Защита персональных данных (პერსონალური მონაცემების დაცვა) в Грузии регулируется Законом Грузии «О защите персональных данных» (2011 года, с существенными поправками 2023 года). По состоянию на май 2026 года надзор осуществляет Инспектор по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი) - независимый государственный орган с полномочиями проводить проверки, выносить предписания и налагать административные штрафы до 20 000 лари за одно нарушение. Для IT-компаний в статусе Virtual Zone, VASP, финтех-сервисов и SaaS-платформ, работающих с грузинскими пользователями, соблюдение этого закона - не опциональная процедура, а условие операционной устойчивости.
Статья разбирает: сферу применения закона и кого он охватывает, обязательства по регистрации и документированию, требования к трансграничной передаче данных, специфику для VASP и финтех, ответственность за нарушения и практику Инспектора, а также стратегию построения compliance-системы.
Закон Грузии «О защите персональных данных» распространяется на любое лицо - физическое или юридическое, - которое обрабатывает персональные данные граждан Грузии или лиц, находящихся на территории страны, вне зависимости от места регистрации компании. IT-компания, зарегистрированная в Грузии в статусе Virtual Zone и оказывающая услуги за рубежом, подпадает под действие закона в части данных своих грузинских сотрудников и локальных пользователей. VASP, работающий с грузинскими клиентами, обязан соблюдать требования закона независимо от того, где хранятся данные физически.
Закон разграничивает два ключевых понятия. Контролёр данных (მონაცემთა დამუშავების პასუხისმგებელი პირი) - лицо, определяющее цели и способы обработки. Обработчик данных (მონაცემთა დამუშავების უფლებამოსილი პირი) - лицо, обрабатывающее данные по поручению контролёра. Оба несут самостоятельные обязательства по закону, хотя объём ответственности контролёра шире.
Персональные данные по грузинскому праву - любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо. Это охватывает: имя и контактные данные, IP-адрес, cookie-идентификаторы, биометрические данные, данные о транзакциях, историю активности в приложении. Для VASP особую категорию составляют данные KYC - они одновременно подпадают под требования закона о персональных данных и под AML-регулирование Национального банка Грузии (საქართველოს ეროვნული ბანკი, NBG).
Частая ошибка основателей финтех-компаний - предположение, что грузинский закон о данных применяется только к грузинским компаниям с грузинскими пользователями. На практике Инспектор рассматривал жалобы против иностранных компаний, имеющих грузинских сотрудников или обрабатывающих данные через грузинские серверы.
Контролёры данных, осуществляющие обработку в автоматизированном режиме или ведущие структурированные базы данных, обязаны зарегистрировать обработку в реестре Инспектора по защите персональных данных до начала обработки. Регистрация проводится через официальный портал Инспектора, срок рассмотрения заявки - до 10 рабочих дней. Государственная пошлина за регистрацию составляет 200 лари для коммерческих организаций.
Регистрации подлежат: цели обработки, категории субъектов данных, категории самих данных, получатели данных (включая третьи страны), сроки хранения. Изменение любого из этих параметров требует уведомления Инспектора в течение 10 рабочих дней.
Помимо регистрации, закон обязывает контролёра вести внутреннюю документацию:
Чек-лист: что подготовить IT-компании для базового compliance
Чтобы получить чек-лист запуска системы защиты персональных данных для IT-стартапа в Грузии, отправьте запрос на info@interlawfirm.ru
Трансграничная передача персональных данных в Грузии допустима при соблюдении одного из трёх условий: страна-получатель признана Инспектором обеспечивающей адекватный уровень защиты данных; передача осуществляется на основании стандартных договорных условий, одобренных Инспектором; субъект данных дал явное информированное согласие на передачу в конкретную страну. Передача данных без выполнения хотя бы одного из этих условий является нарушением статьи 22 Закона о персональных данных.
На практике большинство IT-компаний и VASP используют облачные сервисы с серверами за пределами Грузии - AWS, Google Cloud, Azure. Это автоматически создаёт трансграничную передачу данных. Ни один из этих провайдеров не включён в список «адекватных» стран Инспектора автоматически - требуется либо заключение стандартных договорных условий с провайдером, либо получение согласия пользователей с явным указанием на передачу данных в США или ЕС.
Грузия не является членом ЕС, поэтому GDPR не применяется напрямую. Однако грузинский закон концептуально близок к GDPR: схожие принципы минимизации данных, ограничения цели, права субъектов. Компании, уже имеющие GDPR-compliance, как правило, могут адаптировать существующую документацию под грузинские требования с минимальными изменениями - прежде всего в части регистрации у Инспектора и грузиноязычной документации.
Неочевидный риск: многие финтех-компании передают данные транзакций в международные платёжные системы и считают это «технической необходимостью», не требующей правового оформления. Инспектор квалифицирует такую передачу как трансграничную и требует надлежащего основания.
Компании из Тбилиси (зима 2025) - финтех-платформе с грузинскими и иностранными пользователями - помогли структурировать трансграничную передачу данных в рамках подготовки к проверке NBG. Были разработаны стандартные договорные условия с тремя облачными провайдерами и обновлена Privacy Policy. Инспектор по итогам плановой проверки не выявил нарушений в части трансграничной передачи.
VASP (Virtual Asset Service Provider) и финтех-компании, лицензированные или регистрируемые NBG, работают в условиях двойного регулирования: Закон о персональных данных плюс AML-требования Национального банка Грузии. Эти два режима частично пересекаются и частично противоречат друг другу - прежде всего в части сроков хранения данных.
AML-законодательство Грузии (Закон «О содействии предотвращению отмывания денег и финансирования терроризма») обязывает VASP хранить данные KYC и транзакционные записи не менее 5 лет. Закон о персональных данных, напротив, требует хранить данные не дольше, чем необходимо для достижения цели обработки, и удалять их по запросу субъекта. Коллизия разрешается через принцип приоритета специального закона: AML-обязательства по хранению данных имеют приоритет над общим правом субъекта на удаление - но только в части данных, необходимых для AML-целей.
Для VASP это означает следующую практическую конструкцию. Данные KYC хранятся 5 лет в соответствии с AML-требованиями - право субъекта на удаление в этой части не применяется. Данные, собранные для маркетинга, аналитики или улучшения продукта, - хранятся по правилам Закона о персональных данных и подлежат удалению по запросу субъекта. Смешение этих категорий в одной базе данных без разграничения - типичная ошибка, которая создаёт риск как со стороны Инспектора, так и со стороны NBG.
Дополнительное требование для VASP: передача данных в рамках Travel Rule (правило FATF о передаче информации об отправителе и получателе при переводах свыше 1 000 USD) должна быть правомерно оформлена с точки зрения закона о персональных данных. Передача данных контрагентскому VASP в другой юрисдикции - это трансграничная передача персональных данных, требующая надлежащего правового основания.
Чтобы получить чек-лист требований NBG и Инспектора по персональным данным для VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Описанная конструкция применима к стандартным VASP-операциям. Конкретная структура зависит от типа лицензии NBG, географии пользователей и архитектуры продукта. Ошибка в разграничении AML-данных и маркетинговых данных на этапе проектирования системы обходится значительно дороже, чем последующая переработка.
Планируете запуск VASP или финтех-сервиса в Грузии? Тип лицензии и структура данных определяют сроки запускаЕсли вы проектируете продукт для грузинского рынка или уже работаете с грузинскими пользователями - юристы Inter Law Firm проведут аудит потоков данных, разработают Privacy Policy и data processing agreements, структурируют соответствие требованиям NBG и Инспектора по персональным данным.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Инспектор по защите персональных данных вправе налагать административные штрафы в размере до 20 000 лари за одно нарушение на основании Кодекса об административных правонарушениях Грузии. Повторное нарушение в течение года удваивает максимальный размер штрафа. Помимо штрафов, Инспектор вправе выносить предписания об устранении нарушений, приостановлении обработки данных и уничтожении незаконно обработанных данных.
Практика Инспектора за 2023-2025 годы показывает несколько устойчивых категорий нарушений, по которым возбуждается большинство дел:
Уголовная ответственность за нарушения в сфере персональных данных в Грузии предусмотрена статьёй 157 Уголовного кодекса - незаконный сбор или распространение персональных данных. Санкция - штраф или лишение свободы до 3 лет. На практике уголовное преследование применяется редко - преимущественно в случаях умышленной утечки данных или их продажи третьим лицам.
Для IT-компаний в статусе Virtual Zone важно учитывать, что VZ-статус не освобождает от обязательств по защите персональных данных. Налоговые льготы VZ (0% налог на прибыль и НДС с экспортных IT-услуг) не распространяются на регуляторные обязательства в сфере данных.
Компании из Батуми (осень 2024) - SaaS-платформе с пользователями в нескольких странах - помогли урегулировать предписание Инспектора, выданное по итогам жалобы пользователя. Нарушение состояло в отсутствии грузиноязычной Privacy Policy и ненадлежащем оформлении согласия на cookies. Предписание было исполнено в установленный срок, штраф не был наложен - Инспектор ограничился предупреждением при первичном нарушении.
Эффективная система защиты персональных данных для IT-компании в Грузии строится по принципу «privacy by design» - встраивание требований закона в архитектуру продукта и бизнес-процессы, а не добавление compliance-слоя поверх готового продукта. Это снижает стоимость поддержания соответствия и уменьшает риск системных нарушений.
Практическая последовательность построения системы включает несколько этапов. Первый - data mapping: инвентаризация всех данных, которые компания собирает, обрабатывает и передаёт. Без этого невозможно корректно заполнить регистрационную форму Инспектора и определить правовые основания для каждой операции обработки. Второй - определение правовых оснований: для каждой операции обработки должно быть одно из оснований, предусмотренных статьёй 5 Закона о персональных данных (согласие, исполнение договора, законный интерес, выполнение правовой обязанности). Третий - документирование: разработка Privacy Policy, внутренних политик, договоров с обработчиками. Четвёртый - регистрация у Инспектора. Пятый - обучение команды и настройка операционных процедур (запросы субъектов, уведомления об инцидентах).
Для компаний, уже имеющих GDPR-compliance, адаптация к грузинским требованиям занимает, как правило, 4-8 недель. Основные отличия от GDPR: обязательная регистрация у Инспектора (в ЕС реестр обработок ведётся внутренне), требование грузиноязычной документации, иные пороговые значения для назначения DPO (в Грузии обязательный DPO предусмотрен только для государственных органов и отдельных категорий обработчиков).
Матрица решений для типичных ситуаций IT-компании в Грузии:
Стартап на стадии MVP с грузинскими пользователями: регистрация у Инспектора обязательна до запуска, минимальный пакет документации - Privacy Policy на грузинском + процедура обработки запросов субъектов. Затраты - от 800-1 200 лари на юридическое сопровождение плюс 200 лари госпошлина. Срок - 3-4 недели.
Финтех/VASP с лицензией NBG: двойной compliance (Инспектор + NBG), разграничение AML-данных и маркетинговых данных, Travel Rule-документация. Затраты - от 2 500-4 000 лари. Срок - 6-10 недель.
Зрелая IT-компания в статусе VZ с международными пользователями: полный data mapping, стандартные договорные условия для трансграничной передачи, периодический аудит (рекомендуется раз в год). Затраты - от 3 000-5 000 лари на первичный аудит и документацию.
Неочевидный риск для всех категорий: cookies и трекинговые технологии. Большинство грузинских IT-компаний используют Google Analytics, Meta Pixel и аналогичные инструменты без надлежащего cookie-consent. Инспектор квалифицирует это как обработку данных без правового основания - нарушение статьи 5 Закона о персональных данных.
Направления практики по теме
Да, IT-компания в статусе Virtual Zone обязана зарегистрировать обработку персональных данных у Инспектора по защите персональных данных Грузии, если обрабатывает данные в автоматизированном режиме или ведёт структурированные базы данных. Статус Virtual Zone предоставляет налоговые льготы - нулевой налог на прибыль и НДС с экспортных IT-услуг - но не освобождает от регуляторных обязательств в сфере персональных данных. Регистрация проводится до начала обработки, государственная пошлина составляет 200 лари, срок рассмотрения - до 10 рабочих дней. Отсутствие регистрации при фактической обработке данных является самостоятельным нарушением, за которое Инспектор вправе наложить штраф до 20 000 лари.
Право субъекта данных на удаление (право «быть забытым») не применяется к данным, хранение которых обязательно по специальному законодательству. Закон Грузии «О содействии предотвращению отмывания денег» обязывает VASP и финансовые организации хранить данные KYC и транзакционные записи не менее 5 лет - это требование имеет приоритет над общим правом на удаление по статье 11 Закона о персональных данных. Однако приоритет распространяется только на данные, необходимые для AML-целей. Данные, собранные для маркетинга или аналитики, под это исключение не подпадают и подлежат удалению по запросу субъекта в течение 10 рабочих дней. Смешение AML-данных и маркетинговых данных в одной базе без разграничения создаёт риск нарушения одновременно перед Инспектором и перед NBG.
Да, использование Google Analytics, Meta Pixel и аналогичных трекинговых инструментов требует получения явного согласия пользователя до начала сбора данных - это следует из статьи 5 Закона Грузии о персональных данных, устанавливающей согласие как одно из правовых оснований обработки. Предзаполненные чекбоксы, согласие «по умолчанию» или продолжение использования сайта как подразумеваемое согласие не соответствуют требованиям закона. Технически это означает необходимость cookie-баннера с возможностью отказа от аналитических и маркетинговых cookies до их активации. Инспектор рассматривал жалобы именно по этому основанию - отсутствие надлежащего cookie-consent является одним из наиболее распространённых нарушений среди IT-компаний в Грузии.
Контролёр данных обязан уведомить Инспектора по защите персональных данных Грузии об утечке персональных данных в течение 72 часов с момента обнаружения инцидента - это требование статьи 23 Закона о персональных данных. Уведомление должно содержать: описание характера инцидента, категории и примерное количество затронутых субъектов данных, контактные данные ответственного лица, вероятные последствия и принятые меры. Если утечка создаёт высокий риск для прав субъектов данных, контролёр обязан также уведомить самих субъектов без необоснованной задержки. Нарушение 72-часового срока является самостоятельным основанием для штрафа - даже если сама утечка произошла по техническим причинам, не зависящим от компании.
Грузинский Закон о персональных данных применяется к иностранной компании, если она обрабатывает данные лиц, находящихся на территории Грузии, вне зависимости от наличия офиса или регистрации в стране. Это экстерриториальный принцип, аналогичный статье 3 GDPR. На практике Инспектор рассматривал жалобы против иностранных компаний и направлял им предписания. Механизм принуждения в отношении компаний без активов в Грузии ограничен, однако наличие грузинских сотрудников, грузинского банковского счёта или серверов в Грузии создаёт реальные точки применения закона. Для компаний, планирующих работу с грузинскими пользователями, рекомендуется выстроить compliance до начала обработки данных, а не после получения предписания.
Закон Грузии о персональных данных создаёт реальные операционные обязательства для IT-компаний и VASP - регистрация у Инспектора, грузиноязычная документация, правовое оформление трансграничной передачи данных и надлежащий cookie-consent. Для финтех и VASP добавляется двойное регулирование: требования Инспектора плюс AML-обязательства NBG, которые необходимо согласовывать, а не выполнять по отдельности.
Юридическая фирма Inter Law Firm сопровождает IT-компании и VASP в Грузии по вопросам защиты персональных данных, лицензирования и регуляторного compliance. Мы можем помочь с регистрацией обработки данных у Инспектора, разработкой Privacy Policy и data processing agreements, структурированием соответствия требованиям NBG, аудитом потоков данных и подготовкой к проверкам.
Чтобы получить чек-лист compliance по персональным данным для IT-компании или VASP в Грузии, отправьте запрос на info@interlawfirm.ru
Работаете с грузинскими пользователями или планируете запуск в Грузии?Юристы Inter Law Firm проведут аудит потоков данных, подготовят документацию и зарегистрируют обработку у Инспектора. Для VASP - структурируем соответствие требованиям NBG и Закона о персональных данных одновременно.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 11 мая 2026 года