Защита персональных данных в Грузии: актуальные требования и международные стандарты

на основании законодательства Грузии по состоянию на 29.01.2025г.
29 января 2025
Ана Бакрадзе

1. Введение

Грузия, следуя общемировым тенденциям, активно совершенствует национальное законодательство, направленное на соблюдение прав субъектов данных и предотвращение утечек. С 2023 года в закон «О защите персональных данных» внесли ряд поправок, которые вступили в силу в 2024-м, и в настоящее время отрасль функционирует в обновлённом правовом поле.


Данный обзор поможет понять основные нормы закона, требования к компаниям и план проверок, опубликованный Службой защиты персональных данных (далее — Служба) на
2025 год. Мы рассмотрим практические аспекты, затронем тему крупных утечек в Грузии и
сравним местное регулирование с практиками ЕС, США и России.

2. Правовое регулирование защиты персональных данных в Грузии: актуальная ситуация в 2025 году

2.1. Краткий обзор изменений 2023–2024 годов

Начиная с 2023 года, Грузия внедрила поправки к закону «О защите персональных данных». Основные положения вступили в силу в марте и июне 2024-го, и сегодня их уже в полной
мере применяют бизнес и госорганы.

Среди важных изменений:
  • Установлена обязанность назначать офицера по защите персональных данных (DPO) в ряде организаций;
  • Ужесточены требования к согласию на рекламные и маркетинговые рассылки;
  • Чётко регламентированы штрафные санкции, привязанные к обороту компаний;
  • Уточнены полномочия Службы, которая вправе проводить плановые и внеплановые проверки, а также накладывать штрафы уже при первом выявленном нарушении.
Новых поправок в 2025 году не принятo, однако практика применения закона показывает, что Служба усилила надзорную деятельность, особенно на фоне участившихся случаев утечки данных.

2.2. Основные принципы обработки данных

Грузинское законодательство предусматривает шесть базовых принципов, которые должны
соблюдаться при сборе и использовании персональных данных:
  1. Законность, прозрачность, справедливость. Обработка допускается только при наличии законных оснований и должна быть понятна субъекту данных.
  2. Ограничение целей. Данные собираются исключительно для заранее определённых целей;
  3. Минимизация. Объём обрабатываемой информации должен быть минимально необходимым;
  4. Точность и актуальность. Операторам следует регулярно обновлять информацию и устранять неточности.
  5. Ограничение сроков хранения. По достижении целей обработки данные уничтожаются или обезличиваются.
  6. Безопасность. Компании и госорганы обязаны принимать технические и организационные меры, предотвращающие несанкционированный доступ, утечку или искажение данных.
2.3. Обязательный офицер по защите персональных данных (DPO)

2.3.1. Кто такой офицер по защите персональных данных

Офицер по защите персональных данных (Data Protection Officer, DPO) — специалист,
назначаемый организацией для контроля соблюдения требований закона и защиты прав
субъектов данных. Он проверяет выполнение внутренних политик и дает рекомендации по устранению нарушений, обеспечивает взаимодействие с регулятором и своевременную реакцию на инциденты, связанные с безопасностью персональных данных.

2.3.2. Основные обязанности DPO

Закон и подзаконные акты закрепляют за офицером следующие ключевые функции:
  • Мониторинг соблюдения законодательства и внутренних политик. Офицер следит, чтобы все процессы обработки соответствовали как нормам грузинского права, так и корпоративным стандартам;
  • Участие в подготовке документов по рискам. DPO помогает выявлять и оценивать риски, связанные с обработкой данных, контролирует исполнение внутренних инструкций;
  • Обучение и консультирование сотрудников. Офицер организует тренинги, разъясняет права и обязанности сотрудников в сфере защиты данных;
  • Взаимодействие со Службой. При проверках или запросах со стороны регулятора DPO является контактным лицом, даёт разъяснения и отвечает за передачу документов;
  • Обработка запросов субъектов. Если гражданин хочет реализовать свои права (на доступ, удаление, исправление и т. д.), именно офицер координирует этот процесс.

2.3.3. В каких случаях предприниматели обязаны иметь DPO

Согласно изменениям в законодательстве, назначение офицера по защите данных обязательно для:
  • Государственных учреждений;
  • Страховых организаций;
  • Коммерческих банков;
  • Микрофинансовых организаций;
  • Кредитных бюро;
  • Компаний электронных коммуникаций (операторов телефонной связи, интернет- провайдеров и т. д.);
  • Авиакомпаний и аэропортов;
  • Медицинских учреждений;
  • Лиц, обрабатывающих большой объём данных (более 3 % от всего населения Грузии или свыше 1 % данных *особой категории);
  • Лиц, осуществляющих **систематический и широкомасштабный мониторинг.

*Особые категории данных включают расовую и этническую принадлежность, политические и религиозные убеждения, состояние здоровья, биометрические данные и прочие сведения, потенциально затрагивающие права и свободы граждан.

**Систематическим и широкомасштабным мониторингом считается:
  • Отслеживание активности в интернете (треккинг, создание профилей пользователей);
  • Профайлинг или присвоение баллов для оценки рисков;
  • Мониторинг поведения детей (в детских садах, школах, университетах) или иных категорий граждан;
  • Поведенческая реклама (основанная на сборе и анализе действий пользователя).

2.4. Согласие на рекламные рассылки и другие аспекты

Закон требует получать явное согласие от субъектов данных перед отправкой любых маркетинговых сообщений (email, SMS, мессенджеры). При этом процедура отписки должна
быть простой и доступной. Несоблюдение этих норм может повлечь штрафные санкции,
особенно если речь идёт о массовых рассылках.

2.5. Ответственность и штрафы

За нарушения регламентов обработки, несоблюдение требований безопасности, отсутствие
DPO (при обязательности его назначения) и другие проступки закон предусматривает административную ответственность. Для компаний с оборотом до 500 000 лари установлены фиксированные штрафы за разные типы нарушений. При серьёзных или повторных нарушениях штрафы растут пропорционально обороту. Однако максимальный размер штрафа по результатам одной проверки не может быть больше 20 000 лари.

2.6. Контроль со стороны Службы защиты персональных данных

Служба активно проводит плановые и внеплановые проверки. Согласно официальной статистике, в 2024 году было проведено 265 проверок. Из них 31% (83) были проведены планово, а 69% (182) — внепланово. Анализ результатов проверок говорит о том, что регулятор пользуется правом наложить штраф при первом же выявленном нарушении, не ограничиваясь вынесением предписания. Это связано, в том числе, с учащением случаев крупных утечек данных и стремлением Службы пресечь даже потенциальные риски.

3. Сравнение с зарубежными практиками

Ниже приводятся три наиболее показательных для сравнения юрисдикции: Европейский союз, США и Россия. Каждый из этих регионов имеет собственную специфику регулирования, размеры штрафов и требования к наличию офицеров по защите данных.

3.1. Европейский союз (GDPR)

Основной нормативный акт: Общий регламент по защите данных (GDPR), вступил в силу в 2018 году.

Ключевые моменты:
  • Принципы и права субъектов. Установлены требования по прозрачности, ограничению целей, информированию граждан и уважению их прав (доступ, исправление, удаление, переносимость).
  • Штрафы. GDPR предусматривает штрафы до 20 млн евро или 4 % от общемирового оборота компании (в зависимости от того, что выше). Это одни из самых высоких штрафов в мире.
  • Обязательный офицер по защите данных (DPO). Во всех организациях, обрабатывающих данные в значительном объёме или работающих с особыми категориями данных, должен быть назначен DPO с чётко прописанными правами и независимым статусом.
  • Экстерриториальность. GDPR распространяется на компании за пределами ЕС, если они обрабатывают данные резидентов ЕС.

3.2. США (штатное и секторальное регулирование)

Особенности:
  • Раздробленное законодательство. Нет единого федерального закона, аналогичного GDPR. Существуют законы отдельных штатов (Калифорния —CCPA/CPRA, Колорадо, Вирджиния и пр.) и секторальные акты: HIPAA (для медицинских данных), GLBA (для финансового сектора), FERPA (в сфере образования) и т. д.
  • Штрафы. Могут сильно варьироваться. В Калифорнии за нарушение CCPA/CPRA размер санкций нередко достигает многомиллионных сумм, особенно при групповых исках.
  • Институт офицера по защите данных. На федеральном уровне не предусмотрен, но крупные корпорации внедряют роль CPO (Chief Privacy Officer) по лучшим практикам и требованиям отдельных штатов.
  • Уведомления об утечках. Сильный акцент делается на обязанность своевременного уведомления об инциденте (data breach notification), в противном случае штрафы могут вырасти кратно.

3.3. Россия (ФЗ «О персональных данных» и последние поправки)

Основной закон: Федеральный закон № 152-ФЗ «О персональных данных» (принят в 2006
году, подвергался многочисленным поправкам).

Ключевые особенности:
  • Обязательный “ответственный за организацию обработки ПДн”. Аналог DPO, но требования к независимости и объёму полномочий менее детализированы, чем в GDPR.
  • Штрафы. Ранее были относительно невысокими, но с учётом новых поправок (2025) существенно выросли. За незаконную передачу информации о 1 000–10 000 человек предусмотрены штрафы: до 400 000 рублей для должностных лиц (госорганов и НКО); до 5 000 000 рублей для ИП и компаний. За неправомерное распространение специальных категорий данных штраф может достигать 15 000 000 рублей. Также введены крупные санкции за неуведомление Роскомнадзора об утечке.
  • Регистрация операторов. Все организации, обрабатывающие персональные данные, обязаны уведомлять Роскомнадзор, если не подпадают под оговорённые исключения.
  • Таким образом, Россия движется в сторону более жёсткого регулирования, повышая штрафы и ужесточая контроль за обработкой персональных данных, особенно в части спецкатегорий и утечек.

4. Практические кейсы: утечки данных в Грузии

4.1. Масштабная утечка января 2025 года

В январе 2025-го была обнаружена крупная незащищённая база на сервере немецкого облачного провайдера, содержавшая более 5 млн записей с персональными данными, в том
числе свыше 7,2 млн телефонных номеров и информацию о 1,45 млн владельцев
автомобилей. Для страны с населением около 4 млн человек это свидетельствует о
совмещении устаревших баз и новых сведений.

4.2. Утечка 2020 года: объединение баз

В 2020 году утекла база Центризбиркома Грузии (около 5 млн записей). Новая утечка, судя
по всему, стала «сборной»: сведения из 2020 года были дополнены свежими записями о владельцах авто, страховых номерах и прочих данных.

4.3. Риски и последствия

  1. Финансовое мошенничество, кража личности (оформление кредитов, подделка документов).
  2. Социальная инженерия (злоумышленники используют реальные данные для обмана граждан).
  3. Политические манипуляции (особенно в условиях напряжённой геополитической ситуации).
  4. Репутационные потери для компаний и госорганов, причастных к утечке или недостаточно защищающих свои базы.
5. План проверок Службы защиты персональных данных на 2025 год

В начале года Служба опубликовала План проверок - официальный документ, определяющий основные направления плановых проверок и конкретные сферы, на которых сосредоточено внимание регулятора. Однако, помимо плановых мероприятий, всегда сохраняются риски внеплановых проверок, которые назначаются по заявлениям граждан или после крупного инцидента.

5.1. Общие направления и сферы проверок

Согласно плану, целевыми группами в 2025 году стали: Несовершеннолетние, молодёжь, мигранты, женщины, пожилые люди, социально незащищённые граждане, лица с ограниченными возможностями, а также обвиняемые/осуждённые.

Сферы, наиболее интересующие Службу: Трудовые отношения, дистанционные услуги, современные технологии, медицинские услуги, скрытые следственные действия.

Тематика проверок охватывает:
  • Объёмы и безопасность обработки данных;
  • Работу с данными особой категории;
  • Права субъектов (доступ, удаление, исправление и пр.);
  • Раскрытие и трансграничную передачу сведений;
  • Назначение и деятельность офицера по защите данных (DPO).

5.2. Основные категории проверяемых организаций:

В недавно опубликованном Службой Плане проверок на 2025 год прямо указаны некоторые государственные (в том числе: Министерство экономики, Министерство финансов, Министерство здравоохранения, Министерство образования), муниципальные (мэрии 5 муниципалитетов), правоохранительные органы (В том числе: МВД, генеральная прокуратура и Министерство обороны), а также коммерческие организации и сферы бизнеса, в том числе: Компании с веб-сайтами и приложениями, Медицинские учреждения, Фитнес-центры и аптеки, Отели и рестораны, Образовательные учреждения, Компании частного права

5.3. Риски внеплановых проверок и ключевые выводы:

Регулятор не ограничивается лишь заранее опубликованным списком. Любая организация
может попасть под внеплановую проверку при:
  • Поступлении жалобы от субъекта данных;
  • Выявлении утечки или другого инцидента, ставшего достоянием общественности;
  • Сигналах о несоблюдении законодательства (например, факте отсутствия DPO в обязанных к этому организациях).
Таким образом, всем компаниям важно поддерживать надлежащий уровень защиты данных
и быть готовыми к визиту Службы.

6. Рекомендации для грузинского бизнеса

  1. Провести аудит внутренних процессов. Определите, соответствует ли практика обработки данных основным принципам закона и нет ли «пробелов» в безопасности.
  2. Назначить офицера (DPO), если ваша организация обязана это сделать (госорганы, банки, страховые, крупные держатели данных и т.д.). Убедитесь, что у специалиста есть необходимые знания, время и полномочия для выполнения обязанностей.
  3. Документально оформить политики конфиденциальности/защиты персональных данных. Пропишите чёткие процессы сбора согласий, порядок удовлетворения запросов на удаление или исправление данных, сроки хранения и т. д.
  4. Организовать обучение персонала. Сотрудники должны понимать не только букву закона, но и практические риски (социальная инженерия, phishing).
  5. Учитывать особенности плановых проверок. Если вы принадлежите к сферам, упомянутым в плане Службы, подготовьте документы, подтверждающие соответствие: договоры, регламенты, результаты аудитов, журналы обращений и т.д.
  6. Будьте готовы к внеплановым проверкам. Ведите реестры обработки данных, логируйте действия по доступу, своевременно обновляйте информацию, держите наготове все доказательства соблюдения закона.

7. Роль юридической поддержки и консультантов:

В современных реалиях компании всё чаще прибегают к профессиональной помощи, чтобы
минимизировать риски штрафов и репутационных потерь. Юридические специалисты в
сфере защиты персональных данных оказывают следующие услуги:
  • Аудит и разработка внутренней документации (политики, инструкции, соглашения);
  • Помощь в назначении и обучении DPO;
  • Консультирование по трансграничной передаче данных и взаимодействию с иностранными регуляторами (особенно если речь идёт о GDPR);
  • Подготовка к плановым и внеплановым проверкам Службы (выстраивание чётких процедур, ведение реестров);
  • Оценка рисков и построение стратегии кибербезопасности в соответствии с лучшими мировыми практиками.

8. Заключение

В 2025 году грузинское законодательство о защите персональных данных по-прежнему опирается на поправки, вступившие в силу в 2024 году, но практика их применения
становится жёстче, а Служба вправе использовать штрафы уже при первом обнаружении
нарушений. Крупные утечки последних лет (включая январскую 2025 года) только усиливают бдительность регулятора и внимание общественности к вопросам безопасности. Сравнение с ЕС, США и Россией показывает, что тренд на глобальное ужесточение требований к обработке данных продолжает набирать обороты. Наличие офицера по защите данных (DPO) становится обязательным для широкого круга организаций и может существенно снизить правовые риски. План проверок Службы на 2025 год чётко указывает, какие ведомства и сферы находятся «под прицелом». Однако любая компания может стать объектом внеплановой инспекции при поступлении жалоб или выявленных инцидентов, поэтому важно заблаговременно приведение всех процессов в соответствие с законом.

Своевременная юридическая поддержка и грамотное внедрение норм о защите данных не только минимизируют вероятность штрафов и репутационных потерь, но и повышают
доверие потребителей. Ведь надёжное обращение с конфиденциальной информацией —
один из ключевых факторов устойчивости бизнеса в цифровую эпоху.
Было полезно? Поделитесь своим мнением
Читайте также
Просто заполните форму по кнопке ниже или напишите нам в удобном мессенджере: WhatsApp, Telegram
Есть задача или вопрос?
МАРИЯ ГУСЕЙНОВА
Ведущий менеджер коммерческого департамента