Аналитика
it

Защита персональных данных в Грузии: требования, риски и практика для IT-компаний

Защита персональных данных в Грузии регулируется Законом Грузии «О защите персональных данных» (საქართველოს კანონი პერსონალური მონაცემების დაცვის შესახებ) 2011 года с последующими поправками. По состоянию на май 2026 года надзор осуществляет Инспектор по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი) - независимый государственный орган с полномочиями проводить проверки, выносить предписания и налагать штрафы. Для IT-компаний, финтех-сервисов и операторов платёжных систем в Грузии соблюдение этого закона - не формальность: штрафы достигают 5 000 лари за отдельные нарушения, а предписание Инспектора может заблокировать обработку данных до устранения нарушений.

Статья разбирает: ключевые требования закона к IT-бизнесу, обязанности операторов данных, правила трансграничной передачи, типичные нарушения и порядок проверок Инспектора, а также стратегии выстраивания комплаенса в грузинской юрисдикции.

Кто обязан соблюдать грузинский закон о защите персональных данных?

Закон Грузии «О защите персональных данных» распространяется на любое физическое или юридическое лицо, которое обрабатывает персональные данные на территории Грузии или использует оборудование, расположенное в Грузии, для обработки данных граждан - вне зависимости от страны регистрации компании. Для IT-компании, зарегистрированной в Грузии или имеющей здесь серверную инфраструктуру, закон применяется в полном объёме.

Понятие «обработка персональных данных» в грузинском законе трактуется широко: сбор, запись, хранение, изменение, восстановление, раскрытие, передача, блокирование или уничтожение данных - всё это охватывается статьёй 2 закона. Персональные данные - любая информация, которая прямо или косвенно идентифицирует физическое лицо: имя, электронная почта, IP-адрес, cookie-идентификатор, биометрические данные, история транзакций.

Для финтех-компаний и VASP-операторов в Грузии это означает, что данные клиентов, собираемые в рамках KYC-процедур (идентификация личности, верификация документов, история операций), подпадают под действие закона одновременно с требованиями Национального банка Грузии (საქართველოს ეროვნული ბანკი, NBG) по AML-комплаенсу. Два регуляторных режима действуют параллельно и не заменяют друг друга.

Частая ошибка основателей финтех-стартапов из России и Украины - предположение, что регистрация компании в статусе Virtual Zone (VZ) освобождает от требований закона о данных. Это не так: VZ-статус даёт налоговые преференции (0% CIT и НДС на экспорт IT-услуг), но не создаёт изъятий из законодательства о персональных данных.

Чтобы получить чек-лист требований NBG и Инспектора по защите данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Какие обязанности возникают у оператора данных по грузинскому законодательству?

Оператор персональных данных в Грузии обязан соблюдать шесть базовых принципов обработки, закреплённых в статье 4 закона: законность, целевое ограничение, минимизация данных, точность, ограничение хранения и безопасность. Нарушение любого из них - самостоятельное основание для предписания Инспектора.

Ключевые обязанности оператора:

  • Определить правовое основание для каждого вида обработки данных: согласие субъекта, исполнение договора, законный интерес или требование закона (статья 5 закона).
  • Разработать и опубликовать политику конфиденциальности на языке, понятном пользователям сервиса - на практике Инспектор проверяет наличие политики на сайте и её соответствие фактическим процессам обработки.
  • Уведомить Инспектора о начале обработки данных в случаях, предусмотренных статьёй 25 закона: обработка специальных категорий данных (биометрия, здоровье, финансовое положение), видеонаблюдение, трансграничная передача данных.
  • Обеспечить технические и организационные меры защиты данных - шифрование, разграничение доступа, журналирование операций.
  • Реагировать на запросы субъектов данных: право на доступ, исправление, удаление и ограничение обработки. Срок ответа - 10 рабочих дней (статья 19 закона).

Что подготовить до начала обработки данных:

  • Реестр операций обработки с указанием цели, правового основания и категорий данных для каждого процесса
  • Политику конфиденциальности, адаптированную под фактические процессы компании
  • Форму согласия на обработку данных (если согласие - выбранное правовое основание)
  • Процедуру реагирования на запросы субъектов данных с фиксацией сроков
  • Технический регламент информационной безопасности (минимально: парольная политика, шифрование хранилищ, контроль доступа)

В отличие от российского законодательства о персональных данных, грузинский закон не требует локализации данных граждан Грузии на серверах внутри страны. Это существенное преимущество для IT-компаний с распределённой инфраструктурой - данные можно хранить в облачных сервисах за рубежом при соблюдении правил трансграничной передачи.

Компании из Тбилиси (зима 2025) помогли выстроить реестр операций обработки данных и привести политику конфиденциальности в соответствие с требованиями закона. До обращения компания работала без формализованных процедур более двух лет - потенциальный риск штрафных санкций составлял свыше 15 000 лари с учётом нескольких оснований нарушений.

Описанные требования применяются к стандартным операторам данных. Для финтех-компаний с лицензией NBG и VASP-операторов объём обязательств шире - добавляются требования по хранению KYC-документов и журналов транзакций в соответствии с антиотмывочным законодательством.

Выстраивание комплаенса по данным - процесс, который зависит от архитектуры конкретного продукта. Стандартная политика конфиденциальности, скопированная с другого сайта, не закрывает реальные риски.

Планируете запуск финтех-сервиса или VASP в Грузии? Требования к данным определяют архитектуру продукта с первого дняЕсли вы строите платёжный сервис, криптоплатформу или необанк в Грузии - юристы Inter Law Firm проведут аудит процессов обработки данных, разработают пакет документов (политика конфиденциальности, реестр операций, процедуры KYC) и подготовят уведомление Инспектора по защите данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как регулируется трансграничная передача персональных данных из Грузии?

Трансграничная передача персональных данных из Грузии в третьи страны допускается при выполнении одного из условий, предусмотренных статьёй 22 закона: страна-получатель обеспечивает адекватный уровень защиты данных, либо оператор применяет дополнительные гарантии - договорные положения, обязательные корпоративные правила или согласие субъекта данных. Инспектор ведёт перечень стран с адекватным уровнем защиты; страны ЕС и ряд других государств в него включены.

Для IT-компаний и финтех-сервисов, работающих с зарубежными облачными провайдерами (AWS, Google Cloud, Azure), трансграничная передача данных происходит автоматически при каждом сохранении данных пользователя на сервере за пределами Грузии. Это означает, что выбор облачного провайдера - не только технический, но и правовой вопрос.

На практике Инспектор по защите данных при проверках запрашивает:

  • Договоры с облачными провайдерами и субпроцессорами с положениями о защите данных
  • Документацию о правовом основании трансграничной передачи
  • Перечень стран, в которые передаются данные, и обоснование адекватности их защиты

Неочевидный риск для VASP-операторов: данные верификации личности (сканы паспортов, селфи, данные о транзакциях), передаваемые внешним KYC-провайдерам за рубежом, квалифицируются как трансграничная передача специальных категорий данных. Это требует предварительного уведомления Инспектора по статье 25 закона - шаг, который большинство стартапов пропускает.

Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Как проходят проверки Инспектора по защите персональных данных?

Инспектор по защите персональных данных Грузии вправе проводить плановые и внеплановые проверки операторов данных на основании статьи 38 закона. Внеплановая проверка инициируется по жалобе субъекта данных или по собственной инициативе Инспектора при наличии оснований полагать, что закон нарушается. Срок проведения проверки - до 30 рабочих дней с возможностью продления.

По итогам проверки Инспектор вправе:

  • Вынести предписание об устранении нарушений с установлением срока исполнения
  • Наложить административный штраф: от 500 до 5 000 лари за отдельные нарушения (статья 43 закона)
  • Потребовать приостановления обработки данных до устранения нарушений
  • Передать материалы в прокуратуру при наличии признаков уголовно наказуемого деяния

Для финтех-компании приостановление обработки данных - критический риск: фактически это означает остановку KYC-процедур и невозможность онбординга новых клиентов. При обороте в несколько сотен тысяч лари в месяц каждый день простоя - прямые потери.

В отличие от российской практики, где проверки Роскомнадзора нередко носят формальный характер, грузинский Инспектор последовательно реагирует на жалобы пользователей. Жалоба недовольного клиента о том, что компания не ответила на запрос об удалении данных в 10-дневный срок, - реальное основание для внеплановой проверки.

Пропуск срока ответа на запрос субъекта данных (10 рабочих дней по статье 19 закона) при наличии жалобы в Инспектора с высокой вероятностью влечёт предписание и штраф. Для компании с несколькими тысячами активных пользователей отсутствие автоматизированной процедуры обработки таких запросов - системный риск.

Финтех-компании из Батуми (лето 2025) помогли подготовиться к плановой проверке Инспектора: провели внутренний аудит процессов обработки данных, выявили три основания потенциальных нарушений и устранили их до начала проверки. По итогам проверки предписаний выдано не было.

Подготовка к проверке и реагирование на предписание - разные задачи с разными временными горизонтами. Предписание с 30-дневным сроком исполнения при отсутствии готовой документации выполнить в срок крайне сложно.

NBG запросил дополнительные документы или Инспектор инициировал проверку? Сроки на реагирование ограниченыЕсли Инспектор по защите данных направил запрос, начал проверку или вынес предписание - юристы Inter Law Firm проведут экспресс-аудит, подготовят ответ на запрос и сопроводят процедуру до её завершения. Работаем с IT-компаниями, VASP-операторами и платёжными сервисами в Грузии.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как выстроить комплаенс по данным для IT-компании в Грузии: практический подход

Комплаенс по персональным данным для IT-компании в Грузии строится в три этапа: аудит текущих процессов обработки, разработка документации и внедрение операционных процедур. Полный цикл занимает от 4 до 8 недель в зависимости от сложности продукта и объёма данных. Стоимость юридического сопровождения - от 3 000 до 8 000 лари в зависимости от объёма работ.

Этап 1: аудит процессов обработки данных

Цель - зафиксировать, какие данные компания собирает, на каком основании, где хранит, кому передаёт и как долго. На выходе - реестр операций обработки, который одновременно служит основой для политики конфиденциальности и документом для предъявления Инспектору при проверке.

Этап 2: разработка документации

Минимальный пакет для IT-компании в Грузии:

  • Политика конфиденциальности (публичная, на сайте/в приложении)
  • Внутренняя политика защиты данных (для сотрудников)
  • Соглашения об обработке данных с субпроцессорами (облачные провайдеры, KYC-сервисы, аналитические платформы)
  • Процедура реагирования на запросы субъектов данных
  • Процедура реагирования на инциденты (утечки данных)

Этап 3: операционные процедуры

Документация без операционного внедрения не работает. Критичные точки: кто в компании отвечает за обработку запросов субъектов данных, как фиксируются согласия пользователей, как журналируется доступ к базам данных, как реагирует команда при обнаружении утечки.

Для компаний в статусе Virtual Zone дополнительный вопрос - разграничение данных клиентов, которые относятся к экспортируемым IT-услугам, и данных, связанных с деятельностью внутри Грузии. Это влияет на применимость отдельных требований и на взаимодействие с Revenue Service при налоговых проверках.

Три сценария для разных типов IT-бизнеса в Грузии:

Сценарий 1: SaaS-стартап, когорта E. Продукт работает с данными B2B-клиентов (юридических лиц). Основной риск - данные сотрудников клиентов, которые попадают в систему. Требуется: политика конфиденциальности, DPA-соглашения с клиентами, реестр субпроцессоров. Срок выстраивания комплаенса - 3-4 недели.

Сценарий 2: Платёжный сервис / VASP. Работает с физическими лицами, собирает биометрию и финансовые данные. Требования максимальные: уведомление Инспектора об обработке специальных категорий данных, DPA с KYC-провайдером, процедура реагирования на утечки. Срок - 6-8 недель. Параллельно - требования NBG по AML.

Сценарий 3: IT-аутсорсинговая компания (VZ-статус). Разрабатывает продукты для иностранных заказчиков, данные конечных пользователей не обрабатывает напрямую. Минимальный комплаенс: политика конфиденциальности для сотрудников, базовые меры информационной безопасности. Срок - 2-3 недели.

Матрица решений: если компания обрабатывает данные физических лиц напрямую - нужен полный комплаенс-пакет (8-12 недель, 4 000-8 000 лари). Если только данные сотрудников - базовый пакет (3-4 недели, 2 000-3 500 лари). Если данные не обрабатываются вовсе - достаточно политики конфиденциальности сайта (1-2 недели, от 800 лари).

Направления практики по теме

Частые вопросы

1. Обязана ли IT-компания в статусе Virtual Zone соблюдать грузинский закон о защите персональных данных?

Да, IT-компания в статусе Virtual Zone обязана соблюдать Закон Грузии «О защите персональных данных» в полном объёме - статус Virtual Zone не создаёт изъятий из законодательства о данных. Налоговые преференции VZ (нулевая ставка налога на прибыль и НДС на экспорт IT-услуг) предоставляются на основании Закона Грузии «О свободных индустриальных зонах» и регулируются GITA, тогда как защита персональных данных - отдельная регуляторная область под надзором Инспектора. Компания с VZ-статусом, которая обрабатывает данные пользователей своего продукта, обязана иметь политику конфиденциальности, реестр операций обработки и процедуры реагирования на запросы субъектов данных. Штраф за нарушение - до 5 000 лари за каждое основание, предписание Инспектора может потребовать приостановления обработки данных.

2. Нужно ли уведомлять Инспектора по защите данных о начале работы с персональными данными?

Уведомление Инспектора по защите персональных данных Грузии обязательно не для всех операторов, а только в случаях, прямо предусмотренных статьёй 25 закона: обработка специальных категорий данных (биометрия, данные о здоровье, финансовое положение), видеонаблюдение и трансграничная передача данных. Для стандартного SaaS-продукта, который собирает имя, email и историю действий пользователя, уведомление не требуется - достаточно политики конфиденциальности и реестра операций. Для платёжного сервиса или VASP, который собирает сканы документов и биометрические данные в рамках KYC, уведомление обязательно до начала обработки. Нарушение этого требования - самостоятельное основание для штрафа и предписания.

3. Что происходит при утечке персональных данных пользователей в Грузии?

При обнаружении утечки персональных данных оператор в Грузии обязан уведомить Инспектора по защите данных в разумный срок - закон не устанавливает жёсткого числа часов, как GDPR (72 часа), но практика Инспектора показывает: задержка уведомления более чем на 72 часа при наличии реального ущерба для субъектов данных рассматривается как отягчающее обстоятельство. Уведомление должно содержать описание инцидента, категории и примерное число затронутых субъектов, принятые меры по локализации. Если утечка затронула данные более 1 000 субъектов или включала специальные категории данных - Инспектор с высокой вероятностью инициирует проверку. Для финтех-компании и VASP утечка данных KYC-верификации одновременно активирует требования NBG по инцидент-менеджменту.

4. Чем грузинский закон о персональных данных отличается от GDPR?

Грузинский Закон «О защите персональных данных» концептуально близок к GDPR, но имеет ряд существенных отличий. Во-первых, грузинский закон не требует обязательного назначения ответственного за защиту данных (аналога DPO по GDPR) - это добровольная практика. Во-вторых, максимальный штраф по грузинскому закону составляет 5 000 лари за нарушение, тогда как GDPR предусматривает санкции до 20 миллионов евро или 4% глобального оборота. В-третьих, грузинский закон не содержит требования о локализации данных. В-четвёртых, механизм трансграничной передачи данных в Грузии проще: достаточно договорных гарантий с получателем, тогда как GDPR требует стандартных договорных положений, одобренных Еврокомиссией. При этом базовые принципы - законность, целевое ограничение, минимизация данных - совпадают. Компания, уже соответствующая GDPR, как правило, выполняет и грузинские требования, но обратное неверно.

5. Как грузинское законодательство регулирует использование данных клиентов в системах искусственного интеллекта?

Грузинский Закон «О защите персональных данных» не содержит специальных норм об использовании данных в системах искусственного интеллекта - эта область регулируется общими принципами закона. Ключевые требования при использовании данных для обучения AI-моделей: наличие правового основания (как правило, согласие субъекта или законный интерес), соблюдение принципа целевого ограничения (данные, собранные для одной цели, не могут использоваться для обучения модели без дополнительного основания) и принципа минимизации (для обучения модели следует использовать минимально необходимый объём данных, предпочтительно анонимизированных). Инспектор по защите данных Грузии пока не выпускал специальных руководств по AI, однако общая позиция регулятора следует европейским подходам. Для финтех-компаний, использующих AI в скоринге или AML-системах, дополнительно применяются требования NBG.

Грузинское законодательство о персональных данных создаёт реальные операционные обязательства для IT-компаний и финтех-сервисов - игнорирование этих требований на старте обходится дороже, чем выстраивание комплаенса с первого дня. Инспектор по защите данных последовательно реагирует на жалобы пользователей, а предписание о приостановлении обработки данных для платёжного сервиса или VASP означает фактическую остановку бизнеса.

Юридическая фирма Inter Law Firm сопровождает IT-компании, финтех-сервисы и VASP-операторов в Грузии по вопросам защиты персональных данных, IT-комплаенса и взаимодействия с регуляторами. Мы можем помочь с аудитом процессов обработки данных, разработкой документации, подготовкой к проверкам Инспектора и сопровождением при получении предписаний.

Чтобы получить чек-лист комплаенс-требований по персональным данным для IT-компаний и финтех-сервисов в Грузии, отправьте запрос на info@interlawfirm.ru

Запускаете IT-продукт или финтех-сервис в Грузии и не уверены в соответствии требованиям по данным?Юристы Inter Law Firm проведут правовой анализ процессов обработки данных, разработают пакет документации и подготовят компанию к взаимодействию с Инспектором по защите данных и NBG. Работаем с IT-компаниями, VASP-операторами, платёжными сервисами и SaaS-стартапами в Грузии.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 6 мая 2026 года