Аналитика
it

Защита персональных данных в Грузии: требования к IT-компаниям и ответственность за нарушения

Закон Грузии «О защите персональных данных» (პერსონალური მონაცემების დაცვის შესახებ კანონი, далее - PDPA) регулирует сбор, хранение и обработку персональных данных физических лиц на территории Грузии. Надзор осуществляет Инспектор по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექტორი). По состоянию на май 2026 года закон распространяется на все компании, обрабатывающие данные граждан и резидентов Грузии, - включая иностранные IT-компании и стартапы в статусе Virtual Zone, если их продукты или сервисы направлены на грузинский рынок или используют данные, собранные на территории страны.

Для финтех-компаний, VASP, платёжных сервисов и IT-стартапов в Грузии несоблюдение PDPA - это не абстрактный риск. Инспектор проводит как плановые, так и внеплановые проверки; штрафы достигают 5 000 лари за одно нарушение, а систематические нарушения влекут приостановку обработки данных - что для работающего сервиса равнозначно операционной остановке. Статья разбирает: кто обязан соблюдать PDPA, какие требования предъявляются к IT-компаниям, как проходят проверки Инспектора, какова ответственность и как выстроить комплаенс без избыточных затрат.

Кто обязан соблюдать грузинский закон о защите персональных данных?

Закон Грузии о защите персональных данных распространяется на любое физическое или юридическое лицо, которое обрабатывает персональные данные граждан или резидентов Грузии, - вне зависимости от места регистрации компании. Критерий применимости - не юрисдикция регистрации, а место обработки данных или целевая аудитория сервиса. Компания, зарегистрированная в ЕС или на Кипре, но предоставляющая услуги пользователям в Грузии, подпадает под действие PDPA в части данных этих пользователей.

Для IT-компаний в Грузии ключевое разграничение - между контролёром данных (тот, кто определяет цели и способы обработки) и обработчиком данных (тот, кто обрабатывает данные по поручению контролёра). Оба несут обязанности по PDPA, но объём требований различается. Финтех-платформа, собирающая KYC-данные пользователей, - контролёр. Облачный провайдер, хранящий эти данные по договору, - обработчик. Договор между ними должен содержать обязательные условия, предусмотренные статьёй 5 PDPA: цели обработки, перечень данных, меры безопасности, порядок уничтожения.

На практике важно учитывать, что в Грузии статус Virtual Zone (VZ) не освобождает от требований PDPA. Частая ошибка основателей IT-стартапов - предположение, что VZ-статус создаёт регуляторный «пузырь» и компания работает исключительно по международным стандартам. Это не так: PDPA применяется к любой обработке данных на территории Грузии или данных грузинских пользователей, независимо от налогового режима компании.

Персональными данными по PDPA признаётся любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо: имя, email, IP-адрес, данные геолокации, идентификаторы устройств, биометрические данные. Для финтех-компаний и VASP особую категорию составляют финансовые данные и данные об операциях - они обрабатываются с повышенными требованиями к безопасности по статье 7 PDPA.

Чтобы получить чек-лист требований PDPA для запуска IT-компании или финтех-сервиса в Грузии, отправьте запрос на info@interlawfirm.ru

Какие обязанности PDPA критичны для финтех-компаний и VASP в Грузии?

Финтех-компании и VASP в Грузии обязаны выполнить шесть базовых требований PDPA до начала обработки персональных данных: определить правовое основание обработки, разработать политику конфиденциальности, обеспечить права субъектов данных, выстроить процедуру реагирования на инциденты, заключить договоры с обработчиками и - при необходимости - назначить ответственного за защиту данных. Нарушение любого из этих требований является самостоятельным основанием для штрафа.

Правовые основания обработки. PDPA предусматривает несколько оснований: согласие субъекта, исполнение договора, законный интерес контролёра, выполнение правовой обязанности. Для финтех-компаний наиболее распространены первые два. Согласие должно быть конкретным, информированным и добровольным - предварительно проставленные галочки в форме регистрации не соответствуют требованиям статьи 5 PDPA. Согласие на обработку данных в маркетинговых целях должно быть отделено от согласия на исполнение договора.

Права субъектов данных. Пользователь вправе запросить доступ к своим данным, потребовать исправления, ограничения обработки или удаления. Контролёр обязан ответить в течение 10 рабочих дней. Для платёжных сервисов и VASP это создаёт операционную нагрузку: необходима техническая возможность выгрузки и удаления данных конкретного пользователя без нарушения целостности системы.

Уведомление об инцидентах. При утечке персональных данных контролёр обязан уведомить Инспектора в течение 72 часов с момента обнаружения инцидента (статья 18 PDPA). Если утечка создаёт высокий риск для прав субъектов - уведомляются и сами субъекты. Для финтех-компаний, обрабатывающих финансовые данные, практически любая утечка квалифицируется как высокорисковая.

Трансграничная передача данных. Передача персональных данных грузинских пользователей за рубеж допустима в страны с «адекватным» уровнем защиты данных по перечню Инспектора, либо на основании стандартных договорных условий (статья 22 PDPA). Передача данных в облачные сервисы AWS, Google Cloud или Azure требует анализа: в каком регионе хранятся данные и соответствует ли это требованиям PDPA.

Назначение ответственного за защиту данных (DPO). PDPA не содержит прямого требования о назначении DPO для всех компаний - в отличие от GDPR. Однако для компаний, обрабатывающих данные в крупном масштабе или обрабатывающих специальные категории данных (биометрия, финансовые данные), назначение DPO является лучшей практикой и снижает регуляторный риск.

Чек-лист: что подготовить до начала обработки персональных данных

  • Определить правовое основание обработки для каждой категории данных и зафиксировать в реестре обработки
  • Разработать политику конфиденциальности на грузинском и русском языках, разместить на сайте/в приложении
  • Настроить технические процедуры для реализации прав субъектов (доступ, исправление, удаление) с соблюдением 10-рабочедневного срока
  • Заключить договоры с облачными провайдерами и субобработчиками с обязательными условиями по статье 5 PDPA
  • Разработать процедуру реагирования на инциденты с 72-часовым уведомлением Инспектора

Как проходят проверки Инспектора по защите данных в Грузии?

Инспектор по защите персональных данных Грузии вправе проводить плановые и внеплановые проверки на основании Закона Грузии о защите персональных данных. Плановые проверки включаются в ежегодный план, публикуемый на сайте Инспектора; внеплановые инициируются по жалобам субъектов данных или при наличии оснований полагать, что нарушение имело место. Срок проведения проверки - до 30 рабочих дней с возможностью продления.

В ходе проверки Инспектор вправе запрашивать документы, получать доступ к информационным системам, опрашивать сотрудников. Для IT-компании это означает необходимость поддерживать в актуальном состоянии: реестр обработки данных, политику конфиденциальности, договоры с обработчиками, журналы инцидентов и записи о согласиях пользователей. Отсутствие любого из этих документов - самостоятельное нарушение.

Неочевидный риск для финтех-компаний и VASP: Инспектор активно рассматривает жалобы пользователей, которые не могли реализовать своё право на удаление данных или не получили ответа в установленный срок. Для сервисов с большой пользовательской базой даже единичные жалобы могут инициировать внеплановую проверку всей системы обработки данных.

Компании из Тбилиси (зима 2025) - финтех-стартапу с лицензией NBG - помогли подготовиться к внеплановой проверке Инспектора, инициированной по жалобе пользователя. Первоначальный запрос документов выявил отсутствие реестра обработки и устаревшую политику конфиденциальности. За три недели до проверки подготовили полный пакет документации, реестр обработки и договоры с субобработчиками. По итогам проверки компания получила предписание об устранении незначительных нарушений без штрафных санкций.

Чтобы получить чек-лист комплаенс-требований PDPA для финтех-компаний и VASP в Грузии, отправьте запрос на info@interlawfirm.ru

Описанный порядок проверки типичен, но конкретный сценарий зависит от масштаба обработки данных, истории взаимодействия с Инспектором и наличия предшествующих жалоб. Ошибка в ответе на первый запрос документов существенно осложняет позицию компании на всех последующих этапах.

Инспектор запросил документы или пользователь подал жалобу? Сроки реагирования ограниченыЕсли Инспектор по защите данных Грузии инициировал проверку или направил запрос - юристы Inter Law Firm проанализируют основания, подготовят пакет документации и представят интересы компании в административном порядке. Ответ на запрос Инспектора без юридической подготовки нередко создаёт дополнительные основания для штрафа.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Какова ответственность за нарушение PDPA в Грузии?

Ответственность за нарушение Закона Грузии о защите персональных данных предусмотрена как административная, так и уголовная. Административный штраф за одно нарушение составляет от 500 до 5 000 лари; при повторном нарушении в течение года - до 10 000 лари. Инспектор также вправе вынести предписание о приостановлении обработки данных - для работающего сервиса это наиболее болезненная санкция.

Уголовная ответственность наступает за незаконный доступ к персональным данным, их распространение или использование в корыстных целях - статья 157 Уголовного кодекса Грузии предусматривает наказание в виде штрафа или лишения свободы на срок до трёх лет. Для руководителей и сотрудников IT-компаний это означает личную ответственность, не ограниченную корпоративной структурой.

Пропуск 72-часового срока уведомления Инспектора об утечке данных - одно из наиболее распространённых нарушений среди IT-компаний в Грузии. Для финтех-сервиса с тысячами пользователей утечка базы данных без своевременного уведомления влечёт штраф за само нарушение плюс штраф за несоблюдение процедуры уведомления - итоговая сумма может достигать 15 000-20 000 лари только по административным санкциям, не считая репутационных последствий.

В отличие от GDPR, грузинский PDPA не предусматривает штрафов в процентах от оборота компании. Это делает санкции более предсказуемыми, но не менее чувствительными для стартапа: 10 000 лари (около 3 700 USD) - существенная сумма для компании на ранней стадии, а предписание о приостановлении обработки данных фактически останавливает бизнес.

Компании из Батуми (лето 2024) - платёжному сервису с международной пользовательской базой - помогли оспорить предписание Инспектора о приостановлении обработки данных. Предписание было вынесено по результатам проверки, выявившей нарушения в процедуре получения согласий. Подготовили возражения с обоснованием принятых мер по устранению нарушений; Инспектор заменил предписание о приостановлении на штраф в размере 3 000 лари с обязательством устранить нарушения в течение 60 дней.

Как выстроить PDPA-комплаенс для IT-компании в Грузии: три сценария

Подход к PDPA-комплаенсу зависит от масштаба обработки данных, типа сервиса и стадии развития компании. Три наиболее распространённых сценария для IT-компаний в Грузии - стартап на ранней стадии, зрелый финтех-сервис и VASP с лицензией NBG - требуют разных по объёму и стоимости решений.

Сценарий 1: IT-стартап или VZ-компания на ранней стадии (когорта E, до 1 000 пользователей). Минимально необходимый комплаенс включает: политику конфиденциальности, форму согласия, базовый реестр обработки и договор с облачным провайдером. Затраты на юридическое сопровождение - от 1 500 до 3 000 лари единовременно. Риск при отсутствии: штраф до 5 000 лари при первой жалобе пользователя.

Сценарий 2: Финтех-платформа с лицензией NBG (1 000+ пользователей, финансовые данные). Требуется полный комплаенс: реестр обработки по всем категориям данных, процедура реагирования на инциденты, договоры с субобработчиками, аудит технических мер безопасности, процедура реализации прав субъектов. Рекомендуется назначение DPO или привлечение внешнего DPO-сервиса. Затраты на первоначальный аудит и постановку комплаенса - от 5 000 до 10 000 лари; ежегодное сопровождение - от 2 000 лари.

Сценарий 3: VASP или криптобиржа с международной пользовательской базой. Помимо PDPA, необходимо учитывать требования AML/KYC, которые обязывают хранить данные верификации клиентов в течение 5 лет (Закон Грузии о содействии предотвращению легализации незаконных доходов). Это создаёт коллизию с правом на удаление данных по PDPA: хранение данных для AML-целей является законным основанием, которое перекрывает требование об удалении. Необходима чёткая документация оснований хранения для каждой категории данных.

Матрица решений: если компания обрабатывает только данные сотрудников и не работает с внешними пользователями - базовый комплаенс (сценарий 1) достаточен. Если сервис направлен на конечных потребителей и обрабатывает финансовые или биометрические данные - необходим полный комплаенс (сценарий 2). Если компания подпадает под AML-регулирование NBG - сценарий 3 с разграничением оснований хранения данных обязателен.

Неочевидный риск для VASP: требования NBG по AML/KYC и требования PDPA по минимизации данных находятся в постоянном напряжении. Хранить данные «на всякий случай» нельзя - каждая категория данных должна иметь задокументированное правовое основание и срок хранения. Отсутствие такой документации - нарушение PDPA, даже если сами данные хранятся правомерно.

Направления практики по теме

Частые вопросы

1. Распространяется ли грузинский закон о защите данных на иностранную компанию, которая не имеет офиса в Грузии?

Грузинский Закон о защите персональных данных распространяется на иностранную компанию, если она обрабатывает данные граждан или резидентов Грузии, - вне зависимости от наличия офиса или регистрации в стране. Критерий применимости закреплён в статье 3 PDPA: достаточно того, что сервис направлен на пользователей в Грузии или данные собираются на территории страны. Для иностранной компании это означает необходимость назначить представителя в Грузии для взаимодействия с Инспектором, разработать политику конфиденциальности, соответствующую PDPA, и обеспечить права грузинских пользователей в полном объёме. Игнорирование этого требования создаёт риск штрафа до 5 000 лари за каждое выявленное нарушение и предписания о прекращении обработки данных грузинских пользователей.

2. Какой срок хранения персональных данных установлен грузинским законодательством для финтех-компаний?

Грузинское законодательство не устанавливает единого срока хранения персональных данных - он определяется целью обработки и применимыми специальными нормами. Для финтех-компаний и VASP действует требование Закона Грузии о противодействии легализации незаконных доходов: данные верификации клиентов (KYC) хранятся не менее пяти лет с момента завершения деловых отношений. Данные, собранные исключительно для исполнения договора, должны быть удалены после его исполнения, если иное не предусмотрено законом. Хранение данных сверх необходимого срока без правового основания является нарушением принципа минимизации данных по статье 4 PDPA и влечёт административную ответственность. Каждая категория данных должна иметь задокументированный срок хранения и основание - это базовое требование к реестру обработки.

3. Обязана ли IT-компания в Грузии уведомлять пользователей об утечке данных?

IT-компания в Грузии обязана уведомить Инспектора по защите персональных данных об утечке в течение 72 часов с момента её обнаружения - это требование статьи 18 PDPA. Уведомление пользователей обязательно, если утечка создаёт высокий риск для их прав и свобод: например, при компрометации финансовых данных, паролей или биометрических данных. Для финтех-компаний и VASP практически любая утечка данных верификации или платёжных данных квалифицируется как высокорисковая. Пропуск 72-часового срока уведомления Инспектора является самостоятельным нарушением PDPA и влечёт штраф независимо от того, были ли устранены последствия утечки. Процедура реагирования на инциденты должна быть задокументирована заранее - разрабатывать её в момент инцидента не позволяет время.

4. Чем грузинский PDPA отличается от европейского GDPR для IT-компании?

Грузинский PDPA и европейский GDPR основаны на схожих принципах, однако существенно различаются по объёму требований и санкциям. Главное отличие: GDPR предусматривает штрафы до 4% от глобального оборота компании, тогда как PDPA ограничивает максимальный штраф 10 000 лари при повторном нарушении - это делает грузинский режим значительно мягче по финансовым санкциям. GDPR обязывает назначать DPO при масштабной обработке данных; PDPA такого прямого требования не содержит. При этом PDPA не предусматривает механизма «одного окна» для трансграничных компаний - каждая юрисдикция регулируется отдельно. Для IT-компании, уже соответствующей GDPR, адаптация к PDPA занимает от двух до четырёх недель: основная работа - локализация политики конфиденциальности, анализ трансграничных передач данных и настройка процедуры уведомления Инспектора.

5. Нужно ли регистрировать обработку персональных данных в Грузии?

Грузинский PDPA не предусматривает обязательной регистрации всех обработчиков данных в реестре Инспектора - в отличие от ряда других юрисдикций. Однако контролёр обязан вести внутренний реестр обработки данных, содержащий сведения о категориях данных, целях обработки, правовых основаниях, сроках хранения и мерах безопасности. Этот реестр предоставляется Инспектору по запросу в ходе проверки. Отсутствие реестра или его неполнота - одно из наиболее часто выявляемых нарушений при проверках IT-компаний в Грузии. Для компании с несколькими продуктами или сервисами реестр должен охватывать обработку данных по каждому из них отдельно. Ведение реестра в актуальном состоянии - минимальное требование, выполнение которого существенно снижает риск штрафа при любой проверке.

Защита персональных данных в Грузии - это не только регуляторное требование, но и конкурентное преимущество для IT-компаний, работающих с международными клиентами и инвесторами. Компании, выстроившие PDPA-комплаенс до первой проверки, избегают штрафов и операционных остановок, которые для финтех-сервиса или VASP означают прямые потери выручки.

Юридическая фирма Inter Law Firm сопровождает IT-компании, финтех-стартапы и VASP в Грузии по вопросам защиты персональных данных. Мы можем помочь с аудитом текущего состояния комплаенса, разработкой политики конфиденциальности и реестра обработки, подготовкой к проверкам Инспектора и представлением интересов в административных процедурах.

Чтобы получить чек-лист PDPA-комплаенса для IT-компании или финтех-сервиса в Грузии, отправьте запрос на info@interlawfirm.ru

Запускаете финтех-сервис или VASP в Грузии и не уверены в соответствии требованиям PDPA?Юристы Inter Law Firm проведут аудит системы обработки данных, подготовят необходимую документацию и выстроят процедуры, соответствующие требованиям Инспектора по защите данных Грузии. Работаем с IT-компаниями, финтех-платформами и VASP на всех стадиях - от запуска до сопровождения проверок.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 13 мая 2026 года