Закон о персональных данных Узбекистана: чек-лист для IT-компании
Если ваш продукт собирает данные пользователей из Узбекистана — вы уже попадаете под требования закона о персональных данных. Разбираем, что это означает на практике для IT-команды: от политики конфиденциальности до локализации хранения данных. Конкретный чек-лист, без воды.
Закон о персональных данных Узбекистана: чек-лист для IT-компании
Если ваш сервис регистрирует пользователей, собирает аналитику или хранит платёжную информацию — вы обрабатываете персональные данные. В Узбекистане эта сфера регулируется специальным законом, и незнание требований не освобождает от ответственности. Хорошая новость: выстроить compliance реально без юридического отдела в штате, если понимать логику закона.
Ключевые тезисы:
- Под действие закона попадают все операторы, обрабатывающие данные граждан Узбекистана — независимо от юрисдикции компании.
- Хранение персональных данных граждан UZ требует локализации на серверах внутри страны (с рядом исключений).
- Обработка данных без согласия пользователя — нарушение, даже если данные «публичные».
- Штрафы и предписания регулятора реальны; риск растёт по мере масштабирования продукта.
---
Кто такой «оператор» и почему это вы
Закон о персональных данных Узбекистана вводит понятие оператора — лица или организации, которые самостоятельно или совместно с другими определяют цели и способы обработки персональных данных. Если вы запускаете мобильное приложение, SaaS-платформу или интернет-магазин с узбекскими пользователями — вы оператор.
При этом неважно, где зарегистрирована ваша компания. Принцип экстерриториальности работает аналогично GDPR: если вы целенаправленно работаете с пользователями из Узбекистана, закон распространяется на вас.
Практический момент: если вы используете сторонние сервисы (аналитику, CRM, email-рассылки), вы передаёте данные третьим лицам. Закон требует, чтобы эта передача была оформлена — либо через согласие пользователя, либо через договор с чётко прописанными обязательствами по защите данных.
---
Какие данные считаются персональными
Персональные данные — любая информация, которая прямо или косвенно идентифицирует физическое лицо. В IT-контексте это:
- имя, фамилия, дата рождения;
- номер телефона, email, адрес;
- IP-адрес, cookie-идентификаторы;
- геолокация;
- данные об устройстве в сочетании с другими атрибутами;
- поведенческие паттерны, если они позволяют идентифицировать пользователя.
Отдельная категория — специальные (чувствительные) данные: биометрия, здоровье, политические взгляды, религия. Для их обработки требования строже: как правило, нужно явное письменное согласие. Если ваш продукт касается медицины, HR или финтеха — это ваша зона особого внимания.
---
Сравнение подходов к хранению данных
| Вариант | Плюсы | Минусы | Когда подходит |
|---|---|---|---|
| Локальный сервер / дата-центр в UZ | Полное соответствие требованию локализации | Выше стоимость инфраструктуры, меньше гибкости | Продукты с большой локальной базой пользователей |
| Гибридная модель (основные данные — в UZ, аналитика — за рубежом) | Баланс цены и compliance | Требует чёткого разграничения типов данных | Большинство SaaS-стартапов |
| Полностью зарубежное облако | Дешевле, знакомый стек | Риск нарушения требований локализации | Только если данные граждан UZ не хранятся постоянно |
| Обезличивание перед передачей за рубеж | Снимает ряд ограничений | Сложно реализовать корректно; нужна экспертиза | Аналитические и ML-задачи |
> Важно: конкретные требования к локализации и перечень допустимых исключений необходимо уточнять на дату применения — регулятор периодически обновляет разъяснения.
---
Согласие пользователя: как сделать правильно
Согласие на обработку персональных данных должно быть:
- добровольным — нельзя блокировать основной функционал за отказ от необязательной аналитики;
- информированным — пользователь должен знать, что именно, зачем и как долго вы храните;
- конкретным — одно согласие «на всё» не работает для разных целей обработки;
- отзываемым — у пользователя должна быть простая возможность отозвать согласие.
Когда мы строили Pactum, одной из первых задач была ревизия всех форм сбора данных. Советую сразу делать отдельные чекбоксы для маркетинговых рассылок и для базовой регистрации — это и правильно юридически, и честнее по отношению к пользователю.
---
Чек-лист: что сделать на этой неделе
- [ ] Составить карту данных (data map): какие данные собираете, где храните, кому передаёте.
- [ ] Проверить политику конфиденциальности: она должна быть на русском/узбекском, конкретной и актуальной.
- [ ] Убедиться, что форма согласия соответствует требованиям — отдельно для каждой цели обработки.
- [ ] Проверить договоры с подрядчиками, которым вы передаёте данные пользователей (аналитика, CRM, поддержка).
- [ ] Уточнить, где физически хранятся данные граждан UZ, и соответствует ли это требованиям локализации.
- [ ] Назначить ответственного за обработку данных внутри команды (даже если это не отдельная роль).
- [ ] Продумать процедуру ответа на запросы пользователей: доступ, исправление, удаление данных.
---
FAQ
Нужно ли регистрироваться у регулятора как оператор персональных данных?
Закон предусматривает уведомительный порядок для ряда операторов. Конкретные требования и пороги зависят от категорий данных и объёмов обработки — уточняйте актуальный порядок у специалиста или на сайте регулятора.
Мы стартап с небольшой командой — нужен ли нам DPO (ответственный за данные)?
Формальная должность DPO в узбекском законодательстве прямо не предписана всем без исключения, однако наличие ответственного лица де-факто снижает риски. На раннем этапе это может быть co-founder или CTO с чётко закреплёнными обязанностями.
Что считается нарушением и каковы последствия?
Нарушения включают обработку без согласия, несоблюдение локализации, непредоставление пользователю доступа к его данным. Санкции варьируются от предписаний до административной ответственности; конкретные размеры штрафов периодически пересматриваются — актуальные суммы уточняйте на дату применения.
Распространяется ли закон на B2B-продукты?
Да, если в процессе обработки вы работаете с данными физических лиц (сотрудников клиента, контактных лиц). B2B не освобождает от требований.
Можно ли хранить данные в AWS или Google Cloud?
Это зависит от типа данных и наличия у провайдера инфраструктуры в Узбекистане или выполнения иных условий, предусмотренных законом. Однозначного запрета нет, но и автоматического разрешения тоже нет — нужна оценка конкретной архитектуры.
---
*Материал носит общеинформационный характер и не является индивидуальной юридической консультацией. Для оценки вашей ситуации обратитесь к специалисту.*
---
Если после этого чек-листа остались вопросы или нужна помощь с документами — запишитесь на консультацию. В Pactum мы помогаем IT-компаниям выстраивать compliance по персональным данным: от аудита текущей ситуации до разработки политик и договоров с подрядчиками.

Основатель юридической платформы Pactum. Пишет о правовой стороне IT-бизнеса, искусственного интеллекта и стартапов в Узбекистане — от персональных данных и IT Park до венчурных сделок.
Читайте также
Штатный юрист или юридический аутсорсинг: что выбрать компании
Держать юриста в штате или передать правовые вопросы на аутсорсинг — один из первых стратегических выборов растущего бизнеса. В этой статье разбираю оба варианта с точки зрения реальных задач, затрат и рисков, чтобы вы могли принять взвешенное решение.
Открытие филиала или представительства иностранной компании в Узбекистане: полное руководство
Иностранная компания может работать в Узбекистане через филиал или представительство без создания отдельного юридического лица. В статье — пошаговый процесс аккредитации, ключевые документы, риски и практические советы от юридической команды Pactum.
Можно ли вызвать нотариуса на дом или в больницу: как это работает на практике
Да, нотариуса можно вызвать на дом, в больницу или другое удобное место — это законная практика, доступная гражданам Узбекистана. Узнайте, в каких случаях возможен выезд нотариуса, какие документы нужно подготовить и как оформить вызов в Юнусабадском районе Ташкента.