Поправки к закону “О персональных данных”, которые прямо определяют допустимость обработки персональных данных за пределами Узбекистана вступили в силу более двух месяцев назад.
Обработка ПДн за пределами Узбекистана возможна при выполнении одного из трёх условий:
🔹признание иностранного государства государством, обеспечивающим адекватную защиту персональных данных.
🔹принятие и соблюдение оператором стандартных договорных условий или обязательных корпоративных правил, отвечающих требованиям, утверждаемым уполномоченным государственным органом.
🔹соблюдение оператором международных стандартов в области управления и хранения персональных данных, перечень которых утверждается уполномоченным государственным органом.
🏛Перечень стран, обеспечивающих адекватную защиту, должен быть определён Кабинетом Министров РУз. Требования к оператору: стандартные договорные условия, корпоративные правила, международные стандарты – определяются уполномоченным органом в сфере ПДн.
🤔По состоянию на конец мая 2026 ни один из трёх пунктов не определён, требуемые подзаконные акты не приняты. В этой ситуации обработка персональных данных за пределами Узбекистана оказывается в “серой зоне”. А при строгом, пуристском подходе и вовсе – нарушением.
Здравый смысл подсказывает, что оператор в Швейцарии или Франции наверняка попадёт под один из пунктов. Но пока нет списка от КабМина – говорить об этом наверняка нельзя.
Путаница заложена и в статье 8 закона “О персональных данных”. Она определяет уполномоченным органом ГЦП, которого нет уже почти 4 года. При внесении последних поправок парламентарии почему-то не обновили эту статью. А указ УП-45 от 11 марта 2025 года, который определяет новый уполномоченный орган, так и не был опубликован в открытых источниках. О его существовании и общем содержании мы знаем из ответа МинЮста на наш запрос.
⚠️Напомним, что опубликование нормативно-правовых актов является обязательным условием их применения.
Что же делать? Куда ж нам плыть?
Временными ориентирами могут быть:
1️⃣ Критерии адекватности страны, о которых писал МинЮст (пока нет списка стран от КабМина).
2️⃣ Здравый смысл и лучшие мировые практики в виде GDPR, которым вдохновлялись наши законодатели, когда писали про корпоративные правила.
3️⃣ Обратить внимание на аналогичный список адекватных стран, в который входят все члены ЕС плюс ещё 16 стран.