Защита персональных данных в Грузии регулируется Законом Грузии «О защите персональных данных» (საქართველოს კანონი პერსონალური მონაცემების დაცვის შესახებ), принятым в новой редакции в 2023 году и вступившим в силу в полном объёме с 1 марта 2024 года. Закон распространяется на любую компанию, обрабатывающую данные физических лиц на территории Грузии или в отношении резидентов Грузии - вне зависимости от юрисдикции регистрации. По состоянию на май 2026 года Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის სამსახური, PDPO) ведёт активную правоприменительную практику: число проверок в 2025 году выросло в два раза по сравнению с 2023 годом.
Для IT-компаний и финтех-сервисов в Грузии - включая VASP, PSP, необанки и SaaS-платформы - требования закона создают конкретные операционные обязательства: регистрация в реестре операторов, назначение ответственного лица (DPO), ограничения на трансграничную передачу данных, уведомление об инцидентах. Несоблюдение влечёт штрафы до 10 000 лари и риск приостановки деятельности по предписанию PDPO.
Статья разбирает: кто обязан соблюдать закон, какие конкретные требования предъявляются к IT и финтех-компаниям, как устроена трансграничная передача данных, какова ответственность и как выстроить compliance-систему в грузинской юрисдикции.
Кто обязан соблюдать закон о персональных данных в Грузии?
Закон Грузии о защите персональных данных распространяется на всех операторов (მონაცემთა დამმუშავებელი) - физических и юридических лиц, которые самостоятельно или совместно с другими определяют цели и средства обработки персональных данных. Для IT и финтех-компаний ключевой критерий - обработка данных пользователей, клиентов или сотрудников на территории Грузии или в отношении лиц, находящихся в Грузии. Экстерриториальный принцип означает: даже компания, зарегистрированная в другой юрисдикции, но обслуживающая грузинских пользователей, подпадает под действие закона.
Грузинское законодательство разграничивает два статуса: оператор данных (определяет цели обработки) и обработчик данных (действует по поручению оператора). Для финтех-сервисов это разграничение критично: платёжный агрегатор, обрабатывающий транзакционные данные по договору с банком, является обработчиком - но несёт самостоятельную ответственность за безопасность данных в рамках своего сегмента обработки.
Практика PDPO показывает, что под проверки чаще всего попадают три категории: мобильные приложения с базой пользователей от 5 000 человек, финтех-платформы с доступом к финансовым данным и компании, передающие данные за рубеж без надлежащего правового основания. Для VASP и PSP дополнительный регулятор - Национальный банк Грузии (NBG), который в рамках AML/KYC-требований устанавливает собственные стандарты хранения и защиты данных клиентов, совместимые с требованиями закона о персональных данных, но более детальные в части финансовой информации.
Частая ошибка основателей финтех-стартапов из СНГ - предположение, что Virtual Zone (VZ) статус освобождает от требований закона о персональных данных. Это не так: VZ даёт налоговые льготы (0% CIT и НДС на экспорт IT-услуг), но не освобождает от регуляторных обязательств в сфере данных. Компания с VZ-статусом, обрабатывающая данные грузинских пользователей, обязана соблюдать закон в полном объёме.
Чтобы получить чек-лист запуска compliance по персональным данным для финтех-стартапа в Грузии, отправьте запрос на info@interlawfirm.ru
Какие обязательства возникают у оператора данных по грузинскому закону?
Оператор персональных данных в Грузии обязан выполнить четыре ключевых требования: зарегистрироваться в реестре PDPO, назначить ответственное лицо (если обработка данных носит систематический и масштабный характер), разработать внутреннюю документацию и обеспечить технические меры защиты. Регистрация в реестре операторов осуществляется через портал PDPO и занимает до 10 рабочих дней; государственная пошлина не взимается.
Реестр операторов. Обязанность регистрации распространяется на операторов, обрабатывающих специальные категории данных (биометрия, финансовая информация, данные о здоровье) или данные в масштабе, который PDPO квалифицирует как «значительный». Для финтех-компаний с базой клиентов от 1 000 человек регистрация фактически обязательна - PDPO трактует финансовые данные как специальную категорию. Отсутствие регистрации при наличии обязанности - самостоятельное основание для штрафа.
Назначение DPO. Закон обязывает назначить ответственное лицо по защите данных (DPO - Data Protection Officer) в трёх случаях: систематическая масштабная обработка специальных категорий данных, систематический мониторинг поведения пользователей в масштабе, обработка данных государственными органами. Для большинства финтех-платформ и VASP первые два основания выполняются одновременно. DPO может быть штатным сотрудником или внешним специалистом; его контактные данные подлежат публикации и передаче в PDPO.
Документация. Оператор обязан вести реестр операций по обработке данных (аналог ROPA в GDPR), разработать политику конфиденциальности на грузинском языке (дополнительно - на языке обслуживания пользователей), утвердить процедуры реагирования на запросы субъектов данных. Субъект вправе запросить доступ к своим данным, их исправление или удаление; оператор обязан ответить в течение 10 рабочих дней.
Технические меры. Закон не устанавливает конкретный технический стандарт, но требует «соразмерных мер» с учётом характера данных и рисков. PDPO в методических рекомендациях ориентируется на стандарты ISO 27001 и SOC 2 как на ориентир достаточности. Для финтех-компаний, работающих с платёжными данными, дополнительно применяется стандарт PCI DSS - его соблюдение PDPO учитывает как смягчающее обстоятельство при проверках.
Что подготовить для прохождения проверки PDPO:
- Свидетельство о регистрации в реестре операторов PDPO
- Приказ о назначении DPO с указанием контактных данных
- Реестр операций по обработке данных (ROPA) с описанием целей, категорий данных и сроков хранения
- Политика конфиденциальности, опубликованная на сайте/в приложении
- Документация о технических мерах защиты (описание архитектуры, журналы доступа, результаты тестирования)
Компании из Тбилиси (зима 2024-2025) - SaaS-платформа с базой около 12 000 пользователей - помогли пройти плановую проверку PDPO без штрафных санкций. До обращения компания не имела назначенного DPO и вела неполный реестр операций. За три недели подготовили полный пакет документации, назначили внешнего DPO и зарегистрировали компанию в реестре операторов. Проверка завершилась выдачей рекомендаций без предписания.
Описанные требования - базовый уровень compliance. Конкретный объём обязательств зависит от архитектуры обработки данных, категорий пользователей и наличия трансграничной передачи. Ошибка в квалификации статуса (оператор vs обработчик) меняет весь периметр ответственности.
Запускаете финтех-сервис в Грузии и не уверены в объёме compliance-обязательств по данным?Если ваша платформа обрабатывает финансовые или биометрические данные пользователей - юристы Inter Law Firm проведут аудит текущей архитектуры обработки данных, определят статус оператора/обработчика, подготовят пакет документации для PDPO и организуют назначение DPO.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как работает трансграничная передача данных из Грузии?
Трансграничная передача персональных данных из Грузии допускается при наличии одного из трёх правовых оснований: страна-получатель признана PDPO «безопасной» юрисдикцией, передача осуществляется на основании стандартных договорных условий (SCC), утверждённых PDPO, либо субъект данных дал явное информированное согласие на передачу в конкретную страну. Для финтех-компаний, использующих облачную инфраструктуру за пределами Грузии (AWS, GCP, Azure с серверами в ЕС или США), трансграничная передача возникает автоматически при каждой операции с данными.
Список «безопасных» юрисдикций PDPO включает государства - члены ЕС, Великобританию, Норвегию, Исландию, Лихтенштейн, Израиль и ряд других стран с признанным адекватным уровнем защиты. Россия, Украина, Беларусь и большинство стран СНГ в этот список не входят - передача данных в эти юрисдикции требует отдельного правового основания. Для VASP и PSP, работающих с клиентами из СНГ и использующих серверы в этих странах, это создаёт прямой регуляторный риск.
Стандартные договорные условия (SCC) - наиболее практичный инструмент для финтех-компаний при передаче данных в юрисдикции, не признанные «безопасными». PDPO разработал типовые формы SCC, которые должны быть включены в договор с иностранным обработчиком данных. Использование собственных форм контрагента без адаптации к грузинским требованиям - распространённая ошибка, которую PDPO фиксирует при проверках.
В отличие от российского законодательства о локализации данных (статья 18 Федерального закона «О персональных данных» РФ), грузинский закон не требует хранить данные граждан Грузии исключительно на серверах в Грузии. Это существенное преимущество для финтех-компаний, использующих глобальную облачную инфраструктуру: достаточно обеспечить надлежащее правовое основание для передачи и соответствующую документацию.
Неочевидный риск для VASP: при передаче данных KYC-верификации (паспортные данные, биометрия) иностранному провайдеру верификации данные квалифицируются как специальная категория. Это означает повышенные требования к правовому основанию передачи и обязательное отражение в реестре операций. Ряд VASP использует провайдеров верификации из юрисдикций, не входящих в «безопасный» список PDPO, без оформления SCC - это прямое нарушение закона.
Какова ответственность за нарушение закона о персональных данных в Грузии?
Ответственность за нарушение закона о защите персональных данных в Грузии предусмотрена в административном и гражданско-правовом порядке. Административные штрафы PDPO составляют от 500 до 10 000 лари в зависимости от характера нарушения; повторное нарушение в течение года удваивает санкцию. Помимо штрафа, PDPO вправе выдать предписание об устранении нарушения, приостановить обработку данных или обратиться в суд с требованием о запрете деятельности.
Шкала санкций PDPO структурирована по степени тяжести нарушения. Нарушения формального характера (отсутствие регистрации в реестре, неназначение DPO, неполная документация) влекут штраф в диапазоне 500-2 000 лари. Нарушения, связанные с незаконной обработкой данных или ненадлежащей трансграничной передачей, - 2 000-5 000 лари. Нарушения, повлёкшие реальный ущерб субъектам данных или утечку данных без уведомления PDPO, - до 10 000 лари. Для финтех-компаний с оборотом в несколько миллионов лари сами штрафы не критичны - критично предписание о приостановке обработки данных, которое фактически означает остановку операционной деятельности.
Уведомление об инцидентах. При выявлении утечки или несанкционированного доступа к данным оператор обязан уведомить PDPO в течение 72 часов с момента обнаружения инцидента. Если инцидент создаёт высокий риск для прав субъектов данных - дополнительно уведомить самих субъектов без необоснованной задержки. Для финтех-компаний, обрабатывающих финансовые данные, практически любая утечка квалифицируется как высокорисковая. Нарушение 72-часового срока уведомления - самостоятельное основание для штрафа, независимо от факта утечки.
Гражданско-правовая ответственность возникает по иску субъекта данных о возмещении ущерба, причинённого незаконной обработкой. Грузинские суды в 2024-2025 годах начали формировать практику по таким делам; размеры присуждаемых компенсаций пока невелики (10 000-30 000 лари), но прецеденты созданы. Для VASP и PSP с большой базой пользователей массовый иск при утечке данных создаёт существенный финансовый риск.
Многие недооценивают риск, связанный с ответственностью директора компании. Грузинское законодательство допускает привлечение руководителя к личной административной ответственности за систематические нарушения в сфере персональных данных - отдельно от ответственности юридического лица. Это особенно актуально для иностранных директоров компаний в Грузии, которые нередко полагают, что регуляторные риски несёт только юридическое лицо.
Пропуск 72-часового срока уведомления PDPO об инциденте с данными влечёт штраф и создаёт презумпцию халатности при последующих гражданских исках субъектов данных. Для финтех-платформы с базой от 10 000 пользователей это означает потенциальные иски на сумму, многократно превышающую административный штраф.
Компании из Батуми (лето 2025) - PSP с лицензией NBG - помогли выстроить процедуру реагирования на инциденты после того, как регулятор запросил информацию о системе управления данными. Разработали внутренний регламент уведомления об инцидентах, шаблоны уведомлений для PDPO и пользователей, провели обучение команды. В течение двух месяцев после внедрения компания успешно прошла проверку NBG в части управления данными клиентов.
Чтобы получить чек-лист комплаенс-требований по защите персональных данных для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Штрафная шкала и сроки уведомления - это минимальный уровень знаний. Реальный риск для финтех-компании определяется архитектурой обработки данных, историей взаимодействия с PDPO и наличием инцидентов. Оценить риск до проверки дешевле, чем устранять последствия после.
NBG или PDPO запросили информацию о системе управления данными вашей компании?Если регулятор инициировал проверку или направил запрос - юристы Inter Law Firm проанализируют основания, подготовят ответ на запрос, выстроят процедуру уведомления об инцидентах и представят интересы компании в административном порядке.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Как выстроить compliance по персональным данным для IT и финтех в Грузии
Compliance по персональным данным для IT и финтех-компании в Грузии строится на трёх уровнях: правовая структура (регистрация, документация, DPO), технические меры (архитектура безопасности, шифрование, контроль доступа) и операционные процедуры (реагирование на запросы субъектов, уведомление об инцидентах, обучение персонала). Выстраивать систему эффективнее на этапе запуска продукта - ретрофит существующей архитектуры обходится в 3-5 раз дороже по трудозатратам.
Три сценария для разных типов финтех-бизнеса:
Сценарий 1: VASP / криптоплатформа. Обрабатывает KYC-данные (паспорт, биометрия, адрес), транзакционные данные, данные кошельков. Специальные категории данных - обязательная регистрация в реестре PDPO, назначение DPO, SCC для передачи данных провайдеру верификации. Дополнительно: требования NBG по хранению KYC-данных не менее 5 лет после окончания отношений с клиентом. Приоритет - выстроить процедуру уведомления об инцидентах до получения лицензии NBG.
Сценарий 2: SaaS-платформа с грузинскими корпоративными клиентами. Обрабатывает данные сотрудников клиентов (B2B). Статус - обработчик данных по отношению к клиентам-операторам. Ключевое требование: договор на обработку данных (DPA) с каждым клиентом, соответствующий требованиям грузинского закона. Без DPA клиент несёт ответственность за незаконную передачу данных обработчику, но и платформа рискует при проверке. Приоритет - стандартизированный DPA как часть пакета клиентских договоров.
Сценарий 3: Мобильное приложение с потребительской базой. Обрабатывает данные пользователей (имя, email, геолокация, поведенческие данные). Ключевые риски: согласие на обработку данных должно быть явным, отдельным от пользовательского соглашения, с возможностью отзыва. Использование данных для таргетированной рекламы без отдельного согласия - нарушение. Приоритет - механизм управления согласиями (consent management) в интерфейсе приложения.
Матрица решений: ситуация - инструмент - срок - затраты:
Запуск нового финтех-продукта без существующей compliance-системы: разработка полного пакета документации (политика конфиденциальности, ROPA, DPA, процедуры) + регистрация в PDPO + назначение внешнего DPO. Срок - 3-4 недели. Затраты на юридическое сопровождение - от 3 000-5 000 лари; внешний DPO - от 500-800 лари в месяц.
Аудит существующей системы перед проверкой PDPO: анализ текущей архитектуры обработки данных, выявление разрывов, план устранения. Срок - 1-2 недели. Затраты - от 1 500-2 500 лари.
Реагирование на инцидент с данными: подготовка уведомления для PDPO (72 часа), уведомление пользователей, взаимодействие с регулятором. Срок - немедленно. Затраты зависят от масштаба инцидента.
В отличие от GDPR, грузинский закон не предусматривает оборотных штрафов (процент от выручки) - максимальный административный штраф фиксирован на уровне 10 000 лари. Это существенное отличие от европейского регулирования, которое делает грузинскую юрисдикцию более предсказуемой для финтех-компаний с точки зрения регуляторного риска. Однако предписание о приостановке обработки данных по своим последствиям для бизнеса сопоставимо с оборотным штрафом.
Направления практики по теме
- IT-право и защита данных - compliance по персональным данным, DPO, документация для PDPO
- Финтех и регулирование - лицензирование NBG, VASP-регистрация, AML/KYC-требования
- Интеллектуальная собственность - защита IT-продуктов, регистрация товарных знаков в Грузии
Частые вопросы
1. Обязана ли IT-компания с Virtual Zone статусом соблюдать грузинский закон о персональных данных?
Компания с Virtual Zone статусом в Грузии обязана соблюдать закон о защите персональных данных в полном объёме, если обрабатывает данные физических лиц на территории Грузии или в отношении резидентов Грузии. Virtual Zone предоставляет налоговые льготы - нулевую ставку налога на прибыль и НДС при экспорте IT-услуг - на основании Закона Грузии «О свободных индустриальных зонах» и соответствующих норм Налогового кодекса. Однако налоговый режим не влияет на регуляторные обязательства в сфере персональных данных. Инспекция по защите персональных данных Грузии проверяет VZ-компании наравне с остальными операторами. Практическое следствие: IT-компания с VZ-статусом, обрабатывающая данные грузинских пользователей или сотрудников, обязана зарегистрироваться в реестре операторов PDPO, назначить DPO (при наличии оснований) и разработать полный пакет compliance-документации.
2. Какой штраф грозит за утечку данных без уведомления PDPO в Грузии?
За нарушение обязанности уведомить Инспекцию по защите персональных данных Грузии об инциденте с данными в течение 72 часов предусмотрен административный штраф до 5 000 лари за первичное нарушение и до 10 000 лари при повторном нарушении в течение одного года. Обязанность уведомления установлена статьёй 25 Закона Грузии о защите персональных данных. Помимо штрафа, PDPO вправе выдать предписание об устранении нарушений и приостановить обработку данных до их устранения. Для финтех-платформы приостановка обработки данных означает фактическую остановку операционной деятельности - транзакции, верификация клиентов и доступ к счетам становятся невозможными. Дополнительно возникает риск гражданских исков со стороны пострадавших пользователей о возмещении ущерба.
3. Нужен ли DPO финтех-стартапу в Грузии на ранней стадии?
Финтех-стартап в Грузии обязан назначить ответственное лицо по защите данных (DPO) при систематической масштабной обработке специальных категорий данных - к которым относятся финансовые данные и биометрия. Обязанность установлена статьёй 20 Закона Грузии о защите персональных данных. На практике это означает: VASP или PSP с базой клиентов от нескольких сотен человек, проходящих KYC-верификацию, формально обязан иметь DPO с момента начала обработки данных - а не с момента достижения определённого масштаба. DPO может быть внешним специалистом, что снижает затраты: стоимость услуг внешнего DPO в Грузии составляет от 500-800 лари в месяц. Отсутствие DPO при наличии обязанности - самостоятельное основание для штрафа PDPO в размере до 2 000 лари.
4. Как передавать данные KYC-верификации иностранному провайдеру из Грузии?
Передача данных KYC-верификации (паспортные данные, биометрия) иностранному провайдеру из Грузии требует одного из трёх правовых оснований: страна провайдера входит в список «безопасных» юрисдикций PDPO, между оператором и провайдером заключены стандартные договорные условия (SCC) по форме PDPO, либо получено явное согласие субъекта данных на передачу в конкретную страну. Перечень «безопасных» юрисдикций утверждён приказом PDPO и включает государства ЕС, Великобританию и ряд других стран. Россия, Украина и большинство стран СНГ в список не входят. Для провайдеров из этих юрисдикций обязательно заключение SCC по форме PDPO - использование собственных форм контрагента без адаптации к грузинским требованиям является нарушением. Биометрические данные квалифицируются как специальная категория, что повышает требования к документированию передачи.
5. Чем грузинский закон о персональных данных отличается от GDPR для финтех-компании?
Грузинский закон о защите персональных данных концептуально близок к GDPR, но имеет три существенных отличия для финтех-компаний. Первое: максимальный административный штраф в Грузии составляет 10 000 лари (около 3 500 USD), тогда как GDPR предусматривает оборотные штрафы до 4% годовой выручки - это делает грузинскую юрисдикцию значительно менее рискованной с точки зрения финансовых санкций. Второе: грузинский закон не содержит требования о локализации данных - хранение данных грузинских пользователей на серверах за рубежом допустимо при наличии надлежащего правового основания для трансграничной передачи. Третье: институт оценки воздействия на защиту данных (DPIA) в грузинском законе менее детально регламентирован, чем в GDPR, что снижает формальную нагрузку на операторов. При этом базовые принципы - законность обработки, минимизация данных, ограничение цели, права субъектов - совпадают, что упрощает адаптацию для компаний, уже имеющих GDPR-compliance.
Закон Грузии о защите персональных данных создаёт реальные операционные обязательства для IT и финтех-компаний - регистрация в реестре PDPO, назначение DPO, документирование обработки данных и соблюдение правил трансграничной передачи. Для VASP и PSP эти требования накладываются на регуляторные обязательства NBG, формируя многоуровневую compliance-систему. Выстроить её на этапе запуска дешевле и быстрее, чем устранять нарушения под давлением проверки.
Юридическая фирма Inter Law Firm сопровождает IT и финтех-компании в Грузии по вопросам защиты персональных данных, compliance с требованиями PDPO и NBG, трансграничной передачи данных и реагирования на инциденты. Мы можем помочь с аудитом текущей системы обработки данных, разработкой полного пакета compliance-документации, назначением внешнего DPO и представлением интересов при проверках регуляторов.
Чтобы получить чек-лист compliance-требований по персональным данным для IT и финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы выстроить compliance по персональным данным или столкнулись с запросом регулятора?Юристы Inter Law Firm проведут правовой анализ системы обработки данных вашей компании, подготовят документацию для PDPO и предложат стратегию с учётом грузинского законодательства и требований NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 2 мая 2026 года