Аналитика
2026-05-06 00:00 it

Защита персональных данных в Грузии: практика для IT-компаний и Virtual Zone резидентов

Закон Грузии о защите персональных данных (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о ПД) регулирует сбор, хранение, обработку и трансграничную передачу персональных данных физических лиц на территории Грузии. По состоянию на май 2026 года надзор осуществляет Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, PDPO), действующая на основании Закона о ПД 2011 года с поправками 2023 года. Для IT-компаний, включая резидентов статуса Virtual Zone (VZ), Закон о ПД применяется независимо от налогового режима: нулевая ставка CIT не освобождает от обязательств в сфере защиты данных.

Статья разбирает: сферу применения Закона о ПД к IT-бизнесу в Грузии, требования к обработке и хранению данных, трансграничную передачу, ответственность оператора, типичные ошибки и стратегию комплаенса для финтех-компаний, VASP и SaaS-провайдеров.

Кого охватывает грузинское законодательство о персональных данных?

Закон о ПД Грузии распространяется на любое юридическое или физическое лицо, обрабатывающее персональные данные граждан Грузии или лиц, находящихся на территории страны, вне зависимости от места регистрации компании. Это означает: если ваш SaaS-продукт, мобильное приложение или платёжный сервис собирает данные пользователей из Грузии - вы обязаны соблюдать Закон о ПД, даже если юридическое лицо зарегистрировано за рубежом. Для компаний, зарегистрированных в Грузии, включая VZ-резидентов, обязательства возникают с момента регистрации и начала обработки данных.

Персональные данные по Закону о ПД - это любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо: имя, адрес электронной почты, IP-адрес, данные устройства, геолокация, биометрические данные. Закон выделяет особую категорию - чувствительные данные (биометрия, здоровье, религия, политические взгляды): их обработка требует явного письменного согласия субъекта или иного специального основания.

На практике важно учитывать, что в Грузии понятие «оператор данных» (მონაცემთა დამუშავება) охватывает как контроллера (определяет цели обработки), так и процессора (обрабатывает по поручению контроллера). Финтех-компания, использующая стороннего KYC-провайдера, остаётся ответственным контроллером - ответственность не делегируется автоматически.

Частая ошибка IT-стартапов из СНГ, получивших VZ-статус: они полагают, что грузинское законодательство применяется только к «грузинскому» бизнесу. Это не так. Если продукт монетизируется через грузинских пользователей или данные обрабатываются на серверах в Грузии - Закон о ПД применим в полном объёме.

Чтобы получить чек-лист запуска IT-продукта с учётом требований к персональным данным для малого бизнеса и стартапов в Грузии, отправьте запрос на info@interlawfirm.ru

Какие требования к обработке данных обязан выполнять IT-оператор в Грузии?

Оператор данных в Грузии обязан: иметь законное основание для обработки (согласие, договор, законный интерес или иное из статьи 5 Закона о ПД), уведомить PDPO о начале обработки, обеспечить технические и организационные меры защиты, назначить ответственного за защиту данных при обработке в крупном масштабе. Срок уведомления PDPO - до начала обработки. Регистрация в реестре операторов занимает от 5 до 10 рабочих дней.

Закон о ПД устанавливает принцип минимизации данных: собирать можно только те данные, которые необходимы для конкретной заявленной цели. Для финтех-компаний и VASP это означает: расширенный KYC-пакет (биометрия, история транзакций, источник средств) требует отдельного правового основания для каждой категории данных - общего согласия на «обработку в целях AML» недостаточно.

Обязательные документы для IT-оператора в Грузии:

  • Политика конфиденциальности на грузинском языке (или с грузинской версией), опубликованная на сайте или в приложении
  • Реестр операций по обработке данных (внутренний документ, предъявляется по запросу PDPO)
  • Форма согласия субъекта данных с указанием цели, объёма и срока хранения
  • Договор с процессором данных (sub-processor agreement), если используются сторонние сервисы
  • Процедура реагирования на запросы субъектов данных (право на доступ, исправление, удаление)

Срок ответа на запрос субъекта данных - 10 рабочих дней с момента получения запроса (статья 17 Закона о ПД). Нарушение этого срока является самостоятельным основанием для жалобы в PDPO.

Неочевидный риск: многие IT-компании размещают политику конфиденциальности только на английском языке. PDPO вправе признать такую политику ненадлежащей для грузинских пользователей и выдать предписание об устранении нарушения в течение 30 дней.

Как регулируется трансграничная передача данных из Грузии?

Трансграничная передача персональных данных из Грузии в третьи страны допускается при соблюдении одного из условий статьи 22 Закона о ПД: страна-получатель признана PDPO обеспечивающей адекватный уровень защиты, либо оператор применяет стандартные договорные условия (SCC), одобренные PDPO, либо субъект данных дал явное информированное согласие на трансграничную передачу. Список стран с адекватным уровнем защиты утверждается PDPO и включает государства - члены ЕС и ряд других юрисдикций.

Для VASP и финтех-компаний, использующих облачную инфраструктуру AWS, Google Cloud или Azure с серверами за пределами Грузии, трансграничная передача данных - ежедневная реальность. Каждый запрос к API, каждая синхронизация с облаком технически является передачей данных. Без надлежащего правового основания (SCC или согласие) это нарушение Закона о ПД.

В отличие от GDPR, грузинский Закон о ПД не предусматривает механизма Binding Corporate Rules (BCR) для внутригрупповых передач данных. Это означает: даже передача данных между материнской и дочерней компанией в рамках одной группы требует отдельного SCC или иного основания.

Компании из Тбилиси (зима 2025) помогли структурировать трансграничную передачу данных пользователей между грузинским VZ-резидентом и головной компанией в ЕС. Первоначально данные передавались без надлежащего SCC - PDPO выдала предписание об устранении нарушения. После подготовки пакета договорных условий и уведомления PDPO компания привела процессы в соответствие с Законом о ПД в течение 45 дней.

Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных для финтех-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru

Трансграничная передача данных - один из наиболее технически сложных аспектов комплаенса. Конкретная структура зависит от архитектуры продукта, юрисдикции серверов и типа данных. Ошибка на этапе проектирования архитектуры дороже, чем ошибка в документации.

Используете облачную инфраструктуру за пределами Грузии? Каждый запрос к API может быть нарушениемЕсли ваша финтех-компания или VASP обрабатывает данные грузинских пользователей через серверы в ЕС, США или иных юрисдикциях - юристы Inter Law Firm проведут аудит архитектуры передачи данных, подготовят SCC по стандарту PDPO и приведут документацию в соответствие с Законом о ПД Грузии.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Какова ответственность за нарушение Закона о персональных данных в Грузии?

PDPO вправе выдавать предписания об устранении нарушений, налагать административные штрафы и обращаться в суд с требованием о приостановлении обработки данных. Административный штраф за нарушение Закона о ПД составляет от 500 до 5 000 лари за каждое нарушение согласно Кодексу об административных правонарушениях Грузии. При повторном нарушении или нарушении, повлёкшем существенный ущерб субъектам данных, PDPO вправе инициировать уголовное преследование по статье 157-1 Уголовного кодекса Грузии.

Для IT-компаний и VASP наиболее критичны три сценария ответственности:

  • Утечка данных без уведомления PDPO в течение 72 часов (статья 23-1 Закона о ПД) - предписание и штраф
  • Обработка данных без надлежащего правового основания (отсутствие согласия, нарушение принципа минимизации) - предписание, штраф, возможная приостановка обработки
  • Трансграничная передача данных без SCC или согласия - предписание с требованием немедленного прекращения передачи

Приостановление обработки данных по решению PDPO или суда - наиболее болезненная санкция для SaaS-продукта или платёжного сервиса: фактически это остановка бизнеса. Для VASP, работающего с грузинскими пользователями, приостановка обработки KYC-данных означает невозможность онбординга новых клиентов.

Компании из Батуми (осень 2024) помогли оспорить предписание PDPO о приостановлении обработки биометрических данных пользователей. Предписание было выдано в связи с отсутствием надлежащего правового основания для обработки биометрии. После подготовки возражений, доработки формы согласия и представления позиции в PDPO предписание было отменено - компания возобновила онбординг в течение 3 недель.

Как выстроить комплаенс по персональным данным для Virtual Zone резидента?

VZ-резидент в Грузии освобождён от CIT и НДС на экспорт IT-услуг, но не от требований Закона о ПД. Комплаенс по персональным данным для VZ-компании строится на тех же основаниях, что и для любого IT-оператора в Грузии, с учётом специфики: большинство VZ-резидентов обслуживают зарубежных клиентов, что автоматически создаёт трансграничную передачу данных и требует SCC или иного основания.

Практическая матрица решений для VZ-резидента:

Если продукт обслуживает только зарубежных клиентов, но данные обрабатываются на серверах в Грузии - Закон о ПД применяется к обработке на территории Грузии. Необходимы: регистрация в PDPO, политика конфиденциальности, реестр операций.

Если продукт обслуживает грузинских пользователей - полный комплаенс по Закону о ПД, включая грузиноязычную политику конфиденциальности и форму согласия.

Если данные передаются в головную компанию за рубежом - SCC или согласие субъекта данных, уведомление PDPO о трансграничной передаче.

Три сценария для разных типов VZ-бизнеса:

Сценарий 1. SaaS-компания с пользователями в ЕС. Данные грузинских сотрудников обрабатываются в Грузии - Закон о ПД применяется к HR-данным. Данные европейских пользователей обрабатываются на серверах в Грузии - применяется GDPR (экстерриториально) и Закон о ПД. Необходимы: DPA с европейскими клиентами, SCC для передачи данных в ЕС, регистрация в PDPO.

Сценарий 2. VASP с грузинскими и международными пользователями. Полный комплаенс по Закону о ПД для грузинских пользователей. KYC-данные (биометрия, документы) - чувствительные данные, требуют явного согласия. Передача данных в AML-системы за рубежом - SCC. Уведомление PDPO об обработке чувствительных данных.

Сценарий 3. IT-аутсорсинг (разработка для зарубежных заказчиков). Данные заказчика обрабатываются как процессор - необходим Data Processing Agreement (DPA) с заказчиком. Данные сотрудников (грузинских разработчиков) - полный комплаенс по Закону о ПД. Передача кода и данных заказчику - проверить наличие SCC или иного основания.

Неочевидный риск для VZ-резидентов: GITA при продлении VZ-статуса не проверяет комплаенс по персональным данным. Это создаёт ложное ощущение безопасности. PDPO действует независимо от GITA и вправе провести проверку в любой момент - по жалобе пользователя, по собственной инициативе или по запросу иностранного регулятора.

Направления практики по теме

Частые вопросы

1. Обязан ли VZ-резидент в Грузии регистрироваться в PDPO, если все клиенты - иностранные?

Да, VZ-резидент обязан уведомить Инспекцию по защите персональных данных (PDPO) о начале обработки персональных данных, если обработка происходит на территории Грузии - вне зависимости от гражданства или резидентства субъектов данных. Основание - статья 6 Закона о ПД Грузии, устанавливающая территориальный принцип применения. Уведомление подаётся до начала обработки; регистрация в реестре операторов занимает от 5 до 10 рабочих дней. Компания, обрабатывающая данные без регистрации, рискует получить предписание PDPO и административный штраф от 500 до 5 000 лари. Налоговый статус VZ не влияет на эти обязательства: GITA и PDPO - независимые регуляторы с разными полномочиями.

2. Что грозит IT-компании за утечку данных в Грузии и каков срок уведомления регулятора?

При утечке персональных данных IT-оператор в Грузии обязан уведомить PDPO в течение 72 часов с момента обнаружения инцидента согласно статье 23-1 Закона о ПД. Если утечка затрагивает права и интересы субъектов данных, необходимо также уведомить самих субъектов в разумный срок. За нарушение срока уведомления PDPO вправе наложить административный штраф от 500 до 5 000 лари и выдать предписание. При повторном нарушении или утечке чувствительных данных (биометрия, финансовые данные) PDPO вправе инициировать уголовное преследование по статье 157-1 Уголовного кодекса Грузии. Для VASP и финтех-компаний утечка KYC-данных - это одновременно нарушение Закона о ПД и потенциальное нарушение AML-требований NBG, что создаёт двойной регуляторный риск.

3. Нужен ли отдельный договор с KYC-провайдером или облачным сервисом, если они находятся за пределами Грузии?

Да, договор с процессором данных (Data Processing Agreement, DPA) обязателен в любом случае, когда оператор передаёт обработку данных третьей стороне - независимо от юрисдикции процессора. Это требование статьи 8 Закона о ПД Грузии. Если процессор находится за пределами Грузии, дополнительно необходимо правовое основание для трансграничной передачи: стандартные договорные условия (SCC), одобренные PDPO, или явное согласие субъекта данных. Без DPA и SCC оператор несёт полную ответственность за нарушения, допущенные процессором. Для VASP, использующих зарубежные AML-системы или биометрические KYC-сервисы, отсутствие DPA - одно из наиболее распространённых нарушений, выявляемых PDPO при проверках.

4. Чем грузинский Закон о персональных данных отличается от GDPR и что важно знать компаниям из ЕС?

Закон Грузии о персональных данных концептуально близок к GDPR, но имеет ряд существенных отличий. Во-первых, в Грузии нет требования назначать Data Protection Officer (DPO) как отдельную должность - достаточно назначить ответственного сотрудника при обработке данных в крупном масштабе. Во-вторых, Грузия не входит в список стран с «адекватным уровнем защиты» по GDPR, что означает: передача данных из ЕС в Грузию требует SCC или иного механизма по GDPR. В-третьих, штрафы по грузинскому Закону о ПД значительно ниже, чем по GDPR (максимум 5 000 лари против 20 млн евро или 4% глобального оборота), однако PDPO вправе приостановить обработку данных - что для IT-бизнеса критичнее денежного штрафа. Компаниям из ЕС, открывающим офис или VZ-структуру в Грузии, необходимо выстраивать двойной комплаенс: по GDPR для европейских пользователей и по Закону о ПД для грузинских.

5. Как PDPO проводит проверки IT-компаний и что служит основанием для инициирования проверки?

PDPO инициирует проверку IT-оператора на основании жалобы субъекта данных, по собственной инициативе при наличии признаков нарушения или по запросу иностранного регулятора. Плановые проверки проводятся в соответствии с планом PDPO, который публикуется ежегодно. Внеплановая проверка может быть инициирована в течение 10 рабочих дней с момента получения жалобы. В ходе проверки PDPO вправе запросить реестр операций по обработке данных, политику конфиденциальности, договоры с процессорами, формы согласия и технические меры защиты. Срок проведения проверки - до 30 рабочих дней с возможностью продления. Для IT-компаний наиболее частые основания жалоб: отсутствие ответа на запрос об удалении данных в течение 10 рабочих дней и использование данных в целях, не указанных в политике конфиденциальности.

Комплаенс по персональным данным в Грузии - не разовая задача, а непрерывный процесс: законодательство обновляется, PDPO наращивает активность проверок, а архитектура IT-продуктов постоянно меняется. Для финтех-компаний и VASP пересечение требований Закона о ПД и AML-регулирования NBG создаёт двойную регуляторную нагрузку, которую важно учитывать на этапе проектирования продукта, а не после первой проверки.

Юридическая фирма Inter Law Firm сопровождает IT-компании, VZ-резидентов, финтех-стартапы и VASP по вопросам защиты персональных данных в Грузии. Мы можем помочь с регистрацией в PDPO, разработкой политики конфиденциальности и реестра операций, подготовкой SCC для трансграничной передачи данных, аудитом текущих процессов обработки данных и представлением интересов при проверках PDPO.

Чтобы получить чек-лист комплаенса по персональным данным для IT-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru

Готовы к проверке PDPO? Или узнали о ней только что?Юридическая фирма Inter Law Firm проводит аудит комплаенса по персональным данным для IT-компаний и VASP в Грузии: проверяем документацию, архитектуру передачи данных и процедуры реагирования на инциденты. По итогам - конкретный план устранения нарушений с приоритетами и сроками.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 6 мая 2026 года