Локализация персональных данных: что это значит для SaaS и мобильных приложений в Узбекистане
Юриспруденция

Локализация персональных данных: что это значит для SaaS и мобильных приложений в Узбекистане

Если вы строите SaaS или приложение, работающее с данными пользователей из Узбекистана, требования к локализации данных касаются вас напрямую. Разбираем, что значит «хранить данные в Узбекистане», какие риски несёт несоблюдение и как выстроить архитектуру продукта правильно с первого раза.

Бахром Исомадинов
Бахром Исомадинов
Основатель и CEO Pactum · IT, AI и стартап-право
18 июля 2026 г.5 мин чтения
Поделиться:

Локализация персональных данных: что значит для SaaS и приложений

Если ваш продукт собирает персональные данные граждан Узбекистана — имена, телефоны, email, геолокацию, поведенческие данные — законодательство требует, чтобы первичная база этих данных находилась на серверах внутри страны. Это и есть локализация данных. Звучит просто, но на практике рождает десятки вопросов: что считается «первичной базой»? Можно ли использовать AWS или GCP? Что будет, если не выполнить требование?

Ключевые тезисы:

  • Операторы персональных данных обязаны хранить базы данных граждан Узбекистана на серверах, физически расположенных в стране.
  • Это касается и иностранных компаний, если они целенаправленно работают с узбекскими пользователями.
  • Трансграничная передача данных за рубеж не запрещена, но требует выполнения ряда условий.
  • Штрафы и блокировки — реальный риск; регулятор уже фиксирует нарушителей.

---

Кого касается требование о локализации

Краткий ответ: всех, кто обрабатывает персональные данные физических лиц на территории Узбекистана. Это включает:

  • Локальные стартапы и SaaS-продукты — очевидно.
  • Международные платформы с узбекской аудиторией: если вы показываете интерфейс на узбекском или русском, принимаете оплату в сумах — вы в зоне регулирования.
  • B2B-инструменты, которые хранят данные сотрудников или клиентов узбекских компаний.
  • Мобильные приложения — даже если backend живёт в Европе.

Когда мы строили Pactum, один из первых вопросов, который задали инвесторы: «Где хранятся данные ваших клиентов?» Этот вопрос теперь задают и регуляторы.

---

Что именно нужно хранить «внутри»

Закон говорит о базах персональных данных — структурированных хранилищах, в которых данные систематизированы и доступны для поиска. Это не означает, что каждый байт трафика должен проходить через узбекский сервер. Но первичная запись — та, куда данные попадают впервые и откуда они считываются как «источник истины» — должна быть локальной.

Практически это означает:

  • Основная БД (PostgreSQL, MongoDB, и т.д.) — в Узбекистане.
  • Резервные копии за рубежом — допустимы при соблюдении условий трансграничной передачи.
  • CDN и кэши — отдельная история, требующая анализа.
  • Аналитические системы (например, Amplitude, Mixpanel) — серая зона, советую проконсультироваться отдельно.

---

Варианты размещения: плюсы, минусы, когда подходит

ВариантПлюсыМинусыКогда подходит
Узбекский дата-центр (colocation)Полное соответствие требованиямОграниченный выбор провайдеров, выше ценаКорпоративные продукты, fintech, госсектор
Облако узбекского провайдераПроще настроить, SLAМеньше сервисов, чем у AWS/GCPСтартапы с локальным рынком
Hybrid: локальная БД + зарубежный computeГибкость, производительностьСложнее архитектурноSaaS с глобальной инфраструктурой
Только зарубежные серверыПривычно, дешевлеНарушение закона — риск блокировкиНе рекомендуется без юридического анализа

---

Трансграничная передача данных: можно, но с условиями

Локализация ≠ запрет на экспорт данных. Вы можете передавать персональные данные за рубеж, если:

  • Страна-получатель обеспечивает адекватный уровень защиты (перечень определяется уполномоченным органом).
  • Субъект данных дал явное согласие на трансграничную передачу.
  • Передача необходима для исполнения договора с субъектом.

Важно: условия и порядок уведомления регулятора о трансграничной передаче могут меняться — уточняйте актуальный порядок на дату применения.

---

Что будет, если проигнорировать требования

Регулятор — Агентство по персональным данным — имеет полномочия:

  • Выдавать предписания об устранении нарушений.
  • Налагать административные санкции (размеры штрафов необходимо проверять по действующим нормам на момент применения).
  • Инициировать блокировку сервиса на территории страны.

Для SaaS блокировка = потеря рынка. Для мобильного приложения — удаление из сторов по требованию регулятора. Это не теоретические риски: прецеденты уже есть.

---

Что сделать на этой неделе

  • [ ] Составьте карту данных (data map): что собираете, где храните, кому передаёте.
  • [ ] Определите, какие данные попадают под определение «персональные» по узбекскому закону.
  • [ ] Проверьте, где физически расположены ваши сервера и базы данных.
  • [ ] Проверьте договоры с облачными провайдерами на предмет местонахождения датацентров.
  • [ ] Если используете сторонние сервисы аналитики, CRM, поддержки — включите их в анализ.
  • [ ] Назначьте ответственного за персональные данные внутри команды.

---

FAQ

Мы стартап на ранней стадии, у нас мало пользователей — требования всё равно распространяются на нас?

Да. Закон не делает исключений по размеру компании или числу пользователей. Лучше выстроить правильную архитектуру сразу, чем переделывать под давлением регулятора.

Можно ли использовать AWS или Google Cloud?

Можно — если выбрать регион, расположенный в Узбекистане, или построить гибридную схему с локальной первичной БД. Сами по себе эти провайдеры не запрещены.

Нужно ли регистрировать базу данных в каком-то реестре?

Операторы персональных данных обязаны уведомлять уполномоченный орган. Порядок и форма уведомления — уточняйте актуальную процедуру, она периодически обновляется.

Как быть с данными иностранных пользователей, которые заходят в наш продукт?

Закон Узбекистана регулирует данные граждан и лиц, находящихся на территории страны. Данные иностранных пользователей, не связанных с Узбекистаном, под это требование, как правило, не подпадают — но конкретная ситуация требует анализа.

Мы SaaS для B2B — клиент сам хранит данные своих пользователей. Кто несёт ответственность?

Ответственность распределяется между оператором (вашим клиентом) и обработчиком (вами). Это нужно чётко прописать в договоре — иначе риски несёте вы оба.

---

*Эта статья — общая информация, не индивидуальная юридическая консультация. Конкретные требования зависят от типа вашего продукта, данных и бизнес-модели.*

---

Если вы хотите разобрать ситуацию вашего продукта конкретно — архитектуру хранения данных, договоры с облачными провайдерами или политику конфиденциальности — запишитесь на консультацию. В Pactum мы работаем именно с такими кейсами: на стыке продукта и права.

Понравилась статья?
Поделиться:
Бахром Исомадинов
Бахром Исомадинов
Основатель и CEO Pactum · IT, AI и стартап-право

Основатель юридической платформы Pactum. Пишет о правовой стороне IT-бизнеса, искусственного интеллекта и стартапов в Узбекистане — от персональных данных и IT Park до венчурных сделок.

Основатель и CEO Pactum · pactum.uz

Нужна профессиональная консультация?

Наши юристы готовы помочь вам с любым вопросом

Смотреть услуги
Перезвоним за 15 минут
Оставьте телефон — юрист бесплатно ответит на вопрос из статьи

Читайте также

Как проверить подлинность нотариального документа: объясняет нотариус
1 мин

Как проверить подлинность нотариального документа: объясняет нотариус

Сомневаетесь, настоящий ли перед вами нотариальный документ? В этой статье я, нотариус Юнусабадского района Ташкента, объясняю, по каким признакам распознать подлинный документ, какие инструменты проверки существуют и что делать, если у вас есть сомнения.

19 июля 2026 г.Читать
Обжалование результатов налоговой проверки: пошаговый порядок
1 мин

Обжалование результатов налоговой проверки: пошаговый порядок

Получили акт налоговой проверки с доначислениями — не спешите соглашаться. В этом руководстве юридическая команда Pactum объясняет, как выстроить защиту: от возражений до суда, какие документы готовить и где чаще всего допускают ошибки.

18 июля 2026 г.Читать
Нотариальная тайна: что нотариус обязан хранить в секрете
1 мин

Нотариальная тайна: что нотариус обязан хранить в секрете

Нотариальная тайна — одна из ключевых гарантий защиты ваших прав при обращении к нотариусу. В этой статье я объясняю, какие сведения охраняются законом, кто и при каких условиях может получить к ним доступ, и почему конфиденциальность — это не просто формальность.

18 июля 2026 г.Читать
Локализация персональных данных: что это значит для SaaS и мобильных приложений в Узбекистане