Законодательство о персональных данных в Узбекистане

В настоящем материале содержится обзор законодательства Узбекистана в области персональных данных, какие существуют особенности и отличия от казахстанского законодательства, а также случаи утечек и незаконного распространения персональных данных в соседней стране.

Спецзакон о персональных данных

Закон Республики Узбекистан «О персональных данных» был принят законодательной палатой 16 апреля 2019 года, одобрен сенатом 21 июня 2019 года и вступил в силу 1 октября того же года.

Основные понятия, используемые в законе:

Персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации.
Биометрическими данными являются персональные данные, характеризующие анатомические и физиологические особенности субъекта.
Генетическими данными являются персональные данные, относящиеся к унаследованным или приобретенным характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию.
Специальными персональными данными являются данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.

Новые нормы в Трудовом кодексе

Кроме того, 28 октября текущего года президент Узбекистана Шавкат Мирзиёев подписал Трудовой кодекс в новой редакции, который вступит в силу через шесть месяцев, 30 апреля 2023 года. В новом пагарафе «Защита персональных данных работника» Трудового кодекса работодатель обязан совместно с представителями работников вырабатывать меры по защите персональных данных работников для обеспечения защиты персональных данных и предотвращения незаконного распространения.

Регулятор

Регулятором в сфере защиты персональных данных является Государственный центр персонализации при кабинете министров Республики Узбекистан, обладающий следующими полномочиями:

ведет Государственный реестр баз персональных данных;
выдает свидетельство о регистрации базы персональных данных в Государственном реестре баз персональных данных;
осуществляет государственный контроль за соблюдением требований законодательства о персональных данных;
определяет необходимый уровень защищенности персональных данных;
вносит обязательные для исполнения предписания об устранении нарушений законодательства о персональных данных;
направляет в государственные органы, уполномоченные в области обеспечения государственной безопасности, применительно к сфере их деятельности, установленные сведения;
присваивает персональный идентификационный номер физического лица (ПИНФЛ).

🇰🇿

В Казахстане отсутствует функция государственного контроля у регулятора. Госконтроль подразумевает под собой, что в целях соблюдения требования законодательства о персональных данных и проведения проверок жалоба субъекта персональных данных не требуется. Подробнее об этой теме можно ознакомиться в статье проекта «Госконтроль по защите персональных данных».

Локализация персональных данных

14 января 2021 года Закон «О персональных данных» был дополнен статьей 27−1 «Особые условия обработки персональных данных граждан Республики Узбекистан.

«Собственник и (или) оператор при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети интернет, обязан обеспечить их сбор, систематизацию и хранение в базах персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан и зарегистрированных в установленном порядке в Государственном реестре баз персональных данных».

С 16 апреля 2021 года все лица, которые имеют дело с персональными данными граждан Узбекистана, обязаны хранить персональные данные на серверах, которые физически расположены на территории страны.

Узкомназорат на страже

12 мая 2021 года со стороны Государственной инспекции по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан (Узкомназорат) направлены письма популярным платформам с требованием по соблюдению законодательства о защите персональных данных.

31 мая 2021 года Узкомназорат выдала предписания компаниям Mail.ru Group, Twitter Inc. и Tencent Inc. о принятии соответствующих мер по обеспечению соблюдения требований статьи 27-1 Закона «О персональных данных».

2 июля 2021 года госорган включил в реестр нарушителей законодательства о персональных данных социальные сети TikTok, VK, Twitter, Одноклассники, Skype, WeChat и заблокировал их работу с стране. Однако в настоящее время в данном реестре содержится лишь только TikTok.

*Скриншот реестра нарушителей прав субъектов персональных данных, ноябрь, 2022 года*

🇰🇿

В Казахстане существует аналогичная норма. Хранение персональных данных должно осуществляться собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан (пункт 2 статьи 12 Закона Республики Казахстан «О персональных данных и их защите»).
В июле 2021 года Министерство иностранных дел Республики Казахстан направило владельцам иностранных интернет-сервисов письма по вопросу переноса их серверов (баз данных) на территорию Республики Казахстан для последующего хранения информации о казахстанских пользователях и открытия их представительств на территории страны.
В свою очередь, получателями писем о сотрудничестве являлись 20 иностранных интернет-сервисов такие как Google, Telegram Messenger, Snap Inc. (Snapchat, Zenly), Microsoft (Teams Outlook) и т.д.

Случаи нарушения закона о персональных данных

Паспортный стол

Узбекский блогер Kurbanoff.net 14 июня 2022 года обратил внимание на стенд возле одного из паспортных столов Узбекистана, который использует реальные персональные данные граждан.

«…не используйте данные реальных людей. ID карта, которая на баннере с именем Egamberdiyev Timur определяется по номерам как реальная. Надеюсь он в курсе что его ID карта висит в таких кабинетах. Ну хоть чуть чуть закон о персональных данных уважайте», — сообщает в своем канале блогер Kurbanoff.net.

Результаты ПЦР на Covid-19

Он же обратил внимание на публичные группы в Telegram, где публиковались результаты тестирования на Covid-19 и паспортные данные.

«С одной стороны понимаю желание ведомств (СЭС и ГНК) помочь людям, чтобы они лишний раз никуда не ходили, особенно когда ковид опять бушует. Но с другой стороны личные данные людей, результаты их анализов становятся известным тысячам чужих людей. Я уже молчу про врачебную тайну (результаты анализов) и защиту персональных данных (паспортные данные, ИНН, ПИНФЛ)».

E-Qaror

E-Qaror - Единая электронная система разработки, согласования и регистрации постановлений, принимаемых органами государственной власти на местах при Министерстве юстиции Республики Узбекистан - оказалась подвержена раскрытию персональных данных через поиск в Google.

На это обратили внимание в Telegram-канале Сontextuz, найдя в Google документы, содержащие персональные данные как имена, фамилии, номера паспортов, номера телефонов, адреса.

Данная информация предоставлена Турсуновой Мадиной, является практикующим юристом в области интеллектуальной собственности, информационного права и недобросовестной конкуренции в Узбекистане. Текст отредактирован и адаптирован командой Ландшафта цифровых прав и свобод.