Опираясь на зарубежный опыт можно сказать, что компании обязаны локализовать сервера, в ином случае — штрафы и блокировка. Spot также собрал мнения предпринимателей и экспертов.

Как ранее писал Spot, в закон о персональных данных внесли изменения, обязывающие хранить персональные данные узбекистанцев на территории Узбекистана.

Они вступят в силу в апреле. В частности:

• персональные данные граждан Узбекистана должны обрабатываться на технических средствах, физически расположенных на территории Узбекистана и в зарегистрированных в Государственном реестре;
• требование локализации данных распространяется на обработку данных с использованием информационных технологий, в том числе через интернет;
• обязанность соблюдения лежит на владельце или операторе базы данных. Владелец — это лицо, владеющее базой данных, включающей личные данные. Оператор — это лицо, обрабатывающее персональные данные;
• требование локализации данных распространяется на сбор, систематизацию и хранение.

Что такое персональные данные в Узбекистане и где они хранятся

Закон «О персональных данных» вступил в силу 1 октября 2019 года. В нем говорится, что «персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации».

Конкретного перечня в законе нет, что оставляет некоторый простор для толкования, но, как правило, персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность и другое.

К персональным данным во всем мире также относятся заработная плата и другая информация, которая не подлежит разглашению. Это может быть не только в виде текста, но и фотографии, и видео.

Информация о расе, религии, мировоззрении, политических убеждениях, частной жизни, судимости и состояния здоровья считается специальными персональными данными. Их обработка запрещается кроме некоторых случаев (например, если человек сам опубликовал их в общедоступных источниках).

Большинство сервисов как минимум обрабатывают персональные данные — сотовые операторы, интернет-магазины, социальные сети, поисковые системы и так далее. К примеру, каждый раз, когда человек совершает в сервисах Google какие-либо действия, компания собирает данные о них.

Сейчас компании хранят данные там, где им удобно — кто-то внутри страны, кто-то за пределами.

Что изменится в апреле — зарубежный опыт

Нарушение требований законодательства о персональных данных предусматривает ответственность по двум статьям — 46² Кодекса об административной ответственности и 141² Уголовного кодекса. Наказания — от штрафа в 3 БРВ до лишения свободы на 3 года.

Как было сказано выше, в нынешнем виде закон содержит много белых пятен, в связи с чем можно обратиться к опыту соседних стран, к примеру, России — благо, что конкретно эти законы практически не отличаются друг от друга.

Персональные данные россиян обязали хранить на территории Российской Федерации в 2015 году. Уже в том же году компании вроде Google начали переносить сервера в российские дата-центры (ни в Узбекистане, ни в России закон не обязывает строить отдельные дата-центры — достаточно купить или арендовать стойки).

Однако не все готовы были соблюдать новые требования. Так, к примеру, социальная сеть Linkedin отказалась переносить сервера, из-за чего была признана нарушителем. Компания пыталась оспорить это решение, но в итоге суд вынес решение, которое позволило регулятору заблокировать доступ к сайту. С 2016 года Linkidin в РФ доступен только через VPN.

Другие крупные сервисы, среди которых, например, Facebook и Twitter, были оштрафованы. Компании не выплатили штрафы, из-за чего служба судебных приставов начала в отношении них исполнительное производство.

В Узбекистане сценарий может быть примерно таким же — компании должны локализовать сервера или понести ответственность. Если и штрафы не помогут, то заводится дело, которое позволит ограничить доступ к сайту.

Точно станет известно к апрелю — регулятор (Государственный центр персонализации при Кабинете Министров) должен объяснить порядок, уточнить ответственность и разъяснить другие моменты, которых сейчас предостаточно.

Что думают предприниматели и эксперты

Акмаль Пайзиев, основатель Newmax Technologies (MyTaxi, Express 24, Workly, MaxTrack, TOKO):

Во многих странах, например, Канаде, Австралии, Аргентине, компании, имеющие доступ к персональным данным граждан, обязывают хранить и на территории страны.

Это личная информация о людях, безопасность граждан страны, поэтому я считаю, что это нормальная практика. Мы, например, работаем с российскими клиентами, и они тоже требуют у нас соблюдения сохранности персональных данных.

Данные клиентов Узбекистана хранятся на наших серверах, хотя еще два года назад были на серверах Amazon — перенесли, чтобы клиенты могли запускать приложения быстрее.

Вопрос места хранения личной информации нас, конечно же, затронет, но так как мы уже храним все в Узбекистане, то мы никаких проблем не видим.

Фарход Махмудов, основатель и руководитель платежной системы OSON.

Базы данных всегда имели огромный спрос. Особенность персональных данных в том, что их можно использовать в корыстных целях, которые могут привести к финансовым потерям.

В последнее время за рубежом участились случаи утечки персональных данных и это подвергает опасности не только пользователей систем, но и сами системы.

Мы ещё до запуска электронных денег подготовились к таким моментам — все наши базы данных, а также данные о наших пользователях хранятся на серверах в Узбекистане, защищены от доступа третих лиц. Это одна из самых больших статей расхода в нашем бизнесе.

Внесенные изменения в закон о персональных данных затронут абсолютно всех, кто работает в этой сфере, нас в том числе. Мы к этому были готовы еще на старте проекта, поэтому для моей компании глобальных изменений не намечается.

Владимир Добрынин, основатель и руководитель Humans.

Мы учли этот момент, когда запускали наш стартап. Мы построили собственный data-центр на территории Узбекистана, где храним и обрабатываем данные всех пользователей Humans.

Евгений Лукьянчиков, несколько лет работал региональным директором «Яндекса» в Узбекистане, ныне — директор по развитию бизнеса в «Ситимобил»:

Я поддерживаю, что государство разрабатывает нормы регулирования персональных данных — данные пользователей нужно защищать на уровне законодательства.

Два года назад я неожиданно стал обладателем кредита (в России), оформленный мошенниками по моим документам. Мои данные были получены (или украдены) у оператора каршеринга. Таких случаев огромное множество в России и как только с ними сталкиваешься лично, сразу начинаешь по-другому относиться.

Если говорить про требование хранения данных внутри страны — я не понимаю, почему нашим странам важно хранить данные внутри страны и как это защищает пользователей.

Вероятно здесь преследуются другие цели, так как многие местные дата-центры не могут обеспечить необходимый уровень сохранности и значительно проигрывают международным игрокам в защите данных.

Дополнительный вопрос возникает к срокам исполнения закона. В России закон несколько лет обсуждался, готовилась инфраструктура, у бизнеса было время на переезд. В Узбекистане вчера приняли поправку, а в апреле все компании должны хранить данные внутри страны?

Если сейчас за два месяца начнут переезжать компании начиная с местного бизнеса и заканчивая Google, Mail.ru, «Яндекс», Facebook, Aliexpress и так далее — в стране не останется ни одного калькулятора, никакого сетевого оборудования, кондиционера и свободного места ни в одном дата-центре.

Стоимость всей инфраструктуры и зарплаты специалистов, которым необходимо будет обслужить оборудование подскочат в разы, появится большой дефицит. На мой взгляд, это шок для рынка и можно этого избежать.

 

 

 

 

Следите за нашими новостями на Facebook, Twitter и Telegram