Персональные данные в Узбекистане (руководство)

Дата публикации: 14.05.2026

Персональные данные — это любая информация на электронном, бумажном или ином носителе, относящаяся к определенному физическому лицу или позволяющая его идентифицировать. Закон Республики Узбекистан «О персональных данных» от 02.07.2019г. №ЗРУ-547 распространяется на обработку и защиту таких данных независимо от средств обработки, включая ИТ-системы. Классические примеры для бизнеса: Ф.И.О., ПИНФЛ (аналог ИНН), паспортные данные, дата рождения, адрес, телефон, e-mail, фото, записи звонков, IP/идентификаторы аккаунта, кадровые данные, клиентские и пользовательские профили.

Для компании важно различать как минимум четыре группы данных: обычные данные, специальные данные, биометрические данные и генетические данные. Специальные данные включают сведения о здоровье, судимости, личной жизни, политических, религиозных взглядах и т.п.; биометрические — отпечатки, изображение лица, радужка, голос и иные физиологические признаки; генетические — данные, полученные из анализа биологического материала. Для этих категорий режим строже.

На кого внутри компании распространяются обязанности

Если компания определяет, зачем и как обрабатываются данные, она выступает как собственник и/или оператор базы персональных данных. Если обработка делегируется подрядчику, у компании не исчезают обязанности по законности целей, режиму доступа, защите данных и контролю за контрагентом. Закон прямо исходит из модели «субъект (физическое лицо) — собственник/оператор — третье лицо».

На практике это значит, что под регулирование обычно попадают почти все ключевые бизнес-процессы: HR, рекрутинг, зарплатный блок, CRM, клиентская поддержка, маркетинг, сайт и формы обратной связи, видеонаблюдение, пропускной режим, колл-центр, поставщики и агенты, мобильные приложения, облачные сервисы, корпоративная почта и внутренние порталы.

Базовые принципы, без которых обработка незаконна

Обработка персональных данных должна строиться на принципах: соблюдение конституционных прав и свобод, законность целей и способов обработки, точность и достоверность данных, конфиденциальность и защищенность данных, равенство прав участников и обеспечение безопасности личности, общества и государства. Эти принципы — не декларация: именно от них нужно отталкиваться при формировании внутренних политик и договоров.

Отсюда следуют четыре практических правила:

собирайте только то, что действительно нужно;
заранее фиксируйте цель обработки;
не используйте данные для новой цели без нового правового основания;
храните данные не дольше, чем этого требует цель. Закон прямо говорит, что объем и характер данных должны соответствовать целям и способам обработки, а срок обработки не должен превышать срок действия согласия, если основание — согласие.

На каких основаниях компания вообще может обрабатывать данные

Основные законные основания:

согласие субъекта (физического лица);
необходимость для исполнения договора, стороной которого является субъект, либо для мер до заключения договора по запросу субъекта;
необходимость исполнения обязанностей, возложенных законом;
защита законных интересов субъекта или других лиц;
реализация прав и законных интересов собственника/оператора или третьего лица при условии, что не нарушаются права субъекта;
статистические и иные исследовательские цели при обязательном обезличивании;
данные из общедоступных источников.

Для бизнеса (компании) это означает следующее. Для трудовых отношений, исполнения договора с клиентом, выставления счета, доставки товара, исполнения требований бухгалтерского, налогового, трудового и иного обязательного законодательства согласие не всегда является единственным или главным основанием. Но для маркетинга, публикации кейсов, передачи данных «лишним» подрядчикам, размещения фото/видео, обработки сверх разумно необходимого объема, как правило, нужно четкое основание, часто — именно согласие.

Что компания обязана сообщить субъекту (физическому лицу)

При включении персональных данных в базу субъект должен быть уведомлен в письменной форме о целях обработки и о своих правах по статье 30 Закона. Это один из самых недооцененных элементов комплаенса: компании собирают согласие, но забывают про отдельное надлежащее уведомление.

Поэтому у компании должны быть как минимум:

политика конфиденциальности для сайта, клиентов и пользователей;
кадровое уведомление работнику/кандидату;
формы согласий там, где согласие действительно требуется;
уведомления для контрагентов-физлиц, если их данные собираются не только в рамках подписания договора.

Права субъекта (физического лица), которые компания должна уметь обслуживать

Субъект вправе знать, есть ли у компании его данные и какие именно; получать информацию об обработке; получать сведения об условиях доступа; обращаться в уполномоченный орган или в суд; требовать временного приостановления обработки, если данные неполные, устаревшие, неточные, незаконно полученные либо не нужны для целей обработки. Закон также устанавливает обязанность изменять и дополнять данные по обращению субъекта не позднее трех дней с момента обращения.

На уровне процессов это означает, что компания должна иметь внутренний регламент обращений субъекта: кто принимает запрос, как идентифицируется заявитель, кто ищет данные по системам, кто согласует ответ, как фиксируются сроки, когда данные блокируются, уточняются или уничтожаются. Без такого регламента формальная «политика» почти не работает.

Обязанности компании как собственника/оператора

Обязанности по защите персональных данных возникают с момента их сбора и действуют до уничтожения либо обезличивания. Использование данных работниками и связанными третьими лицами допускается только в рамках их профессиональных, служебных или трудовых обязанностей. Иными словами, доступ должен быть ролевым, а не «по дружбе» или «на всякий случай».

Кроме того, компания обязана обеспечить точность и актуальность данных, использовать их только для ранее заявленных целей, хранить в идентифицируемой форме лишь настолько, насколько этого требует цель, а затем уничтожать или обезличивать. При достижении цели обработки, отзыве согласия, истечении срока обработки либо вступлении в силу решения суда данные подлежат уничтожению.

Нужен ли компании ответственный за персональные данные

Да, на практическом уровне — нужен. Закон прямо предусматривает утверждение типового порядка организации деятельности структурного подразделения или уполномоченного лица, обеспечивающего обработку и защиту персональных данных, а в 2023 году были приняты специальные приказы Минюста № 3477 и № 3478, которые как раз задают модель внутренней организации и типовой порядок обработки.

Для обычной коммерческой компании минимально разумная модель такая:

приказом назначить ответственное лицо по персональным данным;
закрепить его полномочия;
определить круг систем и баз данных;
ввести матрицу доступа;
обязать HR, IT, юридическую службу, безопасность и маркетинг взаимодействовать через единый процесс согласования.

Регистрация базы персональных данных: что изменилось в 2026 году

Это один из ключевых моментов. Ранее вопрос часто излагался упрощенно как «все базы подлежат регистрации». После изменений Законом № ЗРУ-1125 от 26 марта 2026 года статья 20 Закона изложена так, что в Государственном реестре подлежат регистрации базы, которые подлежат обязательному хранению на территории Узбекистана по части второй статьи 27¹ Закона. Регистрация осуществляется по заявочному принципу, путем уведомления.

Одновременно регламент по реестру (ПКМ № 71) по-прежнему содержит перечень баз, которые не подлежат регистрации: например, базы, содержащие только Ф.И.О.; данные для однократного прохода; данные, обрабатываемые без автоматизации; а также данные, обрабатываемые в соответствии с трудовым законодательством. На практике здесь нужно смотреть не только старую формулу регламента, но и новую редакцию статьи 20 Закона как акта более высокой юридической силы.

Что обязательно хранить в Узбекистане

После поправок 2026 года статья 27¹ Закона прямо говорит, что обязательному хранению на территории Республики Узбекистан подлежат:

биометрические данные физических лиц;
генетические данные физических лиц;
данные физических лиц — пользователей услуг операторов телекоммуникаций, осуществляющих деятельность на территории Узбекистана.

Это важное уточнение. Формула 2021 года была значительно шире и связывала локализацию с обработкой персональных данных граждан Узбекистана с использованием ИТ, в том числе в интернете, на технических средствах, физически размещенных в Узбекистане и зарегистрированных в реестре. В 2026 году перечень обязательной локализации был уточнен, а режим регистрации баз увязан именно с этой новой, более конкретной моделью.

Когда допустимо хранение и обработка за пределами Узбекистана

Для данных, не перечисленных в части второй статьи 27¹ Закона, хранение и обработка за рубежом допустимы при выполнении хотя бы одного из условий:

иностранное государство признано обеспечивающим адекватную защиту персональных данных;
оператор применяет и соблюдает стандартные договорные условия или обязательные корпоративные правила, отвечающие требованиям уполномоченного органа;
оператор соблюдает международные стандарты в области управления и хранения персональных данных из перечня, утверждаемого уполномоченным органом. Перечень государств с адекватной защитой устанавливает Кабинет Министров.

Практический вывод: использование зарубежных облаков, CRM, HRM, почтовых сервисов, колл-центров и аналитических инструментов теперь не следует оценивать по модели «всегда нельзя», но нужно пройти юридическую и техническую проверку: какая категория данных передается, подпадает ли она под обязательную локализацию, есть ли договорные гарантии, где фактически находятся серверы, есть ли суб-обработчики, как организован доступ и удаление.

Специальные, биометрические и генетические данные

Специальные персональные данные можно обрабатывать только в специально предусмотренных законом случаях; среди них — письменное согласие субъекта, публикация субъектом в общедоступных источниках, защита законных интересов, определенные случаи статистики, медицины, трудовых отношений и др. Для биометрических и генетических данных действуют отдельные повышенные требования, а Кабмин установил специальные требования к носителям и технологиям хранения таких данных вне баз персональных данных.

Если компания использует Face ID, контроль доступа по лицу/отпечатку, биометрическую верификацию, медосмотры с передачей результатов, генетические исследования, данные о здоровье, сведения о судимости — это не «обычный HR или безопасность», а зона повышенного риска. Здесь нужен отдельный юридический анализ перед внедрением.

Персональные данные работников: отдельный внутренний блок

Для кадрового блока у компании должен быть отдельный локальный акт. Регламент № 71 прямо исключает из регистрации базы, обрабатываемые в соответствии с трудовым законодательством, а Трудовой кодекс отдельно требует знакомить работника под роспись с локальным актом, регулирующим передачу данных внутри организации, ограничивать доступ только специально уполномоченным лицам и не запрашивать сведения о здоровье сверх того, что относится к трудовой функции.

Поэтому лучше не смешивать HR-процедуры с общей клиентской политикой конфиденциальности. Для работников и кандидатов должны существовать собственные: уведомление, согласие там, где оно нужно, положение о защите персональных данных работников, порядок передачи в бухгалтерию, банк, страховую, государственные органы, архив, IT и службу безопасности.

Какие внутренние документы должны быть у компании

Рекомендуемый минимальный пакет документов для компании:

1. Политика обработки и защиты персональных данных - базовый рамочный документ: цели, категории субъектов, состав данных, основания обработки, сроки хранения, права субъектов, порядок обращений, меры защиты, трансграничная передача, уничтожение, ответственность. Его логично строить на базе Закона и типового порядка 3478.

2. Приказ о назначении ответственного лица/создании подразделения - фиксирует персональную ответственность, функции, право запрашивать информацию у подразделений, обязанности по инвентаризации баз, контролю доступа и обучению. Это соответствует модели, предусмотренной приказом № 3477.

3. Реестр процессов обработки/карта данных - внутренний документ, в котором по каждому процессу указано: категория субъектов, состав данных, система хранения, основание обработки, срок хранения, получатели, трансграничная передача, ответственный владелец процесса. Такой реестр законом прямо не назван, но без него невозможно доказуемо соблюдать статьи 18, 19, 23, 27¹ и 31 Закона.

4. Формы согласий и уведомлений - раздельно для клиентов, сайта, маркетинга, работников, кандидатов, контрагентов-физлиц, видеонаблюдения, биометрии. Главное — не делать одно «универсальное согласие на всё».

5. Регламент обработки запросов субъектов - доступ, исправление, блокирование, уничтожение, отзыв согласия, жалобы.

6. Положение о доступе и конфиденциальности - ролевой доступ, соглашение о конфиденциальности, журнал доступа, запрет копирования на личные устройства, правила выгрузок, контроль подрядчиков.

7. Регламент хранения и уничтожения - что хранится, где, сколько, кто санкционирует удаление, как оформляется акт уничтожения, как действует «приостановление» при споре/проверке.

8. Условия об обработке данных с подрядчиками - договорные условия с облаком, хостингом, CRM, колл-центром, аутсорсерами, маркетинговыми платформами, интеграторами. Для зарубежных поставщиков — особенно важно.

Как оформить согласие правильно

Согласие должно быть конкретным, информированным и привязанным к цели. Поскольку закон требует совпадения фактической обработки с ранее заявленными целями, согласие «на любые действия с персональными данными в любых целях» — плохая модель и слабая с точки зрения спора. При изменении цели обработки нужно получить согласие в соответствии с новой целью.

В согласии желательно указывать: кто оператор, цель обработки, перечень данных, действия с данными, срок обработки, перечень получателей/категорий получателей, наличие трансграничной передачи, порядок отзыва согласия и ссылку на политику/уведомление.

Меры информационной безопасности

ПКМ № 570 требует, чтобы собственник и/или оператор исходя из угроз безопасности определял уровень защищенности данных и реализовывал организационные и технические меры защиты. Закон также возлагает на уполномоченный орган полномочия по определению необходимого уровня защищенности и анализу объема, содержания и реальности угроз.

Практический минимум для компании:

инвентаризация систем и баз;
разграничение прав доступа;
многофакторная аутентификация (MFA) для критичных систем;
шифрование резервных копий и носителей;
журналирование доступа и выгрузок;
запрет хранения баз на личных ноутбуках/флешках;
правила удаленного доступа;
сегментация HR/клиентских/биометрических данных;
контроль подрядчиков и субподрядчиков;
регулярные обучения персонала;
порядок реагирования на инциденты.

Обезличивание и уничтожение

Для исторических, статистических, социологических и научных исследований данные должны быть обезличены. Уничтожение обязательно при достижении цели, отзыве согласия, истечении срока обработки или вступлении в силу решения суда. Это нужно не просто декларировать: у компании должен быть реальный механизм удаления из рабочих систем, архивов, бэкапов и выгрузок.

Рекомендую вводить акты уничтожения и матрицу удаления, где для каждой категории данных указан срок, правовое основание хранения и событие-триггер для удаления. Без этого компании обычно копят данные «бессрочно», что плохо согласуется с законом.

Сайт, мобильное приложение, маркетинг, CRM

Если компания собирает данные через сайт, формы обратной связи, чат-боты, подписки, личный кабинет, приложение или колл-центр, ей нужны: публичная политика, корректные чекбоксы/согласия, понятное уведомление о цели, разграничение обязательных и необязательных полей, отдельная логика для маркетинга, а также договоры с провайдерами аналитики, облака, рассылок и колл-трекинга. Публикация данных в интернете сверх ранее заявленных целей требует согласия субъекта.

Особое внимание нужно уделить случаям, когда CRM или аналитика находятся за пределами Узбекистана. Здесь необходимо проверить, не попадает ли конкретная категория данных под обязательную локализацию и соблюдены ли условия статьи 27¹ Закона для зарубежной обработки.

Что делать с подрядчиками и внутри группы компаний

Передача данных подрядчику — это не техническая мелочь, а отдельный юридический риск. В договоре нужно прописывать: цель и пределы обработки, перечень данных, запрет на использование в собственных целях, меры безопасности, суб-обработчиков, место хранения, порядок удаления, возврата и аудита, уведомление об инцидентах, ответственность и трансграничную передачу.

Для групп компаний особенно важно не исходить из предположения, что «внутри холдинга можно передавать всё без ограничений». Каждое юрлицо нужно оценивать как отдельного участника обработки, если иное не выстроено документально и фактически.

Проверки, риски и ответственность

Уполномоченный орган наделен правом вносить обязательные для исполнения предписания об устранении нарушений законодательства о персональных данных. Для интернет-ресурсов действует отдельный контрольный механизм по особым условиям обработки, включая предписание на устранение нарушений и в определенных случаях ограничение доступа к интернет-ресурсу.

За нарушение законодательства о персональных данных предусмотрены административная и уголовная ответственность: в КоАО РУз. действует статья 46², а в УК РУз. — статья 141². Точный состав нарушения и санкции надо смотреть по актуальной редакции на дату события, но сам факт наличия обеих форм ответственности и специального состава за нарушения в сфере персональных данных сомнений не вызывает.

Нормативные акты по персональным данным в Узбекистане

№	Нормативный акт	Дата	Номер	Что регулирует
1	Закон Республики Узбекистан «О персональных данных»	02.07.2019	ЗРУ-547	Базовый закон в сфере персональных данных: определяет понятия, принципы обработки, права субъектов, обязанности собственника и оператора базы персональных данных, полномочия госорганов, правила сбора, хранения, изменения, использования, передачи, обезличивания и уничтожения данных
2	Постановление Кабинета Министров Республики Узбекистан «Об утверждении Административного регламента оказания государственной услуги по ведению Государственного реестра баз персональных данных»	08.02.2020	ПКМ № 71	Устанавливает порядок ведения Государственного реестра баз персональных данных, включая регистрацию базы, внесение изменений, исключение из реестра, порядок обращения через ЦГУ или ЕПИГУ, требования к заявителю и составу сведений
3	Постановление Кабинета Министров Республики Узбекистан «О мерах по совершенствованию информационной безопасности во всемирной информационной сети Интернет»	05.09.2018	ПКМ № 707	Помимо общего регулирования интернет-безопасности, утверждает Положение о порядке осуществления государственного контроля за соблюдением особых условий обработки персональных данных граждан Республики Узбекистан
4	Постановление Кабинета Министров Республики Узбекистан «Об утверждении некоторых нормативно-правовых документов в сфере обработки персональных данных»	05.10.2022	ПКМ № 570	Утверждает подзаконные документы по защите персональных данных, в том числе: положение о порядке определения уровня защищенности персональных данных при их обработке, а также требования к материальным носителям и технологиям хранения биометрических и генетических данных вне баз персональных данных
5	Приказ министра юстиции Республики Узбекистан «Об утверждении типового порядка организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора базы персональных данных, обеспечивающего обработку и защиту персональных данных»	15.11.2023	Рег. № 3477	Устанавливает типовой порядок организации деятельности структурного подразделения либо уполномоченного лица, отвечающего за обработку и защиту персональных данных у собственника и (или) оператора базы
6	Приказ министра юстиции Республики Узбекистан «Об утверждении типового порядка обработки персональных данных»	15.11.2023	Рег. № 3478	Утверждает Типовой порядок обработки персональных данных: принципы, цели, условия обработки, права и обязанности собственника и/или оператора базы, общие правила защиты, классификацию данных