Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о данных) регулирует сбор, хранение, обработку и передачу персональных данных физических лиц на территории страны. По состоянию на май 2026 года надзор осуществляет Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, PDPI) - независимый государственный орган с полномочиями проводить проверки, выносить предписания и налагать штрафы. Для IT-компаний, работающих в Грузии или обрабатывающих данные грузинских пользователей, соблюдение этих требований - не опция, а условие легальной деятельности.
Статья разбирает: кто обязан соблюдать грузинский закон о данных, какие требования предъявляются к IT-компаниям, как устроен надзор PDPI, какие риски несёт трансграничная передача данных и как выстроить комплаенс без избыточных затрат.
Закон о данных распространяется на любое лицо - физическое или юридическое, - которое обрабатывает персональные данные граждан Грузии или лиц, находящихся на её территории. Это касается как грузинских IT-компаний, так и иностранных операторов, чьи сервисы доступны грузинским пользователям. Экстерриториальный принцип закреплён в статье 3 Закона о данных: достаточно того, что обработка данных направлена на лиц в Грузии.
Для IT-компаний со статусом Virtual Zone (VZ) это означает следующее: налоговые льготы (0% CIT и НДС на экспорт IT-услуг) не освобождают от требований в сфере персональных данных. VZ-статус регулирует налоговый режим, но не снимает обязательств по Закону о данных. Компании, обрабатывающие данные грузинских пользователей через SaaS-платформы, мобильные приложения или веб-сервисы, подпадают под юрисдикцию PDPI вне зависимости от налогового статуса.
Практика PDPI показывает: под проверки чаще всего попадают компании трёх категорий - финтех-сервисы, обрабатывающие платёжные данные; HR-платформы, хранящие данные сотрудников; и e-commerce операторы с базами клиентов. Для стартапов в Грузии это означает, что выстраивать комплаенс нужно с момента запуска продукта, а не после первой проверки.
Чтобы получить чек-лист запуска IT-продукта с учётом требований по персональным данным для малого бизнеса и стартапов в Грузии, отправьте запрос на info@interlawfirm.ru
Закон о данных устанавливает шесть ключевых принципов обработки персональных данных: законность, справедливость, прозрачность, ограничение цели, минимизация данных, точность и ограничение хранения (статья 4). Нарушение любого из них - основание для предписания PDPI и штрафа. Для IT-компании это означает конкретные операционные обязательства, которые должны быть закреплены во внутренних документах и технической архитектуре продукта.
Правовые основания для обработки данных
Обработка персональных данных допустима только при наличии одного из оснований, перечисленных в статье 5 Закона о данных: согласие субъекта, исполнение договора, законный интерес оператора, выполнение правовой обязанности или защита жизненно важных интересов. Для большинства IT-сервисов основным основанием служит согласие пользователя или исполнение договора.
Согласие должно быть: добровольным, конкретным, информированным и однозначным. Предварительно проставленные галочки в форме регистрации не соответствуют требованиям Закона о данных - это прямое нарушение статьи 6. Пользователь должен совершить активное действие для выражения согласия. Отзыв согласия должен быть таким же простым, как его предоставление.
Политика конфиденциальности и уведомление пользователей
Статья 10 Закона о данных обязывает оператора уведомить субъекта данных о целях обработки, сроках хранения, получателях данных и правах субъекта до начала обработки. Для IT-компании это означает наличие актуальной политики конфиденциальности на грузинском языке (если сервис ориентирован на грузинских пользователей) и механизма её принятия при регистрации.
Частая ошибка компаний, пришедших из российской юрисдикции, - копирование политики конфиденциальности из российского сервиса с минимальными правками. Грузинский закон требует указания конкретного срока хранения данных для каждой категории - не «до достижения целей обработки», а конкретного периода в днях или месяцах.
Чек-лист: что подготовить IT-компании для базового комплаенса
Неочевидный риск: многие IT-компании в Грузии используют сторонние аналитические инструменты (трекеры, пиксели, cookies третьих сторон) без надлежащего уведомления пользователей. PDPI квалифицирует это как обработку данных без правового основания - нарушение статьи 5 Закона о данных.
Инспекция по защите персональных данных (PDPI) вправе проводить плановые и внеплановые проверки, запрашивать документы, выносить предписания об устранении нарушений и налагать административные штрафы. Плановые проверки проводятся на основании ежегодного плана, внеплановые - по жалобам субъектов данных или по собственной инициативе PDPI при наличии признаков нарушения. Срок проведения проверки - до 30 рабочих дней с возможностью продления.
Размер штрафов по Закону о данных: за нарушение принципов обработки - до 2 000 лари для физических лиц и до 10 000 лари для юридических лиц. За повторное нарушение в течение года - удвоение санкции. Помимо штрафа, PDPI вправе вынести предписание о приостановке обработки данных - для IT-компании это означает фактическую остановку сервиса до устранения нарушений.
Компании из Тбилиси (зима 2025) помогли пройти внеплановую проверку PDPI по жалобе пользователя. Инспекция запросила документацию по 14 категориям данных, обрабатываемых SaaS-платформой. Подготовка ответа заняла 12 рабочих дней; по итогам проверки компания получила предписание об устранении двух нарушений (отсутствие реестра операций и ненадлежащая форма согласия) без штрафа - благодаря демонстрации добросовестности и оперативному устранению нарушений в ходе проверки.
Права IT-компании при проверке PDPI: знакомиться с материалами проверки, представлять объяснения и документы, обжаловать предписания в суде. Срок обжалования предписания PDPI - 1 месяц с момента получения. Городской суд Тбилиси (თბილისის საქალაქო სასამართლო) рассматривает такие дела в порядке административного судопроизводства.
Чтобы получить чек-лист регуляторных требований по защите данных для IT-компаний и SaaS-операторов в Грузии, отправьте запрос на info@interlawfirm.ru
Понимание того, как работает PDPI в ходе проверки, - это одно. Конкретная стратегия ответа зависит от структуры продукта, категорий обрабатываемых данных и истории взаимодействия с инспекцией. Ошибка на этапе первичного ответа на запрос PDPI ограничивает возможности защиты на следующих стадиях.
NBG или PDPI запросили документы по обработке данных? Сроки на ответ ограниченыЕсли Инспекция по защите персональных данных направила запрос или инициировала проверку - юристы Inter Law Firm проанализируют основания, подготовят документацию и представят интересы компании в административном порядке или суде. Работаем с IT-компаниями, финтех-операторами и VASP в Грузии.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Трансграничная передача персональных данных из Грузии в третьи страны допустима при соблюдении условий статьи 22 Закона о данных. Передача данных в страны, обеспечивающие адекватный уровень защиты (перечень утверждается PDPI), не требует дополнительных механизмов. Передача в страны без адекватного уровня защиты требует одного из следующих оснований: согласие субъекта данных, стандартные договорные условия, обязательные корпоративные правила или иные гарантии, одобренные PDPI.
Для IT-компаний, использующих облачную инфраструктуру за пределами Грузии (AWS, Google Cloud, Azure), это означает необходимость оформить соглашение об обработке данных (Data Processing Agreement, DPA) с облачным провайдером и убедиться, что передача данных соответствует статье 22. Отсутствие DPA при использовании иностранных облачных сервисов - одно из наиболее распространённых нарушений, выявляемых PDPI при проверках.
В отличие от GDPR, грузинский закон не предусматривает механизма «стандартных договорных условий» в готовом виде - компания должна самостоятельно разработать и согласовать условия передачи данных или использовать типовые формы, рекомендованные PDPI. Это создаёт дополнительную нагрузку для стартапов, привыкших к европейской практике.
Финтех-компании и VASP, работающие с данными пользователей из нескольких юрисдикций, сталкиваются с дополнительным уровнем сложности: помимо грузинского Закона о данных, они могут подпадать под GDPR (если обрабатывают данные граждан ЕС) и требования Национального банка Грузии (NBG) по защите данных клиентов платёжных сервисов. Эти режимы не идентичны, и комплаенс должен учитывать все применимые требования одновременно.
Финтех-операторы и поставщики услуг виртуальных активов (VASP) в Грузии обрабатывают специальные категории данных - платёжные реквизиты, данные идентификации (KYC), транзакционную историю. Для этих категорий Закон о данных устанавливает повышенные требования: обязательное шифрование при хранении и передаче, ограниченный доступ по принципу минимальных привилегий и обязательное уведомление PDPI об утечке в течение 72 часов (статья 25 Закона о данных). Нарушение требований к специальным категориям данных влечёт штраф в двойном размере.
Регулирование VASP в Грузии осуществляется Национальным банком Грузии (NBG) на основании Закона о платёжных системах и платёжных услугах. NBG устанавливает требования к AML/KYC-процедурам, которые по своей природе предполагают обширную обработку персональных данных. Требования NBG и PDPI пересекаются: компания обязана хранить KYC-данные в течение 5 лет после прекращения отношений с клиентом (требование NBG), но при этом соблюдать принцип минимизации данных по Закону о данных. Разрешение этого противоречия - через документирование правового основания хранения (исполнение правовой обязанности по статье 5 Закона о данных).
Три сценария для разных типов финтех-операторов в Грузии:
Сценарий 1: Стартап, запускающий платёжный сервис. Обязан получить лицензию NBG, выстроить KYC-процедуры и одновременно обеспечить комплаенс по Закону о данных. Критическая точка - момент запуска: многие стартапы откладывают разработку политики конфиденциальности и реестра операций «на потом», что создаёт нарушение с первого дня работы.
Сценарий 2: Зрелая IT-компания, добавляющая финтех-функциональность. Расширение продукта на платёжные функции автоматически переводит компанию в категорию операторов специальных категорий данных. Требуется пересмотр политики конфиденциальности, обновление реестра операций и, возможно, назначение ответственного за защиту данных (Data Protection Officer).
Сценарий 3: Иностранная компания, выходящая на грузинский рынок. Если компания уже имеет GDPR-комплаенс, это хорошая база, но не полная гарантия соответствия грузинскому закону. Различия существенны: грузинский закон не предусматривает обязательного назначения DPO для всех операторов, но устанавливает иные пороги для уведомления об утечках.
Компании из Батуми (лето 2024) помогли структурировать комплаенс по защите данных при запуске криптообменного сервиса. Разработали политику конфиденциальности, реестр операций, DPA с облачным провайдером и процедуру уведомления об утечках. Срок подготовки документации - 3 недели; компания прошла первичную проверку NBG без замечаний по блоку защиты данных.
Комплаенс по защите данных в Грузии строится на четырёх элементах: документация, технические меры, организационные процедуры и мониторинг. Минимальный набор документов для IT-компании включает политику конфиденциальности, реестр операций по обработке данных, соглашения с обработчиками данных (DPA) и процедуру реагирования на инциденты. Стоимость разработки базового пакета документов - от 2 000 до 4 000 лари в зависимости от сложности продукта.
Матрица решений для IT-компании в Грузии:
Стартап на стадии MVP (до 1 000 пользователей): минимальный комплаенс - политика конфиденциальности, форма согласия, базовый реестр операций. Срок подготовки - 1-2 недели. Затраты - от 1 500 лари. Риск без комплаенса - предписание PDPI при первой жалобе пользователя.
Растущий продукт (1 000 - 50 000 пользователей): полный пакет документации, DPA с провайдерами, процедура уведомления об утечках, обучение сотрудников. Срок - 3-4 недели. Затраты - от 3 000 лари. Риск без комплаенса - штраф до 10 000 лари плюс репутационные потери.
Зрелая платформа или финтех (50 000+ пользователей или специальные категории данных): полный комплаенс включая назначение ответственного за данные, регулярные аудиты, обновление документации при изменении продукта. Затраты - от 5 000 лари ежегодно. Риск без комплаенса - приостановка обработки данных по предписанию PDPI.
В отличие от российского законодательства о персональных данных (Федеральный закон № 152-ФЗ), грузинский закон не требует локализации данных - хранение данных грузинских пользователей на серверах за рубежом допустимо при соблюдении условий трансграничной передачи. Это существенное преимущество для IT-компаний, использующих международную облачную инфраструктуру.
Неочевидный риск для компаний, работающих одновременно в Грузии и ЕС: GDPR требует назначения DPO при обработке данных в крупных масштабах или специальных категорий данных. Грузинский закон такого обязательного требования не содержит, но PDPI рекомендует назначение ответственного лица для компаний с большими объёмами обработки. Если компания назначила DPO для GDPR-целей, его функции можно распространить на грузинский комплаенс - это снижает операционные затраты.
Направления практики по теме
IT-компания со статусом Virtual Zone в Грузии обязана соблюдать Закон о защите персональных данных в полном объёме - статус VZ не освобождает от этих требований. Virtual Zone регулирует только налоговый режим: нулевая ставка налога на прибыль и НДС на экспорт IT-услуг на основании Закона о свободных индустриальных зонах. Требования Инспекции по защите персональных данных применяются к любому оператору, обрабатывающему данные лиц в Грузии, вне зависимости от налогового статуса. Компания, получившая VZ-статус через GITA и одновременно обрабатывающая данные грузинских пользователей, обязана иметь политику конфиденциальности, реестр операций и соблюдать все принципы обработки данных по статье 4 Закона о данных. Штраф за нарушение для юридического лица - до 10 000 лари, за повторное нарушение - до 20 000 лари.
IT-компания обязана уведомить Инспекцию по защите персональных данных об утечке в течение 72 часов с момента обнаружения инцидента - это требование статьи 25 Закона о данных. Уведомление должно содержать: описание характера утечки, категории и примерное количество затронутых субъектов данных, контактные данные ответственного лица, вероятные последствия и принятые меры. Если уведомить в срок невозможно, компания обязана направить промежуточное уведомление с объяснением причин задержки. Несоблюдение срока уведомления - самостоятельное нарушение, которое PDPI квалифицирует отдельно от самого факта утечки. Для финтех-компаний и VASP, обрабатывающих специальные категории данных, PDPI вправе также обязать компанию уведомить пострадавших пользователей напрямую.
Использование cookies и трекеров третьих сторон, собирающих персональные данные пользователей, требует отдельного согласия по Закону о данных - это вытекает из требований статьи 5 о правовом основании обработки и статьи 6 об условиях действительного согласия. Технические cookies, необходимые для работы сайта, согласия не требуют. Аналитические, маркетинговые и рекламные cookies - требуют. Баннер с предустановленными галочками «согласен» не соответствует требованиям грузинского закона: согласие должно быть активным и конкретным для каждой категории cookies. PDPI фиксирует нарушения в этой области как одни из наиболее распространённых при проверках IT-компаний. Практическое следствие для бизнеса: необходимо внедрить Consent Management Platform (CMP) или аналогичный механизм управления согласиями до начала использования сторонних трекеров.
Грузинский Закон о защите персональных данных концептуально близок к GDPR, но имеет существенные отличия, которые влияют на операционный комплаенс. Совпадения: принципы обработки данных, требования к согласию, права субъектов данных, обязанность уведомлять об утечках. Ключевые отличия: GDPR требует обязательного назначения DPO при определённых условиях - грузинский закон такого обязательного требования не содержит; GDPR предусматривает готовые стандартные договорные условия для трансграничной передачи данных - в Грузии компания разрабатывает условия самостоятельно или использует рекомендации PDPI; штрафы по GDPR могут достигать 4% глобального оборота - грузинские санкции фиксированы и значительно ниже. Для компании, уже имеющей GDPR-комплаенс, адаптация к грузинским требованиям занимает от 2 до 4 недель и требует прежде всего локализации документации и проверки механизмов трансграничной передачи данных.
Субъект данных по грузинскому Закону о защите персональных данных имеет право на доступ к своим данным, их исправление, удаление («право на забвение»), ограничение обработки и возражение против обработки - эти права закреплены в статьях 14-18 Закона о данных. IT-компания обязана ответить на запрос субъекта в течение 10 рабочих дней с момента получения. Отказ в удовлетворении запроса допустим только при наличии законного основания (например, обязанность хранить данные по требованию закона) и должен быть мотивирован. Игнорирование запроса пользователя - самостоятельное нарушение, по которому пользователь вправе подать жалобу в PDPI. Практическое следствие: IT-компания должна иметь задокументированную процедуру обработки запросов субъектов данных, назначенное ответственное лицо и технический механизм для удаления или выгрузки данных конкретного пользователя по запросу. Отсутствие такого механизма в продукте - архитектурный риск, который сложнее и дороже устранять после запуска.
Грузинский закон о защите персональных данных создаёт реальные операционные обязательства для IT-компаний - от стартапов до зрелых платформ. Надзор PDPI становится более активным: количество внеплановых проверок по жалобам пользователей растёт. Для финтех-операторов и VASP требования дополнительно усложняются пересечением с регулированием NBG.
Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-операторов в Грузии по вопросам защиты персональных данных, комплаенса с требованиями PDPI и NBG, разработки документации и защиты при проверках. Мы можем помочь с аудитом текущего состояния комплаенса, разработкой пакета документов, сопровождением проверок PDPI и выстраиванием процедур для работы с запросами пользователей.
Чтобы получить чек-лист комплаенс-требований по защите персональных данных для IT-компаний и финтех-операторов в Грузии, отправьте запрос на info@interlawfirm.ru
Запускаете IT-продукт или финтех-сервис в Грузии и не уверены в соответствии требованиям по данным?Юристы Inter Law Firm проведут аудит текущего состояния комплаенса, подготовят необходимую документацию и выстроят процедуры работы с данными пользователей с учётом требований Закона о данных и регулирования NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 06 мая 2026 года