Юридическая компания i-legal 
Продолжаем наш цикл публикаций о правилах работы с персональными данными в странах, привлекательных для российского IT бизнеса. Сегодня мы рассмотрим законодательство о защите персональных данных Республики Узбекистан (далее – Узбекистан). Юрист i-Legal Семен Третьяков подробно расскажет о работе в стране где понятие «персональные данные» получило законодательное закрепление сравнительно недавно — с принятием в 2019 году Закона «О персональных данных» (далее – Закон).
Персональные данные, согласно законодательству Узбекистана, — это зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определённому физическому лицу или дающая возможность его идентификации.
Информация о расе, религии, мировоззрении, политических убеждениях, частной жизни, судимости и состоянии здоровья считается специальными персональными данными. Их обработка запрещена, кроме некоторых случаев (например, если человек сам опубликовал их в общедоступных источниках или дал своё согласие на публикацию указанных данных).
Биометрическими персональными данными являются сведения, которые характеризуют анатомические и физиологические особенности субъекта персональных данных. Например: рост, вес, отпечатки пальцев.
В отличие от России, в Узбекистане выделяют такой вид персональных данных, как «генетические данные». Это информация, относящаяся к унаследованным или приобретённым характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию (п. 13 ст.4 GDPR). В качестве примера таких данных можно привести сведения о ДНК или группе крови субъекта персональных данных..
Стороны обработки персональных данных в Узбекистане знакомы российскому читателю – это субъект персональных данных, оператор базы персональных данных, третье лицо. Однако в Законе Узбекистана имеется и такое понятие, как «собственник базы персональных данных» – это государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных. Как правило, собственником базы персональных данных является оператор данных, но иногда такая база находится в собственности другого лица.
Уполномоченными органами, ответственными за обработку персональных данных в Узбекистане, являются Государственный центр персонализации при Кабинете Министров Республики Узбекистан и Государственная инспекция по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан (далее – Узкомназорат).
К слову, об Узкомназорате. Интересно, что 2 июля 2021 года Узкомназорат создал реестр нарушителей законодательства о персональных данных. В него были включены социальные сети TikTok, VK, Twitter, Одноклассники, Skype, WeChat. Государственный орган полностью заблокировал их работу в стране, поскольку они не соблюдали национальное законодательство. В 2022 году все социальные сети были разблокировали. Все, за исключением сервиса TikTok, переговоры о разблокировке которого всё ещё ведутся. Как итог, в настоящее время весь указанный реестр блокирует исключительно TikTok.
Правовые основания для обработки персональных данных в Узбекистане крайне похожи на правовые основания, используемые в Российской Федерации. Отличие заключается лишь в том, что в Узбекистане их значительно меньше. Например, в законодательстве Узбекистана нет такого основания обработки, как необходимость использования персональных данных для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности. (ст. 18 Закона и ст. 6 Федерального закона РФ от 27.07.2006 года N 152-ФЗ «О персональных данных»).
Интереснее дело обстоит со «специальными» персональными данными в Узбекистане. Как мы упоминали выше, обработка специальных персональных данных запрещается, за исключением случаев, предусмотренных ст.25 Закона. Но некоторые пункты данной статьи вводят в заблуждение, например, пункт 3 части 3 указывает, что обработка допустима, если эти данные опубликованы субъектом в общедоступных источниках. Возникает вопрос, допустима ли обработка данных субъекта, если они были опубликованы не самим субъектом, а оператором? Прямое действие (публикация), как указывает содержание этого пункта, должно быть осуществлено субъектом, однако в некоторых ситуациях узнать, кто фактически опубликовал специальные данные, невозможно.
Действующее законодательство Узбекистана не имеет отдельного закона, регулирующего обработку биометрических данных. Работа с ними осуществляется в соответствии с общими положениями об обработке персональных данных Закона.
Получение согласия субъекта на обработку персональных данных в Узбекистане, как и в России, является одним из основных способов реализовать возможность обрабатывать такие данные. В соответствии с Законом, согласие может быть выражено в любой форме, позволяющей подтвердить факт его получения.
В целом обязанности оператора персональных данных в Узбекистане такие же, как и в Российской Федерации:
Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.
Заполнить заявку
12249 тендеров
проведено за восемь лет работы нашего сайта.
принимать необходимые правовые, организационные и технические меры по защите персональных данных и т.д.С 16 апреля 2021 года все лица, которые осуществляют сбор и обработку персональных данных граждан Узбекистана, стали обязаны локализовать обрабатываемые данные. Это значит, что оператор, при первичном получении персональных данных, обязан хранить их на серверах, которые физически расположены на территории страны Место хранения обязательно должно быть зарегистрировано в государственном реестре баз персональных данных.
Важно, что регистрация базы персональных данных осуществляется по заявочному принципу путём уведомления (ст. 27.1 Закона). Собственник базы персональных данных подготавливает заявление на основе образца, утверждённого законодательством, и предоставляет его в Государственный центр персонализации в бумажной форме или электронном виде через сеть Интернет. Ответ со стороны государственного органа поступает в течение 15 дней.
В случае возникновения необходимости внесения изменений и дополнений в сведения регистрации базы персональных данных в Государственном реестре, собственник и (или) оператор в течение 10 дней с даты их возникновения должен отправить соответствующее уведомление в электронном виде.
Стоит обратить внимание, что, как правило, компании используют сервисы, такие как Яндекс или Google. В связи с этим возникает сомнение, что хранение персональных данных граждан Узбекистана происходит исключительно на территории страны, несмотря на чёткие требования законодательства.
Государственный орган, ответственный за контроль исполнения Закона, имеет полномочия блокировать деятельность операторов, не соблюдающих его требований.
Трансграничная передача персональных данных, согласно законодательству Узбекистана, может осуществляться на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. При этом перечня таких стран нет. Однако установлен чёткий список признаков, по которым определяется «адекватность» страны:
1) существует комплексный нормативно-правовой акт, регулирующий обработку персональных данных;
2) есть надзорный орган по защите прав субъектов персональных данных;
3) работает система санкций за нарушения законодательства в области персональных данных.
Россия, исходя из этих признаков, является «адекватной» страной для трансграничной передачи персональных данных, поэтому передавать данные можно без дополнительных ограничений.
Подводя итоги, можно уверенно заявить, что Узбекистан старается идти в ногу со временем и подстраиваться на законодательном уровне под вызовы современных ситуаций. Впрочем, это не отменяет факта того, что работа по совершенствованию института защиты и обработки персональных данных Узбекистана должна продолжаться и не стоять на месте. Мы в i-Legal постоянно отслеживаем изменения законодательства и готовы помочь вам соблюсти все актуальные требования разных стран в части персональных данных, их обработки и хранения.
