Закон Грузии «О защите персональных данных» (პერსონალურ მონაცემთა დაცვის შესახებ კანონი, далее - Закон о данных) устанавливает обязательные требования к сбору, хранению и обработке персональных данных физических лиц. По состоянию на май 2026 года надзор осуществляет Инспектор по защите персональных данных (პერსონალურ მონაცემთა დაცვის ინსპექტორი, PDPO) - независимый государственный орган с полномочиями проводить проверки, выносить предписания и налагать штрафы. Для IT-компаний, финтех-сервисов и VASP, работающих в Грузии, несоблюдение требований Закона о данных влечёт административную ответственность и репутационные потери.
Статья разбирает: кто является оператором данных по грузинскому праву, какие обязанности возникают при запуске IT-продукта или финтех-сервиса, как устроен надзор PDPO, каковы риски при трансграничной передаче данных и что делать при утечке. Материал ориентирован на основателей IT-компаний, финтех-стартапов, VASP и платёжных сервисов с операционным присутствием в Грузии.
Закон о данных распространяется на любое лицо - физическое или юридическое, - которое обрабатывает персональные данные граждан Грузии или лиц, находящихся на территории страны. Обработка включает сбор, хранение, передачу, изменение и уничтожение данных. Для IT-компании или финтех-сервиса, зарегистрированных в Грузии или обслуживающих грузинских пользователей, требования Закона о данных применяются в полном объёме вне зависимости от того, где физически расположены серверы.
Статья 4 Закона о данных определяет оператора данных (მონაცემთა დამუშავებელი) как лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки данных. Это ключевое разграничение: если IT-компания обрабатывает данные по поручению клиента (например, предоставляет SaaS-платформу), она может выступать обработчиком, а не оператором. Разница существенна: оператор несёт основную регуляторную нагрузку, обработчик - производную.
На практике большинство IT-продуктов, работающих с конечными пользователями, квалифицируются как операторы данных. Финтех-сервисы, VASP и платёжные системы обрабатывают особо чувствительные категории данных - финансовые сведения, идентификационные документы, биометрию при KYC-верификации. Статья 6 Закона о данных устанавливает для таких категорий повышенные требования: обработка допустима только при наличии явного согласия субъекта или прямого указания закона.
Частая ошибка основателей финтех-стартапов - предположение, что регистрация компании в статусе Virtual Zone (VZ) освобождает от требований Закона о данных. Это не так: налоговые льготы VZ не влияют на обязанности в сфере защиты данных. Компания с VZ-статусом, обслуживающая пользователей на территории Грузии, обязана соблюдать Закон о данных в полном объёме.
Чтобы получить чек-лист требований PDPO для запуска финтех-сервиса в Грузии, отправьте запрос на info@interlawfirm.ru
Оператор данных по грузинскому законодательству обязан выполнить ряд требований до начала обработки персональных данных. Статья 7 Закона о данных закрепляет принципы обработки: законность, справедливость, прозрачность, ограничение цели, минимизация данных, точность, ограничение хранения и целостность. Нарушение любого из принципов - самостоятельное основание для предписания PDPO.
Основные обязанности оператора включают:
Для финтех-компаний и VASP требования пересекаются с AML/KYC-обязанностями: данные, собранные в рамках идентификации клиента, обрабатываются одновременно по двум правовым основаниям - Закону о данных и Закону Грузии «О содействии предотвращению отмывания денег». Это создаёт коллизию сроков хранения: AML-требования предписывают хранить KYC-документы не менее 5 лет, тогда как принцип минимизации данных требует удалять их по истечении необходимости. Грузинская практика PDPO решает эту коллизию в пользу специального закона: AML-срок хранения имеет приоритет, но по его истечении данные подлежат уничтожению.
Чек-лист: что подготовить до запуска IT-продукта или финтех-сервиса в Грузии
Компании из Тбилиси (зима 2025) помогли разработать полный пакет документации по защите данных для VASP-платформы перед подачей заявки на регистрацию в Национальном банке Грузии (ეროვნული ბანკი, NBG). Отсутствие политики конфиденциальности и реестра операций было выявлено на этапе due diligence - подготовка документации заняла три недели и позволила избежать задержки в рассмотрении заявки NBG.
Описанный перечень - базовый. Конкретный состав документации зависит от категорий обрабатываемых данных, масштаба обработки и наличия трансграничной передачи. Ошибка в квалификации оснований обработки на старте влечёт необходимость переработки всей документации после запуска - с риском предписания PDPO в переходный период.
Запускаете финтех-сервис или VASP-платформу в Грузии? Требования NBG и PDPO пересекаютсяЕсли вы планируете лицензирование в NBG или регистрацию VASP в Грузии, соответствие требованиям Закона о данных - обязательное условие. Юристы Inter Law Firm разработают политику конфиденциальности, реестр операций и процедуры реагирования на инциденты, а также проверят документацию на соответствие требованиям PDPO и NBG.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Инспектор по защите персональных данных Грузии проводит плановые и внеплановые проверки операторов данных, рассматривает жалобы субъектов и выносит обязательные предписания. По состоянию на 2026 год PDPO активизировал надзор в отношении IT-компаний и финансовых сервисов - в первую очередь в части законности оснований обработки и соблюдения прав субъектов данных. Штрафы за нарушения Закона о данных составляют от 500 до 5 000 лари за отдельное нарушение; повторные нарушения и нарушения, повлёкшие ущерб субъектам, влекут увеличенные санкции.
Надзорный процесс включает несколько стадий. При поступлении жалобы или по результатам плановой проверки PDPO направляет оператору запрос о предоставлении документов и объяснений. Срок ответа - как правило, 10-20 рабочих дней. По итогам рассмотрения PDPO вправе: вынести предписание об устранении нарушений, наложить административный штраф, потребовать прекращения обработки данных или их уничтожения.
Для IT-компаний и финтех-сервисов наиболее распространённые основания для предписаний PDPO в грузинской практике:
В отличие от европейского GDPR, грузинский Закон о данных не предусматривает оборотных штрафов (процент от выручки). Это снижает максимальный размер санкций, но не устраняет репутационный риск: решения PDPO публикуются в открытом реестре, что критично для финтех-компаний, проходящих due diligence перед привлечением инвестиций или партнёрством с банками.
Неочевидный риск для VASP: Национальный банк Грузии при рассмотрении заявки на регистрацию запрашивает подтверждение соответствия требованиям Закона о данных. Наличие открытого предписания PDPO или незакрытой жалобы может стать основанием для приостановки рассмотрения заявки NBG.
Трансграничная передача персональных данных из Грузии в третьи страны регулируется статьёй 22 Закона о данных. Передача допустима, если страна-получатель обеспечивает адекватный уровень защиты данных - либо на основании решения PDPO о признании страны «безопасной», либо при наличии дополнительных гарантий: стандартных договорных условий, обязательных корпоративных правил или явного согласия субъекта. Передача данных в страны без адекватного уровня защиты без дополнительных гарантий является нарушением Закона о данных.
Для IT-компаний с распределённой инфраструктурой это означает следующее: использование облачных сервисов (AWS, Google Cloud, Azure) с серверами за пределами Грузии квалифицируется как трансграничная передача данных. Стандартная практика - заключение Data Processing Agreement (DPA) с облачным провайдером, включающего стандартные договорные условия, признаваемые PDPO достаточной гарантией.
Финтех-компании и VASP, передающие KYC-данные зарубежным партнёрам по AML-комплаенсу, должны обеспечить правовое основание для каждой такой передачи. Ссылка на AML-обязанность как основание передачи данных работает только при наличии прямого указания в грузинском законодательстве или международном договоре - произвольное расширение этого основания PDPO не принимает.
Компании из Батуми (осень 2024) помогли структурировать трансграничную передачу данных пользователей на серверы европейского партнёра. Первоначальная схема не предусматривала DPA с партнёром и опиралась на согласие пользователей, сформулированное в общих условиях сервиса. После анализа документации была разработана отдельная форма согласия и заключён DPA со стандартными договорными условиями - это позволило устранить риск предписания PDPO до начала операционной деятельности.
Чтобы получить чек-лист комплаенс-требований по трансграничной передаче данных для IT-компаний и финтех-сервисов в Грузии, отправьте запрос на info@interlawfirm.ru
Описанные требования применяются к стандартным схемам передачи данных. Конкретная структура зависит от юрисдикции партнёра, категорий передаваемых данных и правовых оснований обработки. Ошибка в квалификации основания передачи выявляется, как правило, при внешнем аудите или в ходе проверки PDPO - когда устранение нарушения требует пересмотра уже действующих договорных отношений.
NBG запросил дополнительные документы или приостановил рассмотрение заявки? Каждый день задержки - упущенный рынокЕсли PDPO направил запрос, вынес предписание или если вы обнаружили несоответствие в документации по защите данных - юристы Inter Law Firm проведут аудит текущего состояния, подготовят ответ на запрос PDPO и разработают план устранения нарушений с учётом требований NBG и грузинского законодательства о данных.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
При обнаружении утечки персональных данных оператор обязан уведомить PDPO в течение 72 часов с момента, когда утечка стала известна. Это требование установлено статьёй 23 Закона о данных и применяется к любой утечке, которая может повлечь риск для прав и свобод субъектов данных. Если утечка затрагивает чувствительные категории данных (финансовые сведения, биометрия, идентификационные документы) - дополнительно требуется уведомление самих субъектов данных без необоснованной задержки.
Уведомление PDPO должно содержать: описание характера утечки, категории и примерное число затронутых субъектов и записей данных, вероятные последствия утечки, меры, принятые или планируемые для устранения последствий. Отсутствие уведомления или нарушение 72-часового срока - самостоятельное нарушение Закона о данных, которое рассматривается PDPO независимо от оценки самой утечки.
На практике IT-компании и финтех-сервисы в Грузии нередко квалифицируют инциденты информационной безопасности как «технические сбои», не требующие уведомления PDPO. Это ошибочная позиция: критерий для уведомления - не подтверждённый факт несанкционированного доступа, а наличие риска такого доступа. При сомнении в квалификации инцидента безопаснее направить предварительное уведомление и дополнить его по мере получения информации.
Для VASP и финтех-сервисов утечка данных создаёт двойной регуляторный риск: PDPO оценивает соответствие Закону о данных, а NBG - соответствие требованиям к операционной надёжности и управлению рисками. Параллельное взаимодействие с двумя регуляторами требует координации позиций и единой документации по инциденту.
Направления практики по теме
Да, IT-компания с Virtual Zone-статусом обязана соблюдать Закон Грузии «О защите персональных данных» в полном объёме, если она обрабатывает данные лиц, находящихся на территории Грузии. Статус Virtual Zone предоставляет налоговые льготы - освобождение от налога на прибыль и НДС при экспорте IT-услуг - и не влияет на обязанности в сфере защиты данных. Инспектор по защите персональных данных Грузии осуществляет надзор в отношении всех операторов данных на территории страны вне зависимости от их налогового режима. Компания с VZ-статусом, обслуживающая грузинских пользователей, обязана иметь политику конфиденциальности, получать согласие на обработку данных и соблюдать права субъектов данных. Штраф за нарушение составляет от 500 до 5 000 лари за отдельное нарушение.
Срок уведомления Инспектора по защите персональных данных Грузии при утечке данных составляет 72 часа с момента обнаружения инцидента - это требование статьи 23 Закона о данных. Нарушение срока является самостоятельным нарушением и рассматривается PDPO независимо от оценки самой утечки: то есть даже если утечка была незначительной, просрочка уведомления влечёт отдельное предписание и штраф. Для финтех-компаний и VASP нарушение срока уведомления дополнительно фиксируется Национальным банком Грузии как нарушение требований к операционной надёжности, что может повлиять на статус лицензии или регистрации. При утечке чувствительных данных (финансовые сведения, биометрия, идентификационные документы) требуется также уведомление самих субъектов данных без необоснованной задержки.
Да, передача персональных данных пользователей облачному провайдеру с серверами за пределами Грузии квалифицируется как трансграничная передача данных по статье 22 Закона о данных и требует правового основания. Стандартное решение - заключение Data Processing Agreement со стандартными договорными условиями, признаваемыми Инспектором по защите персональных данных Грузии достаточной гарантией. Ссылка на пользовательское соглашение или общие условия сервиса как на согласие субъекта на трансграничную передачу данных PDPO, как правило, не принимает: согласие должно быть явным, конкретным и информированным. Для финтех-компаний, передающих KYC-данные зарубежным партнёрам, каждая такая передача должна иметь отдельное правовое основание - ссылка на AML-обязанность работает только при прямом указании в грузинском законодательстве или международном договоре.
Грузинский Закон о данных концептуально близок к GDPR, но имеет существенные отличия в части санкций и процедур. Главное отличие: грузинский закон не предусматривает оборотных штрафов (до 4% от мирового оборота, как в GDPR) - максимальный штраф PDPO составляет 5 000 лари за отдельное нарушение. Это снижает финансовый риск, но не устраняет репутационный: решения PDPO публикуются в открытом реестре. Грузинский закон не содержит требования о назначении Data Protection Officer для всех операторов - обязанность возникает только при обработке данных в крупном масштабе или при обработке чувствительных категорий. Кроме того, грузинское законодательство не предусматривает механизма «единого окна» для трансграничных операторов: каждая юрисдикция применяется отдельно. Для компаний, уже соответствующих GDPR, адаптация к грузинским требованиям, как правило, занимает от двух до четырёх недель.
Инспектор по защите персональных данных Грузии инициирует внеплановую проверку IT-компании на основании жалобы субъекта данных, информации от третьих лиц или по собственной инициативе при наличии признаков нарушения Закона о данных. Жалоба субъекта - наиболее частое основание: пользователь, получивший отказ в удалении данных или обнаруживший несанкционированное использование своих данных, вправе обратиться в PDPO напрямую. Срок рассмотрения жалобы PDPO - до 30 рабочих дней. После получения запроса PDPO оператор обязан предоставить документы и объяснения в течение 10-20 рабочих дней. Отсутствие политики конфиденциальности, реестра операций или документации по согласию на обработку данных при проверке автоматически квалифицируется как нарушение - даже если фактической утечки или ущерба субъектам не было.
Грузинский Закон о данных создаёт реальную регуляторную нагрузку для IT-компаний и финтех-сервисов: требования к документации, согласиям, трансграничной передаче и реагированию на инциденты применяются с момента начала обработки данных, а не с момента первой проверки. Для VASP и финтех-сервисов соответствие Закону о данных - одновременно требование PDPO и условие для работы с NBG.
Юридическая фирма Inter Law Firm сопровождает IT-компании, финтех-стартапы и VASP в Грузии по вопросам защиты персональных данных: разработка документации, аудит соответствия требованиям PDPO, подготовка к проверкам и реагирование на инциденты. Мы можем помочь с оценкой текущего состояния комплаенса, разработкой политики конфиденциальности и DPA, а также с сопровождением при взаимодействии с PDPO и NBG.
Чтобы получить чек-лист требований PDPO и NBG для IT-компаний и финтех-сервисов в Грузии, отправьте запрос на info@interlawfirm.ru
Готовы к проверке PDPO или запуску финтех-сервиса в Грузии?Юристы Inter Law Firm проведут аудит соответствия требованиям Закона о данных, разработают необходимую документацию и подготовят компанию к взаимодействию с PDPO и NBG. Без гарантий результата - с конкретным планом действий.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 9 мая 2026 года