документацию для Инспектора и выстроят процедуры с учётом требований NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 11 мая 2026 года