Защита персональных данных в Грузии регулируется Законом Грузии «О защите персональных данных» (საქართველოს კანონი პერსონალური მონაცემების დაცვის შესახებ) в редакции 2023 года, который существенно расширил требования к операторам данных - прежде всего к IT-компаниям, финтех-сервисам, VASP и PSP. По состоянию на май 2026 года надзор осуществляет Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია), а максимальный штраф за нарушения достигает 20 000 лари для юридических лиц.
Для финтех-компаний, платёжных сервисов и VASP, работающих в Грузии, соблюдение законодательства о данных - не отдельная задача, а часть общего регуляторного комплаенса наряду с требованиями Национального банка Грузии (ეროვნული ბანკი, NBG) по AML/KYC. Статья разбирает: кто обязан соблюдать грузинский закон о данных, какие требования предъявляются к финтех-операторам, как выстроить комплаенс-структуру и что происходит при нарушениях.
Закон о защите персональных данных Грузии распространяется на любое лицо - физическое или юридическое, - которое обрабатывает персональные данные граждан Грузии или лиц, находящихся на территории страны, независимо от места регистрации компании. Это означает: если ваш финтех-сервис, VASP или PSP обслуживает пользователей в Грузии, грузинский закон применяется к вам даже при регистрации компании в другой юрисдикции.
Закон разграничивает два ключевых статуса. Оператор данных (მონაცემთა დამუშავების ოპერატორი) - лицо, которое самостоятельно определяет цели и способы обработки данных. Обработчик данных - лицо, которое обрабатывает данные по поручению оператора. Для финтех-компании, которая собирает KYC-данные клиентов напрямую, статус оператора возникает автоматически. Для технологического провайдера, обрабатывающего данные по договору с банком или PSP, - статус обработчика.
Практическое значение разграничения: оператор несёт полную ответственность перед регулятором и субъектом данных. Обработчик несёт ответственность только в части, предусмотренной договором с оператором и прямо указанной в законе (статья 5 Закона о персональных данных). Частая ошибка финтех-стартапов в Грузии - не фиксировать статус в договорах с технологическими партнёрами, что создаёт неопределённость ответственности при инцидентах.
В отличие от российского законодательства о персональных данных, грузинский закон не требует обязательной локализации данных на серверах внутри страны - трансграничная передача данных допустима при соблюдении условий, описанных ниже.
Чтобы получить чек-лист требований грузинского законодательства о персональных данных для финтех-стартапов и VASP, отправьте запрос на info@interlawfirm.ru
Грузинский закон о персональных данных устанавливает шесть принципов обработки данных, нарушение любого из которых является основанием для предписания регулятора или штрафа. Для финтех-компании и VASP наиболее критичны три из них: законность основания обработки, минимизация данных и ограничение срока хранения.
Законные основания обработки. Статья 6 Закона о персональных данных перечисляет основания: согласие субъекта, исполнение договора, выполнение правового обязательства, защита жизненно важных интересов, выполнение задачи в публичных интересах, законный интерес оператора. Для финтех-компании и VASP ключевое основание - исполнение договора (онбординг клиента, проведение транзакций) и выполнение правового обязательства (AML/KYC по требованиям NBG и Закона о противодействии отмыванию денег). Согласие как основание для финтех-данных применяется ограниченно - только для маркетинговых коммуникаций и необязательных функций сервиса.
Минимизация данных. Оператор вправе собирать только те данные, которые необходимы для конкретной цели. На практике это означает: если для верификации личности достаточно паспортных данных и селфи, сбор дополнительных биометрических параметров без отдельного обоснования нарушает принцип минимизации. Инспекция по защите персональных данных при проверках анализирует соответствие объёма собираемых данных заявленным целям обработки.
Сроки хранения. Закон не устанавливает единый срок хранения для всех категорий данных - он определяется целью обработки. Для финансовых данных в Грузии действует специальное правило: Закон о противодействии отмыванию денег и финансированию терроризма обязывает хранить KYC-документацию не менее пяти лет с момента завершения деловых отношений. По истечении этого срока данные подлежат уничтожению, если иное не предусмотрено законом.
Специальные категории данных. Биометрические данные, данные о состоянии здоровья, политических взглядах, религиозных убеждениях относятся к специальным категориям (статья 7 Закона). Их обработка допускается только при наличии явного согласия субъекта или в случаях, прямо предусмотренных законом. Для финтех-компаний, использующих биометрическую верификацию (распознавание лица, отпечаток пальца), это означает обязательное отдельное согласие на обработку биометрии - недостаточно включить её в общие условия использования сервиса.
Что подготовить для базового комплаенса по персональным данным:
Трансграничная передача персональных данных из Грузии в третьи страны допустима при выполнении одного из условий, установленных статьёй 22 Закона о персональных данных: страна-получатель обеспечивает адекватный уровень защиты данных, либо оператор применяет стандартные договорные условия, либо субъект данных дал явное согласие на передачу. Грузия не требует предварительного разрешения регулятора на каждую трансграничную передачу - достаточно соблюдения одного из перечисленных условий.
Список стран с адекватным уровнем защиты данных Инспекция по защите персональных данных публикует на официальном сайте. В него входят государства - члены ЕС, ряд других стран. Для передачи данных в страны, не включённые в список, финтех-компания обязана применять стандартные договорные условия (аналог SCC в европейской практике) или получить явное согласие субъекта.
Неочевидный риск для VASP и PSP: использование облачных провайдеров с серверами за пределами Грузии автоматически создаёт трансграничную передачу данных. Если договор с провайдером не содержит раздела об обработке данных с указанием стандартных договорных условий, это нарушение статьи 22 Закона. При проверке Инспекция запрашивает договоры с облачными провайдерами в первую очередь.
Компании из Тбилиси (зима 2025) - оператору платёжного сервиса - помогли привести договоры с тремя облачными провайдерами в соответствие с требованиями Закона о персональных данных. До обращения все три договора не содержали раздела об обработке данных. После структурирования договорной базы компания прошла проверку Инспекции без предписаний.
Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Описанные требования к трансграничной передаче данных применяются ко всем операторам независимо от размера компании. Однако конкретный набор договорных механизмов зависит от архитектуры сервиса, юрисдикций провайдеров и категорий передаваемых данных. Ошибка в выборе механизма на этапе заключения договора с провайдером обнаруживается только при проверке - и к тому моменту передача данных уже состоялась.
Используете облачных провайдеров или партнёров за пределами Грузии? Каждая передача данных - отдельное правовое основаниеЕсли ваш финтех-сервис, VASP или PSP передаёт данные пользователей в третьи страны через облачные сервисы или API-интеграции - юристы Inter Law Firm проведут аудит договорной базы, определят правовые основания для каждого потока данных и подготовят стандартные договорные условия в соответствии с грузинским законодательством.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Национальный банк Грузии устанавливает требования к обработке данных для поднадзорных субъектов - платёжных сервисов, VASP, микрофинансовых организаций - параллельно с общим законодательством о персональных данных. Эти требования содержатся в нормативных актах NBG и охватывают три блока: KYC-данные клиентов, данные транзакций и требования к информационной безопасности.
KYC-данные. Закон Грузии о противодействии отмыванию денег и финансированию терроризма (статья 9) обязывает поднадзорные субъекты идентифицировать клиентов и верифицировать их личность до начала деловых отношений. Объём собираемых KYC-данных определяется уровнем риска клиента: для клиентов с низким риском достаточно базовой идентификации, для клиентов с высоким риском требуется расширенная проверка (Enhanced Due Diligence). Хранить KYC-документацию необходимо не менее пяти лет.
Данные транзакций. NBG требует хранить записи о транзакциях в объёме, достаточном для восстановления полной цепочки операций при запросе регулятора или правоохранительных органов. Срок хранения - также не менее пяти лет. Для VASP это означает: данные о криптовалютных транзакциях, включая адреса кошельков, суммы и временные метки, должны храниться в структурированном виде с возможностью оперативного предоставления по запросу.
Информационная безопасность. Нормативные акты NBG для платёжных сервисов и VASP содержат требования к системам информационной безопасности: шифрование данных при хранении и передаче, контроль доступа, журналирование действий с данными, план реагирования на инциденты. Эти требования пересекаются с требованиями Закона о персональных данных об уведомлении регулятора при утечке данных (статья 26 Закона: уведомление Инспекции в течение 72 часов с момента обнаружения инцидента).
Три сценария для финтех-операторов в Грузии:
Сценарий 1: VASP на этапе регистрации. Компания подаёт заявку на регистрацию в NBG. На этом этапе регулятор запрашивает политику AML/KYC и описание системы обработки данных. Отсутствие задокументированной политики обработки персональных данных - основание для запроса дополнительных материалов и задержки регистрации.
Сценарий 2: PSP с действующей лицензией. Компания получила предписание NBG по результатам инспекции. Предписание касается несоответствия системы KYC требованиям расширенной проверки для клиентов с высоким риском. Срок устранения нарушений - 30 дней. Параллельно Инспекция по защите персональных данных вправе инициировать собственную проверку, если в ходе инспекции NBG выявлены нарушения в обработке данных.
Сценарий 3: Финтех-стартап с Virtual Zone. Компания получила статус Virtual Zone (VZ) через GITA и пользуется нулевой ставкой налога на прибыль с экспортной выручки. Статус VZ не освобождает от требований Закона о персональных данных и нормативов NBG, если компания оказывает финансовые услуги пользователям в Грузии. Разграничение: VZ-льгота распространяется на налоговый режим, а не на регуляторный комплаенс.
Инспекция по защите персональных данных Грузии вправе применять несколько видов санкций: предписание об устранении нарушений, административный штраф, приостановление обработки данных. Максимальный штраф для юридических лиц составляет 20 000 лари по статье 43 Закона о персональных данных. Для физических лиц - до 2 000 лари. Штрафы суммируются при наличии нескольких нарушений.
Матрица решений по типичным нарушениям:
Отсутствие правового основания для обработки данных - предписание + штраф до 5 000 лари при первом нарушении. При повторном - до 20 000 лари. Инспекция вправе обязать оператора уничтожить незаконно обработанные данные.
Нарушение требований к трансграничной передаче данных - предписание с требованием привести договоры в соответствие. Срок исполнения предписания - как правило, 30 дней. При неисполнении - штраф и возможное приостановление передачи данных.
Непредоставление субъекту данных информации о правах - штраф до 3 000 лари. Субъект данных вправе обратиться в Инспекцию с жалобой напрямую, без предварительного обращения к оператору.
Неуведомление Инспекции об утечке данных в течение 72 часов - штраф до 10 000 лари. Это наиболее чувствительный риск для финтех-компаний: при инциденте информационной безопасности счёт идёт на часы.
Неочевидный риск для VASP и PSP: нарушение законодательства о персональных данных может стать основанием для дополнительной проверки со стороны NBG. Регуляторы обмениваются информацией, и предписание Инспекции по защите персональных данных попадает в поле зрения NBG при очередной инспекции поднадзорного субъекта.
Компании из Кутаиси (лето 2024) - оператору микрофинансовой организации - помогли оспорить предписание Инспекции по защите персональных данных. Инспекция квалифицировала обработку данных о транзакциях клиентов как нарушение принципа минимизации. После подготовки правовой позиции с обоснованием необходимости обработки в рамках AML-обязательств предписание было отменено в административном порядке без обращения в суд.
Нарушение законодательства о персональных данных редко остаётся изолированным событием. Для финтех-компании оно запускает цепочку: предписание регулятора - проверка NBG - репутационные последствия - отток клиентов. Устранить нарушение после начала проверки сложнее, чем выстроить комплаенс заблаговременно.
NBG запросил документы или Инспекция инициировала проверку? Сроки на реагирование ограниченыЕсли ваш финтех-сервис, VASP или PSP получил запрос от Инспекции по защите персональных данных или предписание NBG - юристы Inter Law Firm проанализируют основания проверки, подготовят правовую позицию и представят интересы в административном порядке. При необходимости - оспорим предписание в суде.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Комплаенс по персональным данным для финтех-компании в Грузии строится на трёх уровнях: документационный (политики и процедуры), договорный (отношения с обработчиками и партнёрами) и операционный (технические меры защиты и процедуры реагирования). Отсутствие любого из уровней создаёт уязвимость при проверке.
Документационный уровень. Закон о персональных данных не требует обязательного назначения ответственного за защиту данных (аналог DPO в европейской практике) для всех операторов. Однако для крупных операторов и операторов, обрабатывающих специальные категории данных, назначение ответственного лица - рекомендуемая практика, снижающая регуляторный риск. Обязательные документы: политика конфиденциальности, реестр операций по обработке данных, процедура реагирования на запросы субъектов, процедура уведомления при инцидентах.
Договорный уровень. Каждый договор с технологическим партнёром, облачным провайдером или агентом, который получает доступ к персональным данным клиентов, должен содержать раздел об обработке данных. Минимальное содержание раздела: цели обработки, категории данных, срок обработки, обязательства по безопасности, порядок уничтожения данных по окончании договора. Без этого раздела оператор несёт ответственность за действия обработчика в полном объёме.
Операционный уровень. Технические меры защиты данных для финтех-компании включают: шифрование данных при хранении и передаче, ролевой контроль доступа к данным клиентов, журналирование всех операций с данными, регулярное тестирование систем безопасности. Закон не устанавливает конкретные технические стандарты - оператор обязан применять меры, соответствующие уровню риска обработки.
Сравнение с российским законодательством о персональных данных: в России Федеральный закон № 152-ФЗ требует обязательной локализации персональных данных российских граждан на серверах в РФ (статья 18.1). В Грузии аналогичного требования нет - трансграничная передача данных допустима при соблюдении условий статьи 22 Закона. Это существенное преимущество для финтех-компаний, использующих международную облачную инфраструктуру.
Экономика комплаенса: выстраивание базовой документационной и договорной базы по персональным данным для финтех-компании в Грузии - разовые затраты в диапазоне 3 000-8 000 лари в зависимости от сложности архитектуры сервиса. Штраф за нарушения - до 20 000 лари за каждое. Задержка регистрации в NBG из-за неготовности комплаенс-документации - упущенный рынок, который измеряется не в лари.
Направления практики по теме
Иностранная IT-компания обязана соблюдать грузинский Закон о защите персональных данных, если она обрабатывает данные лиц, находящихся на территории Грузии, независимо от места своей регистрации. Это прямо следует из статьи 3 Закона, которая устанавливает территориальный принцип применения. На практике это означает: если ваш сервис доступен пользователям в Грузии и вы собираете их данные при регистрации, оплате или использовании функций - вы являетесь оператором данных по грузинскому праву. Инспекция по защите персональных данных вправе инициировать проверку и направить предписание иностранному оператору. Штраф для юридических лиц - до 20 000 лари. Для минимизации риска иностранные компании, работающие с грузинскими пользователями, должны разработать политику конфиденциальности в соответствии с грузинским законодательством и назначить контактное лицо для взаимодействия с регулятором.
Оператор данных в Грузии обязан уведомить Инспекцию по защите персональных данных об утечке в течение 72 часов с момента обнаружения инцидента - это требование статьи 26 Закона о персональных данных. Если утечка создаёт высокий риск для прав субъектов данных, оператор обязан также уведомить самих субъектов без необоснованной задержки. Уведомление Инспекции должно содержать: описание инцидента, категории и примерное количество затронутых субъектов, меры, принятые для устранения последствий. Для финтех-компании 72-часовое окно - критически короткий срок: без заранее разработанной процедуры реагирования на инциденты компания рискует нарушить требование об уведомлении даже при добросовестном намерении его соблюсти. Штраф за нарушение срока уведомления - до 10 000 лари.
Биометрические данные относятся к специальным категориям персональных данных по статье 7 Закона о персональных данных Грузии, и их обработка требует явного отдельного согласия субъекта - включение биометрии в общие условия использования сервиса недостаточно. Для финтех-компаний и VASP, использующих распознавание лица или отпечатка пальца при верификации клиента, это означает: форма согласия на биометрическую верификацию должна быть отдельным документом или отдельным экраном в онбординг-флоу с явным подтверждением пользователя. Исключение - если обработка биометрии прямо предусмотрена законом (например, в рамках обязательной идентификации по требованию NBG). В этом случае согласие не требуется, но оператор обязан уведомить субъекта об обработке и её основаниях. Нарушение требований к специальным категориям данных влечёт штраф до 20 000 лари и предписание об уничтожении незаконно обработанных данных.
Требования Национального банка Грузии по AML/KYC и Закон о персональных данных действуют параллельно и не исключают друг друга - поднадзорный субъект обязан соблюдать оба регуляторных режима одновременно. Закон о противодействии отмыванию денег обязывает финтех-компании и VASP собирать и хранить KYC-данные клиентов не менее пяти лет. Закон о персональных данных требует, чтобы эта обработка имела законное основание (выполнение правового обязательства по статье 6 Закона) и не выходила за пределы необходимого. На практике это означает: AML-обязательство является законным основанием для сбора KYC-данных, но не даёт права использовать эти данные для других целей - например, для маркетинга или профилирования - без отдельного согласия субъекта. Нарушение принципа ограничения цели обработки - одно из наиболее частых нарушений, выявляемых Инспекцией при проверках финтех-компаний в Грузии.
Статус Virtual Zone (VZ) в Грузии предоставляется IT-компаниям через GITA (Агентство инноваций и технологий Грузии) и даёт право на нулевую ставку налога на прибыль с выручки от экспорта IT-услуг и нулевой НДС. Статус VZ является налоговым режимом и не влияет на регуляторные обязательства компании в части персональных данных. Если VZ-компания обрабатывает данные пользователей в Грузии или оказывает финансовые услуги - она в полной мере подпадает под действие Закона о персональных данных и, при наличии лицензии NBG, под требования AML/KYC. Срок рассмотрения заявки на статус VZ через GITA составляет около 10 рабочих дней. Получение статуса VZ не заменяет и не отменяет необходимость разработки комплаенс-документации по персональным данным - это параллельные процессы.
Законодательство Грузии о персональных данных создаёт для финтех-компаний и VASP комплексную регуляторную среду: общий закон о данных плюс отраслевые требования NBG по AML/KYC. Соблюдение обоих режимов - не выбор, а условие работы на грузинском рынке. Компании, выстраивающие комплаенс на старте, тратят в разы меньше, чем те, кто устраняет нарушения под давлением регулятора.
Юридическая фирма Inter Law Firm сопровождает IT-компании, VASP, PSP и финтех-стартапы в Грузии по вопросам защиты персональных данных, регуляторного комплаенса и взаимодействия с Инспекцией по защите персональных данных и NBG. Мы можем помочь с разработкой политики конфиденциальности, аудитом договорной базы с обработчиками данных, подготовкой к проверкам регуляторов и оспариванием предписаний в административном и судебном порядке.
Чтобы получить чек-лист комплаенс-требований по персональным данным для IT-компаний и финтех-сервисов в Грузии, отправьте запрос на info@interlawfirm.ru
Планируете запуск финтех-сервиса или VASP в Грузии? Комплаенс по данным - часть регуляторного пакета, а не отдельная задачаЮристы Inter Law Firm проведут правовой анализ вашей архитектуры обработки данных, разработают необходимую документацию и подготовят компанию к взаимодействию с Инспекцией по защите персональных данных и NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 2 мая 2026 года