Аналитика
it

Защита персональных данных в Грузии: практика для IT-компаний и финтех-стартапов

Защита персональных данных в Грузии (პერსონალური მონაცემების დაცვა) регулируется Законом Грузии «О защите персональных данных» 2011 года с поправками 2023 года. Надзорный орган - Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, далее - Инспекция). По состоянию на май 2026 года Инспекция активно проводит плановые и внеплановые проверки IT-компаний и финтех-операторов: за 2024-2025 годы вынесено свыше 80 предписаний, штрафы достигают 10 000 лари за одно нарушение.

Для IT-стартапов и финтех-компаний в Грузии соблюдение законодательства о данных - не формальность. Нарушение требований блокирует банковское обслуживание, осложняет получение лицензии Национального банка Грузии (NBG) и создаёт риск приостановки обработки данных по предписанию Инспекции. Статья разбирает: ключевые обязательства операторов данных, требования к трансграничной передаче, права пользователей, порядок проверок и стратегию построения комплаенса.

Какие компании обязаны соблюдать грузинский закон о персональных данных?

Закон Грузии «О защите персональных данных» распространяется на любое лицо - физическое или юридическое, - которое обрабатывает персональные данные граждан или резидентов Грузии, независимо от места регистрации компании. Для IT-компании со статусом Virtual Zone (VZ) это означает: даже при нулевой ставке налога на прибыль от экспорта IT-услуг, обязательства по защите данных сохраняются в полном объёме, если компания обрабатывает данные грузинских пользователей или сотрудников.

Закон охватывает три категории операторов: контролёр данных (определяет цели и способы обработки), обработчик данных (действует по поручению контролёра) и третье лицо, получающее данные. Финтех-стартап, собирающий KYC-данные клиентов для NBG-лицензии, является контролёром. Облачный провайдер, хранящий эти данные по договору, - обработчиком. Разграничение важно: контролёр несёт основную ответственность перед Инспекцией.

Особая категория данных - биометрия, медицинские сведения, данные о судимости, политических взглядах - требует отдельного правового основания для обработки (статья 6 Закона). Для финтех-компаний, использующих биометрическую верификацию, это означает обязательное явное согласие пользователя или прямое указание закона. Без надлежащего основания обработка особой категории данных влечёт штраф от 3 000 до 10 000 лари.

На практике важно учитывать, что в Грузии Инспекция проверяет не только наличие политики конфиденциальности, но и фактическую архитектуру обработки данных: какие данные собираются, где хранятся, кому передаются. Частая ошибка IT-стартапов из РФ и СНГ - копирование российской политики конфиденциальности с заменой «Роскомнадзор» на «Инспекцию». Грузинский закон предъявляет иные требования к содержанию уведомления и основаниям обработки.

Чтобы получить чек-лист требований NBG для операторов персональных данных в финтех-секторе Грузии, отправьте запрос на info@interlawfirm.ru

Что нужно сделать IT-компании до начала обработки данных в Грузии?

До начала обработки персональных данных IT-компания обязана выполнить регистрационные и организационные требования, предусмотренные статьями 10-14 Закона о защите персональных данных. Инспекция ведёт публичный реестр операторов данных: регистрация обязательна для компаний, обрабатывающих особые категории данных или данные более 1 000 субъектов. Срок регистрации - до начала обработки, без уведомительного периода.

Чек-лист: что подготовить до начала обработки данных

  • Определить правовое основание обработки каждой категории данных (согласие, договор, законный интерес, требование закона) и зафиксировать его во внутренних документах
  • Разработать политику конфиденциальности на грузинском языке (обязательно) и на языках пользователей; политика должна содержать перечень данных, цели, сроки хранения, права субъектов и контакты ответственного лица
  • Назначить ответственного за защиту данных (Data Protection Officer) - обязательно для компаний, обрабатывающих особые категории данных или проводящих масштабный мониторинг пользователей
  • Зарегистрироваться в реестре операторов Инспекции, если компания подпадает под критерии обязательной регистрации (особые категории данных или более 1 000 субъектов)
  • Заключить договоры об обработке данных (Data Processing Agreement) со всеми обработчиками - облачными провайдерами, субподрядчиками, аналитическими сервисами

Для финтех-компаний, проходящих лицензирование в NBG, Инспекция и NBG координируют проверки: отсутствие регистрации в реестре операторов может стать основанием для приостановки рассмотрения лицензионного заявления. Срок рассмотрения заявки на регистрацию в реестре - 10 рабочих дней.

В отличие от России, где регистрация оператора персональных данных носит уведомительный характер и не требует предварительного одобрения, в Грузии Инспекция вправе отказать в регистрации при несоответствии документов требованиям закона. Это означает, что подготовка пакета документов требует юридической проверки до подачи.

Как регулируется трансграничная передача персональных данных из Грузии?

Трансграничная передача персональных данных из Грузии допускается в страны, признанные Инспекцией обеспечивающими адекватный уровень защиты данных, либо при наличии дополнительных гарантий - стандартных договорных условий или обязательных корпоративных правил (статья 22 Закона). Перечень стран с адекватным уровнем защиты утверждается Инспекцией и включает государства ЕС, а также ряд других юрисдикций. Передача данных в страны вне этого перечня без дополнительных гарантий запрещена.

Для IT-компаний со статусом Virtual Zone это создаёт практическую сложность: VZ-статус освобождает от налога на прибыль с экспорта IT-услуг, но не от требований к трансграничной передаче данных. Если грузинская VZ-компания передаёт данные грузинских пользователей на серверы в России или Беларуси, она обязана либо получить явное согласие каждого субъекта с указанием страны-получателя, либо заключить стандартные договорные условия, одобренные Инспекцией.

Облачные сервисы (AWS, Google Cloud, Microsoft Azure) с дата-центрами в ЕС считаются передачей в страну с адекватным уровнем защиты - дополнительных гарантий не требуется. Использование российских облачных провайдеров или серверов в юрисдикциях без адекватного уровня защиты требует отдельного правового механизма.

Неочевидный риск для финтех-стартапов: передача данных транзакций в международные платёжные системы для процессинга квалифицируется как трансграничная передача. Если платёжная система обрабатывает данные на серверах в юрисдикции без адекватного уровня защиты, финтех-оператор несёт ответственность за нарушение статьи 22 Закона, даже если передача технически необходима для исполнения договора с пользователем.

Компании из Тбилиси (зима 2025) помогли структурировать трансграничную передачу данных между грузинской VZ-компанией и её дочерней структурой в ОАЭ. Инспекция инициировала проверку после жалобы пользователя. Подготовили стандартные договорные условия, прошли согласование с Инспекцией и закрыли проверку без штрафных санкций в течение 45 дней.

Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных для IT-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Трансграничная передача - один из наиболее технически сложных аспектов грузинского законодательства о данных. Конкретный механизм зависит от страны-получателя, типа данных и архитектуры системы. Ошибка в выборе правового основания на этапе проектирования продукта дороже, чем последующая переработка архитектуры.

Планируете финтех-бизнес в Грузии с обработкой данных пользователей?Тип лицензии NBG и архитектура обработки данных определяют сроки запуска и объём комплаенс-требований. Юристы Inter Law Firm проведут аудит архитектуры данных, подготовят пакет документов для Инспекции и структурируют трансграничную передачу в соответствии с грузинским законодательством.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Какие права имеют субъекты данных и как IT-компания обязана на них реагировать?

Закон Грузии о защите персональных данных предоставляет субъектам данных шесть ключевых прав: право на информацию, доступ, исправление, удаление, ограничение обработки и возражение против обработки (статьи 15-20 Закона). Срок ответа на запрос субъекта - 10 рабочих дней с момента получения. Отказ в предоставлении информации без законного основания влечёт штраф от 1 000 до 5 000 лари.

Для IT-продуктов с большой пользовательской базой это означает обязательную техническую реализацию: форма запроса на доступ к данным, механизм удаления аккаунта с реальным уничтожением данных (а не только деактивацией), журнал обработки запросов субъектов. Инспекция при проверках запрашивает журнал как доказательство соблюдения сроков.

Право на удаление («право быть забытым») в грузинском законе ограничено: компания вправе отказать в удалении, если данные необходимы для исполнения договора, соблюдения законного требования или защиты законных интересов. Для финтех-операторов это означает, что KYC-данные клиентов не могут быть удалены по запросу в течение срока, установленного антиотмывочным законодательством (5 лет с момента прекращения отношений согласно Закону Грузии «О содействии предотвращению легализации незаконных доходов»).

Многие недооценивают требование об уведомлении об утечке данных: при нарушении безопасности, создающем риск для прав субъектов, оператор обязан уведомить Инспекцию в течение 72 часов (статья 26-1 Закона, введена поправками 2023 года). Уведомление пользователей - в разумные сроки без неоправданной задержки. Отсутствие уведомления при выявленной утечке - одно из наиболее часто штрафуемых нарушений в 2024-2025 годах.

Как проходят проверки Инспекции по защите данных и как к ним готовиться?

Инспекция по защите персональных данных Грузии проводит плановые проверки (по утверждённому графику, публикуемому на сайте Инспекции) и внеплановые (по жалобе субъекта данных или по собственной инициативе при наличии оснований). Срок плановой проверки - до 30 рабочих дней, внеплановой - до 15 рабочих дней. Инспектор вправе запрашивать документы, проводить интервью с сотрудниками и получать доступ к информационным системам.

По результатам проверки Инспекция вправе: вынести предписание об устранении нарушений (срок исполнения - от 10 до 30 рабочих дней), наложить административный штраф (от 500 до 10 000 лари в зависимости от тяжести нарушения), приостановить обработку данных до устранения нарушений. Приостановка обработки для финтех-оператора фактически означает остановку бизнеса.

Наиболее частые нарушения, выявляемые при проверках IT-компаний в Грузии:

  • Отсутствие политики конфиденциальности на грузинском языке или несоответствие её содержания требованиям статьи 10 Закона
  • Отсутствие правового основания для обработки отдельных категорий данных (особенно cookies для аналитики и ретаргетинга)
  • Передача данных обработчикам без заключения Data Processing Agreement
  • Отсутствие механизма реагирования на запросы субъектов данных
  • Нарушение требований к трансграничной передаче данных

Для cookies и трекинговых технологий грузинская Инспекция придерживается подхода, аналогичного европейскому: аналитические и маркетинговые cookies требуют явного согласия пользователя до их установки. Баннер «продолжая использовать сайт, вы соглашаетесь» не является надлежащим согласием по грузинскому праву.

Финтех-компании из Батуми (лето 2024) помогли пройти внеплановую проверку Инспекции, инициированную по жалобе пользователя на нераскрытие информации о передаче данных третьим лицам. Подготовили возражения на акт проверки, дополнили политику конфиденциальности, внедрили механизм управления согласиями. Предписание исполнено в срок, штраф не наложен.

Направления практики по теме

Частые вопросы

1. Распространяется ли грузинский закон о персональных данных на компанию со статусом Virtual Zone?

Грузинский Закон «О защите персональных данных» распространяется на VZ-компанию в полном объёме, если она обрабатывает данные физических лиц на территории Грузии - сотрудников, пользователей или контрагентов. Статус Virtual Zone освобождает от налога на прибыль с экспорта IT-услуг (статья 24-1 Налогового кодекса Грузии), но не создаёт изъятий из законодательства о персональных данных. Инспекция по защите данных вправе проверять VZ-компании наравне с обычными операторами. На практике это означает: VZ-стартап, разрабатывающий SaaS для зарубежных клиентов, но нанимающий грузинских разработчиков, обязан соблюдать требования Закона в отношении данных сотрудников - трудовые договоры, расчётные листы, биометрические данные при контроле доступа.

2. Какой штраф грозит за нарушение требований к персональным данным в Грузии?

Инспекция по защите персональных данных Грузии вправе наложить административный штраф от 500 до 10 000 лари за одно нарушение в соответствии со статьёй 45 Закона о защите персональных данных. Максимальный штраф в 10 000 лари применяется за обработку особых категорий данных без надлежащего правового основания, незаконную трансграничную передачу данных и воспрепятствование проверке Инспекции. Помимо штрафа, Инспекция вправе вынести предписание о приостановке обработки данных - для финтех-оператора это означает фактическую остановку сервиса до устранения нарушений. Срок обжалования предписания в суде - 1 месяц с момента получения.

3. Нужно ли получать согласие пользователей на использование cookies на сайте IT-компании в Грузии?

Инспекция по защите персональных данных Грузии требует явного предварительного согласия пользователя на установку аналитических и маркетинговых cookies до их активации на устройстве пользователя. Технически необходимые cookies (сессионные, корзина покупок, авторизация) согласия не требуют. Баннер с формулировкой «продолжая использование сайта, вы соглашаетесь» не соответствует требованиям Закона о защите персональных данных - согласие должно быть активным (клик на кнопку «Принять»), информированным (с описанием каждой категории cookies) и отзываемым в любой момент. Отсутствие надлежащего механизма согласия на cookies - одно из наиболее часто выявляемых нарушений при проверках IT-компаний в 2024-2025 годах, штраф - от 1 000 до 5 000 лари.

4. Как уведомить Инспекцию об утечке персональных данных?

Оператор персональных данных в Грузии обязан уведомить Инспекцию по защите персональных данных об утечке, создающей риск для прав субъектов, в течение 72 часов с момента обнаружения инцидента - это требование статьи 26-1 Закона, введённой поправками 2023 года. Уведомление подаётся через официальный портал Инспекции и должно содержать: описание характера утечки, категории и приблизительное число затронутых субъектов, вероятные последствия, принятые меры реагирования и контактные данные ответственного лица. Если уведомить в срок невозможно, допускается поэтапное уведомление - сначала предварительное, затем полное. Субъекты данных уведомляются без неоправданной задержки, если утечка создаёт высокий риск для их прав. Отсутствие уведомления при выявленной Инспекцией утечке влечёт штраф до 10 000 лари.

5. Чем грузинский закон о персональных данных отличается от российского 152-ФЗ?

Грузинский Закон «О защите персональных данных» и российский Федеральный закон 152-ФЗ имеют принципиальные различия в трёх ключевых аспектах. Первое: в Грузии нет требования о локализации данных граждан Грузии на серверах внутри страны - данные можно хранить в любой юрисдикции с адекватным уровнем защиты (прежде всего ЕС). В России локализация обязательна для персональных данных граждан РФ. Второе: грузинский закон требует уведомления об утечке в течение 72 часов (как GDPR), российский 152-ФЗ - в течение 24 часов в Роскомнадзор и 72 часов субъектам. Третье: грузинская Инспекция не ведёт реестр операторов в обязательном порядке для всех - регистрация требуется только при обработке особых категорий данных или данных более 1 000 субъектов. В России уведомление Роскомнадзора обязательно для всех операторов, начавших обработку персональных данных.

Грузинское законодательство о персональных данных продолжает сближаться с европейскими стандартами: поправки 2023 года ввели требование об уведомлении об утечках, Инспекция усилила надзор за IT-сектором и финтехом. Для компаний, планирующих получение лицензии NBG или работу с европейскими партнёрами, соответствие грузинскому закону о данных становится условием доступа к рынку, а не просто регуляторным требованием.

Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-стартапы в Грузии по вопросам защиты персональных данных: от аудита архитектуры обработки данных до представления интересов при проверках Инспекции. Мы можем помочь с регистрацией в реестре операторов, разработкой политики конфиденциальности, структурированием трансграничной передачи данных и подготовкой к лицензированию NBG.

Чтобы получить чек-лист комплаенс-требований по персональным данным для IT-компаний и финтех-стартапов в Грузии, отправьте запрос на info@interlawfirm.ru

Готовы к проверке Инспекции или лицензированию NBG?Юристы Inter Law Firm проведут аудит системы обработки персональных данных, выявят несоответствия и подготовят полный пакет документов для Инспекции и NBG. Без гарантий результата - с конкретным планом действий под вашу архитектуру.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 14 мая 2026 года