Защита персональных данных (პერსონალური მონაცემების დაცვა) в Грузии регулируется Законом о персональных данных 2011 года с поправками 2023 года и надзорным органом - Государственным инспектором по защите данных (საქართველოს სახელმწიფო ინსპექტორი, ГИПД). По состоянию на май 2026 года любая IT-компания или финтех-оператор, обрабатывающий данные физических лиц на территории Грузии, обязан соблюдать требования этого закона независимо от страны регистрации. Средний размер административного штрафа по итогам проверок ГИПД в 2024-2025 годах составил от 2 000 до 10 000 лари за нарушение базовых требований к обработке.
Статья разбирает: кто является оператором данных по грузинскому праву, какие обязательства возникают у IT-компаний и VASP-операторов, как выстроить compliance-структуру, какова ответственность за нарушения и как действовать при запросе ГИПД или NBG.
Кто считается оператором персональных данных по грузинскому законодательству?
Оператором персональных данных по статье 2 Закона о персональных данных Грузии признаётся любое физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки данных физических лиц. Для IT-компании или финтех-платформы это означает: если вы собираете email, телефон, IP-адрес, платёжные реквизиты или биометрию пользователей в Грузии - вы оператор и несёте полный объём обязательств по грузинскому праву.
Грузинское законодательство применяет территориальный принцип с элементами экстерриториальности: закон распространяется на обработку данных, которая происходит на территории Грузии, а также на обработку данных грузинских резидентов иностранными операторами, если те предлагают товары или услуги на грузинском рынке. Это прямо актуально для финтех-платформ, зарегистрированных в иных юрисдикциях, но работающих с грузинскими пользователями.
Частая ошибка основателей финтех-стартапов - убеждённость, что регистрация компании в Эстонии или ОАЭ автоматически выводит их из-под грузинского регулирования. На практике ГИПД оценивает факт обработки данных грузинских пользователей, а не юрисдикцию регистрации оператора. Если ваш сайт доступен на грузинском языке, принимает лари или ориентирован на грузинскую аудиторию - грузинский закон применим.
Отдельную категорию составляют обработчики данных (процессоры) - лица, обрабатывающие данные по поручению оператора. Для SaaS-платформ, предоставляющих инфраструктуру грузинским финтех-операторам, это означает необходимость заключения договора обработки данных (Data Processing Agreement) с чётким разграничением ответственности.
Какие обязательства возникают у IT-компании при обработке данных в Грузии?
IT-компания, признанная оператором по грузинскому праву, обязана выполнить шесть базовых требований: получить законное основание для обработки, обеспечить минимизацию данных, установить сроки хранения, реализовать технические меры защиты, уведомить ГИПД о регистрации и обеспечить права субъектов данных. Нарушение любого из этих требований влечёт административную ответственность по статье 45 Закона о персональных данных с санкцией до 10 000 лари за каждый факт нарушения.
Законные основания обработки. Грузинский закон признаёт шесть оснований: согласие субъекта, исполнение договора, законный интерес оператора, выполнение правовой обязанности, защита жизненно важных интересов и выполнение задач в публичных интересах. Для финтех-операторов наиболее часто применяются первые три. Согласие должно быть свободным, конкретным, информированным и однозначным - форма «галочки по умолчанию» не соответствует требованиям закона.
Уведомление ГИПД. Операторы, обрабатывающие особые категории данных (биометрия, финансовые данные, данные о здоровье) или использующие автоматизированные системы принятия решений, обязаны уведомить ГИПД до начала обработки. Срок рассмотрения уведомления - 30 дней. Финтех-платформы, использующие скоринг или алгоритмическую верификацию KYC, как правило, подпадают под это требование.
Права субъектов данных. Пользователь вправе запросить доступ к своим данным, потребовать исправления, удаления или ограничения обработки. Оператор обязан ответить в течение 10 рабочих дней. Для платформ с большой пользовательской базой это требует автоматизированных процессов обработки запросов - ручной режим создаёт операционный риск нарушения сроков.
Что подготовить перед запуском обработки данных в Грузии:
- Реестр операций обработки с указанием целей, оснований и сроков хранения по каждой категории данных
- Privacy Policy на грузинском языке (и русском, если аудитория русскоязычная) с полным раскрытием по требованиям статьи 7 Закона
- Форма согласия на обработку без предустановленных галочек
- Процедура ответа на запросы субъектов данных (срок - 10 рабочих дней)
- Уведомление ГИПД (если обрабатываются особые категории или применяется автоматизированное принятие решений)
Чтобы получить чек-лист требований NBG и ГИПД для финтех-оператора при запуске обработки данных в Грузии, отправьте запрос на info@interlawfirm.ru
Как требования AML/KYC пересекаются с защитой данных для VASP в Грузии?
Для VASP-операторов (поставщиков услуг с виртуальными активами) и платёжных сервисов в Грузии возникает регуляторное пересечение: Национальный банк Грузии (ეროვნული ბანკი, NBG) требует сбора и хранения расширенного объёма данных клиентов в рамках AML/KYC-процедур, тогда как ГИПД ограничивает обработку принципом минимизации. Разрешение этого противоречия - в приоритете специального законодательства: обработка данных, прямо предписанная Законом о противодействии легализации доходов 2019 года, осуществляется на основании правовой обязанности и не требует отдельного согласия пользователя.
Конкретно: VASP обязан хранить данные верификации клиента (документ, удостоверяющий личность, адрес, источник средств) не менее 5 лет с момента завершения деловых отношений - это требование статьи 9 Закона о противодействии легализации доходов. Одновременно эти данные не могут использоваться для иных целей (например, маркетинга) без отдельного согласия. Смешение AML-данных с маркетинговой базой - типичная ошибка, которую ГИПД фиксирует при проверках финтех-платформ.
Трансграничная передача данных - отдельный риск для VASP с распределённой инфраструктурой. Грузинский закон допускает передачу данных в страны с «адекватным» уровнем защиты (список утверждается ГИПД) или при наличии стандартных договорных условий. Передача данных грузинских пользователей на серверы в юрисдикциях без адекватного статуса без надлежащих гарантий влечёт ответственность оператора.
Компании из Тбилиси (осень 2025) помогли выстроить compliance-структуру для VASP-платформы перед получением лицензии NBG. Первоначальный пакет документов не содержал политики обработки данных, совместимой с требованиями AML-закона, и ГИПД-уведомления для биометрической верификации. После доработки документации и разграничения баз данных (AML vs. маркетинг) платформа прошла регуляторную проверку без замечаний и получила лицензию в течение 4 месяцев.
Неочевидный риск для VASP: автоматизированные системы скоринга транзакций, используемые для AML-мониторинга, подпадают под требования об автоматизированном принятии решений по статье 12 Закона о персональных данных. Если система автоматически блокирует транзакцию без участия человека - пользователь вправе потребовать человеческого пересмотра решения. Отсутствие такой процедуры - нарушение, которое ГИПД квалифицирует отдельно от базовых требований к обработке.
Чтобы получить чек-лист комплаенс-требований по защите данных для финтех и VASP-операторов в Грузии, отправьте запрос на info@interlawfirm.ru
Описанные требования применяются в стандартных ситуациях. Конкретная структура обязательств зависит от типа лицензии NBG, архитектуры платформы и географии пользователей. Ошибка в разграничении AML-данных и маркетинговой базы на этапе проектирования системы устраняется значительно сложнее, чем при первоначальной настройке.
Планируете запуск финтех-платформы или VASP в Грузии? Тип обрабатываемых данных определяет объём регуляторных обязательств до первого пользователя.Если ваша платформа работает с биометрией, платёжными данными или использует автоматизированный KYC - юристы Inter Law Firm проведут аудит архитектуры обработки данных, подготовят пакет документов для ГИПД и NBG и выстроят compliance-структуру, совместимую с требованиями AML-закона и Закона о персональных данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Какова ответственность за нарушение закона о персональных данных в Грузии?
Ответственность за нарушение Закона о персональных данных Грузии наступает в административном и уголовном порядке. Административные санкции по статье 45 Закона составляют от 500 до 10 000 лари за каждый факт нарушения; при повторном нарушении в течение года размер штрафа удваивается. Уголовная ответственность по статье 157-1 Уголовного кодекса Грузии предусмотрена за незаконный доступ к персональным данным и их распространение - санкция до 3 лет лишения свободы.
ГИПД вправе инициировать проверку по жалобе субъекта данных или по собственной инициативе. Срок проведения проверки - до 3 месяцев. По итогам проверки инспектор вправе: выдать предписание об устранении нарушений (срок исполнения - 30 дней), наложить административный штраф, приостановить обработку данных до устранения нарушений. Приостановление обработки для действующей платформы фактически означает остановку бизнеса.
Для финтех-операторов критически важен сценарий утечки данных. Грузинский закон обязывает оператора уведомить ГИПД об утечке, затрагивающей права субъектов данных, в течение 72 часов с момента обнаружения (статья 23-1 Закона о персональных данных). Если утечка создаёт высокий риск для прав физических лиц - оператор обязан также уведомить самих субъектов данных без необоснованной задержки. Нарушение 72-часового срока уведомления ГИПД квалифицируется как самостоятельное нарушение и влечёт отдельный штраф.
В отличие от России, где Роскомнадзор применяет оборотные штрафы (до 3% годовой выручки за повторные нарушения), грузинская система использует фиксированные санкции. Это создаёт иллюзию меньшей строгости - но для стартапа с ограниченным капиталом штраф в 10 000 лари плюс предписание об устранении нарушений за 30 дней может оказаться более болезненным, чем кажется на старте.
Компании из Кутаиси (зима 2024) помогли оспорить предписание ГИПД об устранении нарушений в части хранения данных пользователей сверх установленных сроков. Первоначальное предписание требовало удаления данных за 3 года в течение 30 дней, что технически было невозможно без остановки части сервиса. После подготовки возражений и переговоров с ГИПД срок исполнения был продлён до 90 дней с поэтапным планом удаления, что позволило компании выполнить требование без прерывания работы.
Как выстроить data governance для IT-компании в Грузии: практические сценарии
Структура data governance для IT-компании в Грузии зависит от трёх факторов: типа обрабатываемых данных, наличия трансграничной передачи и применимости специального регулирования (AML, медицина, телеком). Для большинства IT-стартапов в Тбилиси минимально достаточная структура включает: реестр операций обработки, Privacy Policy, процедуру ответа на запросы субъектов и план реагирования на утечки. Полная структура для лицензируемого финтех-оператора добавляет: DPO (ответственного за защиту данных), уведомление ГИПД, разграниченные базы данных и аудит трансграничных передач.
Сценарий 1: SaaS-стартап, аудитория - грузинские B2B-клиенты (когорта E, малый финтех). Обрабатываются контактные данные и данные об использовании продукта. Особые категории отсутствуют. Минимальный compliance: Privacy Policy, реестр обработки, процедура запросов субъектов. Уведомление ГИПД не требуется. Затраты на первоначальный compliance - от 1 500 до 3 000 лари (юридическое сопровождение + документация).
Сценарий 2: Платёжный сервис с лицензией NBG, работа с физическими лицами. Обрабатываются финансовые данные, документы KYC, история транзакций. Требуется: уведомление ГИПД (особые категории), разграничение AML-базы и маркетинговой базы, процедура автоматизированных решений, план реагирования на утечки с 72-часовым уведомлением. Затраты на compliance - от 5 000 до 12 000 лари.
Сценарий 3: VASP с биометрической верификацией, трансграничная инфраструктура. Дополнительно к сценарию 2: аудит трансграничных передач данных, стандартные договорные условия с зарубежными процессорами, назначение DPO (если объём обработки превышает пороги ГИПД), ежегодный аудит compliance. Затраты - от 15 000 лари в год с учётом сопровождения.
Матрица решений: если платформа обрабатывает только контактные данные B2B-клиентов - достаточно базового пакета документов без уведомления ГИПД, срок подготовки 2-3 недели. Если обрабатываются финансовые данные физических лиц - уведомление ГИПД обязательно, срок рассмотрения 30 дней, запускать обработку до получения подтверждения рискованно. Если используется биометрия или автоматизированные решения - необходима предварительная консультация с ГИПД о формате уведомления, поскольку практика по этим категориям в Грузии ещё формируется.
Направления практики по теме
- IT-право и защита данных - compliance для IT-компаний и финтех-операторов в Грузии
- Финтех и регулирование NBG - лицензирование VASP, PSP, необанков в Грузии
- Интеллектуальная собственность - регистрация товарных знаков и защита IT-активов через Sakpatenti
Частые вопросы
1. Обязана ли иностранная IT-компания соблюдать грузинский закон о персональных данных, если она зарегистрирована за рубежом?
Иностранная IT-компания обязана соблюдать Закон Грузии о персональных данных, если она обрабатывает данные физических лиц, находящихся на территории Грузии, или предлагает товары и услуги грузинским пользователям. Это прямо следует из статьи 3-1 Закона о персональных данных Грузии, введённой поправками 2023 года. Критерии применимости закона: сайт доступен на грузинском языке, принимает лари, ориентирован на грузинскую аудиторию или использует данные грузинских резидентов. Страна регистрации компании значения не имеет. Государственный инспектор по защите данных Грузии вправе инициировать проверку иностранного оператора и направить предписание через механизмы международного сотрудничества. Штраф за нарушение составляет до 10 000 лари за каждый факт, при повторном нарушении - до 20 000 лари.
2. Какой срок даётся на уведомление ГИПД при утечке персональных данных?
Оператор персональных данных в Грузии обязан уведомить Государственного инспектора по защите данных об утечке в течение 72 часов с момента обнаружения инцидента - это требование статьи 23-1 Закона о персональных данных Грузии. Если утечка создаёт высокий риск для прав физических лиц (например, скомпрометированы финансовые данные или документы KYC), оператор обязан также уведомить самих пострадавших пользователей без необоснованной задержки. Нарушение 72-часового срока квалифицируется ГИПД как самостоятельное нарушение и влечёт отдельный административный штраф до 5 000 лари, независимо от штрафа за саму утечку. Для финтех-платформ с большой пользовательской базой отсутствие автоматизированной процедуры обнаружения и уведомления об инцидентах создаёт реальный риск двойной санкции.
3. Нужно ли назначать ответственного за защиту данных (DPO) для IT-компании в Грузии?
Назначение ответственного за защиту данных (DPO) является обязательным для операторов, обрабатывающих особые категории данных в крупном масштабе, или для операторов, систематически осуществляющих мониторинг физических лиц - это требование статьи 24 Закона о персональных данных Грузии. Конкретный количественный порог «крупного масштаба» ГИПД определяет в методических рекомендациях: ориентировочно - более 10 000 субъектов данных в год. Для большинства стартапов на ранней стадии назначение DPO не является обязательным, однако VASP-операторы с биометрической верификацией и платёжные сервисы с лицензией NBG, как правило, превышают этот порог. DPO может быть штатным сотрудником или внешним специалистом; его контактные данные подлежат раскрытию в Privacy Policy и передаются в ГИПД.
4. Как грузинский закон о персональных данных соотносится с GDPR?
Закон Грузии о персональных данных 2011 года с поправками 2023 года концептуально близок к GDPR, однако имеет существенные отличия. Грузинский закон не предусматривает оборотных штрафов (GDPR - до 4% глобальной выручки), ограничиваясь фиксированными санкциями до 10 000 лари. Требование о назначении DPO в Грузии применяется уже, чем в GDPR. Реестр операций обработки в Грузии не является обязательным для всех операторов - только для тех, кто обрабатывает особые категории данных. При этом грузинский закон прямо признаёт ЕС юрисдикцией с «адекватным» уровнем защиты данных, что упрощает трансграничную передачу данных между Грузией и странами ЕС. Для IT-компаний, уже соблюдающих GDPR, адаптация к грузинским требованиям занимает, как правило, 2-4 недели и требует минимальных изменений в существующей документации.
5. Что происходит с данными пользователей при ликвидации IT-компании в Грузии?
При ликвидации IT-компании в Грузии оператор персональных данных обязан до завершения ликвидации либо удалить данные пользователей, либо передать их правопреемнику с уведомлением субъектов данных - это требование статьи 19 Закона о персональных данных Грузии. Передача данных третьему лицу (покупателю активов, новому оператору) требует отдельного правового основания: как правило, согласия субъектов или законного интереса. Ликвидационная комиссия несёт ответственность за соблюдение требований закона до момента исключения компании из реестра NAPR. Нарушение порядка обращения с данными при ликвидации влечёт административную ответственность ликвидаторов. Для VASP-операторов дополнительно применяются требования AML-закона: данные KYC должны храниться 5 лет с момента завершения деловых отношений, что означает необходимость передачи этих данных уполномоченному хранителю даже после ликвидации компании.
Защита персональных данных в Грузии - не формальность и не отложенный вопрос. Грузинское законодательство применяет экстерриториальный принцип, ГИПД активно использует проверочные полномочия, а для финтех-операторов требования AML и data protection образуют единую регуляторную среду, в которой ошибка в одной части влечёт нарушение в другой. Выстроить compliance-структуру до запуска обработки данных дешевле и быстрее, чем устранять нарушения под давлением предписания.
Юридическая фирма Inter Law Firm сопровождает IT-компании и финтех-операторов в Грузии по вопросам защиты персональных данных, compliance перед NBG и ГИПД, а также структурирования обработки данных при трансграничных операциях. Мы можем помочь с аудитом текущей архитектуры обработки данных, подготовкой пакета документов для уведомления ГИПД, разработкой Privacy Policy и DPA, а также сопровождением при проверках регулятора.
Чтобы получить чек-лист документов для data compliance IT-компании или финтех-оператора в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы обсудить compliance-структуру для вашей платформы в Грузии?Юристы Inter Law Firm проведут правовой анализ архитектуры обработки данных и предложат стратегию с учётом требований ГИПД, NBG и грузинского законодательства. Без гарантий результата - с чёткими сроками и конкретным планом действий.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 2 мая 2026 года