Как подготовиться к соответствию закону Республики Узбекистан «О персональных данных»? (дополнено 21.11.2023)

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №11 (149) за ноябрь 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится рабочая авторская редакция статьи. Данный материал готовился в условиях отсутствия официальных комментариев уполномоченного органа и до вступления в силу самого закона, поэтому основывается на опыте эксперта. За время прошедшее с публикации статья дополнена новыми фактами и мнениями. При первом прочтении рекомендуется ознакомиться с основным текстом, а уже потом с дополнениями - они снимают многие вопросы.

Дополнение от 21.11.2023
Опубликованы сразу два документа по защите персональных данных в Республике Узбекистан:
Типовой порядок организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора, обеспечивающего обработку персональных данных и их защиту (утверждён приказом министра юстиции Республики Узбекистан от 15.11.2023 г., рег.№ 3477)
Типовой порядок обработки персональных данных (утверждён приказом министра юстиции Республики Узбекистан от 15.11.2023 г., рег.№ 3478)

Что обращает на себя внимание во втором документе:
- В значительной мере институциализируется понятие конклюдентных действий, через акцепт оферты или согласие субъекта с требованиями и условиями пользования услугами.
- Вводятся требования по составу бланка согласия на обработку персональных данных, буквально перечисляются обязательные поля.
- Впервые в отечественном законодательстве появляется термин “блокирование” или ограничение применительно к персональным данным.

Коллеги из "Нормы" уже успели сделать краткий разбор этого документа.

Дополнение от 18.10.2022
5 октября 2022 г. вышло постановления Кабинета Министров РУз № 570 "Об утверждении некоторых нормативных правовых актов в области обработки персональных данных"
Им утверждаются два документа:
1. "Об определении категорий/степеней защиты при обработке ПДн."
2. "О требованиях к материальным носителями, содержащим биометрические и генетические ПДн и о технологиях хранения таких данных вне информационных систем."
Коллеги из NORMA сделали сводную таблицу, по которой проще разобраться с содержанием документа.
Требования ПКМ № 570 от 5 октября 2022 г. вступают в силу 07.01.2023.

Дополнение от 9.09.2022
Наш специалист направил запрос в ГЦП с вопросами:
1. В соотв. со ст.15 закона «О персональных данных» трансграничная передача ПДн осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. Каковы критерии адекватности? Сформирован ли перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн?
2. В соотв. со ст.8 того же закона на ГЦП возложены задачи утвердить два документа:
- Типовой порядок обраб.ПДн;
- Типовой порядок орг. деят. стр. подразд. или уполномоченного лица собственника и (или) оператора, обеспечивающего обработку персональных данных и их защиту.
Ранее проекты этих документов проходили общественное обсуждение (1 и 2)  Каков их текущий статус?
Был получен оперативный ответ. Благодарим сотрудников ГЦП за развёрнутые и содержательные разъяснения. Приводим его целиком (маскирован только адрес получателя).

Дополнение от 8.07.2021
Правоприменительная практика закона «О персональных данных»:
- Раскрыта группа, незаконно регистрировавшая IMEI-коды.
- Ограничено использование ряда социальных сетей в связи с нарушением требований законодательства при обработке персональных данных граждан Республики Узбекистан.
На сайте ГЦП стал доступен "Реестр нарушителей прав субъектов персональных данных"

Дополнение 4.03.2021
«Приведёт ли новый закон к блокировке социальных сетей?» Так называется (в переводе на русский язык) статья, размещённая на сайте Государственного центра персонализации в разделе новости. Фактически это репост новости с сайта kun.uz.
Наибольшую ценность представляет комментарий пресс-секретаря министерства по развитию информационных технологий и коммуникаций Шерзода Ахматова:
1. По словам пресс-секретаря (в изложении kun.uz) штаб-квартиры крупных социальных сетей и сервисов проинформированы о новинках законодательства в Узбекистане.
2. Дано уточнение о цели внесения поправки в закон «О персональных данных». Если персональные данные граждан Узбекистана хранятся на территории иностранного государства, то невозможно контролировать исполнение отечественного законодательства. То же и в случае если организация зарегистрирована в Узбекистане, но хранит персональные данные граждан за рубежом, то невозможно будет проверить выполнение ими действующего локального законодательства.
3. Будут рассматриваться различные варианты работы, если компании не захотят переносить сервера в Узбекистан. Например - предоставлять услуги без сбора персональных данных.
4. Решение о нарушении закона «О персональных данных» и (в случае необходимости) о блокировке будет принимать суд.

Дополнение 8.02.2021
Анонсированные новеллы в закон РУз «О персональных данных» вызвал резонные вопросы. Два основных:
1) Нужно ли теперь обрабатывать персональные данные граждан исключительно в Узбекистане и допустимо ли использовать зарубежные хостинги и облачные хранилища?
2) Как быть нерезидентам, не имеющим офисов и представительств в Узбекистане? Какова позиция регулятора в случае приобретения товаров в зарубежных интернет-магазинах, авиабилетов онлайн?

Ответов и комментариев от законодателей и уполномоченного органа мы пока не обнаружили. Поэтому своими силами сделали сравнительный анализ подобных же норм законодательства России и Казахстана, где уже есть такая норма. Тем более, что формулировки законов очень похожи друг на друга. Ответы на два этих вопроса мы свели в таблицу - щелкните картинку для увеличения.
Ссылка на нормативы и комментарии к ним:
Россия - ФЗ-152 «О персональных данных», комментарии МинЦифры по обработке и хранению персональных данных в РФ.
Казахстан - Закон «О персональных данных и их защите», требование локального хранения персональных данных, установленное Законом Республики Казахстан «О персональных данных и их защите».

Также мы взяли экспресс-комментарий у нашей российской коллеги Ксении Шудровой (к.т.н., автор книг о ПДн, член RISC). Она подтверждает наши выводы - в самом общем случае в России нужно чтобы основная база ПДн была на территории страны, но и за рубежом обрабатывать можно.

Обновление от 26.01.2021
В закон РУз «О персональных данных» вносится дополнение, целая статья.
«Статья 27.1. Особые условия обработки персональных данных граждан Республики Узбекистан
Собственник и (или) оператор при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети Интернет, обязан обеспечить их сбор, систематизацию и хранение в базах персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан и зарегистрированных в установленном порядке в Государственном реестре баз персональных данных».
Она вводится в действие по истечении трёх месяцев со дня опубликования (т.е. 15 апреля 2021 г.)
Мнение и наблюдения нашего эксперта.
1. В новой статье акцент сделан именно на дополнительных требованиях именно к ПДн граждан Узбекистана, в то время как в остальном по тексту закона акцент на гражданстве субъекта не делается.
2. В формулировке статьи от собственника/оператора не требуется чтобы обработка производилась исключительно в Узбекистане, главное чтобы это происходило обязательно в Узбекистане, не исключая другие страны.
Предположительно, это сделано для того, чтобы распространить действие административного и уголовного законодательства на правонарушения в области ПДн. Ведь если данные будут собираться и храниться изначально вне пределов страны, то возникнет коллизия с областью действия национального законодательства.
Надеемся, что появятся комментарии к профильному закону или описание практики применения его положений.
Пока официальная формулировка не попала в текст закона на lex.uz и доступна только на сайте газеты «Народное слово».

Обновление от 25.06.2020
1. Заработал сайт «Государственный реестр баз персональных данных».
2. Наш специалист созвонился с ответственным специалистом ГЦП при КМ РУз по направлению персональных данных. В ходе конструктивного диалога удалось выяснить:
- заявки на регистрацию баз персональных данных уже можно отправлять через соответствующие формы на сайте. Всё рассмотрение и получение результата, свидетельства о регистрации в реестре баз ПДн, осуществляется в электронном виде.
- проекты двух документов - «Типовой порядок обработки персональных данных» и «Типовой порядок организации деятельности структурного подразделения обеспечивающего обработку персональных данных и их защиту» находятся в стадии разработки. После утверждения они появятся в соответствующем разделе сайте.
- специалисты профильного подразделения ГЦП готовы ответить на вопросы и дать разъяснения, все контактные данные по ссылке.

Обновление от 14.02.2020
Чтобы получить разъяснения по закону «О персональных данных» мы в ITTS обратились с официальным запросом в Государственный центр персонализации при КМ РУз. Сегодня мы получили на него ответ. Вот краткие новости по теме ПДн в Узбекистане:
1. На прошлой неделе принято постановление Кабинета Министров № 71 от 08.02.2020 «Об утверждении Положения о Государственном реестре баз персональных данных».  В нём разъясняются процедурные вопросы по регистрации баз персональных данных
2. В течение месяца будет создана база - реестр баз персональных данных, а в течение двух месяцев планируется запуск системы, в которой через интернет можно будет провести регистрацию базы ПДн государственном реестре, внести изменения в регистрационные данные, проверку факта регистрации базы ПДн в реестре. Для идентификации будет использовать единая система идентификации id.gov.uz
3. Регистрация базы ПДн в реестре и изменение регистрационных данных будут проводиться без взимания платы.
4. Обобщённо процесс регистрации баз данных ПДн представлен на схеме, перевод которой сделали коллеги из ООО «NORMA».

---

Многие давно отмечали, что любой поход в любую контору сопровождается снятием копии паспорта. Что потом происходит с этими бумагами? Навести порядок со сбором и обработкой персональных данных призван вновь принятый закон.
Закон «О персональных данных» в Узбекистане был принят в начале июля 2019 года, в силу он вступил с 1 октября 2019 года. Видимо, из-за периода летних отпусков это событие прошло практически незамеченным. А ведь затрагивает он практически всех, кто оперирует со сколько-нибудь серьезной базой данных. Это банки, организации снабжающие электроэнергией, связью, газом, интернет-провайдеры. Попробуем отметить основные моменты.
Что такое персональные данные?
От того, что является персональными данными (далее по тексту ПДн) зависит, применим ли закон или нет. Вот точная формулировка из закона:
Персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации. (ст.4)
На какие случаи закон не распространяется?
- При обработке ПДн физическим лицом в личных, бытовых целях и не связанной с его профессиональной или коммерческой деятельностью;
- При формировании документов Национальным архивного фонда
- При обработке ПДн относящихся к госсекретам
- При обработке ПДн в рамках оперативно-розыскной деятельности и т.д. (ст.3)
Кто осуществляет государственное регулирование в области персональных данных?
Такое регулирование осуществляется Кабинетом Министров (ст.7) специально уполномоченным органом - Государственным центром персонализации (ст.8) - ГЦП.
Что такое обезличивание ПДн и когда оно необходимо?
Такое изменение персональных данных, когда определение принадлежности их конкретному субъекту становится невозможным называется обезличиванием. Необходимо обезличивать ПДн для проведения исторических, статистических, социологических, научных исследований (ст.16)
Нужно ли согласие владельца персональных данных (субъекта) на обработку его ПДн?
Да, теперь чётко определены условия, при которых возможна обработка ПДн. Одним из условий является согласие субъекта. (ст.18) При этом, субъект должен быть проинформирован какие именно данные собираются, цель их сбора, способы обработки и сроки (ст.23). Само согласие на обработку ПДн может быть и отозвано субъектом (ст.21), в этом случае ПДн должны быть уничтожены (ст.17). Это требование может быть обойдено, если такие данные получены из общедоступных источников.
Когда не нужно регистрировать базу персональных данных?
- относящихся к общественными или религиозным организациям, но только для внутренних нужд без передачи третьим лицам;
- сведений, которые сам субъект сделал общедоступными;
- сведений, включающих только фамилию, имя и отчество;
- сведений для разового прохода (при оформлении пропуска) на территорию;
- при обработке сведений из государственных информационных систем;
- при обработке сведений без средств автоматизации, т.е. бумажные записи и архивы;
- обрабатываемые кадровыми службами (ст.20).
Проще говоря - предприятиям, которые не накапливают никаких персональных данных граждан в электронном виде, можно базы не регистрировать. База сотрудников у кадровой службы, даже и в цифровом виде, как отмечено выше не требует регистрации.
Что такое специальные персональные данные?
Это данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости (ст.25).
Биометрические и генетические данные субъекта могут обрабатываться только при наличии согласия субъекта (ст.26). Некоторые банки в Узбекистан используют биометрические данные как степень дополнительной защиты, бывает, что отпечатки пальцев используются как пропуск в различных система контроля доступа. Теперь такие данные можно собирать только после документированного согласия клиента или пользователя.
Для ПДн должна быть обеспечена конфиденциальность, а для раскрытия и распространения нужно согласие субъекта (ст.29). Это требование не распространяется на общедоступные ПДн. Общедоступные персональные данные являются персональные данные, доступ к которым является свободным с согласия субъекта (ст.29).
Обязанности собственника или оператора ПДн.
Из инновационного и не вполне очевидного - обеспечить возможность подачи субъектом персональных данных документов (заявки) в электронном виде на временное приостановление обработки или уничтожение его персональных данных (ст.31).
Также оператор определяет структурное подразделение или должностное лицо, ответственное за работу с ПДн и обеспечивает его работу в соответствии с Типовым порядком обработки персональных данных. Судя по тексту закона, такой порядок будет разработан уполномоченным органом.
Что такое регистрация баз данных?
Базы ПДн регистрируются в Государственном реестре в ГЦП. А сама регистрация - уведомительная (ст.20). При изменении регистрационных данных нужно также уведомлять ГЦП в десятидневный срок. Также ГЦП выдает по итогам рассмотрения уведомления свидетельство о регистрации базы персональных данных в Государственном реестре.

Т.к. закон недавно вступил в силу, практически отсутствуют подзаконные акты и нет никакой практики его применения. В этой связи для всех собственников и операторов баз персональных данных можно предложить несколько рекомендаций на тот срок, пока формируется правоприменительная практика. Чтобы не стать первой организацией, которую оштрафуют за нарушение этого закона.
Первые рекомендуемые шаги по имплементации закона «О персональных данных»:
1. Провести инвентаризацию используемые информационных систем, составить их список и перечень персональных данных используемых в них, способах и сроках обработки.
2. Т.к. процедура регистрации баз данных определена законом очень общо, то целесообразным будет направить в уполномоченный орган (ГЦП) составленный перечень баз ПДн для регистрации в произвольной форме, в виде письма и запросить уточнения по процедуре. Ведь формально нужно проинформировать ГЦП в десятидневный срок и отсутствие регламента или наработанной практики не будет являться основанием для бездействия.
3. Разработать форму согласия субъектов на обработку персональных данных и предлагать подписать её всем новым пользователям и клиентам. Такую форму нужно тщательно согласовать с юридической службой предприятия. Ведь именно эта форма в дальнейшем будет основным документом для защиты интересов предприятия в случае инцидентов, в суде. Для пользователей регистрируемых удалённо - брать согласие на обработку в электронном виде, путём заполнения и подтверждения соответствующей формы. Тут же нужно предусмотреть и возможность отзыва согласия на обработку ПДн в той же форме, в которой оно давалось. Согласие на обработку персональных данных теперь нужно будет брать у всех новых клиентов, а затем получить такое согласие и от тех, чьи данные были включен в базы данных ранее.
4. Определить подразделение или должностное лицо на предприятии, ответственное за работу с персональными данными. Проще всего это сделать отдельным приказом по предприятию. Само собой, необходимо, чтобы уполномоченное лицо знало и понимало суть нового закона, организовало на предприятии работу по соответствию этому закону.
5. Закон подразумевает разработку уполномоченным органом (ГЦП) нескольких типовых порядков. Пока их нет (нигде официально не опубликованы), лучше самостоятельно подготовить временные внутренние документы   порядок обработки ПДн и порядок организации деятельности подразделения или уполномоченного лица, ответственного за работу с ПДн.

Проблемами защиты персональных данных давно обеспокоены во всём мире. В Европе принят регламент GDPR General Data Protection Regulation, в России - федеральный закон ФЗ-152. И везде процесс внедрения этих регулирующих актов проходит очень непросто, появляются множественные правовые коллизии.