Аналитика
2026-05-06 00:00 it

SaaS agreement: data processing provisions для бизнеса в Грузии

SaaS-соглашение (Software as a Service agreement) - это договор о предоставлении программного обеспечения по подписке через облачную инфраструктуру, в рамках которого провайдер неизбежно получает доступ к данным клиента. В Грузии отношения по обработке персональных данных регулируются Законом о защите персональных данных (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о ПД) в редакции 2023 года, который существенно приблизил грузинский режим к стандартам GDPR. По состоянию на май 2026 года надзорным органом выступает Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, PDPI), а максимальный штраф за нарушение достигает 20 000 лари.

Для SaaS-компаний, работающих в Грузии - будь то провайдер со статусом Virtual Zone или клиент, подключающий зарубежный сервис, - положения об обработке данных в контракте определяют распределение ответственности, порядок реагирования на инциденты и условия трансграничной передачи данных. Статья разбирает: правовую квалификацию сторон, обязательные положения DPA, требования к субпроцессорам, трансграничную передачу и практику PDPI.

Как грузинское право квалифицирует стороны SaaS-соглашения?

Грузинский Закон о ПД разграничивает контроллера данных (მონაცემთა დამმუშავებელი) и обработчика данных (უფლებამოსილი პირი) по критерию цели и средств обработки. В типичной SaaS-модели клиент определяет цель обработки и является контроллером, провайдер исполняет инструкции клиента и является обработчиком. Это разграничение напрямую определяет, кто несёт первичную ответственность перед субъектами данных и PDPI.

На практике квалификация усложняется. SaaS-провайдер, который самостоятельно определяет технические средства обработки, формирует собственную аналитику на основе клиентских данных или использует агрегированные данные для обучения моделей, рискует быть признан совместным контроллером. Грузинская PDPI в своих разъяснениях 2024 года указала, что использование клиентских данных для улучшения продукта без явного согласия клиента-контроллера является самостоятельной обработкой провайдером. Для финтех- и VASP-компаний, где данные клиентов особо чувствительны, неверная квалификация означает прямую регуляторную ответственность.

Типичная ошибка международных SaaS-провайдеров, выходящих на грузинский рынок, - перенос американских или европейских шаблонов без адаптации к грузинской терминологии. Закон о ПД Грузии использует собственные определения, не совпадающие дословно с GDPR, хотя концептуально близкие. Суд или PDPI будут толковать договор по грузинскому праву, а не по GDPR.

Компании из Тбилиси (зима 2025) помогли переквалифицировать роль SaaS-провайдера в соглашении: первоначальный контракт признавал провайдера совместным контроллером, что создавало для клиента - финтех-стартапа - прямую ответственность за действия провайдера. После реструктуризации соглашения и введения детализированных инструкций обработки клиент сохранил статус единственного контроллера и снял с себя солидарную ответственность по потенциальным претензиям PDPI.

Чтобы получить чек-лист требований PDPI для SaaS-соглашений с обработкой данных в Грузии, отправьте запрос на info@interlawfirm.ru

Квалификация сторон - отправная точка, но не единственный вопрос. Даже корректно квалифицированный контракт может не содержать обязательных положений, которые грузинское законодательство требует включить в соглашение об обработке данных.

Запускаете SaaS-продукт в Грузии или подключаете зарубежный сервис к грузинским данным?Тип лицензии и структура соглашения определяют, кто несёт ответственность перед PDPI при инциденте. Юристы Inter Law Firm проведут правовой анализ вашей SaaS-модели, квалифицируют роли сторон по грузинскому Закону о ПД и подготовят соглашение об обработке данных, совместимое с требованиями PDPI и стандартами GDPR.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Какие положения об обработке данных обязательны в SaaS-контракте по грузинскому праву?

Закон о ПД Грузии (статья 13) требует, чтобы отношения между контроллером и обработчиком были оформлены письменным соглашением, содержащим конкретный перечень условий. Отсутствие хотя бы одного обязательного элемента является самостоятельным основанием для предписания PDPI и штрафа до 5 000 лари за каждое нарушение.

Обязательные элементы соглашения об обработке данных (Data Processing Agreement, DPA) по грузинскому праву:

  • Предмет, характер, цель и срок обработки - конкретные категории данных и операции, которые провайдер вправе выполнять
  • Обязательство обрабатывать данные исключительно по задокументированным инструкциям контроллера
  • Требования к конфиденциальности персонала провайдера, имеющего доступ к данным
  • Технические и организационные меры безопасности (статья 14 Закона о ПД) - с указанием конкретных стандартов, а не общих формулировок
  • Условия привлечения субпроцессоров - порядок согласования и ответственность провайдера за их действия
  • Порядок содействия контроллеру при реализации прав субъектов данных (доступ, исправление, удаление)
  • Обязательство уведомить контроллера об инциденте безопасности в течение 72 часов с момента обнаружения
  • Условия возврата или уничтожения данных после прекращения договора

Практика PDPI показывает: наиболее частые нарушения - отсутствие конкретных технических мер (вместо них - общие фразы «надлежащая защита») и неурегулированный порядок уведомления об инцидентах. Для VASP и финтех-компаний, где данные клиентов включают финансовую информацию, PDPI применяет повышенные стандарты проверки.

Что подготовить перед подписанием SaaS-соглашения:

  • Реестр категорий персональных данных, которые будут переданы провайдеру (имена, email, финансовые данные, поведенческие данные)
  • Описание технических мер безопасности провайдера (шифрование, контроль доступа, резервное копирование) - запросить у провайдера документацию
  • Список субпроцессоров провайдера с указанием их юрисдикций - особенно важно при трансграничной передаче
  • Проект инструкций обработки данных - документ, ограничивающий действия провайдера конкретными операциями
  • Процедуру уведомления об инцидентах с конкретными контактами и сроками

Как регулируется привлечение субпроцессоров в SaaS-цепочке?

Субпроцессор в SaaS-контексте - это третья сторона, которую провайдер привлекает для выполнения части обработки: облачная инфраструктура (AWS, Google Cloud, Azure), аналитические сервисы, службы поддержки. По грузинскому Закону о ПД (статья 13, часть 4) провайдер несёт перед контроллером полную ответственность за действия субпроцессора - как за собственные действия.

Грузинское право допускает два механизма согласования субпроцессоров: конкретное согласование (каждый субпроцессор утверждается контроллером отдельно) и общее предварительное согласование (контроллер даёт согласие на категорию субпроцессоров с правом возражения при изменениях). Большинство международных SaaS-провайдеров используют модель общего согласования с уведомлением за 30 дней до привлечения нового субпроцессора. Грузинская PDPI признаёт этот механизм допустимым при условии, что контроллер имеет реальную возможность возразить и расторгнуть договор.

Неочевидный риск для грузинских клиентов SaaS: провайдер может привлекать субпроцессоров в юрисдикциях без адекватного уровня защиты данных. Если субпроцессор находится в стране, не признанной PDPI как обеспечивающей адекватный уровень защиты, и контракт не содержит специальных гарантий (стандартные договорные положения, обязательные корпоративные правила), контроллер нарушает требования к трансграничной передаче данных - даже если сам не инициировал эту передачу.

Для VASP-компаний, использующих зарубежные SaaS-решения для KYC/AML-процессов, цепочка субпроцессоров особенно критична: данные клиентов в этих процессах относятся к категории чувствительных финансовых данных, и PDPI вправе запросить полную карту обработки.

Как структурировать положения о трансграничной передаче данных в SaaS-соглашении?

Трансграничная передача персональных данных из Грузии в третьи страны допускается по основаниям статьи 22 Закона о ПД. Грузия признаёт адекватный уровень защиты в государствах - членах ЕС, государствах - членах Совета Европы, подписавших Конвенцию 108+, и в ряде других юрисдикций по решению PDPI. Передача в страны без адекватного уровня защиты требует специальных гарантий.

Доступные механизмы для трансграничной передачи в SaaS-контексте:

  • Стандартные договорные положения (СДП) - наиболее распространённый инструмент; PDPI разработала собственные типовые СДП, совместимые с грузинским законодательством
  • Явное согласие субъекта данных - применимо для разовых передач, неудобно для систематической SaaS-обработки
  • Необходимость исполнения договора с субъектом данных - ограниченное основание, не покрывает вспомогательную обработку
  • Обязательные корпоративные правила (BCR) - для международных групп компаний; процедура согласования с PDPI занимает 3-6 месяцев

Для SaaS-провайдеров со статусом Virtual Zone (VZ) в Грузии трансграничная передача данных имеет дополнительное измерение: VZ-статус предоставляет налоговые льготы (0% налога на прибыль и НДС на экспорт IT-услуг), но не освобождает от требований Закона о ПД. Грузинский VZ-провайдер, обрабатывающий данные европейских клиентов, может одновременно подпадать под GDPR (если оказывает услуги субъектам данных в ЕС) и под грузинский Закон о ПД. Двойное регулирование требует соответствующей структуры DPA.

Компании из Батуми (лето 2025) помогли структурировать трансграничную передачу данных в SaaS-соглашении с европейским клиентом. Провайдер - грузинская VZ-компания - передавал обработанные данные на серверы в Германии. Первоначальный контракт не содержал ни СДП, ни иных гарантий по грузинскому праву. После введения двустороннего DPA со стандартными договорными положениями PDPI и параллельным DPA по GDPR компания устранила регуляторный разрыв и сохранила контракт с европейским клиентом стоимостью свыше 120 000 лари в год.

Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных в SaaS-соглашениях для компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Трансграничная передача - наиболее технически сложный элемент DPA. Ошибки здесь выявляются не сразу, а при аудите или инциденте, когда возможности для исправления ограничены.

Получили запрос от европейского клиента на DPA или GDPR-комплаенс вашего SaaS-решения?Если ваш SaaS-продукт обрабатывает данные клиентов из ЕС или требует трансграничной передачи данных через грузинскую инфраструктуру - каждый день без корректного DPA создаёт регуляторный риск в двух юрисдикциях одновременно. Юристы Inter Law Firm проведут аудит текущего соглашения, подготовят совместимый DPA по грузинскому Закону о ПД и GDPR, введут стандартные договорные положения PDPI.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Что происходит при нарушении данных: обязательства провайдера по грузинскому праву

Нарушение безопасности данных (data breach) в грузинском Законе о ПД - это любое несанкционированное уничтожение, изменение, раскрытие или доступ к персональным данным. Провайдер обязан уведомить контроллера в течение 72 часов с момента обнаружения инцидента (статья 14-1 Закона о ПД). Контроллер, в свою очередь, обязан уведомить PDPI в течение 72 часов с момента получения уведомления от провайдера - если инцидент создаёт риск для прав субъектов данных.

SaaS-соглашение должно детализировать механизм уведомления: кто является контактным лицом провайдера, какой канал используется (email, защищённый портал, телефон), какой минимальный объём информации передаётся в первичном уведомлении. Практика PDPI показывает: при проверке после инцидента регулятор запрашивает переписку между провайдером и контроллером - отсутствие задокументированного уведомления в срок является самостоятельным нарушением, независимо от масштаба инцидента.

Для финтех- и VASP-компаний нарушение данных имеет двойные последствия: помимо PDPI, Национальный банк Грузии (საქართველოს ეროვნული ბანკი, NBG) вправе инициировать собственное расследование в части соблюдения требований к информационной безопасности лицензированных субъектов. SaaS-соглашение должно учитывать оба регуляторных трека и предусматривать обязательство провайдера содействовать в обоих расследованиях.

В отличие от российского законодательства о персональных данных, грузинский Закон о ПД не устанавливает обязательную локализацию данных на серверах в Грузии. Это принципиальное отличие: грузинские компании вправе хранить данные на зарубежных серверах при соблюдении требований к трансграничной передаче. Для SaaS-провайдеров, привыкших к российским требованиям 152-ФЗ, это снимает значительное операционное ограничение.

Стратегия защиты SaaS-провайдера: дифференциаторы и сценарии

Правовая позиция SaaS-провайдера в Грузии зависит от трёх переменных: статус (VZ или обычная компания), характер данных (общие или чувствительные) и география клиентов (только Грузия, СНГ, ЕС). Каждая комбинация требует отдельной структуры DPA.

Сценарий 1: Грузинский VZ-провайдер, клиенты - грузинские компании. Применяется только грузинский Закон о ПД. DPA строится на основе типовых положений PDPI. Трансграничная передача возникает только при использовании зарубежной инфраструктуры (субпроцессоры). Минимальный объём регуляторных требований, но игнорировать их нельзя: PDPI активизировала проверки IT-сектора с 2024 года.

Сценарий 2: Грузинский VZ-провайдер, клиенты - компании из ЕС. Двойное регулирование: грузинский Закон о ПД + GDPR (по критерию направленности услуг на субъектов данных в ЕС). DPA должен одновременно соответствовать обоим режимам. Оптимальная структура - единый DPA с двумя разделами или два параллельных DPA. Стоимость юридического сопровождения структуры - от 3 000-5 000 лари.

Сценарий 3: Иностранный SaaS-провайдер, клиенты - грузинские компании. Грузинский Закон о ПД применяется, если провайдер обрабатывает данные субъектов, находящихся в Грузии, или если контракт подчинён грузинскому праву. Провайдер обязан назначить представителя в Грузии (статья 5-1 Закона о ПД) - аналог требования GDPR о назначении представителя в ЕС. Отсутствие представителя - штраф до 10 000 лари.

Матрица выбора механизма трансграничной передачи: если клиент находится в ЕС - СДП PDPI плюс стандартные договорные положения GDPR; если клиент в стране Совета Европы (Конвенция 108+) - достаточно СДП PDPI; если клиент в стране без адекватного уровня защиты - явное согласие субъектов или BCR; если данные не покидают Грузию - трансграничные механизмы не нужны, достаточно внутреннего DPA.

Экономика решения: корректно структурированный DPA стоит от 2 000-4 000 лари в зависимости от сложности. Штраф PDPI за нарушение требований к обработке данных - до 20 000 лари. Потеря контракта с европейским клиентом из-за несоответствия GDPR - многократно больше. Соотношение затрат и рисков делает юридическое сопровождение DPA экономически обоснованным решением для любого SaaS-провайдера с оборотом от 50 000 лари в год.

Направления практики по теме

Частые вопросы

1. Обязан ли SaaS-провайдер со статусом Virtual Zone в Грузии соблюдать требования Закона о защите персональных данных?

Да, статус Virtual Zone не освобождает SaaS-провайдера от требований грузинского Закона о защите персональных данных. Virtual Zone предоставляет налоговые льготы - нулевую ставку налога на прибыль и НДС на экспорт IT-услуг - но не создаёт регуляторного иммунитета в части обработки данных. Если провайдер обрабатывает персональные данные субъектов, находящихся в Грузии, или если контракт подчинён грузинскому праву, Инспекция по защите персональных данных вправе проводить проверки и применять санкции до 20 000 лари. Дополнительно: если VZ-провайдер оказывает услуги клиентам из ЕС, он одновременно подпадает под GDPR по критерию направленности услуг на субъектов данных в Европейском союзе. Игнорирование двойного регулирования - наиболее распространённая ошибка грузинских VZ-компаний, выходящих на европейский рынок.

2. Какой срок уведомления об инциденте безопасности данных предусмотрен для SaaS-провайдера по грузинскому праву?

Грузинский Закон о защите персональных данных (статья 14-1) устанавливает срок уведомления контроллера данных в течение 72 часов с момента обнаружения инцидента безопасности. Контроллер, получив уведомление от провайдера, обязан в течение следующих 72 часов уведомить Инспекцию по защите персональных данных - если инцидент создаёт риск для прав и свобод субъектов данных. Итого: от момента обнаружения до уведомления регулятора - не более 144 часов при двухзвенной цепочке провайдер-контроллер-PDPI. SaaS-соглашение должно фиксировать конкретный канал и формат первичного уведомления: отсутствие задокументированного уведомления в срок является самостоятельным нарушением, за которое PDPI вправе применить санкции независимо от масштаба инцидента.

3. Нужно ли получать согласие клиента на привлечение каждого нового субпроцессора?

Грузинский Закон о защите персональных данных допускает два механизма согласования субпроцессоров: конкретное согласование каждого субпроцессора отдельно и общее предварительное согласование с правом возражения при изменениях. Большинство международных SaaS-провайдеров используют модель общего согласования с уведомлением контроллера за 30 дней до привлечения нового субпроцессора. Инспекция по защите персональных данных признаёт этот механизм допустимым при условии, что контроллер имеет реальную возможность возразить и расторгнуть договор без штрафных санкций. Критически важно: провайдер несёт перед контроллером полную ответственность за действия субпроцессора - как за собственные действия. Это означает, что нарушение субпроцессором требований Закона о ПД автоматически создаёт ответственность провайдера перед клиентом и регулятором.

4. Применяется ли к грузинскому SaaS-провайдеру требование о локализации данных?

Грузинский Закон о защите персональных данных не устанавливает обязательной локализации персональных данных на серверах в Грузии. Это принципиальное отличие от российского Федерального закона 152-ФЗ, который требует первичного хранения данных российских граждан на территории России. Грузинские компании и SaaS-провайдеры вправе хранить данные на зарубежных серверах при соблюдении требований к трансграничной передаче данных, установленных статьёй 22 Закона о ПД. Для передачи в страны с адекватным уровнем защиты - государства ЕС, страны Совета Европы, подписавшие Конвенцию 108+, - специальных гарантий не требуется. Для передачи в иные юрисдикции необходимы стандартные договорные положения, явное согласие субъектов данных или обязательные корпоративные правила.

5. Что происходит, если иностранный SaaS-провайдер не назначил представителя в Грузии?

Иностранный SaaS-провайдер, обрабатывающий данные субъектов, находящихся в Грузии, обязан назначить представителя в Грузии в соответствии со статьёй 5-1 Закона о защите персональных данных. Представитель - физическое или юридическое лицо, зарегистрированное в Грузии, уполномоченное взаимодействовать с Инспекцией по защите персональных данных от имени провайдера. Отсутствие представителя является самостоятельным нарушением, за которое PDPI вправе наложить штраф до 10 000 лари. Дополнительное последствие: без представителя провайдер фактически недоступен для регулятора, что при инциденте или жалобе субъекта данных многократно усугубляет регуляторную позицию. Назначение представителя - стандартная процедура, занимающая 5-10 рабочих дней и не требующая регистрации юридического лица.

Положения об обработке данных в SaaS-соглашении - не формальность и не стандартный раздел контракта, который можно скопировать из шаблона. Грузинский Закон о ПД устанавливает конкретные обязательные элементы DPA, нарушение которых влечёт прямую регуляторную ответственность. Для финтех- и VASP-компаний, работающих в Грузии, правильная структура соглашения определяет не только комплаенс, но и распределение ответственности при инцидентах, которые в этом секторе неизбежно привлекают внимание как PDPI, так и Национального банка Грузии.

Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-стартапы в Грузии по вопросам защиты данных, структурирования SaaS-соглашений и взаимодействия с PDPI. Мы можем помочь с правовым анализом текущего DPA, подготовкой соглашения об обработке данных по грузинскому праву и GDPR, введением стандартных договорных положений PDPI и сопровождением при проверках регулятора.

Чтобы получить чек-лист структуры DPA для SaaS-соглашения по грузинскому праву, отправьте запрос на info@interlawfirm.ru

Нужна проверка или подготовка DPA для вашего SaaS-продукта в Грузии?Юристы Inter Law Firm проведут правовой анализ вашего соглашения об обработке данных, выявят несоответствия грузинскому Закону о ПД и подготовят корректную структуру DPA с учётом вашей модели работы и географии клиентов.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 6 мая 2026 года