🔗Поправки вводятся отдельным законом №1125 от 26.03.2026
Приводим новую редакцию статьи 27.1 (в неофициальном переводе, официальный текст на русском языке пока недоступен):
Статья 27¹. Особые условия хранения и обработки персональных данных
Персональные данные граждан Республики Узбекистан должны храниться с обеспечением основных принципов настоящего Закона.
Следующие персональные данные подлежат обязательному хранению на территории Республики Узбекистан:
- биометрические данные физических лиц;
- генетические данные физических лиц;
- данные физических лиц — пользователей услуг телекоммуникационных операторов, осуществляющих деятельность на территории Республики Узбекистан.
Персональные данные, не указанные в части второй настоящей статьи, могут храниться и обрабатываться за пределами территории Республики Узбекистан при соблюдении одного из следующих условий: - признание иностранного государства в качестве государства, обеспечивающего адекватную защиту персональных данных;
- принятие и соблюдение оператором типовых договорных условий или обязательных корпоративных правил, соответствующих требованиям, утверждённым уполномоченным государственным органом;
- соблюдение оператором международных стандартов в области управления и хранения персональных данных, перечень которых утверждается уполномоченным государственным органом.
Перечень иностранных государств, обеспечивающих адекватную защиту персональных данных, устанавливается Кабинетом Министров Республики Узбекистан
Главный вопрос – передача биометрических, генетических данных за пределы Узбекистана полностью запрещена?
Да, запрет есть, он не сформулирован прямо, но подразумевается. Указано, что эти три категории персональных данных «подлежат обязательному хранению на территории Узбекистана». А остальные ПДн – могут обрабатываться за рубежом. Но слов, что «передача биометрических данных за пределы Узбекистана запрещена» или что «обработка осуществляется исключительно на территории Узбекистана» – в тексте нет. То есть запрет не сформулирован прямо, а проистекает из контекста по принципу “если что-то не разрешено – то это запрещено”.
Также обратим внимание, что в законе сохранилась и не подверглась корректировке статья 15 «Трансграничная передача персональных данных», в которой никаких различий между разными категориями персональных данных не делается. По ней, например, достаточным основанием для передачи ПДн в страну, не обеспечивающую адекватную защиту персональных данных является согласие субъекта. Какая из статей закона имеет больший приоритет – 15 или 27.1?
📆Когда статья 27.1 была принята в первый раз в 2021 году, на вступление в силу было отведено 3 месяца. В этот раз поправки вступили в силу сразу, в день публикации – 27 марта 2026. Так как ни один из документов, определяющих возможность обработки за рубежом не принят, это помещает сейчас любую трансграничную передачу в “серую” зону, а строго говоря делает временно незаконной. Как минимум пока не будут приняты подзаконные акты или регулятором не будут даны разъяснения.
❓Если считать, что запрет полный и безусловный и передача биометрических, генетических данных и ПДн пользователей услуг телеком.операторов за рубеж запрещена, то возникают вопросы:
- Как в Узбекистане будут работать визовые центры (TLScontact, VFS Global), собирающие биометрические фотографии и отпечатки пальцев граждан, подающих заявления на визы? Ведь в этом случае такие ПДн попадают в информационные системы, хранящиеся за рубежом. Работа визовых центров оказывается вне закона?
- Накануне Премьер-министр Узбекистана заявил о подготовке к запуску спутникового интернета в Узбекистане в 2026 году. Но данные физических лиц — пользователей услуг телекоммуникационных операторов попадают в перечень обязательной локализации. Неужели условный StarLink обяжут хранить базу пользователей исключительно на территории Узбекистана?