В Республике Узбекистан вступают в силу поправки в статью 27¹ Закона «О персональных данных», формирующие обновлённый подход к локализации и трансграничному хранению персональной информации. Принятые изменения направлены на достижение баланса между обеспечением высокого уровня защиты персональных данных граждан и созданием благоприятных условий для деятельности международных технологических компаний, цифровых платформ и сервисов.
Обновлённый подход к хранению персональных данных
Ранее действовавшее регулирование предусматривало обязательное физическое хранение персональных данных граждан Республики Узбекистан исключительно на серверах, расположенных на территории страны. Такая модель существенно ограничивала возможности трансграничной обработки данных и фактически препятствовала полноценному выходу международных IT-компаний, социальных сетей и маркетплейсов на узбекский рынок.
В результате внесённых поправок требования были пересмотрены. Закон больше не требует размещения всех серверов в Узбекистане. Хранение и обработка персональных данных за пределами страны допускаются при одновременном соблюдении следующих условий:
- обеспечение установленных требований информационной безопасности;
- соответствие международным стандартам защиты персональных данных;
- осуществление контроля со стороны уполномоченных государственных органов Республики Узбекистан.
Перечень персональных данных, подлежащих обязательному локальному хранению
Вместе с тем законодатель определил категории персональных данных, которые подлежат исключительно локальному хранению на территории Республики Узбекистан и не могут размещаться на зарубежных серверах. Указанные категории данных подлежат хранению исключительно на серверах, расположенных на территории Республики Узбекистан. Данные категории объединены в три ключевые группы.
Биометрические персональные данные → Подлежат обязательному хранению в Узбекистане отпечатки пальцев; изображения лица (включая технологии распознавания, Face ID); данные радужной оболочки глаза; образцы голоса.
Генетические данные → Локализация обязательна для ДНК-профилей; результатов медицинских и генетических исследований и тестов.
Данные физических лиц – пользователей телекоммуникационных услуг → К данной категории относятся сведения о пользователях мобильной связи и интернет-услуг; паспортные данные и персональный идентификационный номер (ПИНФЛ); номера SIM-карт и технические идентификаторы устройств (IMSI, IMEI); метаданные сетевых подключений, включая время соединения, данные о базовых станциях и сеансах связи.
Практические последствия для участников рынка
Принятые изменения оказывают существенное влияние на различные категории субъектов. (i) Для международных компаний поправки открывают возможность легального предоставления цифровых, финансовых и технологических услуг в Узбекистане без необходимости полного переноса серверной инфраструктуры в страну. Исключение составляют только строго определённые категории чувствительных персональных данных. (ii) Для телекоммуникационных операторов и медицинских организаций закрепляется обязанность локального хранения биометрических, генетических и телекоммуникационных данных. Обработка таких данных за пределами страны допускается только при соблюдении усиленных мер контроля и международных стандартов информационной безопасности. (iii) Для граждан Республики Узбекистан Законодательно усиливается защита персональных данных. Наиболее чувствительная информация — биометрическая, генетическая и телекоммуникационная — гарантированно хранится внутри страны, что снижает риски несанкционированного доступа и утечек.
Заключение
Поправки в статью 27¹ Закона «О персональных данных» формируют более сбалансированную и прагматичную модель регулирования. С одной стороны, обеспечивается защита фундаментальных прав граждан на безопасность персональных данных. С другой стороны создаются условия для развития цифровой экономики и привлечения международных сервисов. Обязательной локализации подлежат только чётко определённые категории персональных данных, тогда как остальные данные могут обрабатываться и храниться на международных серверах при соблюдении требований безопасности и государственного контроля, что приближает правовое регулирование Узбекистана к международным стандартам и способствует формированию более открытой и конкурентоспособной цифровой среды.