Аналитика
2026-05-07 00:00 it

Защита персональных данных в Грузии: требования к IT-компаниям и VASP

Закон Грузии о персональных данных (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о ПД) принят в 2011 году и существенно обновлён в 2023 году в части полномочий регулятора и санкционного режима. По состоянию на май 2026 года надзор осуществляет Инспектор по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი, PDI). Для IT-компаний, финтех-платформ и VASP, работающих в грузинской юрисдикции, соблюдение требований Закона о ПД - не факультативная задача: санкции достигают 10 000 лари за одно нарушение, а систематические нарушения влекут приостановку обработки данных.

Статья разбирает: кто обязан соблюдать грузинский Закон о ПД, какие требования предъявляются к IT-компаниям и VASP, как устроена трансграничная передача данных, каковы полномочия Инспектора и как выстроить compliance-структуру с минимальными операционными рисками.

Кто обязан соблюдать Закон о персональных данных Грузии?

Закон о ПД распространяется на любое лицо - физическое или юридическое, - которое обрабатывает персональные данные субъектов, находящихся на территории Грузии, вне зависимости от места регистрации оператора. Это означает: IT-компания, зарегистрированная в Грузии как Virtual Zone entity, и иностранный VASP, обслуживающий грузинских пользователей, подпадают под действие Закона о ПД в равной мере. Порог применимости - наличие хотя бы одного субъекта данных в Грузии.

Закон о ПД разграничивает два ключевых статуса. Оператор данных (მონაცემთა დამუშავების პასუხისმგებელი პირი) - лицо, определяющее цели и способы обработки. Обработчик данных (მონაცემთა დამუშავების შემსრულებელი) - лицо, обрабатывающее данные по поручению оператора. Для IT-компаний и VASP принципиально важно правильно квалифицировать свой статус: оператор несёт полную ответственность перед субъектом данных и регулятором, обработчик - только в рамках договора с оператором.

Грузинское законодательство о персональных данных отличается от российского Федерального закона 152-ФЗ в нескольких ключевых аспектах. В Грузии отсутствует требование локализации данных граждан на серверах внутри страны - это существенное преимущество для IT-компаний с распределённой инфраструктурой. Однако трансграничная передача данных в страны без «адекватного» уровня защиты требует отдельного правового основания (статья 22 Закона о ПД).

Частая ошибка финтех-стартапов и VASP, переезжающих в Грузию из России или Украины, - перенос привычных compliance-процедур без адаптации к грузинской специфике. Грузинский регулятор не признаёт автоматически соответствие российскому 152-ФЗ или украинскому Закону о защите персональных данных достаточным основанием для соблюдения местных требований.

Чтобы получить чек-лист запуска privacy compliance для финтех-компании и VASP в Грузии, отправьте запрос на info@interlawfirm.ru

Какие обязательства по обработке данных возникают у IT-компаний в Грузии?

Статья 7 Закона о ПД устанавливает принципы обработки персональных данных: законность, целевое ограничение, минимизация данных, точность, ограничение срока хранения, целостность и конфиденциальность. Каждый из этих принципов влечёт конкретные операционные обязательства. Нарушение принципа минимизации - сбор данных сверх необходимого для заявленной цели - является самостоятельным основанием для санкций со стороны Инспектора.

Основания для обработки данных перечислены в статье 5 Закона о ПД. Для IT-компаний и VASP наиболее релевантны три: согласие субъекта данных, исполнение договора с субъектом и выполнение законного обязательства оператора. VASP, обязанные проводить KYC/AML-процедуры по требованиям Национального банка Грузии (NBG), вправе ссылаться на третье основание - выполнение законного обязательства - без получения отдельного согласия субъекта на обработку данных в рамках KYC.

Что подготовить до начала обработки данных:

  • Политику конфиденциальности на грузинском языке (обязательно) и русском/английском (рекомендуется для пользователей)
  • Реестр операций по обработке данных с указанием целей, категорий данных, сроков хранения и получателей
  • Форму согласия субъекта данных, соответствующую статье 5 Закона о ПД (конкретная, информированная, добровольная)
  • Процедуру реализации прав субъектов данных: доступ, исправление, удаление (статьи 13-17 Закона о ПД)
  • Договор с обработчиками данных (облачные провайдеры, субподрядчики) с обязательными условиями по статье 11 Закона о ПД

Отдельного внимания заслуживает обязанность уведомления об утечке данных. Статья 25 Закона о ПД обязывает оператора уведомить Инспектора в течение 72 часов с момента обнаружения нарушения безопасности, повлёкшего несанкционированный доступ к персональным данным. Для VASP, хранящих данные о транзакциях и идентификационные данные клиентов, это требование критично: утечка данных KYC одновременно активирует обязательства по Закону о ПД и требования NBG по AML-инцидентам.

Неочевидный риск для IT-компаний в статусе Virtual Zone: VZ-статус освобождает от корпоративного налога на прибыль с экспортных доходов, но не создаёт никаких изъятий из Закона о ПД. Компании, ошибочно полагающие, что VZ-режим снижает регуляторную нагрузку в части данных, обнаруживают это при первой проверке Инспектора.

Тбилисская IT-компания в статусе Virtual Zone (лето 2024) получила предписание Инспектора по защите персональных данных в связи с отсутствием политики конфиденциальности на грузинском языке и ненадлежащим оформлением согласий пользователей. После подготовки полного пакета compliance-документов и прохождения повторной проверки предписание было снято без наложения штрафа - благодаря своевременному устранению нарушений в установленный Инспектором срок.

Описанные требования применимы к стандартным операциям по обработке данных. Конкретный compliance-план зависит от категорий обрабатываемых данных, архитектуры продукта и наличия трансграничных передач. Ошибка в квалификации правового основания обработки на старте влечёт необходимость перестройки всей документации.

Запускаете финтех-платформу или VASP в Грузии? Тип обрабатываемых данных определяет объём compliance-обязательствЕсли ваша платформа обрабатывает данные грузинских пользователей - юристы Inter Law Firm проведут аудит текущей документации, определят правовые основания для каждой операции обработки и подготовят полный пакет: политика конфиденциальности, реестр операций, договоры с обработчиками, процедуры реализации прав субъектов.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как устроена трансграничная передача персональных данных из Грузии?

Трансграничная передача персональных данных из Грузии регулируется статьёй 22 Закона о ПД. Передача данных в страну с «адекватным» уровнем защиты - государства ЕС, Великобритания, ряд других юрисдикций из списка Инспектора - осуществляется без дополнительных условий. Передача в страны вне этого списка требует одного из специальных правовых оснований: стандартные договорные условия, обязательные корпоративные правила или явное согласие субъекта данных с информированием о рисках.

Для VASP и финтех-платформ с распределённой инфраструктурой трансграничная передача данных - повседневная операция. Использование облачных провайдеров (AWS, Google Cloud, Azure) с серверами за пределами Грузии формально является трансграничной передачей. На практике Инспектор квалифицирует такую передачу как допустимую при наличии надлежащих договорных условий с провайдером и соответствующего раздела в политике конфиденциальности.

Передача данных в Россию или Беларусь не включена в список стран с «адекватным» уровнем защиты. Для IT-компаний, обслуживающих клиентов из этих стран через грузинскую юрисдикцию, это означает необходимость отдельного правового основания для каждой такой передачи. Наиболее практичный инструмент - стандартные договорные условия, разработанные применительно к грузинскому праву.

Неочевидный риск трансграничной передачи для VASP: данные о транзакциях, передаваемые в рамках Travel Rule (требование FATF, имплементированное в грузинское AML-законодательство), также подпадают под режим трансграничной передачи персональных данных. Двойное регуляторное окно - NBG и Инспектор - требует синхронизации compliance-процедур.

Чтобы получить чек-лист регуляторных требований по трансграничной передаче данных для финтех-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru

Каковы полномочия Инспектора по защите персональных данных и санкции за нарушения?

Инспектор по защите персональных данных Грузии вправе проводить плановые и внеплановые проверки операторов данных, выдавать предписания об устранении нарушений, налагать административные штрафы и обращаться в суд с требованием о приостановлении обработки данных. Санкционный режим установлен статьёй 43 Закона о ПД: штраф за нарушение требований к обработке данных составляет от 500 до 10 000 лари в зависимости от тяжести нарушения и наличия повторных фактов. Приостановление обработки данных - наиболее серьёзная санкция - фактически означает остановку бизнеса для платформы, работающей с пользовательскими данными.

Инспектор вправе инициировать проверку как по жалобе субъекта данных, так и по собственной инициативе. Для IT-компаний и VASP с публичными продуктами (мобильные приложения, веб-платформы) жалобы пользователей - наиболее частый триггер проверки. Типичные основания жалоб: отказ в реализации права на удаление данных, непредоставление информации об обработке, нежелательные маркетинговые коммуникации без согласия.

Срок рассмотрения жалобы Инспектором составляет до 30 дней с возможностью продления до 60 дней при необходимости дополнительного расследования. Срок исполнения предписания об устранении нарушений устанавливается Инспектором индивидуально - как правило, от 10 до 30 дней. Неисполнение предписания в установленный срок является самостоятельным основанием для наложения штрафа.

Для VASP, лицензируемых NBG, нарушение Закона о ПД создаёт дополнительный регуляторный риск: Инспектор вправе уведомить NBG о выявленных нарушениях, что может повлечь запрос со стороны банковского регулятора в рамках надзора за AML/KYC-процедурами. Два регулятора, действующих одновременно, - сценарий, который существенно осложняет позицию компании.

Батумский VASP (зима 2025) столкнулся с одновременной проверкой Инспектора по защите персональных данных и запросом NBG в связи с жалобой клиента на несанкционированное использование его идентификационных данных. Юристы Inter Law Firm разработали единую стратегию ответа на оба регуляторных запроса, разграничив данные, обрабатываемые в рамках AML-обязательств, и данные, обрабатываемые на основании согласия. Итог: предписание Инспектора исполнено в срок, запрос NBG закрыт без возбуждения административного производства; суммарные потери компании составили около 3 000 лари (штраф за первичное нарушение) вместо потенциальных 10 000+ лари при неправильной стратегии ответа.

Пропуск 72-часового срока уведомления Инспектора об утечке данных (статья 25 Закона о ПД) влечёт штраф независимо от того, причинила ли утечка реальный ущерб субъектам данных. Для VASP с базой данных клиентов свыше 1 000 человек отсутствие процедуры реагирования на инциденты - прямой путь к максимальному штрафу.

Конкретный риск зависит от масштаба обработки данных, наличия специальных категорий данных и истории взаимодействия с Инспектором. Стратегия ответа на запрос регулятора требует анализа всей документации до начала переписки.

NBG запросил документы или Инспектор инициировал проверку? Сроки на ответ ограниченыЕсли ваша компания получила запрос от Инспектора по защите персональных данных или одновременный запрос от NBG - юристы Inter Law Firm проанализируют основания проверки, подготовят ответ и документацию, разработают стратегию минимизации санкций с учётом грузинского законодательства о персональных данных и AML-требований.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как выстроить privacy compliance для IT-компании и VASP в Грузии?

Эффективная compliance-структура по Закону о ПД строится на трёх уровнях: документация, технические меры и операционные процедуры. Документация включает политику конфиденциальности, реестр операций по обработке, договоры с обработчиками и внутренние регламенты. Технические меры - шифрование, контроль доступа, логирование операций с данными. Операционные процедуры - процесс реализации прав субъектов, процедура реагирования на инциденты, обучение персонала.

Закон о ПД не устанавливает обязательного назначения ответственного за защиту данных (аналог DPO в GDPR) для большинства операторов. Однако для компаний, обрабатывающих данные в крупном масштабе или обрабатывающих специальные категории данных (биометрия, финансовые данные в расширенном объёме), назначение такого лица является лучшей практикой и снижает регуляторный риск. Инспектор при проверке оценивает наличие внутренней ответственности за compliance как смягчающее обстоятельство.

Для VASP compliance по Закону о ПД неотделим от AML/KYC-compliance. Данные, собираемые в рамках KYC, подпадают под Закон о ПД в части хранения, доступа и уничтожения. Срок хранения KYC-данных по требованиям NBG составляет не менее 5 лет после завершения деловых отношений - этот срок должен быть отражён в реестре операций по обработке данных и в политике конфиденциальности.

В отличие от GDPR, грузинский Закон о ПД не требует проведения оценки воздействия на защиту данных (DPIA) как обязательной процедуры. Тем не менее для VASP, внедряющих новые технологии обработки данных (биометрическая идентификация, поведенческий анализ для AML), проведение такой оценки снижает риск претензий Инспектора и является аргументом при защите позиции в случае инцидента.

Матрица решений для IT-компаний и VASP в Грузии по уровню compliance-нагрузки:

Стартап с базой до 500 пользователей, обработка стандартных данных (имя, email, история транзакций): минимальный пакет - политика конфиденциальности, форма согласия, базовый реестр операций. Срок подготовки - 5-7 рабочих дней. Затраты - от 800-1 200 лари на юридическое сопровождение.

Платформа с базой 500-10 000 пользователей, трансграничная передача данных, интеграция с внешними обработчиками: расширенный пакет - полный реестр операций, договоры с обработчиками, процедура реагирования на инциденты, аудит трансграничных передач. Срок - 2-3 недели. Затраты - от 2 500-4 000 лари.

VASP с лицензией NBG, KYC/AML-данные, Travel Rule: комплексный compliance - синхронизация AML и privacy-документации, отдельный регламент для KYC-данных, процедура уведомления об инцидентах для двух регуляторов. Срок - 3-4 недели. Затраты - от 4 000-7 000 лари.

Направления практики по теме

Частые вопросы

1. Обязана ли IT-компания в статусе Virtual Zone соблюдать грузинский Закон о персональных данных?

IT-компания в статусе Virtual Zone обязана соблюдать Закон Грузии о персональных данных в полном объёме, поскольку VZ-режим предоставляет налоговые льготы, но не создаёт изъятий из требований законодательства о защите данных. Статья 3 Закона о ПД распространяет его действие на любого оператора, обрабатывающего данные субъектов на территории Грузии, вне зависимости от налогового статуса компании. На практике это означает: VZ-компания, обрабатывающая данные хотя бы одного грузинского пользователя, обязана иметь политику конфиденциальности на грузинском языке, реестр операций по обработке и процедуру реализации прав субъектов. Инспектор по защите персональных данных вправе проверить VZ-компанию в том же порядке, что и любого другого оператора. Отсутствие документации при проверке влечёт штраф от 500 до 5 000 лари за первичное нарушение.

2. Какой срок хранения персональных данных клиентов установлен для VASP в Грузии?

Срок хранения персональных данных клиентов для VASP в Грузии определяется двумя нормативными актами одновременно. По требованиям Национального банка Грузии в части AML/KYC-процедур данные клиентов хранятся не менее пяти лет после завершения деловых отношений. По Закону о персональных данных данные не могут храниться дольше, чем необходимо для достижения цели обработки, - но законное обязательство перед NBG является самостоятельным основанием для хранения в течение пяти лет. После истечения этого срока данные подлежат уничтожению или обезличиванию. Несоблюдение сроков хранения в обе стороны - как хранение сверх срока, так и преждевременное уничтожение данных, необходимых для AML-отчётности, - влечёт санкции от соответствующего регулятора. Для VASP критично зафиксировать эти сроки в реестре операций по обработке данных и в политике конфиденциальности.

3. Что считается трансграничной передачей данных в Грузии и нужно ли специальное разрешение?

Трансграничной передачей персональных данных в Грузии считается любая передача данных оператором или обработчиком лицу, находящемуся за пределами Грузии, включая использование облачных сервисов с серверами в иностранных юрисдикциях. Статья 22 Закона о ПД разрешает передачу в страны с «адекватным» уровнем защиты - перечень утверждён Инспектором и включает государства ЕС, Великобританию и ряд других - без дополнительных условий. Передача в страны вне перечня, в том числе в Россию и Беларусь, требует правового основания: стандартные договорные условия, обязательные корпоративные правила или явное согласие субъекта с информированием о рисках. Специального разрешения Инспектора не требуется - достаточно наличия надлежащего правового основания и его отражения в документации. Для IT-компаний, использующих AWS или Google Cloud, достаточно включить соответствующие условия в договор с провайдером и раскрыть факт передачи в политике конфиденциальности.

4. Как VASP должен реагировать на утечку персональных данных клиентов?

При обнаружении утечки персональных данных VASP обязан уведомить Инспектора по защите персональных данных в течение 72 часов с момента обнаружения инцидента - это требование статьи 25 Закона о ПД. Уведомление должно содержать: описание характера нарушения, категории и приблизительное число затронутых субъектов данных, вероятные последствия и меры, принятые или планируемые для устранения нарушения. Если утечка создаёт высокий риск для прав субъектов данных, оператор обязан также уведомить самих субъектов без необоснованной задержки. Для VASP утечка KYC-данных одновременно активирует обязательство уведомления NBG в рамках AML-инцидент-менеджмента - сроки уведомления NBG устанавливаются отдельными нормативными актами регулятора. Пропуск 72-часового срока уведомления Инспектора влечёт штраф независимо от масштаба утечки и реального ущерба.

5. Чем грузинский Закон о персональных данных отличается от GDPR и российского 152-ФЗ?

Грузинский Закон о персональных данных занимает промежуточное положение между GDPR и российским 152-ФЗ по уровню регуляторной нагрузки. В отличие от GDPR, грузинский закон не требует обязательного назначения DPO для большинства операторов, не устанавливает обязательного проведения DPIA и не предусматривает штрафов в процентах от оборота - максимальный штраф составляет 10 000 лари. В отличие от российского 152-ФЗ, грузинский закон не требует локализации данных граждан на серверах внутри страны, что критично для IT-компаний с облачной инфраструктурой. Общее с GDPR: принципы обработки данных, права субъектов (доступ, исправление, удаление, переносимость), требование уведомления об утечках в течение 72 часов, режим трансграничной передачи данных. Для IT-компаний, уже соответствующих GDPR, адаптация к грузинскому закону требует минимальных усилий - преимущественно перевода документации на грузинский язык и адаптации реестра операций.

Грузинское законодательство о персональных данных создаёт сбалансированную регуляторную среду для IT-компаний и VASP: требования существенно ниже GDPR по административной нагрузке, но достаточно конкретны, чтобы отсутствие compliance влекло реальные санкции. Для финтех-платформ и VASP ключевой вызов - синхронизация требований Закона о ПД с AML/KYC-обязательствами перед NBG.

Юридическая фирма Inter Law Firm сопровождает IT-компании, финтех-платформы и VASP в Грузии по вопросам защиты персональных данных и регуляторного compliance. Мы можем помочь с разработкой полного пакета privacy-документации, аудитом текущих процедур обработки данных, подготовкой ответов на запросы Инспектора и NBG, а также с выстраиванием compliance-структуры при запуске продукта в грузинской юрисдикции.

Чтобы получить чек-лист compliance-требований по защите персональных данных для IT-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru

Готовы разобраться с privacy compliance в Грузии?Юристы Inter Law Firm проведут правовой анализ текущей структуры обработки данных и предложат план приведения в соответствие с Законом о ПД с учётом специфики вашего продукта и регуляторных требований NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 7 мая 2026 года