Защита персональных данных в Узбекистане: обзор законодательства

Дата публикации: 25.07.2025

Закон Республики Узбекистан «О персональных данных» (№ ЗРУ-547 от 2 июля 2019 года) — это фундаментальный нормативный акт, регулирующий отношения в сфере сбора, обработки, хранения и защиты персональных данных. Закон был принят Законодательной палатой 16 апреля 2019 года и одобрен Сенатом 21 июня 2019 года. Впоследствии в него вносились поправки, включая изменения от 2021 и 2023 годов.

Цель закона — обеспечение прав и свобод граждан при обработке их персональных данных, а также защита этих данных от неправомерного использования. Закон применяется ко всем видам обработки персональных данных, включая автоматизированную, за исключением:

Личной (бытовой) обработки;
Архивной деятельности;
Обработки гос. тайн;
Оперативно-розыскных и контрразведывательных мероприятий.

Основные понятия

Закон определяет ключевые термины, включая:

Персональные данные — любая информация, позволяющая идентифицировать конкретное лицо;
Субъект — лицо, к которому относятся данные;
Оператор — лицо или орган, обрабатывающий данные;
База данных — структурированная система, содержащая персональные данные;
Третье лицо — участник, не являющийся субъектом или оператором.

Принципы обработки персональных данных

Обработка персональных данных должна базироваться на следующих принципах:

Законность;
Целесообразность;
Достоверность;
Конфиденциальность;
Равенство сторон;
Защита личности, общества и государства.

Государственное регулирование

Контроль и координация в области защиты персональных данных осуществляются:

Кабинетом Министров, который разрабатывает политику, определяет порядок ведения реестров, устанавливает требования к защите;
Государственным центром персонализации, выступающим в качестве уполномоченного органа, который ведет реестр баз данных, выдает свидетельства и контролирует соблюдение закона.

Условия и порядок обработки

Обработка данных возможна:

С согласия субъекта;
Для исполнения договоров;
В рамках выполнения законодательства;
Для защиты интересов субъектов;
При статистических и научных исследованиях с обязательным обезличиванием.

Регистрация баз данных обязательна, за исключением нескольких случаев, например, если данные общедоступны или касаются только ФИО.

Права субъектов данных

Субъекты имеют право:

Получать информацию об обработке своих данных;
Давать и отзывать согласие;
Требовать исправления или удаления данных;
Возражать против автоматизированных решений.

Специальные и биометрические данные

Обработка чувствительных данных (религия, здоровье, судимость и т.д.) возможна только в исключительных случаях и требует письменного согласия. Биометрические и генетические данные подлежат особой защите, включая хранение на носителях, исключающих несанкционированный доступ.

Защита и конфиденциальность

Собственники и операторы обязаны принимать меры по защите данных, включая:

Предотвращение несанкционированного доступа;
Обеспечение конфиденциальности;
Хранение данных на территории Узбекистана (для граждан РУз).

Закон «О персональных данных» создает системную правовую базу для защиты личной информации граждан Узбекистана. Он регулирует не только права граждан, но и обязанности операторов, включая как государственные органы, так и частные компании. Постепенное усиление регулирования, в том числе обязательства по локализации данных, свидетельствует о серьезности подхода государства к вопросам цифровой безопасности.

Оценка уровня защищенности персональных данных

В условиях цифровизации экономики и активного использования информационных технологий в Республике Узбекистан особое значение приобретает защита персональных данных. Одним из ключевых нормативных документов в этой сфере является Положение об определении уровня защищенности персональных данных при их обработке, утвержденное Постановлением Кабинета Министров № 570 от 5 октября 2022 года.

Положение направлено на установление четких критериев для определения степени защищенности персональных данных, обрабатываемых в базах данных. Оно применяется к собственникам и операторам персональных данных и обеспечивает их обязанность реализовывать соответствующие организационные и технические меры защиты.

Категории данных

В документе выделены следующие типы персональных данных:

Специальные данные — сведения о расе, убеждениях, здоровье, судимости и т.п.;
Биометрические данные — анатомические и физиологические особенности субъекта;
Генетические данные — сведения, полученные из биологических образцов;
Общедоступные данные — данные, распространение которых осуществляется с согласия субъекта.

Угрозы безопасности

Документ классифицирует угрозы безопасности при обработке персональных данных на три типа:

Угрозы 1 типа — уязвимости в системном ПО;
Угрозы 2 типа — уязвимости в прикладном ПО;
Угрозы 3 типа — иные угрозы, не связанные с программным обеспечением.

Уровни защищенности

Установлены четыре уровня защищенности персональных данных:

Уровень	Характеристика
1 уровень	Максимальная защита — применяется при наличии угроз 1 типа и обработке специальных, биометрических или генетических данных.
2 уровень	Высокий уровень защиты — в случае угроз 2 типа и обработки большого объема чувствительных данных.
3 уровень	Средняя защита — применяется, если обрабатываются менее чувствительные данные при наличии угроз 2 или 3 типа.
4 уровень	Базовый уровень защиты — при работе с общедоступными данными и угрозами 3 типа.

Требования к защите

Каждому уровню соответствуют определённые меры:

4 уровень: охрана зданий, перечень допущенных сотрудников, защита носителей информации.
3 уровень: всё вышеуказанное + назначение ответственного за безопасность.
2 уровень: всё вышеуказанное + контроль доступа к журналам базы данных.
1 уровень: всё вышеуказанное + автоматический аудит изменений прав доступа и создание специализированного подразделения по защите данных.

Ответственность

Нарушение требований Положения влечет ответственность в соответствии с действующим законодательством. Все споры разрешаются в порядке, установленном национальными правовыми актами.

Положение о защите персональных данных дополняет Закон Республики Узбекистан «О персональных данных» и играет важную роль в формировании устойчивой системы кибербезопасности. Оно обязывает организации не просто формально обрабатывать данные, но и учитывать реальный уровень угроз, обеспечивая адекватную защиту информации граждан.