Закон о персональных данных в Узбекистане № ЗРУ-547: обзор законодательства и советы для бизнеса

В июле 2021 года Узкомназорат ограничил доступ к TikTok, Twitter, ВКонтакте, WeChat и Skype. Государство временно заблокировало эти платформы из-за хранения и обработки персональных данных узбекистанцев за пределами Узбекистана. Это была наглядная демонстрация того, как закон о персональных данных Узбекистана работает на практике: блокировка ресурса наступает быстрее, чем штраф через суд.

В данной статье разберемся, что закон РУз о персональных данных требует от бизнеса, что изменилось после поправок в марте 2026 года и что нужно сделать компании, чтобы не попасть под санкции при сборе и обработке данных граждан.

На кого распространяется закон

Базовый акт — Закон Республики Узбекистан «О персональных данных» № ЗРУ-547 от 2 июля 2019 года. 

Закон вступил в силу 1 октября 2019 года и с тех пор несколько раз правился. Последний и самый важный для бизнеса пакет поправок приняли законом ЗРУ-1125 от 26 марта 2026 года — он смягчил требования к локализации.

Закон Республики Узбекистан о персональных данных работает для любой деятельности, в которой кто-то собирает или использует сведения о физическом лице — государственная это структура, частная компания, IT-сервис или маркетинговое агентство. Под него попадают:

• интернет-сервисы и сайты, собирающие данные пользователей (регистрация, формы заявок, cookies, аналитика);
• работодатели, работающие с данными сотрудников (фамилия, имя, отчество, ПИНФЛ, документ, удостоверяющий личность, медицинские справки);
• банки, страховые, телеком-операторы и платежные сервисы;
• ритейл и e-commerce, которые ведут базы клиентов;
• маркетплейсы, маркетинговые платформы, CRM-системы.

В основе закона лежит конституционное право человека на неприкосновенность частной жизни. Поэтому требования к работе с данными строгие, а ответственность доходит до уголовной.

Какие данные защищает закон

Закрытого перечня в законе нет: персональными считаются любые сведения, которые позволяют идентифицировать человека. 

Имя, адрес, номер телефона, ПИНФЛ, паспортные данные, биометрия, IP-адрес в связке с другими идентификаторами — все это персональные данные. 

Есть нюанс: сведения становятся персональными, когда их можно связать с конкретным человеком — сами по себе или вместе с другими данными. Полностью обезличенная статистика, которую невозможно сопоставить с конкретными людьми, под закон не подпадает. А вот список клиентов по именам и фамилиям — это уже персональные данные: имена, как правило, позволяют идентифицировать людей, да и сам факт, что это ваши клиенты, говорит о них. Хранить такой список «где угодно и как угодно» нельзя — на него распространяются общие требования закона.

Для практики удобно делить данные на пять групп:

• Идентификационные: ФИО, ПИНФЛ, серия и номер паспорта или иного документа, удостоверяющего личность, ИНН.
• Контактные: Адрес, телефон, email.
• Биометрические и генетические: Отпечатки пальцев, изображение лица, голос, ДНК. Их можно обрабатывать только с согласия человека (кроме случаев, когда это требует суд, следствие или международный договор).
• Специальные категории: Данные о состоянии здоровья, медицинские сведения, расовая и национальная принадлежность, политические и религиозные взгляды, судимость.
• Поведенческие и технические: Cookies, идентификаторы устройств, история действий на сайте (если их можно связать с конкретным лицом).

Отдельно стоят общедоступные данные — те, к которым доступ открыт по согласию человека или в силу закона (телефонные справочники, открытые реестры). На них часть ограничений не распространяется, но требования к безопасности остаются.

Что закон требует при сборе и обработке

В первую очередь закон регулирует работу операторов. Оператором считается любая компания, которая собирает персональные данные. Эта компания и несет основную ответственность за соблюдение закона.

Получите согласие — или найдите другое основание. По общему правилу обработка возможна только с согласия субъекта данных. Согласие должно быть конкретным и осознанным. 

Подтвердить согласие можно бумажным или электронным документом — либо явным действием: галочкой в форме, подписью договора, вводом одноразового кода.

Если согласия нет, обработка все равно возможна — но только при наличии законного основания. Закон называет несколько таких оснований: исполнение договора с человеком или подготовка к нему, выполнение обязанностей оператора по закону, защита законных интересов человека или другого лица, реализация интересов оператора при условии что права субъекта не нарушаются, статистика и исследования с обязательным обезличиванием, данные из общедоступных источников.

Собирайте только то, что нужно для конкретной цели. Хранить данные «на всякий случай» нельзя. Цель должна быть объявлена заранее, и как только она достигнута — данные обезличивают или уничтожают. Срок хранения фиксируется в политике обработки.

Соблюдайте конфиденциальность. Передача персональных данных третьим лицам без правового основания — самостоятельное нарушение, даже если данные просто пересланы партнеру «по работе».

Обеспечьте безопасность. Закон требует правовых, организационных и технических мер. На рабочем уровне это значит:

• классифицировать базы по уровню защищенности;
• прописать политику обработки, регламенты и приказы;
• настроить контроль доступа к базам данных;
• защититься от угроз определенного типа — несанкционированного доступа, модификации, утечки, уничтожения;
• вести журнал операций.

База персональных данных в понимании закона — это любая упорядоченная совокупность данных, от Excel-файла HR-отдела до промышленной СУБД. Уровень защиты для каждой такой базы определяет уполномоченный орган.

Зарегистрируйте базы в государственном реестре. Сейчас под обязательную регистрацию попадают базы, которые должны храниться в Узбекистане (про это — в следующем разделе). Заявку подают через ЕПИГУ — единый портал интерактивных государственных услуг. Свидетельство о регистрации выдает Государственный центр персонализации при Кабинете Министров. Этот же орган ведет реестр, контролирует соблюдение закона, выдает предписания об устранении нарушений, определяет уровень защищенности и присваивает ПИНФЛ.

Реагируйте на предписания регулятора. Если регулятор присылает запрос — нужно ответить. Прислал предписание — исправить и отчитаться. Порядок уведомления об инцидентах определяется подзаконными актами.

Что хранить в Узбекистане, а что можно за границей

Трансграничная передача — это любая отправка данных за рубеж: размещение базы в зарубежном облаке, использование иностранного SaaS, передача данных партнеру в другой стране.

До марта 2026 года правило было жестким: все персональные данные граждан Узбекистана должны были обрабатываться на серверах внутри страны. Поправки 2021 года требовали, чтобы операторы держали технические средства физически на территории Узбекистана и регистрировали их в Государственном реестре. Норма действовала и для обработки через интернет, и обязанность лежала на владельце или операторе базы.

С конца марта 2026 правила смягчились. Обязательной локализации подлежат три категории:

• биометрические данные физических лиц;
• генетические данные физических лиц;
• данные пользователей услуг операторов телекоммуникаций, работающих в Узбекистане.

Все остальное можно держать и обрабатывать за пределами страны — но не «как угодно», а при выполнении хотя бы одного из трех условий:

1. иностранное государство признано обеспечивающим адекватный уровень защиты персональных данных;
2. оператор использует стандартные договорные условия (аналог SCC) или обязательные корпоративные правила (аналог BCR), утвержденные уполномоченным органом;
3. оператор соответствует международным стандартам управления и хранения данных из утвержденного перечня — на практике это семейство ISO/IEC 27001 и 27701.

К отдельным категориям могут применяться свои требования по подзаконным актам. Перед тем как разместить базу в зарубежном облаке, проверьте актуальные нормы по конкретной категории — особенно по платежным и медицинским данным, где банковское и отраслевое регулирование жестче общего закона.

Чем грозит нарушение

Санкции делятся на три блока: административные, уголовные и регуляторные (предписания и блокировка).

Административная ответственность. Штраф для гражданина — 7 БРВ, для должностного лица — 50 БРВ. Компании, владеющие соцсетями и мессенджерами, тоже могут получить штраф до 50 БРВ (20,6 млн сумов на лето 2026).

Уголовная ответственность. За нарушение закона предусмотрен штраф до 200 БРВ (82,4 млн сумов). Если бизнес уже получил административное взыскание за нарушение локализации и нарушил повторно — это уже состав уголовного преступления: штраф 100–150 БРВ, исправительные работы до 2 лет или лишение определенного права на срок до 3 лет.

Отдельный состав по ИИ. Штраф за незаконную обработку персональных данных с помощью ИИ может достигать 41,2 млн сумов.

Блокировка. Регулятор имеет право ограничить доступ к ресурсу, который нарушает требования локализации. Кейс с TikTok, Twitter, ВКонтакте, Skype и WeChat в 2021 году показал, что это не теоретическая угроза, а быстрая и публичная мера.

Что сделать прямо сейчас: чек-лист соответствия требованиям

• Провести аудит данных. Уточните, какие данные собираются, где хранятся, кто имеет доступ, на каком основании обрабатываются. Систематизируйте эту информацию и сохраните ее — если в будущем закон изменят, сможете быстро проверить, насколько ваша система хранения соответствует новым стандартам.
• Составить политику обработки персональных данных. Опубликуйте ее на сайте, проставьте ссылки на нее во всех формах сбора данных.
• Встроить согласие во все формы и документы. Переведите формы в явный opt-in, фиксируйте факт согласия.
• Зарегистрировать базы. Подайте заявку на внесение в Государственный реестр для баз, попадающих под обязательную регистрацию.
• Локализовать критичные категории. Биометрия, генетика и данные абонентов телеком можно хранить только на серверах в РУз. Остальное — по выбору, с соблюдением условий трансграничной передачи. Проверьте, соблюдаются ли эти правила.
• Уточнить договоры с подрядчиками. Добавьте DPA-условия: цели обработки, меры защиты, ответственность, право на аудит.
• Проверить технические меры. Шифрование, контроль доступа, журналирование, резервное копирование, план реагирования на инциденты.
• Обучить сотрудников. Регулярный инструктаж для тех, кто работает с данными в рамках профессиональной деятельности.
• Назначить ответственного, в идеале с подчинением напрямую руководителю.

Как защищать данные технически

Шифрование. Данные «в покое» (at rest) — AES-256 или эквивалент; данные «в движении» (in transit) — TLS 1.2 и выше. Биометрию и генетику держать только в отдельных хранилищах с ограниченным кругом доступа.

Анонимизация и псевдонимизация. Эти методы помогут обезличить данные. Вот в чем разница:

• Анонимизация необратима — после нее данные перестают быть персональными. 
• Псевдонимизация заменяет идентификаторы токенами, но связь с человеком сохраняется через отдельный ключ. 

Это разные инструменты с разными правовыми последствиями. Чтобы находить более гибкие решения для своих бизнес-задач, рекомендуем разобраться в обоих.

Контроль доступа. Обязательно внедрите принцип минимальных привилегий, ролевая модель (RBAC), MFA для административного доступа, регулярный пересмотр прав.

Аудит и журналирование. Чтобы соблюсти требования к безопасности данных, логи действий с данными хранят отдельно от самих данных и защищают от модификации.

Безопасность облачных решений. При использовании облака проверьте юрисдикцию провайдера, наличие сертификатов (ISO 27001, SOC 2), договорные гарантии локализации критичных категорий, кибербезопасность как часть SLA. Если используете «заграничные» облака, помните — биометрию и генетику в них держать нельзя.

FAQ

Что считается персональными данными в Узбекистане?

Любая информация, которая позволяет идентифицировать физическое лицо: ФИО, ПИНФЛ, паспортные данные, контакты, биометрия, генетика, медицинские сведения, в ряде случаев — IP и cookies в связке с другими идентификаторами.

Нужно ли хранить все данные внутри страны?

С 26 марта 2026 года — нет. Обязательной локализации подлежат биометрические и генетические данные, а также данные пользователей телеком-операторов.

Можно ли передавать данные за границу?

Да, при наличии одного из оснований: адекватный уровень защиты в стране получателя, стандартные договорные условия или BCR, соответствие международным стандартам из утвержденного перечня.

Какие штрафы предусмотрены за нарушение?

До 50 БРВ для должностных лиц по административной линии (20,6 млн сумов), до 200 БРВ по уголовной (82,4 млн сумов), 100 БРВ (41,2 млн сумов) за нарушения с использованием ИИ, плюс блокировка ресурса и лишение определенного права на срок до 3 лет за повторные нарушения локализации.

Что будет, если не зарегистрировать базу в реестре?

Отсутствие регистрации — самостоятельное основание для административного взыскания и предписания. Если бизнес не устранит нарушение по предписанию, санкции эскалируются вплоть до блокировки.

Кто контролирует исполнение закона?

Государственный центр персонализации при Кабинете Министров и инспекция в сфере информатизации и телекоммуникаций. Они ведут реестр, выдают предписания и инициируют блокировки.