Аналитика
2026-05-09 00:00 it

Защита персональных данных в Грузии: практика для IT-компаний и финтех-операторов

Защита персональных данных в Грузии (პერსონალური მონაცემების დაცვა) регулируется Законом Грузии о защите персональных данных (2011 года, с существенными поправками 2023 года) и контролируется Инспекцией по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია, PDPO). По состоянию на май 2026 года закон распространяется на любого оператора, обрабатывающего данные физических лиц на территории Грузии, - включая IT-компании со статусом Virtual Zone и финтех-операторов под надзором Национального банка Грузии. Средний штраф по итогам проверки PDPO в 2024-2025 годах составил от 1 000 до 5 000 лари за нарушение, а приостановка обработки данных может парализовать продукт на срок до 30 дней.

Статья разбирает: кто обязан соблюдать грузинский закон о данных, какие требования предъявляются к IT-компаниям и финтех-операторам, как проходят проверки PDPO, какова ответственность и как выстроить комплаенс без избыточных затрат.

Кто обязан соблюдать грузинское законодательство о персональных данных?

Грузинский Закон о защите персональных данных распространяется на любое физическое или юридическое лицо, которое обрабатывает персональные данные граждан или резидентов Грузии, независимо от места регистрации компании. Статья 3 закона определяет «обработку» широко: сбор, хранение, изменение, передача, удаление - каждое из этих действий требует правового основания.

Для IT-компаний и финтех-операторов в Грузии это означает следующее. Компания со статусом Virtual Zone (VZ), оказывающая услуги иностранным клиентам, формально обрабатывает данные грузинских сотрудников и подрядчиков - и уже по этому основанию подпадает под закон. Финтех-оператор, работающий с грузинскими пользователями через мобильное приложение, обязан соблюдать требования закона в полном объёме: от получения согласия до уведомления об утечке.

Частая ошибка операторов из СНГ - предположение, что грузинский закон о данных «мягче» российского или европейского GDPR и не требует серьёзного внимания. На практике PDPO с 2023 года последовательно увеличивает число плановых и внеплановых проверок: в 2024 году их количество выросло на 40% по сравнению с 2022-м. Неочевидный риск - экстерриториальный охват: если ваш продукт собирает данные грузинских пользователей через веб-интерфейс, даже при отсутствии юридического лица в Грузии PDPO вправе инициировать расследование.

Чек-лист «что подготовить» для первичной оценки охвата:

  • Составить реестр всех категорий персональных данных, которые компания собирает и обрабатывает
  • Определить правовое основание для каждой категории обработки (согласие, договор, законный интерес)
  • Проверить, есть ли среди субъектов данных граждане или резиденты Грузии
  • Оценить, передаются ли данные третьим лицам - обработчикам или партнёрам
  • Проверить наличие политики конфиденциальности на грузинском языке (если продукт ориентирован на грузинских пользователей)

Чтобы получить чек-лист запуска комплаенса по персональным данным для IT-стартапа или финтех-оператора в Грузии, отправьте запрос на info@interlawfirm.ru

Какие требования предъявляет грузинский закон к операторам данных?

Грузинский Закон о защите персональных данных устанавливает шесть ключевых обязанностей оператора: наличие правового основания обработки (статья 5), информирование субъекта данных (статья 11), обеспечение безопасности данных (статья 18), соблюдение сроков хранения (статья 16), уведомление PDPO об утечке в течение 72 часов (статья 18-1, введена поправками 2023 года) и заключение договора с обработчиком данных (статья 19). Нарушение любого из этих требований - самостоятельное основание для санкций.

Правовые основания обработки. Закон признаёт несколько оснований: согласие субъекта, исполнение договора, законный интерес оператора, выполнение правовой обязанности. Для финтех-операторов, работающих с платёжными данными, согласие - не единственный и зачастую не лучший вариант: исполнение договора (статья 5, пункт «б») надёжнее, поскольку не требует отдельного механизма отзыва. Согласие должно быть конкретным, информированным и добровольным - предустановленные галочки в форме регистрации не соответствуют требованиям закона.

Уведомление об утечке. Поправки 2023 года ввели обязательное уведомление PDPO в течение 72 часов с момента обнаружения утечки, затрагивающей персональные данные. Если утечка создаёт высокий риск для субъектов - уведомить нужно и самих пользователей. Для финтех-компании, обрабатывающей платёжные данные, это требование критично: промедление влечёт штраф и репутационные потери.

Договор с обработчиком данных. Если IT-компания передаёт данные субподрядчику - облачному провайдеру, аналитическому сервису, колл-центру - требуется письменный договор с перечнем обязательных условий (статья 19): цель обработки, категории данных, меры безопасности, запрет на субпередачу без согласия оператора. Отсутствие такого договора - одно из наиболее частых нарушений, выявляемых PDPO при проверках.

В отличие от российского законодательства о персональных данных, грузинский закон не требует обязательной локализации данных на серверах в Грузии. Трансграничная передача данных допустима в страны с «адекватным» уровнем защиты (перечень утверждается PDPO) или при наличии стандартных договорных условий. Это существенное преимущество для IT-компаний, использующих международную облачную инфраструктуру.

Компании из Тбилиси (зима 2024-2025) помогли выстроить договорную базу с тремя субподрядчиками-обработчиками данных после внеплановой проверки PDPO. Инспекция выявила отсутствие договоров с облачным провайдером и аналитическим сервисом. Подготовка и согласование договоров заняли 10 рабочих дней; штраф за нарушение был снижен с максимального до минимального уровня благодаря оперативному устранению нарушений.

Компании, которая не уведомила PDPO об утечке данных в установленный срок, грозит штраф до 5 000 лари и предписание приостановить обработку на срок до 30 дней. Для финтех-оператора приостановка обработки - это фактическая остановка продукта. Выстроить процедуру реагирования на инциденты нужно до первой утечки, а не после.

Конкретная ситуация зависит от архитектуры продукта, категорий данных и структуры передачи данных третьим лицам. Стандартная политика конфиденциальности, скопированная с другого сайта, не закрывает реальные риски.

Получили запрос от PDPO или готовитесь к проверке?Если Инспекция по защите персональных данных направила запрос или уведомление о проверке - юристы Inter Law Firm проанализируют основания, подготовят ответ и сопроводят процедуру. Для финтех-операторов под надзором NBG также проверим соответствие требованиям по AML/KYC в части обработки данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как проходят проверки PDPO и каковы права оператора данных?

Инспекция по защите персональных данных Грузии проводит плановые проверки (на основании ежегодного плана, публикуемого на сайте инспекции) и внеплановые - по жалобам субъектов данных или по собственной инициативе при наличии признаков нарушения. Срок плановой проверки - до 30 рабочих дней; внеплановой - до 15 рабочих дней с возможностью продления. Оператор вправе ознакомиться с основаниями проверки и представить возражения на акт.

Что проверяет PDPO. В ходе проверки инспекция запрашивает: реестр операций по обработке данных, образцы форм согласия, политику конфиденциальности, договоры с обработчиками, документацию по мерам безопасности (технические и организационные меры), журналы доступа к данным. Для финтех-операторов дополнительно проверяется соответствие требованиям по идентификации клиентов (KYC) в части обработки персональных данных.

Права оператора в ходе проверки. Оператор вправе: присутствовать при проверке, давать пояснения, представлять документы в установленный срок, обжаловать предписание в административном порядке (в самой PDPO) или в суде. Срок обжалования предписания PDPO - 10 рабочих дней с момента получения. Пропуск этого срока лишает оператора права на административное обжалование - остаётся только судебный порядок, который значительно дороже и длиннее.

Санкции. Закон предусматривает: предупреждение, штраф от 500 до 5 000 лари, предписание об устранении нарушений, приостановку обработки данных. Для повторных нарушений штраф удваивается. Уголовная ответственность наступает при незаконном сборе или распространении данных, повлёкшем существенный вред (статья 157-1 Уголовного кодекса Грузии).

Неочевидный риск для IT-компаний со статусом Virtual Zone: налоговые льготы VZ не освобождают от требований закона о персональных данных. PDPO и Revenue Service - разные органы с разными полномочиями. Получение статуса VZ через GITA не означает автоматического соответствия требованиям PDPO.

Трансграничная передача данных: что разрешено грузинским законом?

Грузинский Закон о защите персональных данных допускает трансграничную передачу данных в страны, обеспечивающие «адекватный» уровень защиты, - перечень таких стран утверждается PDPO. В страны, не включённые в перечень, передача возможна при наличии стандартных договорных условий (аналог SCCs в европейском праве), явного согласия субъекта данных или в рамках исполнения договора с субъектом. Нарушение требований трансграничной передачи - отдельное основание для штрафа.

Для IT-компаний, использующих облачную инфраструктуру AWS, Google Cloud или Azure, это означает необходимость проверить: входит ли страна размещения серверов в перечень «адекватных» юрисдикций PDPO, и если нет - заключить стандартные договорные условия с провайдером. На практике большинство крупных облачных провайдеров предоставляют стандартные DPA (Data Processing Agreement) по запросу - задача оператора состоит в том, чтобы этот запрос сделать и зафиксировать документально.

Финтех-операторы, передающие данные транзакций международным платёжным системам, дополнительно должны учитывать требования Национального банка Грузии по защите платёжных данных - они накладываются на требования закона о персональных данных и в ряде случаев устанавливают более строгие стандарты.

Компании из Батуми (лето 2025) помогли структурировать трансграничную передачу данных пользователей в три юрисдикции: ЕС, ОАЭ и Сингапур. Для ЕС использовались стандартные договорные условия; для ОАЭ и Сингапура - согласие субъектов с расширенным информированием. Процедура заняла около трёх недель и позволила избежать предписания PDPO по итогам плановой проверки.

Чтобы получить чек-лист требований PDPO для трансграничной передачи данных финтех-оператором в Грузии, отправьте запрос на info@interlawfirm.ru

Описанный порядок - общий. Конкретный маршрут передачи данных, категории субъектов и архитектура продукта определяют, какой механизм легализации передачи оптимален. Ошибка в выборе механизма выявляется при проверке - и к тому моменту исправить её без санкций уже сложно.

Планируете финтех-продукт в Грузии или масштабируете существующий?Если ваш продукт обрабатывает данные грузинских пользователей или передаёт данные за рубеж - юристы Inter Law Firm проведут аудит соответствия требованиям PDPO, подготовят политику конфиденциальности, договоры с обработчиками и процедуру реагирования на инциденты. Для операторов под надзором NBG - также проверим соответствие требованиям по платёжным данным.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Комплаенс по персональным данным для IT-компаний: стратегия и экономика

Выстроить комплаенс по персональным данным в Грузии можно в два этапа: базовый (устраняет критические риски) и расширенный (обеспечивает устойчивость при проверке). Базовый этап занимает 2-4 недели и включает разработку политики конфиденциальности, реестра операций обработки и договоров с обработчиками. Расширенный - ещё 4-8 недель: аудит технических мер безопасности, процедура реагирования на инциденты, обучение сотрудников.

Три сценария для разных типов операторов.

Сценарий 1: IT-стартап со статусом Virtual Zone. Основные риски - обработка данных грузинских сотрудников и подрядчиков, использование международных облачных сервисов без DPA. Приоритет: реестр операций обработки, договоры с обработчиками, политика конфиденциальности для сотрудников. Затраты на базовый комплаенс - от 3 000 до 6 000 лари (юридические услуги + внутренние ресурсы).

Сценарий 2: Финтех-оператор с лицензией NBG. Дополнительно к базовым требованиям - соответствие требованиям NBG по защите платёжных данных, процедура KYC в части обработки данных, уведомление об утечке в двух режимах (PDPO и NBG). Приоритет: процедура реагирования на инциденты, аудит KYC-процессов. Затраты на расширенный комплаенс - от 8 000 до 15 000 лари.

Сценарий 3: Международная IT-компания с грузинским офисом. Основной риск - конфликт между требованиями GDPR (если компания работает с европейскими пользователями) и грузинского закона. На практике грузинский закон менее строг, чем GDPR, поэтому GDPR-комплаенс обычно перекрывает грузинские требования - но не полностью: уведомление PDPO об утечке и договоры с обработчиками по грузинскому праву нужны отдельно.

Матрица решений: ситуация - инструмент - срок - затраты - риски.

Нет политики конфиденциальности: разработать с нуля или адаптировать существующую - срок 5-10 рабочих дней - от 1 500 лари - риск предупреждения при первой проверке.

Нет договоров с обработчиками: заключить DPA с каждым субподрядчиком - срок 10-15 рабочих дней - от 2 000 лари - риск штрафа до 5 000 лари при проверке.

Утечка данных без уведомления PDPO: подготовить уведомление и направить в течение 72 часов - срок критический - риск штрафа и приостановки обработки.

Предписание PDPO: обжаловать в административном порядке в течение 10 рабочих дней - срок жёсткий - риск потери права на административное обжалование.

Направления практики по теме

Частые вопросы

1. Обязана ли IT-компания со статусом Virtual Zone в Грузии соблюдать закон о персональных данных?

Да, IT-компания со статусом Virtual Zone обязана соблюдать Закон Грузии о защите персональных данных в полном объёме. Статус Virtual Zone, выдаваемый GITA на основании Закона об информационных технологиях, предоставляет налоговые льготы (нулевая ставка налога на прибыль и НДС на экспорт IT-услуг), но не освобождает от требований законодательства о персональных данных. Инспекция по защите персональных данных и GITA - разные органы с разными полномочиями. Компания, обрабатывающая данные грузинских сотрудников или подрядчиков, является оператором персональных данных по статье 3 закона и обязана выполнять все требования: вести реестр операций обработки, заключать договоры с обработчиками, уведомлять PDPO об утечках в течение 72 часов. Нарушение влечёт штраф от 500 до 5 000 лари и предписание об устранении нарушений независимо от налогового статуса компании.

2. Каков срок уведомления PDPO об утечке персональных данных и что происходит при его нарушении?

Срок уведомления Инспекции по защите персональных данных Грузии об утечке составляет 72 часа с момента обнаружения инцидента - это требование введено поправками 2023 года к Закону о защите персональных данных (статья 18-1). Если утечка создаёт высокий риск для субъектов данных, оператор обязан также уведомить самих пользователей без необоснованной задержки. Нарушение 72-часового срока является самостоятельным основанием для штрафа - до 5 000 лари - и предписания о приостановке обработки данных на срок до 30 дней. Для финтех-оператора под надзором Национального банка Грузии параллельно действует обязанность уведомить NBG в соответствии с требованиями банковского регулирования. Отсутствие внутренней процедуры реагирования на инциденты - наиболее частая причина нарушения 72-часового срока: к моменту обнаружения утечки компания тратит время на согласование внутри, а не на подготовку уведомления.

3. Нужно ли согласие пользователя для обработки его данных в финтех-приложении?

Согласие пользователя - лишь одно из нескольких правовых оснований обработки персональных данных по статье 5 Закона Грузии о защите персональных данных. Для финтех-оператора, обрабатывающего данные в рамках платёжного договора или договора на открытие счёта, более надёжным основанием является исполнение договора с субъектом данных - оно не требует отдельного механизма отзыва согласия и устойчивее при проверке PDPO. Согласие необходимо для обработки данных, выходящей за рамки договора: маркетинговые рассылки, профилирование, передача данных партнёрам для их собственных целей. Согласие должно быть конкретным (отдельно для каждой цели), информированным и добровольным - предустановленные галочки в форме регистрации не соответствуют требованиям закона. Нарушение требований к согласию выявляется при проверке PDPO и влечёт предписание о прекращении незаконной обработки и штраф.

4. Как грузинский закон о персональных данных отличается от российского 152-ФЗ?

Грузинский Закон о защите персональных данных не требует обязательной локализации данных на серверах в Грузии - в отличие от российского Федерального закона 152-ФЗ, который с 2015 года обязывает хранить данные российских граждан на территории России. Трансграничная передача данных из Грузии допустима в страны с «адекватным» уровнем защиты или при наличии стандартных договорных условий. Это принципиальное отличие делает Грузию удобной юрисдикцией для IT-компаний, использующих международную облачную инфраструктуру. Вместе с тем грузинский закон с 2023 года ввёл 72-часовое уведомление об утечке - требование, аналогичное европейскому GDPR, но отсутствующее в российском законодательстве в такой жёсткой форме. Штрафы по грузинскому закону существенно ниже европейских (максимум 5 000 лари против 20 млн евро по GDPR), однако приостановка обработки данных как санкция - реальный инструмент, применяемый PDPO.

5. Что происходит, если субъект данных подаёт жалобу в PDPO на IT-компанию?

Жалоба субъекта данных в Инспекцию по защите персональных данных Грузии является основанием для внеплановой проверки оператора - PDPO обязана рассмотреть жалобу в течение 30 рабочих дней. В ходе проверки инспекция запрашивает документацию: правовое основание обработки, политику конфиденциальности, договоры с обработчиками, журналы доступа. Если нарушение подтверждается, PDPO вправе вынести предписание об устранении нарушений, наложить штраф от 500 до 5 000 лари и обязать оператора уведомить субъекта данных об итогах проверки. Оператор вправе обжаловать предписание в административном порядке в течение 10 рабочих дней или в суде. Наиболее частые основания жалоб - отказ в удалении данных по запросу субъекта (право на забвение по статье 14 закона) и получение нежелательных маркетинговых рассылок без согласия. Для IT-компании наличие задокументированной процедуры обработки запросов субъектов данных снижает риск санкций даже при поступлении жалобы.

Грузинское законодательство о персональных данных создаёт реальные обязательства для IT-компаний и финтех-операторов - независимо от налогового статуса и места регистрации. Базовый комплаенс закрывает критические риски за 2-4 недели; отсутствие документации при проверке PDPO обходится дороже, чем её подготовка.

Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-операторов в Грузии по вопросам защиты персональных данных: от разработки политики конфиденциальности и договоров с обработчиками до представления интересов при проверках PDPO. Мы можем помочь с аудитом соответствия требованиям закона, подготовкой документации и выстраиванием процедуры реагирования на инциденты.

Чтобы получить чек-лист комплаенса по персональным данным для IT-компании или финтех-оператора в Грузии, отправьте запрос на info@interlawfirm.ru

Готовы выстроить комплаенс по данным или разобраться с требованиями PDPO?Расскажите о вашей ситуации - юристы Inter Law Firm проведут правовой анализ и предложат стратегию с учётом грузинского законодательства о персональных данных и требований NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 9 мая 2026 года