Закон о персональных данных Узбекистана: чек-лист для IT-компании
Юриспруденция

Закон о персональных данных Узбекистана: чек-лист для IT-компании

Если ваш продукт собирает данные пользователей из Узбекистана — вы уже попадаете под требования закона о персональных данных. Разбираем, что это означает на практике для IT-команды: от политики конфиденциальности до локализации хранения данных. Конкретный чек-лист, без воды.

Бахром Исомадинов
Бахром Исомадинов
Основатель и CEO Pactum · IT, AI и стартап-право
17 июля 2026 г.5 мүн окуу
Поделиться:

Закон о персональных данных Узбекистана: чек-лист для IT-компании

Если ваш сервис регистрирует пользователей, собирает аналитику или хранит платёжную информацию — вы обрабатываете персональные данные. В Узбекистане эта сфера регулируется специальным законом, и незнание требований не освобождает от ответственности. Хорошая новость: выстроить compliance реально без юридического отдела в штате, если понимать логику закона.

Ключевые тезисы:

  • Под действие закона попадают все операторы, обрабатывающие данные граждан Узбекистана — независимо от юрисдикции компании.
  • Хранение персональных данных граждан UZ требует локализации на серверах внутри страны (с рядом исключений).
  • Обработка данных без согласия пользователя — нарушение, даже если данные «публичные».
  • Штрафы и предписания регулятора реальны; риск растёт по мере масштабирования продукта.

---

Кто такой «оператор» и почему это вы

Закон о персональных данных Узбекистана вводит понятие оператора — лица или организации, которые самостоятельно или совместно с другими определяют цели и способы обработки персональных данных. Если вы запускаете мобильное приложение, SaaS-платформу или интернет-магазин с узбекскими пользователями — вы оператор.

При этом неважно, где зарегистрирована ваша компания. Принцип экстерриториальности работает аналогично GDPR: если вы целенаправленно работаете с пользователями из Узбекистана, закон распространяется на вас.

Практический момент: если вы используете сторонние сервисы (аналитику, CRM, email-рассылки), вы передаёте данные третьим лицам. Закон требует, чтобы эта передача была оформлена — либо через согласие пользователя, либо через договор с чётко прописанными обязательствами по защите данных.

---

Какие данные считаются персональными

Персональные данные — любая информация, которая прямо или косвенно идентифицирует физическое лицо. В IT-контексте это:

  • имя, фамилия, дата рождения;
  • номер телефона, email, адрес;
  • IP-адрес, cookie-идентификаторы;
  • геолокация;
  • данные об устройстве в сочетании с другими атрибутами;
  • поведенческие паттерны, если они позволяют идентифицировать пользователя.

Отдельная категория — специальные (чувствительные) данные: биометрия, здоровье, политические взгляды, религия. Для их обработки требования строже: как правило, нужно явное письменное согласие. Если ваш продукт касается медицины, HR или финтеха — это ваша зона особого внимания.

---

Сравнение подходов к хранению данных

ВариантПлюсыМинусыКогда подходит
Локальный сервер / дата-центр в UZПолное соответствие требованию локализацииВыше стоимость инфраструктуры, меньше гибкостиПродукты с большой локальной базой пользователей
Гибридная модель (основные данные — в UZ, аналитика — за рубежом)Баланс цены и complianceТребует чёткого разграничения типов данныхБольшинство SaaS-стартапов
Полностью зарубежное облакоДешевле, знакомый стекРиск нарушения требований локализацииТолько если данные граждан UZ не хранятся постоянно
Обезличивание перед передачей за рубежСнимает ряд ограниченийСложно реализовать корректно; нужна экспертизаАналитические и ML-задачи

> Важно: конкретные требования к локализации и перечень допустимых исключений необходимо уточнять на дату применения — регулятор периодически обновляет разъяснения.

---

Согласие пользователя: как сделать правильно

Согласие на обработку персональных данных должно быть:

  • добровольным — нельзя блокировать основной функционал за отказ от необязательной аналитики;
  • информированным — пользователь должен знать, что именно, зачем и как долго вы храните;
  • конкретным — одно согласие «на всё» не работает для разных целей обработки;
  • отзываемым — у пользователя должна быть простая возможность отозвать согласие.

Когда мы строили Pactum, одной из первых задач была ревизия всех форм сбора данных. Советую сразу делать отдельные чекбоксы для маркетинговых рассылок и для базовой регистрации — это и правильно юридически, и честнее по отношению к пользователю.

---

Чек-лист: что сделать на этой неделе

  • [ ] Составить карту данных (data map): какие данные собираете, где храните, кому передаёте.
  • [ ] Проверить политику конфиденциальности: она должна быть на русском/узбекском, конкретной и актуальной.
  • [ ] Убедиться, что форма согласия соответствует требованиям — отдельно для каждой цели обработки.
  • [ ] Проверить договоры с подрядчиками, которым вы передаёте данные пользователей (аналитика, CRM, поддержка).
  • [ ] Уточнить, где физически хранятся данные граждан UZ, и соответствует ли это требованиям локализации.
  • [ ] Назначить ответственного за обработку данных внутри команды (даже если это не отдельная роль).
  • [ ] Продумать процедуру ответа на запросы пользователей: доступ, исправление, удаление данных.

---

FAQ

Нужно ли регистрироваться у регулятора как оператор персональных данных?

Закон предусматривает уведомительный порядок для ряда операторов. Конкретные требования и пороги зависят от категорий данных и объёмов обработки — уточняйте актуальный порядок у специалиста или на сайте регулятора.

Мы стартап с небольшой командой — нужен ли нам DPO (ответственный за данные)?

Формальная должность DPO в узбекском законодательстве прямо не предписана всем без исключения, однако наличие ответственного лица де-факто снижает риски. На раннем этапе это может быть co-founder или CTO с чётко закреплёнными обязанностями.

Что считается нарушением и каковы последствия?

Нарушения включают обработку без согласия, несоблюдение локализации, непредоставление пользователю доступа к его данным. Санкции варьируются от предписаний до административной ответственности; конкретные размеры штрафов периодически пересматриваются — актуальные суммы уточняйте на дату применения.

Распространяется ли закон на B2B-продукты?

Да, если в процессе обработки вы работаете с данными физических лиц (сотрудников клиента, контактных лиц). B2B не освобождает от требований.

Можно ли хранить данные в AWS или Google Cloud?

Это зависит от типа данных и наличия у провайдера инфраструктуры в Узбекистане или выполнения иных условий, предусмотренных законом. Однозначного запрета нет, но и автоматического разрешения тоже нет — нужна оценка конкретной архитектуры.

---

*Материал носит общеинформационный характер и не является индивидуальной юридической консультацией. Для оценки вашей ситуации обратитесь к специалисту.*

---

Если после этого чек-листа остались вопросы или нужна помощь с документами — запишитесь на консультацию. В Pactum мы помогаем IT-компаниям выстраивать compliance по персональным данным: от аудита текущей ситуации до разработки политик и договоров с подрядчиками.

Понравилась статья?
Поделиться:
Бахром Исомадинов
Бахром Исомадинов
Основатель и CEO Pactum · IT, AI и стартап-право

Основатель юридической платформы Pactum. Пишет о правовой стороне IT-бизнеса, искусственного интеллекта и стартапов в Узбекистане — от персональных данных и IT Park до венчурных сделок.

Основатель и CEO Pactum · pactum.uz

Нужна профессиональная консультация?

Наши юристы готовы помочь вам с любым вопросом

Смотреть услуги
Перезвоним за 15 минут
Оставьте телефон — юрист бесплатно ответит на вопрос из статьи

Читайте также

Штатный юрист или юридический аутсорсинг: что выбрать компании
1 мүн

Штатный юрист или юридический аутсорсинг: что выбрать компании

Держать юриста в штате или передать правовые вопросы на аутсорсинг — один из первых стратегических выборов растущего бизнеса. В этой статье разбираю оба варианта с точки зрения реальных задач, затрат и рисков, чтобы вы могли принять взвешенное решение.

17 июля 2026 г.Читать
Открытие филиала или представительства иностранной компании в Узбекистане: полное руководство
1 мүн

Открытие филиала или представительства иностранной компании в Узбекистане: полное руководство

Иностранная компания может работать в Узбекистане через филиал или представительство без создания отдельного юридического лица. В статье — пошаговый процесс аккредитации, ключевые документы, риски и практические советы от юридической команды Pactum.

17 июля 2026 г.Читать
Можно ли вызвать нотариуса на дом или в больницу: как это работает на практике
1 мүн

Можно ли вызвать нотариуса на дом или в больницу: как это работает на практике

Да, нотариуса можно вызвать на дом, в больницу или другое удобное место — это законная практика, доступная гражданам Узбекистана. Узнайте, в каких случаях возможен выезд нотариуса, какие документы нужно подготовить и как оформить вызов в Юнусабадском районе Ташкента.

17 июля 2026 г.Читать