Законодательство Грузии о защите данных: соответствие требованиям и обновления.

Защита персональных данных для бизнеса в Грузии 2026

Защита персональных данных для бизнеса в Грузии: что компаниям следует учитывать в 2026 году

Введение: Что изменилось 2 марта 2026 года? Со 2 марта 2026 года Служба защиты персональных данных была упразднена, а ее функции — надзор, проверки, анализ инцидентов и прием заявлений от субъектов — были переданы в Государственную контрольно-ревизионную службу. Это изменение вызывает вопросы. Служба защиты персональных данных была специализированным, отдельно созданным учреждением, в то время как основной мандат Государственной контрольно-ревизионной службы — контроль государственных финансов. Специализированная компетенция и скорость новой структуры еще предстоит проверить. Бизнесу и гражданскому сектору следует внимательно следить за этим развитием событий. Что не изменилось: Требования закона — обязанности, санкции и права субъектов — остаются в полной силе. Официальный контакт: Государственное контрольно-ревизионное управление - sao.ge

Часть I: На кого распространяется действие закона?

Закон «О защите персональных данных» распространяется на всех лиц или организации, которые обрабатывают данные на территории Грузии с использованием автоматизированных или полуавтоматизированных средств; или находятся за пределами Грузии, но обрабатывают местные данные с использованием технических средств, доступных в Грузии. Это означает, что закон распространяется на: все компании, учреждения, где обрабатываются персональные данные человека. Видео- и аудиомониторинг. Исключение: полностью личная и семейная деятельность физического лица, не связанная с предпринимательской или профессиональной деятельностью. Кроме того, закон не распространяется на обработку персональных данных юридического лица. В центре внимания закона находятся персональные данные физического лица.

8 мин·

Защита персональных данных для бизнеса в Грузии 2026

РАЗДЕЛ 1: ПЕРЕВЕДЕННЫЙ ДОКУМЕНТ

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ БИЗНЕСА В ГРУЗИИ: ЧТО НЕОБХОДИМО УЧИТЫВАТЬ КОМПАНИИ В 2026 ГОДУ

Введение: что изменилось «2» марта 2026 г.?

С «2» марта 2026 г. Служба защиты персональных данных была упразднена, а её функции — надзор, проверки, рассмотрение инцидентов и прием заявлений от субъектов данных — были переданы Службе государственного аудита.

Данное изменение вызывает открытые вопросы. Служба защиты персональных данных являлась специализированным, отдельно учрежденным органом, тогда как основным мандатом Службы государственного аудита является контроль государственных финансов. Специализированная компетенция и оперативность новой структуры ещё подлежат проверке на практике. Представители бизнеса и гражданского общества должны внимательно следить за развитием данной ситуации.

Что осталось неизменным: требования Закона — обязательства, штрафы и права субъектов данных — остаются в полной силе.

Официальный контакт: Служба государственного аудита — sao.ge

ЧАСТЬ I. НА КОГО РАСПРОСТРАНЯЕТСЯ ДЕЙСТВИЕ ЗАКОНА?

Закон «О защите персональных данных» (далее — «Закон») применяется к любому лицу или организации, которые:

обрабатывают данные на территории Грузии автоматическими или полуавтоматическими средствами;
либо учреждены за пределами Грузии, но обрабатывают местные данные с использованием технических средств, расположенных на территории Грузии.

Это означает, что Закон применяется ко всем компаниям и учреждениям, в которых осуществляется обработка персональных данных физического лица. Сюда также относится видео- и аудиомониторинг.

Исключение: исключительно личная и бытовая деятельность физического лица, не имеющая связи с предпринимательской или профессиональной деятельностью. Кроме того, действие Закона не распространяется на обработку персональных данных юридического лица. Предметом регулирования Закона являются персональные данные физического лица.

ЧАСТЬ II. ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?

Стандартные персональные данные

Имя, фамилия, личный идентификационный номер, адрес электронной почты, номер телефона, IP-адрес, идентификаторы файлов cookie, данные геолокации, номера счетов.

Данные особой категории

Закон относит к особой категории данные, касающиеся:

состояния здоровья и психического состояния;
расового или этнического происхождения;
политических взглядов, религии, философских убеждений;
членства в профессиональных союзах;
интимной жизни и сексуальной ориентации;
биометрических и генетических данных (изображение лица, дактилоскопические данные);
судимости, осуждения и оправдания.

⚠️ Практическое предупреждение: видеомониторинг, используемый для биометрической идентификации лица (например, системы распознавания лиц), представляет собой данные особой категории, и его непосредственное использование в учреждении сопряжено со значительными рисками.

ЧАСТЬ III. 7 ПРИНЦИПОВ ОБРАБОТКИ ДАННЫХ

Данные принципы являются «основой» Закона — все остальные обязательства строятся на этом фундаменте:

Принцип	Практическое значение
1. Законность, справедливость, прозрачность	Данные обрабатываются на законных основаниях, информированным образом
2. Ограничение цели	Сбор осуществляется только для конкретной, четко определённой цели
3. Минимизация	Обрабатываются только те данные, которые действительно необходимы для достижения цели
4. Точность	Данные должны быть достоверными и актуализированными
5. Ограничение срока хранения	По истечении срока — удаление или обезличивание
6. Безопасность	Принятие технических и организационных мер
7. Подотчетность (Ответственность)	Бизнес обязан самостоятельно доказывать соблюдение требований

Наиболее часто нарушаемый принцип на практике: компании не ограничивают хранение персональных данных сроком, предусмотренным для достижения конкретной цели, и не удаляют их даже после истечения указанного срока. Кроме того, они обрабатывают больше данных, чем им необходимо.

ЧАСТЬ IV. ПРАВОВЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ДАННЫХ

Любая обработка должна опираться на одно из следующих оснований.

Для стандартных данных

Согласие — должно быть конкретным, информированным и добровольным. Субъект данных вправе отозвать его в любое время. Согласие считается полученным только посредством активного действия субъекта данных.
Исполнение договора — применяется в случаях, когда обработка непосредственно необходима для исполнения договора, заключённого с субъектом данных. Важно отметить: данное основание не применяется автоматически к дополнительной обработке — например, в маркетинговых целях; для последней требуется отдельное основание.
Юридическое обязательство — применяется в случаях, когда обработка является прямым требованием законодательства (например, Налогового кодекса, Трудового кодекса).
Защита жизненно важных интересов — узкое, исключительное основание, которое в основном применяется в ситуациях оказания неотложной медицинской помощи, когда субъект данных физически или юридически не в состоянии выразить согласие. На практике оно неприменимо для коммерческих целей.
Общественный интерес — основание, в первую очередь предназначенное для государственных учреждений.
Законный интерес — лицо, ответственное за обработку данных, или третье лицо может иметь обоснованный интерес в обработке данных при условии, что этот интерес преобладает над основными правами и интересами субъекта данных. Непосредственная оценка вышеизложенного является достаточно сложной задачей и требует предварительного изучения полной документации.

Для данных особой категории

Обработка данных этой категории по умолчанию запрещена, за исключением случаев, прямо предусмотренных Законом. Наиболее часто используемым основанием является письменное согласие, которое отличается от стандартного согласия: устного или подразумеваемого согласия недостаточно — Закон требует подписанной или электронной формы.

ЧАСТЬ V. ОСНОВНЫЕ ОБЯЗАТЕЛЬСТВА БИЗНЕСА

1. Прозрачность и предоставление информации

Наличие политики обработки персональных данных является обязательным, однако она не может заменить собой краткое и понятное уведомление в момент сбора данных. При заполнении формы или открытии счёта субъект данных должен получить информацию о следующем:

кто обрабатывает данные;
для какой цели они обрабатываются;
на каком правовом основании;
контактные данные инспектора по защите данных (если таковой назначен);
получатели данных (третьи лица, страны-получатели при трансграничной передаче);
срок хранения;
права субъекта данных.

Важные аспекты, требующие внимания: практический контрольный список для бизнеса

Соблюдение требований Закона начинается не с юридических документов, а с простых вопросов: что вы обрабатываете, почему и как. Ниже приведены вопросы, которые обязана проверить каждая компания.

Инвентаризация данных. Проверьте, какими категориями персональных данных вы располагаете — данными клиентов, сотрудников, посетителей. Выясните, где они хранятся (на локальном сервере, в облаке, в электронной почте), кто имеет к ним доступ и, что особенно важно — в течение какого срока. Данные, которые хранятся сверх установленного срока, представляют собой нарушение Закона. Если невозможно определить конкретный срок, должна быть определена конкретная цель, для достижения которой хранятся данные, и после достижения указанной цели они должны быть удалены и/или сохранены в обезличенном виде.

Видеомониторинг. Если в компании используются видеокамеры, Закон устанавливает строгие требования: должна быть определена цель видеозаписи, субъекты данных должны быть проинформированы посредством видимого предупреждающего знака, а срок хранения записи должен быть фиксированным. Особая осторожность требуется, если камера ведет наблюдение за рабочим местом — в таком случае требуется дополнительное основание. Аргумент о том, что видеомониторинг в рабочем пространстве необходим исключительно для проверки эффективности работы сотрудников, является необоснованным.

Аудиомониторинг. Вышеупомянутое является весьма чувствительным аспектом и влечет за собой риски. Компания должна учитывать, что аудиомониторинг допускается в следующих случаях: а) с согласия субъекта данных; б) для ведения протокольной записи; в) для защиты существенного законного интереса лица, ответственного за обработку (далее — «Контролер»), при условии, что определены надлежащие и конкретные меры по защите прав и интересов субъекта данных; г) в иных случаях, прямо предусмотренных законодательством Грузии. Таким образом, в случае возникновения желания осуществлять аудиомониторинг компании рекомендуется получить подробную консультацию

Прямой маркетинг. Проверьте, на каком основании вы рассылаете рекламные SMS-сообщения или электронные письма. Базы данных, «когда-то собранной» или «купленной напрямую», недостаточно. Требуется предварительное, отзываемое согласие. Кроме того, если согласие не было получено от конкретного лица и оно отказалось от обработки данных в целях прямого маркетинга, игнорирование вышеизложенного повлечет за собой наложение санкций.

Информирование сотрудников. Наиболее частой «уязвимостью» в защите персональных данных является человеческий фактор. В обязательном порядке каждый сотрудник должен пройти обучение и быть проинформирован как об обработке его персональных данных, так и о политике компании, существующей в данном направлении.

РАЗДЕЛ 2: ПРИМЕЧАНИЯ ПЕРЕВОДЧИКА

Принцип «Accountability» (Подотчетность / Ответственность): В оригинальном тексте присутствует примечание о том, что грузинский термин буквально означает "liability/responsibility", но концептуально соответствует принципу "Accountability". В российской юридической практике в сфере защиты персональных данных этот принцип переводится как «Подотчетность» (в контексте GDPR и аналогичных законов). Для сохранения обоих смыслов в переводе использована формулировка «Подотчетность (Ответственность)».
«Legitimate interest» (Законный интерес): Примечание в оригинале указывает, что грузинское слово «ჭარბობს» означает «outweighs/prevails over». В переводе использован стандартный юридический оборот «преобладает над» (соответствует формулировке «интерес преобладает над основными правами и интересами субъекта данных»).
Термин «Controller» (Контролер): В абзаце «Аудиомониторинг» термин «person responsible for processing» [Controller (დამუშავებისთვის პასუხისმგებელი პირი)] переведен с введением сокращения (далее — «Контролер») согласно устоявшейся терминологии в сфере защиты персональных данных.
Отсутствие точки в конце абзаца об аудиомониторинге: В соответствии с прямым указанием в исходном тексте («Translator's note: The original text ends abruptly without terminal punctuation; translated as written»), перевод предложения об аудиомониторинге также оставлен без завершающего знака препинания (точки).
Встроенные в исходный текст комментарии переводчика на английском языке (в квадратных скобках) были учтены при формировании перевода, но исключены из самого итогового документа для сохранения его официально-делового стиля и читабельности, и перенесены в данный блок примечаний.

Не уверены, что это нужная услуга?

Расскажите о ситуации — мы направим вас в нужную сторону.

Найти специалиста

Найдите подходящего эксперта

Читать по теме

ChatGPT пишет — юрист считает: кто на самом деле владеет вашим контентом в 2026 году

1. Можно ли считать ИИ, подобный ChatGPT, автором произведения согласно грузинскому законодательству?

Нет, согласно грузинскому Закону об авторском праве и смежных правах, авторское право принадлежит только физическому лицу (человеку), чья интеллектуально-творческая деятельность привела к созданию произведения. Системы ИИ не могут быть авторами, поэтому контент, созданный ИИ, не имеет автоматической защиты авторских прав, предоставляемой произведениям, созданным людьми.

2. Кому принадлежит результат работы ChatGPT, и могу ли я использовать его в коммерческих целях?

В соответствии с Условиями использования OpenAI, сгенерированный результат принадлежит пользователю (с оговорками, такими как право OpenAI использовать входные данные для улучшения модели). Коммерческое использование разрешено при соблюдении правил платформы, но могут существовать юридические риски, такие как плагиат или отсутствие оригинальности.

3. Каковы основные юридические риски при использовании контента, созданного ИИ?

Основные риски включают в себя отсутствие оригинальности, ведущее к плагиату или нарушению авторских прав (если произведение основано на охраняемых авторским правом произведениях), потенциальные споры об авторстве со стороны клиентов, а также меняющуюся международную практику (например, Бюро по авторским правам США требует значительного участия человека для защиты произведения). Каждое произведение требует индивидуального анализа.

ციფრული და ჭკვიანი ხელშეკრულებების არსი და მათი თანაკვეთა

Can Artificial Intelligence Be an Author?

The involvement of Artificial Intelligence (AI) can transcend the outcomes predetermined by a user; consequently, AI itself could be perceived as an author, given that modern AI possesses the capability to create works without human intervention. This theory is quite provocative, as it directly contradicts the standard definition of authorship, according to which an author is a natural person through whose intellectual-creative activity a work is produced. It is important to note that the primary-and perhaps only-advantage of machine authorship is that it aligns with the core logic of intellectual property rights, which dictates that the creator is the author.

Новые Концепции Цифрового Права: Большие Данные (Big Data), Комплексная Экосистема Больших Данных (BDCE) и Финтех (FinTech)

Правовое регулирование цифровой экономики требует понимания технологических основ, определяющих развитие финансового и делового секторов. Данный анализ выделяет четыре ключевых столпа для юристов: Большие данные (Big Data): значительные объемы разнородных цифровых данных, фактов и неограниченных действий, собираемых с высокой скоростью. Они характеризуются обработкой в реальном времени с помощью передовых аналитических алгоритмов. Комплексная экосистема больших данных (BDCE): ИТ-инфраструктура, состоящая из интегрированных систем сбора, хранения и использования данных. Она объединяет владельцев данных, облачных провайдеров и академические институты в единую инфраструктуру. Архитектура данных: компонент BDCE, определяющий способы обработки, хранения и интеграции данных для целей организации. Она служит концептуальной моделью для управления данными, контроля их жизненного цикла и обеспечения безопасности. Финтех и большие персональные данные: финансовые технологии используют большие данные, ИИ и технологии распределенного реестра (DLT) для предоставления услуг на базе платформ. Этот процесс генерирует «большие персональные данные» — личную информацию, созданную или обработанную внутри этих сложных экосистем.

The Intersection of Big Data and Market Competition in Georgia

In today's fast-moving digital economy, the lines between where we bank and where we shop, work, and live are becoming increasingly blurred. In Georgia, this evolution has reached a critical tipping point as the nation's two largest financial giants—TBC Group and Lion Finance Group PLC (formerly Bank of Georgia Group)—have successfully built sprawling "digital ecosystems" that touch almost every aspect of a citizen's daily life. From buying a car on MyAuto to managing a small business with Optimo, these platforms are no longer just apps; they have become the "gatekeepers" of the Georgian digital marketplace. While this integration offers undeniable convenience, it raises a profound structural question for our market: What happens when the people who hold our money also hold all of our data?