О насСтандартыБлог✦ ИИ-оценкаПолучить предложение →
Главная  /  Блог  /  Персональные данные в ЦА

Законы о персональных данных в Центральной Азии — Что нужно знать бизнесу в 2026 году

Казахстан, Узбекистан и Кыргызстан активно развивают законодательство о защите персональных данных. Для компаний региона это означает новые обязательства, штрафы за нарушения и необходимость выстраивать системы управления конфиденциальностью. ISO 27701 предоставляет структурированный подход к выполнению этих требований.

РЕГУЛЯТОРИКА ПЕРСОНАЛЬНЫЕ ДАННЫЕ ISO 27701

Казахстан — Закон «О персональных данных и их защите»

Закон РК №94-V от 21 мая 2013 года (с поправками 2023–2025 гг.) — основной нормативный акт, регулирующий обработку персональных данных в Казахстане. Уполномоченным органом является Министерство цифрового развития, инноваций и аэрокосмической промышленности.

Ключевые требования:

  • Согласие субъекта. Обработка персональных данных допускается только с согласия субъекта, за исключением случаев, предусмотренных законом. Согласие должно быть информированным и конкретным.
  • Уведомление уполномоченного органа. Операторы персональных данных обязаны уведомить уполномоченный орган до начала обработки. С 2024 года действует электронный реестр операторов.
  • Трансграничная передача. Передача данных за рубеж допускается в страны, обеспечивающие адекватный уровень защиты, или при наличии согласия субъекта. Список «адекватных» стран утверждён правительством.
  • Локализация данных. Для государственных электронных информационных ресурсов установлены требования по хранению данных на территории РК.
  • Права субъекта. Доступ, исправление, блокирование и уничтожение персональных данных — по запросу субъекта.
  • Штрафы. Административные штрафы за нарушения — от 50 до 1000 МРП (от ~$400 до ~$8 000). Повторные нарушения — до 2000 МРП. Обсуждаются поправки с существенным увеличением штрафов по модели GDPR.

Узбекистан — Закон «О персональных данных»

Закон Республики Узбекистан «О персональных данных» принят в 2019 году и вступил в полную силу в 2021 году. Уполномоченный орган — Государственная инспекция по контролю в сфере информатизации и телекоммуникаций.

Ключевые требования:

  • Согласие на обработку. Обработка персональных данных требует согласия субъекта. Закон определяет специальные категории данных (здоровье, биометрия, религия) с повышенными требованиями.
  • Регистрация баз данных. Операторы обязаны зарегистрировать базы персональных данных в государственном реестре.
  • Уведомление об утечках. Оператор обязан уведомить уполномоченный орган и субъектов данных в случае утечки — конкретные сроки уточняются подзаконными актами.
  • Трансграничная передача. Допускается в страны с адекватным уровнем защиты или при наличии договорных гарантий.
  • Ответственный за защиту. Крупные операторы должны назначить ответственное лицо за защиту персональных данных (аналог DPO в GDPR).
  • Штрафы. Административные штрафы за нарушения пока относительно невелики, но законодательство развивается в сторону ужесточения.

Кыргызстан — Закон «О персональных данных»

Закон КР «О персональных данных» (2008 г., с поправками 2023 г.) регулирует обработку персональных данных. Уполномоченный орган — Государственное агентство по защите персональных данных.

Ключевые требования:

  • Согласие субъекта. Обработка персональных данных допускается только с письменного согласия субъекта или в случаях, установленных законом.
  • Регистрация массивов. Операторы обязаны зарегистрировать массивы персональных данных.
  • Безопасность данных. Операторы обязаны обеспечить технические и организационные меры защиты. Конкретные стандарты определяются подзаконными актами.
  • Права субъекта. Доступ, исправление и удаление данных.
  • Трансграничная передача. Требует согласия субъекта и уведомления уполномоченного органа.

Общие тенденции в регионе

Несмотря на различия в деталях, законодательство о персональных данных в Центральной Азии движется в одном направлении:

  • Ужесточение требований. Все три страны пересматривают и усиливают законы — вдохновляясь моделью GDPR.
  • Цифровизация контроля. Электронные реестры операторов, онлайн-уведомления, автоматизированный контроль.
  • Рост штрафов. Казахстан обсуждает кратное увеличение штрафов. Узбекистан планирует новые подзаконные акты с расширенной ответственностью.
  • Трансграничные потоки. С ростом IT-экспорта из региона вопросы трансграничной передачи данных становятся критически важными.
  • Международная гармонизация. Казахстан стремится к признанию «адекватности» со стороны ЕС. Узбекистан ориентируется на стандарты ЕС в рамках стратегии IT-экспорта.

Как ISO 27701 помогает?

ISO 27701 — международный стандарт управления конфиденциальностью, расширяющий ISO 27001 контролями защиты персональных данных. Для компаний Центральной Азии он решает несколько задач одновременно:

  • Соответствие местным законам. Структурированная система управления конфиденциальностью покрывает требования законов РК, РУз и КР — согласие, права субъектов, безопасность, учёт обработки.
  • Подготовка к GDPR. Для IT-компаний, экспортирующих услуги в ЕС, ISO 27701 — прямой путь к демонстрации соответствия GDPR.
  • Доверие клиентов. Международная сертификация демонстрирует серьёзный подход к защите данных — особенно важно для банков, телекоммуникаций и IT-компаний.
  • Единая система. Вместо отдельных программ для каждого закона — одна система управления конфиденциальностью, покрывающая все юрисдикции.

Практические шаги для бизнеса

  1. Аудит текущего состояния. Определите, какие персональные данные вы обрабатываете, на каком основании, где храните и кому передаёте.
  2. Назначьте ответственного. Определите DPO или ответственное лицо за защиту данных — даже если это ещё не обязательно в вашей юрисдикции, это станет обязательным в ближайшем будущем.
  3. Внедрите ISO 27001. Если у вас ещё нет сертификации — начните с ISO 27001 как фундамента информационной безопасности.
  4. Расширьте до ISO 27701. Добавьте контроли конфиденциальности поверх СУИБ — это покроет требования местных законов и подготовит к GDPR.
  5. Обучите персонал. Осведомлённость сотрудников — ключевой фактор защиты данных.
  6. Документируйте всё. Реестры обработки, согласия, оценки рисков, инциденты — документация необходима и для регуляторов, и для аудиторов.

Как BALTUM может помочь

BALTUM предоставляет комплексные услуги по защите персональных данных для компаний Центральной Азии:

  • Аудит соответствия законам о персональных данных РК, РУз и КР
  • GAP-анализ по ISO 27701
  • Внедрение системы управления конфиденциальностью (PIMS)
  • Подготовка к сертификации ISO 27001 + ISO 27701
  • Обучение DPO и персонала
  • Консультации по трансграничной передаче данных и GDPR-соответствию

Защита персональных данных — не только юридическое обязательство, но и конкурентное преимущество. Компании, которые выстроят системы управления конфиденциальностью сейчас, будут лучше подготовлены к ужесточению законодательства и требованиям международных партнёров.