Аналитика
it

Защита персональных данных в Грузии: требования к IT-компаниям и VASP

Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - Закон о данных) устанавливает обязательные требования к любой организации, которая собирает, хранит или обрабатывает данные физических лиц на территории Грузии. По состоянию на май 2026 года надзор осуществляет Инспектор по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი, далее - Инспектор), а максимальный штраф за нарушение достигает 20 000 лари для юридических лиц.

Для IT-компаний и VASP (провайдеров услуг виртуальных активов) тема особенно острая: бизнес-модель строится на обработке пользовательских данных, KYC-верификации и трансграничной передаче информации. Ошибки в комплаенсе обходятся дороже, чем выстроенная с нуля система защиты данных.

Статья разбирает: кто обязан соблюдать Закон о данных в Грузии, какие конкретные требования предъявляются к IT-компаниям и VASP, как устроена трансграничная передача данных, какова ответственность и как выстроить работающую систему комплаенса.

Кто подпадает под грузинский Закон о защите персональных данных?

Закон о данных Грузии распространяется на любого оператора (მონაცემთა დამმუშავებელი) - физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Территориальный критерий: обработка данных на территории Грузии или обработка данных грузинских резидентов, даже если оператор зарегистрирован за рубежом. Это означает, что иностранная IT-компания с грузинскими пользователями обязана соблюдать Закон о данных - вне зависимости от юрисдикции регистрации.

Персональные данные по грузинскому праву - любая информация, которая прямо или косвенно идентифицирует физическое лицо. Это охватывает: имя и контактные данные, IP-адреса, cookie-идентификаторы, данные геолокации, поведенческие паттерны на платформе, биометрические данные. Для VASP в этот перечень добавляются адреса криптокошельков, история транзакций и KYC-документы - всё это квалифицируется как персональные данные, подлежащие защите по статье 2 Закона о данных.

Закон выделяет особую категорию - чувствительные данные (სენსიტიური მონაცემები): биометрия, данные о здоровье, расовая и этническая принадлежность, политические взгляды, религиозные убеждения. Для IT-компаний, использующих биометрическую верификацию (liveness check, Face ID), это критически важно: обработка чувствительных данных требует явного письменного согласия субъекта или иного специального основания по статье 6 Закона о данных.

Частая ошибка IT-стартапов, переезжающих в Грузию из России или Украины: они считают, что грузинское законодательство о данных - это «мягкая» версия GDPR без реальных последствий. На практике Инспектор по защите данных проводит плановые и внеплановые проверки, а число расследований по жалобам пользователей ежегодно растёт.

Чтобы получить чек-лист запуска системы защиты персональных данных для IT-компании в Грузии, отправьте запрос на info@interlawfirm.ru

Какие конкретные обязательства возникают у IT-компании в Грузии?

IT-компания, работающая в Грузии, обязана выполнить шесть базовых требований Закона о данных: определить правовое основание обработки, уведомить Инспектора о регистрации, разработать политику конфиденциальности, обеспечить права субъектов данных, соблюдать сроки хранения и выполнить требования к безопасности. Нарушение любого из этих требований является самостоятельным основанием для административной ответственности по статье 45 Закона о данных.

Правовые основания обработки. Закон о данных предусматривает исчерпывающий перечень оснований: согласие субъекта, исполнение договора, законный интерес оператора, выполнение правовой обязанности. Для большинства IT-продуктов основным основанием служит согласие пользователя или исполнение договора. Согласие должно быть свободным, конкретным, информированным и однозначным - предустановленные галочки в форме регистрации не соответствуют этому стандарту.

Уведомление Инспектора. Операторы, обрабатывающие данные в автоматизированном режиме, обязаны уведомить Инспектора до начала обработки. Уведомление подаётся в электронном виде через портал Инспектора. Для компаний, обрабатывающих чувствительные данные или данные в особо крупном масштабе, предусмотрена расширенная форма уведомления с описанием мер безопасности.

Политика конфиденциальности. Документ должен содержать: перечень обрабатываемых данных, цели обработки, правовые основания, сроки хранения, порядок реализации прав субъектов, сведения о трансграничной передаче. Политика публикуется на грузинском языке - это требование статьи 11 Закона о данных. Русскоязычная версия допустима как дополнительная, но не заменяет грузинскую.

Права субъектов данных. Пользователь вправе: получить доступ к своим данным, исправить неточности, потребовать удаления, ограничить обработку, получить данные в машиночитаемом формате (право на переносимость). Срок ответа на запрос субъекта - 10 рабочих дней по статье 30 Закона о данных. Технически это означает, что в продукте должен быть реализован механизм обработки таких запросов.

Сроки хранения. Данные хранятся не дольше, чем необходимо для достижения цели обработки. Для VASP минимальные сроки хранения KYC-данных определяются также Законом Грузии «О содействии предотвращению отмывания денег и финансирования терроризма» - не менее 5 лет после завершения деловых отношений.

Безопасность данных. Оператор обязан принять технические и организационные меры, соразмерные рискам: шифрование, контроль доступа, логирование операций, регулярное тестирование. При утечке данных, которая создаёт риск для прав субъектов, оператор обязан уведомить Инспектора в течение 72 часов - норма, аналогичная статье 33 GDPR.

Что подготовить перед запуском обработки данных в Грузии:

  • Реестр операций по обработке данных (Record of Processing Activities) с описанием каждого потока данных, правового основания и срока хранения
  • Политика конфиденциальности на грузинском языке, опубликованная на сайте или в приложении
  • Форма согласия пользователя, соответствующая стандарту свободного и информированного согласия
  • Уведомление Инспектора по защите данных, поданное до начала обработки
  • Внутренняя процедура реагирования на запросы субъектов данных и на инциденты безопасности

Компании из Тбилиси (осень 2025) помогли выстроить систему защиты данных с нуля при запуске криптообменной платформы. Клиент не имел ни политики конфиденциальности на грузинском языке, ни уведомления Инспектора. Подготовили полный пакет документов, подали уведомление и реализовали механизм обработки запросов субъектов данных - в течение трёх недель до запуска продукта.

Описанные требования - базовый уровень. Конкретная конфигурация зависит от архитектуры продукта, типов обрабатываемых данных и наличия трансграничной передачи. Ошибки на этапе проектирования системы обработки данных сложнее исправить после запуска, чем до него.

Запускаете финтех или VASP-платформу в Грузии? Требования к данным определяют архитектуру продуктаЕсли вы планируете обработку KYC-данных, биометрическую верификацию или трансграничную передачу данных пользователей - юристы Inter Law Firm проведут правовой анализ архитектуры обработки данных, подготовят политику конфиденциальности на грузинском языке и уведомление Инспектора, а также разработают внутренние процедуры комплаенса.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как регулируется трансграничная передача персональных данных из Грузии?

Трансграничная передача персональных данных из Грузии в третьи страны допустима при соблюдении одного из условий статьи 22 Закона о данных: страна-получатель обеспечивает адекватный уровень защиты данных, либо оператор применяет стандартные договорные положения (SCC), либо субъект дал явное согласие на передачу с пониманием рисков. Инспектор ведёт перечень стран с адекватным уровнем защиты - в него входят государства ЕС и ряд других юрисдикций.

Для IT-компаний и VASP это практически означает следующее. Если данные грузинских пользователей хранятся на серверах в ЕС - передача, как правило, допустима без дополнительных условий. Если серверы расположены в России, ОАЭ или иных юрисдикциях, не включённых в перечень Инспектора, - необходимо либо заключить соглашение о передаче данных со стандартными договорными положениями, либо получить явное согласие каждого пользователя с раскрытием рисков.

Неочевидный риск для VASP: использование зарубежных KYC-провайдеров (Sumsub, Jumio, Onfido) автоматически создаёт трансграничную передачу биометрических данных. Это чувствительные данные по грузинскому праву, и для их передачи за рубеж требуется не только стандартное основание, но и дополнительное правовое обоснование по статье 6 Закона о данных. Многие VASP-платформы упускают этот момент при интеграции KYC-сервисов.

В отличие от российского законодательства о персональных данных, грузинский Закон о данных не устанавливает требования о локализации данных - то есть не обязывает хранить данные грузинских пользователей исключительно на серверах в Грузии. Это существенное преимущество для IT-компаний с распределённой инфраструктурой.

Какова ответственность за нарушение законодательства о данных в Грузии?

Инспектор по защите персональных данных Грузии вправе применять административные санкции, выдавать предписания об устранении нарушений и обращаться в суд. Максимальный штраф для юридического лица составляет 20 000 лари по статье 45 Закона о данных, для физического лица - 2 000 лари. Повторное нарушение в течение года удваивает санкцию. Помимо административной, возможна гражданско-правовая ответственность перед субъектами данных за причинённый ущерб.

Инспектор инициирует проверку по трём основаниям: жалоба субъекта данных, плановая проверка по реестру операторов, собственная инициатива при выявлении публичных признаков нарушения (например, утечка данных, попавшая в СМИ). Срок проведения проверки - до 3 месяцев, с возможностью продления.

На практике наиболее частые основания для санкций: отсутствие политики конфиденциальности на грузинском языке, ненадлежащее оформление согласия пользователя, непредоставление ответа на запрос субъекта данных в установленный срок, отсутствие уведомления об утечке. Для VASP добавляется специфический риск: несоответствие KYC-процедур требованиям как Закона о данных, так и AML-законодательства одновременно.

Пропуск 72-часового срока уведомления Инспектора об утечке данных - одно из наиболее серьёзных нарушений. Для платформы с тысячами пользователей даже небольшой инцидент безопасности (компрометация базы email-адресов) обязывает к немедленному уведомлению. Отсутствие внутренней процедуры реагирования на инциденты делает соблюдение этого срока практически невозможным.

Специфика требований к VASP: данные, AML и лицензирование NBG

VASP в Грузии работают в условиях двойного регуляторного давления: Закон о данных регулирует обработку персональных данных, а Закон «О содействии предотвращению отмывания денег» (далее - AML-закон) устанавливает обязательные требования к KYC и хранению данных клиентов. Национальный банк Грузии (საქართველოს ეროვნული ბანკი, NBG) осуществляет надзор за VASP в части AML-комплаенса, а Инспектор - в части защиты данных. Оба регулятора действуют независимо.

AML-закон обязывает VASP хранить KYC-документы и записи о транзакциях не менее 5 лет. Закон о данных, в свою очередь, требует не хранить данные дольше, чем необходимо. Коллизия разрешается в пользу специального закона: AML-требования создают правовое основание для хранения данных в течение установленного срока даже после прекращения отношений с клиентом. Это необходимо явно отразить в политике конфиденциальности и реестре операций по обработке данных.

Для VASP, проходящих регистрацию в NBG, важно учитывать: регулятор при рассмотрении заявки оценивает не только AML-процедуры, но и общую систему управления данными. Отсутствие документированной политики защиты данных может стать основанием для запроса дополнительных материалов и затянуть процедуру регистрации.

Отдельный вопрос - данные о транзакциях с виртуальными активами. Адрес криптокошелька сам по себе может не идентифицировать физическое лицо, однако в совокупности с KYC-данными он становится персональными данными. Это означает, что вся история транзакций привязанного к верифицированному пользователю кошелька подпадает под режим Закона о данных.

Компании из Батуми (зима 2024) помогли привести систему обработки данных в соответствие с требованиями перед подачей заявки на регистрацию VASP в NBG. Клиент использовал зарубежный KYC-провайдер без оформленного соглашения о трансграничной передаче биометрических данных. Подготовили соглашение о передаче данных со стандартными договорными положениями, актуализировали политику конфиденциальности и реестр операций - заявка в NBG была подана без замечаний по блоку защиты данных.

Чтобы получить чек-лист требований NBG и Инспектора по защите данных для VASP-платформы в Грузии, отправьте запрос на info@interlawfirm.ru

Описанная конфигурация типична для VASP с базовым продуктом. Платформы с дополнительными функциями (стейкинг, lending, NFT-маркетплейс) могут столкнуться с расширенными требованиями как по AML, так и по защите данных. Оценка конкретной архитектуры требует анализа каждого потока данных отдельно.

NBG запросил дополнительные документы или приостановил рассмотрение заявки VASP? Каждый день задержки - упущенный рынокЕсли регулятор поставил вопросы по системе защиты данных или KYC-процедурам - юристы Inter Law Firm проведут аудит текущей системы обработки данных, подготовят недостающую документацию и сопроводят взаимодействие с NBG и Инспектором по защите данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как выстроить работающую систему защиты данных: стратегия для IT и VASP

Рабочая система защиты данных для IT-компании или VASP в Грузии строится на трёх уровнях: документация, технические меры и операционные процедуры. Документация без технических мер не защищает от ответственности, технические меры без документации не доказывают соответствие требованиям. Инспектор при проверке оценивает все три уровня.

Документация. Минимальный пакет: политика конфиденциальности (грузинский язык, публично доступна), реестр операций по обработке данных (внутренний документ), соглашения с обработчиками данных (data processing agreements с KYC-провайдерами, облачными платформами, аналитическими сервисами), процедура реагирования на запросы субъектов данных, процедура реагирования на инциденты безопасности.

Технические меры. Шифрование данных в покое и при передаче, разграничение прав доступа по принципу минимальных привилегий, логирование операций с персональными данными, регулярное резервное копирование, процедура безопасного удаления данных по истечении срока хранения.

Операционные процедуры. Обучение сотрудников, работающих с данными, внутренний аудит соответствия не реже раза в год, назначение ответственного за защиту данных (для крупных операторов - обязательно, для малых - рекомендуется), процедура оценки воздействия на защиту данных (DPIA) для новых продуктов с высоким риском.

Три сценария для разных типов бизнеса:

Сценарий 1 - IT-стартап с Virtual Zone статусом, продукт для зарубежных рынков, данные грузинских пользователей не обрабатываются. Минимальные требования: уведомление Инспектора об операциях с данными сотрудников, трудовые договоры с положениями о конфиденциальности. Риск - низкий при соблюдении базовых требований.

Сценарий 2 - SaaS-платформа с грузинскими корпоративными клиентами, обрабатывает данные сотрудников клиентов. Требования: полный пакет документации, соглашения с клиентами о разграничении ролей оператора и обработчика, политика конфиденциальности на грузинском языке. Риск - средний, основной источник - жалобы субъектов данных через клиентов.

Сценарий 3 - VASP с KYC-верификацией грузинских пользователей, биометрические данные, трансграничная передача KYC-провайдеру. Требования: максимальный уровень документации, соглашения о трансграничной передаче, DPIA для биометрической верификации, координация с AML-требованиями NBG. Риск - высокий, двойной надзор Инспектора и NBG.

Матрица решений: если компания обрабатывает только данные сотрудников - базовый комплаенс, срок выстраивания 2-4 недели, затраты на юридическое сопровождение от 3 000-5 000 лари. Если обрабатываются данные пользователей продукта без чувствительных категорий - стандартный комплаенс, 4-8 недель, от 5 000-10 000 лари. Если обрабатываются биометрические данные или данные VASP - расширенный комплаенс с DPIA, 8-12 недель, от 10 000-20 000 лари.

Направления практики по теме

Частые вопросы

1. Обязана ли иностранная IT-компания без офиса в Грузии соблюдать грузинский Закон о защите данных?

Иностранная IT-компания обязана соблюдать грузинский Закон о защите персональных данных, если она обрабатывает данные лиц, находящихся на территории Грузии, - вне зависимости от страны регистрации. Это прямо следует из территориального принципа, закреплённого в статье 3 Закона о данных. Критерий - не место регистрации оператора, а место нахождения субъектов данных и место обработки. На практике это означает: если грузинский пользователь регистрируется на платформе, вводит свои данные и пользуется сервисом - Закон о данных применяется. Инспектор по защите данных вправе инициировать проверку по жалобе такого пользователя, а отсутствие офиса в Грузии не является основанием для освобождения от ответственности.

2. Какой штраф грозит IT-компании за отсутствие политики конфиденциальности на грузинском языке?

Отсутствие политики конфиденциальности на грузинском языке является нарушением статьи 11 Закона о защите персональных данных Грузии и влечёт административную ответственность по статье 45 того же закона. Максимальный штраф для юридического лица составляет 20 000 лари. Инспектор, как правило, при первом нарушении выдаёт предписание об устранении с установленным сроком - обычно 30 дней. Повторное нарушение в течение года удваивает санкцию до 40 000 лари. Помимо штрафа, Инспектор вправе обязать компанию приостановить обработку данных до устранения нарушения - для работающего продукта это означает фактическую остановку сервиса.

3. Как VASP должен разграничить требования Закона о данных и AML-закона по срокам хранения KYC-данных?

VASP в Грузии обязан хранить KYC-данные клиентов не менее пяти лет после завершения деловых отношений согласно Закону «О содействии предотвращению отмывания денег». Закон о защите персональных данных требует не хранить данные дольше, чем необходимо для цели обработки. Коллизия разрешается следующим образом: AML-закон является специальным по отношению к общему Закону о данных, и пятилетний срок хранения является законным основанием для продолжения обработки данных после прекращения отношений с клиентом. Это основание необходимо явно указать в политике конфиденциальности и реестре операций по обработке данных - иначе хранение данных сверх срока, необходимого для исполнения договора, будет квалифицировано как нарушение Закона о данных.

4. Нужно ли заключать отдельное соглашение с KYC-провайдером, если он обрабатывает данные по поручению VASP?

Да, соглашение об обработке данных (data processing agreement) с KYC-провайдером обязательно по статье 27 Закона о данных Грузии. Если KYC-провайдер находится за рубежом, соглашение должно также регулировать трансграничную передачу данных - включать стандартные договорные положения или иное основание по статье 22 Закона о данных. Для биометрических данных (liveness check, сканирование документов) требуется дополнительное правовое обоснование как для чувствительных данных по статье 6. Отсутствие такого соглашения означает, что VASP несёт полную ответственность за действия KYC-провайдера с данными пользователей - включая возможные нарушения безопасности на стороне провайдера.

5. Чем грузинское законодательство о персональных данных отличается от российского в части требований к IT-компаниям?

Грузинский Закон о данных и российский Федеральный закон «О персональных данных» имеют принципиальное различие: грузинское законодательство не устанавливает требования о локализации данных - хранить данные грузинских пользователей на серверах в Грузии не обязательно. Российский закон, напротив, с 2014 года требует первичной записи персональных данных российских граждан на серверах в России. Второе ключевое отличие - надзорный орган: в Грузии это независимый Инспектор по защите данных, в России - Роскомнадзор с существенно более широкими полномочиями по блокировке. Штрафы в Грузии значительно ниже российских и европейских, однако система надзора последовательно ужесточается. Требования к согласию пользователя и правам субъектов данных в Грузии близки к стандарту GDPR - это важно для IT-компаний, ориентированных на европейский рынок.

Грузинский Закон о защите персональных данных создаёт реальные обязательства для IT-компаний и VASP - с конкретными сроками, документационными требованиями и административной ответственностью. Отсутствие требования о локализации данных и относительно умеренные штрафы делают грузинскую юрисдикцию привлекательной для IT-бизнеса, однако не освобождают от необходимости выстроить работающую систему комплаенса до запуска продукта, а не после первой проверки.

Юридическая фирма Inter Law Firm сопровождает IT-компании и VASP в Грузии по вопросам защиты персональных данных, разработки политик конфиденциальности, подготовки к регистрации в NBG и взаимодействия с Инспектором по защите данных. Мы можем помочь с аудитом текущей системы обработки данных, подготовкой полного пакета документации и разработкой внутренних процедур комплаенса.

Чтобы получить чек-лист комплаенс-требований по защите персональных данных для IT-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru

Нужна оценка системы защиты данных вашей платформы по грузинскому праву?Юристы Inter Law Firm проведут правовой анализ архитектуры обработки данных, подготовят необходимую документацию и предложат стратегию комплаенса с учётом требований Закона о данных и регуляторики NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 4 мая 2026 года