Как ранее писал Spot, в закон о персональных данных внесли изменения, обязывающие хранить персональные данные узбекистанцев на территории Узбекистана.
Они вступят в силу в апреле. В частности:
- персональные данные граждан Узбекистана должны обрабатываться на технических средствах, физически расположенных на территории Узбекистана и в зарегистрированных в Государственном реестре;
- требование локализации данных распространяется на обработку данных с использованием информационных технологий, в том числе через интернет;
- обязанность соблюдения лежит на владельце или операторе базы данных. Владелец — это лицо, владеющее базой данных, включающей личные данные. Оператор — это лицо, обрабатывающее персональные данные;
- требование локализации данных распространяется на сбор, систематизацию и хранение.
Что такое персональные данные в Узбекистане и где они хранятся
Закон «О персональных данных» вступил в силу 1 октября 2019 года. В нем говорится, что «персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации».
Конкретного перечня в законе нет, что оставляет некоторый простор для толкования, но, как правило, персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность и другое.
К персональным данным во всем мире также относятся заработная плата и другая информация, которая не подлежит разглашению. Это может быть не только в виде текста, но и фотографии, и видео.
Информация о расе, религии, мировоззрении, политических убеждениях, частной жизни, судимости и состояния здоровья считается специальными персональными данными. Их обработка запрещается кроме некоторых случаев (например, если человек сам опубликовал их в общедоступных источниках).
Большинство сервисов как минимум обрабатывают персональные данные — сотовые операторы, интернет-магазины, социальные сети, поисковые системы и так далее. К примеру, каждый раз, когда человек совершает в сервисах Google какие-либо действия, компания собирает данные о них.
Сейчас компании хранят данные там, где им удобно — кто-то внутри страны, кто-то за пределами.
Что изменится в апреле — зарубежный опыт
Нарушение требований законодательства о персональных данных предусматривает ответственность по двум статьям — 462 Кодекса об административной ответственности и 1412 Уголовного кодекса. Наказания — от штрафа в 3 БРВ до лишения свободы на 3 года.
Как было сказано выше, в нынешнем виде закон содержит много белых пятен, в связи с чем можно обратиться к опыту соседних стран, к примеру, России — благо, что конкретно эти законы практически не отличаются друг от друга.
Персональные данные россиян обязали хранить на территории Российской Федерации в 2015 году. Уже в том же году компании вроде Google начали переносить сервера в российские дата-центры (ни в Узбекистане, ни в России закон не обязывает строить отдельные дата-центры — достаточно купить или арендовать стойки).
Однако не все готовы были соблюдать новые требования. Так, к примеру, социальная сеть Linkedin отказалась переносить сервера, из-за чего была признана нарушителем. Компания пыталась оспорить это решение, но в итоге суд вынес решение, которое позволило регулятору заблокировать доступ к сайту. С 2016 года сервис в РФ доступен только через VPN.
Другие крупные сервисы, среди которых, например, Facebook и Twitter, были оштрафованы. Компании не выплатили штрафы, из-за чего служба судебных приставов начала в отношении них исполнительное производство.
В Узбекистане сценарий может быть примерно таким же — компании должны локализовать сервера или понести ответственность. Если и штрафы не помогут, то заводится дело, которое позволит ограничить доступ к сайту.
Точно станет известно к апрелю — регулятор (Государственный центр персонализации при Кабинете Министров) должен объяснить порядок, уточнить ответственность и разъяснить другие моменты, которых сейчас предостаточно.
Что думают предприниматели и эксперты
основатель Newmax Technologies (MyTaxi, Express 24, Workly, MaxTrack, TOKO):
Во многих странах, например, Канаде, Австралии, Аргентине, компании, имеющие доступ к персональным данным граждан, обязывают хранить и на территории страны.
Это личная информация о людях, безопасность граждан страны, поэтому я считаю, что это нормальная практика. Мы, например, работаем с российскими клиентами, и они тоже требуют у нас соблюдения сохранности персональных данных.
Данные клиентов Узбекистана хранятся на наших серверах, хотя еще два года назад были на серверах Amazon — перенесли, чтобы клиенты могли запускать приложения быстрее.
Вопрос места хранения личной информации нас, конечно же, затронет, но так как мы уже храним все в Узбекистане, то мы никаких проблем не видим.
основатель и руководитель платежной системы OSON.
Базы данных всегда имели огромный спрос. Особенность персональных данных в том, что их можно использовать в корыстных целях, которые могут привести к финансовым потерям.
В последнее время за рубежом участились случаи утечки персональных данных и это подвергает опасности не только пользователей систем, но и сами системы.
Мы ещё до запуска электронных денег подготовились к таким моментам — все наши базы данных, а также данные о наших пользователях хранятся на серверах в Узбекистане, защищены от доступа третих лиц. Это одна из самых больших статей расхода в нашем бизнесе.
Внесенные изменения в закон о персональных данных затронут абсолютно всех, кто работает в этой сфере, нас в том числе. Мы к этому были готовы еще на старте проекта, поэтому для моей компании глобальных изменений не намечается.
основатель и руководитель Humans.
Мы учли этот момент, когда запускали наш стартап. Мы построили собственный data-центр на территории Узбекистана, где храним и обрабатываем данные всех пользователей Humans.
несколько лет работал региональным директором «Яндекса» в Узбекистане, ныне — директор по развитию бизнеса в «Ситимобил»:
Я поддерживаю, что государство разрабатывает нормы регулирования персональных данных — данные пользователей нужно защищать на уровне законодательства.
Два года назад я неожиданно стал обладателем кредита (в России), оформленный мошенниками по моим документам. Мои данные были получены (или украдены) у оператора каршеринга. Таких случаев огромное множество в России и как только с ними сталкиваешься лично, сразу начинаешь по-другому относиться.
Если говорить про требование хранения данных внутри страны — я не понимаю, почему нашим странам важно хранить данные внутри страны и как это защищает пользователей.
Вероятно здесь преследуются другие цели, так как многие местные дата-центры не могут обеспечить необходимый уровень сохранности и значительно проигрывают международным игрокам в защите данных.
Дополнительный вопрос возникает к срокам исполнения закона. В России закон несколько лет обсуждался, готовилась инфраструктура, у бизнеса было время на переезд. В Узбекистане вчера приняли поправку, а в апреле все компании должны хранить данные внутри страны?
Если сейчас за два месяца начнут переезжать компании начиная с местного бизнеса и заканчивая Google, Mail.ru, «Яндекс», Facebook, Aliexpress и так далее — в стране не останется ни одного калькулятора, никакого сетевого оборудования, кондиционера и свободного места ни в одном дата-центре.
Стоимость всей инфраструктуры и зарплаты специалистов, которым необходимо будет обслужить оборудование подскочат в разы, появится большой дефицит. На мой взгляд, это шок для рынка и можно этого избежать.