Аналитика
it

Закон о персональных данных в Грузии: обязанности бизнеса

Закон Грузии «О защите персональных данных» (პერსონალურ მონაცემთა დაცვის შესახებ კანონი) - основной нормативный акт, регулирующий сбор, хранение и обработку персональных данных физических лиц на территории Грузии. По состоянию на май 2026 года действует редакция закона с поправками 2023 года, существенно расширившими полномочия Инспектора по защите персональных данных (პერსონალურ მონაცემთა დაცვის ინსპექტორი) и увеличившими санкции за нарушения. Любая компания, работающая с данными клиентов, сотрудников или пользователей сайта в Грузии, подпадает под действие закона - вне зависимости от страны регистрации.

Гайд охватывает: кто является оператором данных по грузинскому праву, какие обязанности возникают при запуске бизнеса, как пройти проверку Инспектора без нарушений и что делать при утечке данных.

Кто обязан соблюдать грузинский закон о персональных данных?

Оператором персональных данных (მონაცემთა დამუშავებელი) по статье 3 Закона о защите персональных данных признаётся любое физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки данных. Если ваша компания собирает имена, телефоны, email-адреса, IP-адреса или любые иные сведения, позволяющие идентифицировать физическое лицо в Грузии, - вы оператор и обязаны соблюдать закон. Иностранные компании, обрабатывающие данные грузинских резидентов, также подпадают под юрисдикцию грузинского регулятора.

Грузинское законодательство не устанавливает порогового числа субъектов данных для возникновения обязанностей. Даже небольшая компания с базой из нескольких десятков клиентов обязана соблюдать требования закона. Это принципиальное отличие от ряда европейских юрисдикций, где малый бизнес пользуется упрощёнными режимами.

На практике под действие закона подпадают: интернет-магазины, собирающие данные покупателей; работодатели, ведущие кадровый учёт; медицинские организации, обрабатывающие сведения о здоровье; банки и финтех-компании; IT-компании, разрабатывающие продукты для грузинского рынка. Особая категория - биометрические данные и сведения о здоровье: их обработка требует явного письменного согласия субъекта и дополнительных мер защиты по статье 6 закона.

Частая ошибка руководителей компаний из России и СНГ - считать, что закон распространяется только на крупный бизнес или государственные структуры. В Грузии это не так: Инспектор проводит проверки в том числе небольших частных компаний, особенно в секторах e-commerce, медицины и HR.

Что нужно подготовить до начала обработки данных?

Перед тем как компания начнёт собирать персональные данные клиентов или сотрудников в Грузии, необходимо выполнить базовый комплаенс-минимум. Статья 11 Закона о защите персональных данных обязывает оператора уведомить Инспектора о начале обработки данных до её фактического начала - срок уведомления составляет 30 дней. Нарушение этого требования влечёт административный штраф.

Чек-лист: что подготовить до начала обработки персональных данных в Грузии

  • Разработать и утвердить политику конфиденциальности (Privacy Policy) на грузинском языке - обязательно для сайтов и приложений, работающих с грузинскими пользователями
  • Подготовить формы согласия на обработку данных: отдельно для клиентов, отдельно для сотрудников; согласие должно быть добровольным, конкретным и информированным по статье 5 закона
  • Назначить ответственного за защиту данных внутри компании (аналог DPO) - требование статьи 14 закона для операторов, обрабатывающих данные в значительном объёме или обрабатывающих специальные категории данных
  • Направить уведомление Инспектору по защите персональных данных через официальный портал не позднее чем за 30 дней до начала обработки
  • Провести внутренний аудит: какие данные собираются, где хранятся, кто имеет доступ, каков срок хранения

Чтобы получить чек-лист запуска комплаенса по персональным данным для компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Компании, прошедшие предварительный аудит до начала обработки данных, в среднем тратят на устранение нарушений в 3-4 раза меньше ресурсов, чем те, кто приводит документацию в порядок уже после проверки Инспектора.

Описанный порядок - базовый минимум. Конкретный состав документации зависит от отрасли, объёма обрабатываемых данных и наличия трансграничной передачи. Ошибки на этапе подготовки документов сложнее исправить после того, как Инспектор уже инициировал проверку.

Запускаете бизнес в Грузии и работаете с данными клиентов или сотрудников?Управляете компанией в Грузии и сталкиваетесь с регуляторными вопросами по персональным данным? Правовая структура обработки данных влияет на каждый контракт с клиентом и каждый трудовой договор. Юристы Inter Law Firm проведут аудит текущей практики обработки данных, подготовят политику конфиденциальности, формы согласий и уведомление для Инспектора.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как получить согласие на обработку данных по грузинскому праву?

Согласие субъекта данных по статье 5 Закона о защите персональных данных должно быть свободным, конкретным, информированным и однозначным. Грузинский закон не признаёт согласие, полученное «по умолчанию» - через заранее проставленные галочки или включённое в общие условия договора мелким шрифтом. Каждая цель обработки данных требует отдельного согласия: нельзя одним документом охватить и маркетинговую рассылку, и передачу данных третьим лицам.

Для специальных категорий данных - сведений о здоровье, биометрии, расовой принадлежности, религиозных убеждениях - закон требует явного письменного согласия. Устная форма или согласие через поведение субъекта для этих категорий не применяется.

Субъект данных вправе отозвать согласие в любой момент. Оператор обязан обеспечить технический механизм отзыва - такой же простой, как механизм дачи согласия. Если пользователь дал согласие через форму на сайте, он должен иметь возможность отозвать его через аналогичный интерфейс, а не только через письменное заявление в офис.

В отличие от российского законодательства о персональных данных, грузинский закон не предусматривает обязательного включения согласия в бумажный документ с собственноручной подписью - электронное согласие с фиксацией времени и IP-адреса признаётся достаточным при соблюдении требований к его содержанию.

Неочевидный риск для работодателей: согласие сотрудника на обработку его персональных данных, полученное в рамках трудовых отношений, грузинский регулятор может признать несвободным - поскольку работник находится в зависимом положении. Для обработки данных сотрудников, выходящей за рамки исполнения трудового договора, рекомендуется использовать иные правовые основания, предусмотренные статьёй 5 закона: законный интерес или выполнение правовой обязанности.

Как проходит проверка Инспектора по защите персональных данных?

Инспектор по защите персональных данных Грузии вправе проводить как плановые, так и внеплановые проверки операторов на основании статьи 38 Закона о защите персональных данных. Плановые проверки проводятся не чаще одного раза в год; внеплановые - при поступлении жалобы от субъекта данных или при наличии признаков нарушения. Срок проведения проверки составляет до 30 рабочих дней с возможностью продления.

В ходе проверки Инспектор запрашивает: политику конфиденциальности, формы согласий, внутренние регламенты по защите данных, сведения о назначенном ответственном лице, журналы доступа к данным и документацию по инцидентам. Отсутствие любого из этих документов фиксируется как нарушение.

Компании из Тбилиси (осень 2025) помогли подготовиться к внеплановой проверке Инспектора, инициированной по жалобе бывшего сотрудника. Первоначально компания не имела утверждённой политики конфиденциальности и форм согласий для персонала. За три недели до проверки юристы подготовили полный пакет документации, провели инструктаж сотрудников и сформировали журнал обработки данных. По итогам проверки нарушений, влекущих штраф, выявлено не было.

По результатам проверки Инспектор вправе: вынести предписание об устранении нарушений, наложить административный штраф, приостановить обработку данных или обратиться в суд с требованием о ликвидации базы данных. Штрафы по статье 45 закона составляют от 500 до 10 000 лари в зависимости от характера и повторности нарушения. Повторное нарушение в течение года удваивает санкцию.

Чтобы получить чек-лист регуляторных требований по персональным данным для компаний в Грузии перед проверкой Инспектора, отправьте запрос на info@interlawfirm.ru

Получение предписания Инспектора - не финал: у компании есть 30 дней на устранение нарушений. Однако если нарушения не устранены в срок или выявлены повторно, санкции существенно возрастают. Промедление с реагированием на предписание - наиболее частая причина перехода дела в судебную стадию.

Получили запрос от Инспектора по защите персональных данных или жалобу от субъекта данных?Если Инспектор направил уведомление о проверке или субъект данных предъявил требование об удалении информации - сроки на реагирование ограничены. Юристы Inter Law Firm проанализируют основания проверки, подготовят ответ на запрос Инспектора, сформируют необходимую документацию и представят интересы компании в административном порядке.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Что делать при утечке персональных данных в Грузии?

При утечке персональных данных оператор обязан уведомить Инспектора в течение 72 часов с момента обнаружения инцидента - это требование статьи 25 Закона о защите персональных данных. Если утечка создаёт высокий риск для прав субъектов данных, оператор также обязан уведомить самих субъектов без необоснованной задержки. Нарушение срока уведомления является самостоятельным основанием для штрафа.

Уведомление Инспектора должно содержать: описание характера инцидента, категории и приблизительное число затронутых субъектов, вероятные последствия, принятые и планируемые меры по устранению. Неполное уведомление приравнивается к его отсутствию.

Многие компании в Грузии не имеют внутреннего регламента реагирования на инциденты с данными. В результате при утечке руководство тратит критические первые часы на согласование действий вместо уведомления регулятора. Разработка плана реагирования на инциденты (Incident Response Plan) - обязательный элемент зрелой системы защиты данных, а не опциональный.

Компании из Батуми (зима 2024) помогли оперативно уведомить Инспектора после несанкционированного доступа к базе клиентских данных интернет-магазина. Утечка затронула около 2 000 записей. Благодаря своевременному уведомлению и документированию принятых мер Инспектор ограничился предписанием об усилении технических мер защиты без наложения штрафа. Стоимость юридического сопровождения инцидента составила менее 3 000 лари - против потенциального штрафа свыше 8 000 лари.

Трансграничная передача персональных данных из Грузии в третьи страны регулируется статьёй 22 закона. Передача допустима в страны с адекватным уровнем защиты данных (перечень утверждается Инспектором) либо при наличии стандартных договорных условий. Передача данных грузинских пользователей на серверы в России или Беларуси требует отдельного правового обоснования и, как правило, дополнительного согласия субъектов.

Направления практики по теме

Частые вопросы

1. Сколько стоит привести бизнес в соответствие с грузинским законом о персональных данных?

Стоимость комплаенса по персональным данным в Грузии зависит от размера компании и объёма обрабатываемых данных. Для малого и среднего бизнеса базовый пакет - политика конфиденциальности, формы согласий, уведомление Инспектора и внутренний регламент - обходится в диапазоне от 1 500 до 4 000 лари при привлечении юриста. Компании, обрабатывающие специальные категории данных (медицина, биометрия) или осуществляющие трансграничную передачу данных, несут дополнительные затраты на разработку стандартных договорных условий и оценку рисков. Административный штраф за отсутствие базовой документации по статье 45 закона составляет от 500 до 5 000 лари - то есть стоимость комплаенса, как правило, ниже стоимости первого же нарушения.

2. Какая типичная ошибка компаний при самостоятельном выполнении требований закона?

Наиболее распространённая ошибка - использование шаблонной политики конфиденциальности, скопированной с европейского или российского сайта, без адаптации к требованиям грузинского закона. Грузинский Инспектор по защите персональных данных проверяет соответствие документации именно национальному законодательству, а не GDPR или российскому закону о персональных данных. Второй по частоте просчёт - отсутствие уведомления Инспектора до начала обработки данных: статья 11 закона устанавливает обязательный 30-дневный срок уведомления, нарушение которого фиксируется как самостоятельное нарушение вне зависимости от качества остальной документации.

3. Чем грузинский закон о персональных данных отличается от российского?

Грузинский закон о защите персональных данных концептуально ближе к европейской модели (GDPR), чем к российскому Федеральному закону № 152-ФЗ. Ключевые отличия: в Грузии нет требования локализации данных на серверах внутри страны - трансграничная передача допустима при соблюдении условий статьи 22 закона. Инспектор по защите персональных данных Грузии является независимым органом с правом наложения штрафов без судебного решения - в отличие от российской модели, где Роскомнадзор действует через суд. Срок уведомления об утечке данных в Грузии составляет 72 часа - аналогично GDPR, тогда как в России этот срок составляет 24 часа для первичного уведомления и 72 часа для расширенного.

Юридическая фирма Inter Law Firm сопровождает компании в Грузии по вопросам защиты персональных данных, IT-права и интеллектуальной собственности. Мы можем помочь с аудитом текущей практики обработки данных, разработкой полного пакета комплаенс-документации, подготовкой к проверке Инспектора и представлением интересов компании в административных процедурах.

Чтобы получить чек-лист комплаенс-требований по персональным данным для компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Нужен правовой аудит практики обработки данных или подготовка к проверке Инспектора?Юристы Inter Law Firm проведут анализ текущей документации, выявят пробелы и подготовят полный комплаенс-пакет с учётом специфики вашей отрасли и грузинского законодательства.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 2 мая 2026 года