Аналитика
it

Защита персональных данных в Грузии: требования к IT-компаниям и финтех-операторам

Закон Грузии о защите персональных данных (პერსონალური მონაცემების დაცვის შესახებ კანონი, Закон № 5152) регулирует сбор, хранение, передачу и иную обработку данных физических лиц на территории страны. По состоянию на май 2026 года надзор осуществляет Инспектор по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი) - независимый орган с полномочиями проводить проверки, выносить предписания и налагать штрафы. Для IT-компаний и финтех-операторов, работающих в грузинской юрисдикции, несоблюдение требований Закона влечёт санкции до 20 000 лари и репутационные последствия, которые напрямую затрагивают банковское обслуживание и лицензионные отношения с Национальным банком Грузии.

Статья разбирает: кто обязан соблюдать грузинский Закон о данных, какие требования предъявляются к IT-компаниям и финтех-операторам, как проходят проверки Инспектора, каковы риски при трансграничной передаче данных и как выстроить compliance без избыточных затрат.

Кто обязан соблюдать грузинский закон о защите персональных данных?

Закон № 5152 распространяется на любого оператора данных - физическое или юридическое лицо, которое определяет цели и способы обработки персональных данных на территории Грузии. Для IT-компаний и финтех-операторов это означает: если вы обрабатываете данные грузинских пользователей или ваши серверы расположены в Грузии - Закон применяется к вам вне зависимости от юрисдикции регистрации компании.

Грузинское законодательство использует широкое определение персональных данных: любая информация, которая прямо или косвенно идентифицирует физическое лицо. Под это определение подпадают имя, адрес, IP-адрес, cookies, биометрические данные, история транзакций, данные KYC. Для финтех-операторов и VASP это означает, что весь массив данных, собираемых в рамках AML/KYC-процедур, регулируется одновременно двумя режимами: Законом о данных и требованиями Национального банка Грузии (NBG).

Закон выделяет специальные категории данных - биометрические, медицинские, данные о судимостях, религиозных убеждениях. Их обработка требует явного письменного согласия субъекта или прямого указания в законе. Финтех-компании, использующие биометрическую верификацию при онбординге, обязаны соответствовать этому требованию.

Частая ошибка IT-стартапов, переехавших в Грузию из России или Украины: они полагают, что грузинский Закон о данных - это упрощённая версия GDPR, и переносят европейские политики конфиденциальности без адаптации. На практике Инспектор оценивает соответствие именно грузинскому Закону № 5152, а не GDPR. Несмотря на концептуальное сходство, требования к уведомлению, срокам хранения и трансграничной передаче данных в Грузии имеют собственную специфику.

Чтобы получить чек-лист запуска обработки персональных данных для IT-стартапа в Грузии, отправьте запрос на info@interlawfirm.ru

Какие обязанности оператора данных установлены законом № 5152?

Оператор данных в Грузии обязан: обрабатывать данные только на законном основании, обеспечить соразмерность объёма данных заявленной цели, хранить данные не дольше необходимого срока, обеспечить их защиту от несанкционированного доступа и уведомить Инспектора об утечке в течение 72 часов. Эти пять принципов закреплены в статьях 4-8 Закона № 5152 и являются базой для любой проверки.

Законные основания обработки данных по грузинскому Закону:

  • Согласие субъекта данных - должно быть добровольным, конкретным, информированным и однозначным
  • Исполнение договора с субъектом данных
  • Выполнение законного обязательства оператора
  • Защита жизненно важных интересов субъекта
  • Выполнение задачи в публичных интересах
  • Законный интерес оператора - при условии, что он не превалирует над интересами субъекта

Для финтех-операторов ключевое основание - исполнение договора и законное обязательство (AML/KYC). Однако маркетинговые коммуникации, профилирование и передача данных партнёрам требуют отдельного согласия.

Уведомление об утечке данных - один из наиболее критичных элементов compliance для IT-компаний. Статья 22 Закона № 5152 обязывает оператора уведомить Инспектора в течение 72 часов с момента обнаружения инцидента. Если утечка затрагивает права и свободы субъектов данных - уведомить необходимо и самих субъектов без необоснованной задержки. Неуведомление или задержка уведомления - самостоятельное основание для штрафа.

Чек-лист: что подготовить до начала обработки данных в Грузии

  • Политика конфиденциальности на грузинском языке (обязательна для грузинских пользователей) с указанием целей, оснований и сроков обработки
  • Реестр операций по обработке данных (внутренний документ оператора)
  • Процедура реагирования на запросы субъектов данных (срок ответа - 10 рабочих дней по статье 30 Закона)
  • Процедура уведомления об утечке (72 часа для Инспектора, без задержки - для субъектов)
  • Договоры с обработчиками данных (субподрядчиками, облачными провайдерами) с обязательными клаузулами по статье 10 Закона

Неочевидный риск: многие IT-компании заключают договоры с облачными провайдерами (AWS, Google Cloud, Azure) без специальных клаузул о защите данных. Инспектор расценивает это как нарушение статьи 10 Закона, поскольку оператор несёт ответственность за действия обработчика.

Как проходят проверки Инспектора по защите персональных данных?

Инспектор по защите персональных данных Грузии вправе проводить плановые и внеплановые проверки на основании статьи 38 Закона № 5152. Внеплановая проверка инициируется по жалобе субъекта данных или при наличии признаков нарушения. Срок проведения проверки - до 30 рабочих дней с возможностью продления. По итогам проверки Инспектор вправе вынести предписание об устранении нарушений, наложить штраф или передать материалы в прокуратуру при наличии признаков уголовного преступления.

Размеры административных штрафов по Закону № 5152:

  • Нарушение принципов обработки данных (статьи 4-8) - до 5 000 лари
  • Незаконная обработка специальных категорий данных - до 10 000 лари
  • Нарушение требований к трансграничной передаче данных - до 10 000 лари
  • Необеспечение прав субъекта данных - до 5 000 лари
  • Неуведомление об утечке данных - до 20 000 лари

Для финтех-компании с оборотом в несколько миллионов лари штраф в 20 000 лари может показаться незначительным. Реальный риск - иное: предписание Инспектора о приостановлении обработки данных фактически останавливает операционную деятельность. Для платёжного сервиса или VASP это означает невозможность онбординга новых клиентов до устранения нарушений.

Компании из Тбилиси (осень 2025) помогли пройти внеплановую проверку Инспектора по защите персональных данных. Проверка была инициирована по жалобе пользователя на несанкционированные маркетинговые рассылки. В ходе сопровождения подготовили возражения на предварительные выводы Инспектора, скорректировали политику согласий и реестр операций. По итогам проверки компания получила предписание об устранении нарушений без штрафа - вместо первоначально рассматривавшегося взыскания свыше 8 000 лари.

Чтобы получить чек-лист регуляторных требований по защите данных для финтех-операторов в Грузии, отправьте запрос на info@interlawfirm.ru

Описанный порядок проверки стандартен, однако тактика взаимодействия с Инспектором зависит от конкретного нарушения, объёма затронутых данных и истории компании. Ошибка на этапе первичного ответа на запрос Инспектора сужает пространство для переговоров.

Получили запрос от Инспектора по защите данных или жалобу пользователя?Если Инспектор инициировал проверку или направил запрос о предоставлении документов - юристы Inter Law Firm проанализируют основания, подготовят ответ и сопроводят процедуру проверки. Мы также проведём предварительный аудит compliance и устраним нарушения до вынесения предписания.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Каковы требования к трансграничной передаче данных из Грузии?

Трансграничная передача персональных данных из Грузии в третьи страны регулируется статьёй 18 Закона № 5152. Передача данных допустима в страны, обеспечивающие адекватный уровень защиты данных - перечень таких стран утверждается Инспектором. Передача в страны вне перечня возможна при наличии стандартных договорных клаузул, явного согласия субъекта или в рамках исполнения договора с субъектом.

Для IT-компаний и финтех-операторов трансграничная передача данных - повседневная реальность: облачные серверы в ЕС или США, субподрядчики в других юрисдикциях, головные офисы за рубежом. Грузинский Закон не запрещает такую передачу, но требует правового основания для каждого потока данных.

В отличие от российского законодательства, которое требует первичной локализации данных российских граждан на серверах в России, грузинский Закон № 5152 не устанавливает требования локализации. Это существенное преимущество грузинской юрисдикции для IT-компаний, работающих с международными облачными инфраструктурами.

Практический риск для VASP и финтех-операторов: передача KYC-данных клиентов в головной офис за рубежом или внешнему провайдеру верификации требует правового основания по Закону № 5152. Если такое основание не задокументировано - это нарушение статьи 18, влекущее штраф до 10 000 лари. Большинство компаний обнаруживают этот пробел только в ходе проверки Инспектора.

Стандартные договорные клаузулы для трансграничной передачи данных в Грузии не имеют утверждённой типовой формы (в отличие от европейских SCC). Инспектор оценивает их содержание по существу: наличие обязательств получателя данных, механизмов контроля и права субъекта на защиту. Разработка таких клаузул требует адаптации под конкретный поток данных и юрисдикцию получателя.

Как Virtual Zone влияет на обязательства по защите данных?

Компании со статусом Virtual Zone (VZ) в Грузии пользуются налоговыми льготами - нулевой ставкой налога на прибыль и НДС при экспорте IT-услуг. Статус VZ присваивается Агентством по инновациям и технологиям Грузии (GITA, gita.gov.ge) и не освобождает компанию от обязательств по Закону № 5152. Это разные правовые режимы с разными регуляторами.

На практике важно учитывать, что статус VZ привлекает компании, обрабатывающие данные иностранных клиентов. Если такая компания одновременно работает с грузинскими пользователями или хранит данные на серверах в Грузии - Закон № 5152 применяется в полном объёме. Разграничение между «иностранными» и «грузинскими» данными в рамках одной инфраструктуры на практике сложно реализуемо и редко признаётся Инспектором как основание для освобождения от требований Закона.

Для VZ-компаний, оказывающих услуги B2B (например, SaaS-платформы для корпоративных клиентов), ключевой вопрос - разграничение ролей оператора и обработчика данных. Если VZ-компания обрабатывает данные по инструкции клиента - она является обработчиком и несёт ответственность в рамках договора с оператором. Если самостоятельно определяет цели обработки - она оператор со всеми вытекающими обязательствами по Закону.

Компании из Батуми (зима 2024) помогли структурировать договорную базу для VZ-компании, предоставляющей облачные услуги корпоративным клиентам из ЕС. Клиент настаивал на соответствии GDPR; грузинская сторона не имела ни политики конфиденциальности, ни реестра операций, ни договоров с субобработчиками. Подготовили полный пакет документов, адаптированный под одновременное соответствие Закону № 5152 и GDPR, что позволило закрыть сделку на сумму свыше 200 000 лари в год.

Стратегия compliance для IT-компаний и финтех-операторов в Грузии

Минимально достаточный compliance для IT-компании в Грузии включает четыре элемента: правовое основание для каждой операции обработки данных, политику конфиденциальности на грузинском языке, процедуру реагирования на запросы субъектов и процедуру уведомления об утечке. Без этих четырёх элементов компания уязвима при любой проверке Инспектора.

Три сценария для разных типов операторов:

Сценарий 1: IT-стартап, работающий только с иностранными клиентами через VZ. Риск применения Закона № 5152 минимален, если данные грузинских физических лиц не обрабатываются и серверы расположены за пределами Грузии. Однако данные сотрудников-резидентов Грузии подпадают под Закон в любом случае. Минимальный compliance: политика обработки данных сотрудников, договоры с HR-провайдерами.

Сценарий 2: Финтех-оператор или VASP с грузинскими пользователями. Полный объём обязательств по Закону № 5152. Дополнительно - требования NBG к хранению KYC-данных (минимум 5 лет после прекращения отношений с клиентом). Необходим DPO (ответственный за защиту данных) или внешний compliance-партнёр. Бюджет на первичный compliance - от 3 000 до 8 000 лари в зависимости от объёма операций.

Сценарий 3: Международная компания с офисом в Грузии. Применяется Закон № 5152 в части данных, обрабатываемых грузинским юридическим лицом. Необходима адаптация глобальных политик под грузинские требования - прямой перенос GDPR-документации без адаптации не признаётся Инспектором как соответствие Закону.

Матрица решений: ситуация - инструмент - срок - затраты - риски:

Жалоба пользователя на незаконную обработку данных - подготовка ответа Инспектору и корректировка compliance - 10 рабочих дней - от 1 500 лари - риск штрафа до 5 000 лари при отсутствии ответа.

Плановая проверка Инспектора - аудит compliance и устранение нарушений до проверки - 20-30 рабочих дней - от 3 000 лари - риск предписания о приостановлении деятельности.

Трансграничная передача данных без правового основания - разработка договорных клаузул и документирование потоков данных - 5-10 рабочих дней - от 1 000 лари - риск штрафа до 10 000 лари.

Неуведомление об утечке данных - экстренное уведомление Инспектора и субъектов, оценка ущерба - 72 часа - от 2 000 лари - риск штрафа до 20 000 лари.

Направления практики по теме

Частые вопросы

1. Обязана ли IT-компания со статусом Virtual Zone соблюдать грузинский закон о персональных данных?

Статус Virtual Zone не освобождает компанию от обязательств по Закону Грузии о защите персональных данных (Закон № 5152). Инспектор по защите персональных данных Грузии распространяет свои полномочия на любого оператора, обрабатывающего данные физических лиц на территории Грузии, вне зависимости от налогового режима. Если VZ-компания обрабатывает данные грузинских сотрудников, хранит данные на серверах в Грузии или работает с грузинскими пользователями - Закон применяется в полном объёме. Исключение возможно только если компания обрабатывает исключительно данные иностранных граждан на серверах за пределами Грузии и не имеет точек соприкосновения с грузинской территорией. На практике такое разграничение сложно реализуемо и требует специальной документации.

2. Каков срок уведомления об утечке персональных данных и что происходит при его нарушении?

Оператор данных в Грузии обязан уведомить Инспектора по защите персональных данных в течение 72 часов с момента обнаружения утечки - это требование статьи 22 Закона № 5152. Если утечка создаёт риск для прав и свобод субъектов данных, необходимо также уведомить самих субъектов без необоснованной задержки. Нарушение 72-часового срока является самостоятельным основанием для штрафа до 20 000 лари - это максимальная санкция по Закону. Для финтех-операторов и VASP нарушение срока уведомления дополнительно может стать основанием для проверки со стороны Национального банка Грузии в части AML/KYC-процедур, поскольку утечка KYC-данных затрагивает требования к защите финансовой информации.

3. Нужно ли разрабатывать политику конфиденциальности на грузинском языке, если компания работает только с иностранными клиентами?

Закон Грузии о защите персональных данных не устанавливает прямого требования о языке политики конфиденциальности. Однако Инспектор по защите персональных данных при проверке оценивает, насколько субъект данных реально мог ознакомиться с условиями обработки. Если среди пользователей или сотрудников компании есть грузиноязычные лица - политика на грузинском языке является фактическим требованием для подтверждения информированного согласия. Для компаний, работающих исключительно с иностранными клиентами и не имеющих грузинских сотрудников, достаточно политики на языке клиентов. На практике большинство IT-компаний в Грузии готовят двуязычную версию - это снижает риск претензий Инспектора при любом сценарии проверки.

4. Чем грузинский закон о данных отличается от российского требования локализации?

Закон Грузии о защите персональных данных (Закон № 5152) не содержит требования о локализации данных - то есть не обязывает хранить данные грузинских пользователей на серверах в Грузии. Это принципиальное отличие от российского законодательства, которое по статье 18 Федерального закона № 152-ФЗ требует первичного хранения персональных данных российских граждан на серверах в России. Грузинский Закон регулирует трансграничную передачу данных через механизм адекватности защиты в стране-получателе или стандартные договорные клаузулы, но не ограничивает географию хранения. Для IT-компаний, переехавших из России, это означает возможность использовать международную облачную инфраструктуру без изменения архитектуры - при условии документирования правового основания для трансграничной передачи.

5. Что такое ответственный за защиту данных (DPO) и обязателен ли он для IT-компании в Грузии?

Закон Грузии о защите персональных данных не устанавливает обязательного назначения ответственного за защиту данных (Data Protection Officer, DPO) для всех операторов - в отличие от GDPR, который требует DPO при масштабной обработке специальных категорий данных. Однако статья 9 Закона № 5152 обязывает оператора назначить контактное лицо для взаимодействия с Инспектором и субъектами данных. На практике для финтех-операторов и VASP, обрабатывающих большие объёмы KYC-данных, Национальный банк Грузии при лицензировании фактически ожидает наличия выделенного compliance-офицера, отвечающего в том числе за защиту данных. Стоимость внешнего DPO-сервиса в Грузии составляет от 500 до 1 500 лари в месяц в зависимости от объёма задач.

Грузинский Закон о защите персональных данных создаёт реальные обязательства для IT-компаний и финтех-операторов - с конкретными сроками, штрафами и полномочиями Инспектора. Ключевые риски сосредоточены в трёх точках: трансграничная передача данных без документированного правового основания, отсутствие процедуры уведомления об утечке и несоответствие договоров с субобработчиками требованиям статьи 10 Закона.

Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-операторов в Грузии по вопросам защиты персональных данных: от первичного аудита compliance до представления интересов в ходе проверок Инспектора. Мы можем помочь с разработкой политики конфиденциальности, реестра операций, договорных клаузул для трансграничной передачи данных и процедур реагирования на инциденты.

Чтобы получить чек-лист compliance по защите персональных данных для IT-компании или финтех-оператора в Грузии, отправьте запрос на info@interlawfirm.ru

Запускаете финтех-продукт или IT-сервис в Грузии и не уверены в соответствии требованиям Закона о данных?Юристы Inter Law Firm проведут аудит текущего состояния compliance, выявят пробелы и подготовят полный пакет документов - политику конфиденциальности, реестр операций, договоры с субобработчиками и процедуру уведомления об утечке. Работаем с IT-компаниями, VASP и финтех-операторами в грузинской юрисдикции.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 14 мая 2026 года