Принят Законодательной палатой 16 апреля 2019 года
Одобрен Сенатом 21 июня 2019 года
Статья 1. Цель настоящего Закона
Целью настоящего Закона является регулирование отношений в области персональных данных.
Статья 2. Законодательство о персональных данных
Законодательство о персональных данных состоит из настоящего Закона и иных актов законодательства.
Если международным договором Республики Узбекистан установлены иные правила, чем те, которые предусмотрены законодательством Республики Узбекистан о персональных данных, то применяются правила международного договора.
Статья 3. Сфера применения настоящего Закона
Действие настоящего Закона распространяется на отношения, возникающие при обработке и защите персональных данных, независимо от применяемых средств обработки, включая информационные технологии.
Действие настоящего Закона не распространяется на отношения, возникающие при:
обработке персональных данных физическим лицом в личных, бытовых целях и не связанной с его профессиональной или коммерческой деятельностью;
формировании, хранении и использовании документов Национального архивного фонда и других архивных документов, содержащих персональные данные;
обработке персональных данных, отнесенных к сведениям, составляющим государственные секреты;
обработке персональных данных, полученных в ходе оперативно-розыскной, разведывательной и контрразведывательной деятельности, борьбы с преступностью, охраны правопорядка, а также в рамках противодействия легализации доходов, полученных от преступной деятельности.
Статья 4. Основные понятия
В настоящем Законе применяются следующие основные понятия:
персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации;
субъект персональных данных (субъект) — физическое лицо, к которому относятся персональные данные;
база персональных данных — база данных в виде информационной системы, содержащая в своем составе персональные данные;
обработка персональных данных — реализация одного или совокупности действий по сбору, систематизации, хранению, изменению, дополнению, использованию, предоставлению, распространению, передаче, обезличиванию и уничтожению персональных данных;
оператор базы персональных данных (оператор) — государственный орган, физическое и (или) юридическое лицо, осуществляющее обработку персональных данных;
собственник базы персональных данных (собственник) — государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных;
третье лицо — любое лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними обстоятельствами или отношениями по обработке персональных данных.
Статья 5. Основные принципы настоящего Закона
Основными принципами настоящего Закона являются:
соблюдение конституционных прав и свобод человека и гражданина;
законность целей и способов обработки персональных данных;
точность и достоверность персональных данных;
конфиденциальность и защищенность персональных данных;
равенство прав субъектов, собственников и операторов;
безопасность личности, общества и государства.
Статья 6. Органы, осуществляющие государственное регулирование в области персональных данных
Государственное регулирование в области персональных данных осуществляется Кабинетом Министров Республики Узбекистан и уполномоченным государственным органом в области персональных данных.
Статья 7. Полномочия Кабинета Министров Республики Узбекистан в области персональных данных
Кабинет Министров Республики Узбекистан:
обеспечивает реализацию единой государственной политики в области персональных данных;
утверждает государственные программы в области персональных данных;
определяет порядок ведения Государственного реестра баз персональных данных;
утверждает порядок регистрации баз персональных данных в Государственном реестре баз персональных данных;
координирует деятельность органов государственного и хозяйственного управления, органов государственной власти на местах в области персональных данных.
Кабинет Министров Республики Узбекистан на основании данных, предоставленных уполномоченным государственным органом в области персональных данных, устанавливает:
уровни защищенности персональных данных при их обработке в зависимости от угроз безопасности;
требования по обеспечению защиты персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
требования к материальным носителям биометрических и генетических данных и технологиям хранения таких данных вне баз персональных данных.
Статья 8. Уполномоченный государственный орган в области персональных данных
Уполномоченным государственным органом в области персональных данных является Государственный центр персонализации при Кабинете Министров Республики Узбекистан (далее — уполномоченный государственный орган).
Уполномоченный государственный орган:
реализует государственную политику в области персональных данных;
участвует в разработке и реализации государственных и иных программ в области персональных данных;
утверждает Типовой порядок обработки персональных данных;
утверждает Типовой порядок организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора, обеспечивающего обработку персональных данных и их защиту;
ведет Государственный реестр баз персональных данных;
выдает свидетельство о регистрации базы персональных данных в Государственном реестре баз персональных данных;
осуществляет в пределах своих полномочий государственный контроль за соблюдением требований законодательства о персональных данных;
вносит в Кабинет Министров Республики Узбекистан предложения по совершенствованию нормативно-правовой базы в области персональных данных;
направляет в государственные органы, уполномоченные в области обеспечения государственной безопасности, применительно к сфере их деятельности, установленные сведения;
определяет необходимый уровень защищенности персональных данных;
осуществляет анализ объема и содержания обрабатываемых персональных данных, вид деятельности, реальности угроз безопасности персональных данных;
вносит обязательные для исполнения юридическими и физическими лицами предписания об устранении нарушений законодательства о персональных данных;
осуществляет сотрудничество с компетентными органами иностранных государств и международными организациями в области персональных данных.
Статья 9. Участники обработки персональных данных
Участниками обработки персональных данных являются субъект и оператор. Участниками обработки персональных данных также могут выступать законный представитель субъекта, собственник и третьи лица.
Статья 10. Сбор, систематизация и хранение персональных данных
База персональных данных формируется путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
Порядок и принципы сбора, систематизации персональных данных определяются собственником и (или) оператором самостоятельно. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта в той мере, в какой требуют цели, ранее заявленные при сборе персональных данных.
Срок хранения персональных данных определяется датой достижения целей их сбора и обработки.
Статья 11. Изменение и дополнение персональных данных
Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании обращения субъекта в срок не позднее трех дней с момента такого обращения.
Изменение и дополнение персональных данных, не соответствующих действительности, производятся безотлагательно с момента установления такого несоответствия.
Статья 12. Использование персональных данных
Использованием персональных данных являются действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица.
Использование персональных данных собственником, оператором и третьим лицом осуществляется только для ранее заявленных целей их сбора, при условии обеспечения необходимого уровня защищенности персональных данных.
Использование персональных данных работниками собственника и (или) оператора, а также третьего лица, связанными с обработкой персональных данных, должно осуществляться только в соответствии с их профессиональными, служебными или трудовыми обязанностями.
Работники собственника и (или) оператора, а также третьего лица, связанные с обработкой персональных данных, обязаны не допускать разглашения персональных данных, которые им были доверены или стали известны в связи с выполнением профессиональных, служебных или трудовых обязанностей.
Статья 13. Предоставление персональных данных
Предоставлением персональных данных являются действия, направленные на раскрытие персональных данных конкретному лицу.
Предоставление персональных данных органам государственного управления осуществляется безвозмездно.
Субъект при отказе в предоставлении своих персональных данных имеет право не указывать причины своего отказа.
Статья 14. Распространение персональных данных
Распространением персональных данных являются действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение во Всемирной информационной сети Интернет или предоставление доступа к персональным данным каким-либо иным способом.
Распространение персональных данных в случаях, выходящих за пределы ранее заявленных целей их сбора, осуществляется с согласия субъекта.
Статья 15. Трансграничная передача персональных данных
Трансграничной передачей персональных данных является передача персональных данных собственником и (или) оператором за пределы территории Республики Узбекистан.
Трансграничная передача персональных данных осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту персональных данных, может осуществляться в случаях:
наличия согласия субъекта на трансграничную передачу его персональных данных;
необходимости защиты конституционного строя Республики Узбекистан, охраны общественного порядка, прав и свобод граждан, здоровья и нравственности населения;
предусмотренных международными договорами Республики Узбекистан.
Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Республики Узбекистан, нравственности, здоровья, прав и законных интересов граждан Республики Узбекистан, обеспечения обороны страны и безопасности государства.
Статья 16. Обезличивание персональных данных
Обезличиванием персональных данных являются действия, в результате совершения которых определение принадлежности персональных данных конкретному субъекту становится невозможным.
При обработке персональных данных для проведения исторических, статистических, социологических, научных исследований собственник и оператор, а также третье лицо обязаны их обезличить.
Статья 17. Уничтожение персональных данных
Уничтожением персональных данных являются действия, в результате которых становится невозможным восстановить персональные данные.
Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:
при достижении цели обработки персональных данных;
при наличии отзыва согласия субъекта на обработку персональных данных;
по истечении срока обработки персональных данных, определенного согласием субъекта;
при вступлении в законную силу решения суда.
Статья 18. Условия обработки персональных данных
Обработка персональных данных должна осуществляться в соответствии с основными принципами настоящего Закона.
Обработка персональных данных осуществляется в следующих случаях:
согласия субъекта на обработку этих данных;
необходимости обработки этих данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора;
необходимости обработки этих данных для исполнения обязательств собственника и (или) оператора, определенных законодательством;
необходимости обработки этих данных для защиты законных интересов субъекта или другого лица;
необходимости обработки этих данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;
обработки этих данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
если эти данные получены из общедоступных источников.
При необходимости обработки персональных данных в целях защиты прав и законных интересов субъекта их обработка допускается без согласия последнего до момента, когда получение согласия станет возможным.
Статья 19. Требования к обработке персональных данных
Цели обработки персональных данных определяются нормативно-правовыми актами, положениями, учредительными или иными документами, регламентирующими деятельность собственника и (или) оператора, и должны соответствовать настоящему Закону.
Цели обработки персональных данных должны соответствовать целям, ранее заявленным при их сборе, а также правам и обязанностям собственника и (или) оператора.
В случае изменения цели обработки персональных данных собственник и (или) оператор должны получить согласие субъекта на обработку его данных в соответствии с измененной целью.
Персональные данные должны быть точными и достоверными, а в случае необходимости — изменяться и дополняться.
Объем персональных данных, который может быть включен в базу персональных данных, определяется субъектом в соответствии с настоящим Законом. Объем и характер обрабатываемых персональных данных должны соответствовать целям и способам их обработки.
Персональные данные обрабатываются в форме, допускающей идентификацию субъекта или в обезличенном виде.
Срок обработки персональных данных не должен превышать срок, в течение которого действует согласие субъекта на обработку его персональных данных.
Статья 20. Порядок регистрации баз персональных данных
Базы персональных данных подлежат регистрации в Государственном реестре баз персональных данных.
Регистрация базы персональных данных осуществляется по заявочному принципу путем уведомления. Заявление о регистрации базы персональных данных в Государственном реестре баз персональных данных подается в уполномоченный государственный орган.
Не подлежат регистрации базы персональных данных, содержащие в своем составе персональные данные:
относящиеся к участникам (членам) общественного объединения или религиозной организации и обрабатываемые соответственно общественным объединением или религиозной организацией при условии, что персональные данные не будут распространяться или раскрываться третьим лицам;
сделанные субъектом общедоступными;
включающие в себя только фамилию, имя и отчество субъектов;
необходимые в целях однократного пропуска субъекта на территорию, на которой находится собственник и (или) оператор, или в иных аналогичных целях;
включенные в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем;
обрабатываемые без использования средств автоматизации;
обрабатываемые в соответствии с законодательством о труде.
Собственник и (или) оператор обязан уведомлять уполномоченный государственный орган о каждом изменении данных, необходимых для регистрации соответствующей базы персональных данных, не позднее десяти календарных дней со дня наступления такого изменения.
Статья 21. Порядок дачи и отзыва согласия на обработку персональных данных
Субъект дает согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт его получения.
Для обработки специальных персональных данных требуется согласие субъекта в письменной форме, в том числе в виде электронного документа.
В случае недееспособности или ограничения дееспособности субъекта письменное согласие, в том числе в виде электронного документа, на обработку его персональных данных дает его законный представитель.
За несовершеннолетних субъектов согласие на обработку их персональных данных в письменной форме, в том числе в виде электронного документа, дают родители (опекуны, попечители), а в случае их отсутствия — органы опеки и попечительства.
В случае смерти субъекта согласие на обработку его персональных данных в письменной форме, в том числе в виде электронного документа, дают его наследники, если такое согласие ранее не было дано субъектом при его жизни.
Обработка персональных данных субъекта, объявленного судом умершим, признанного судом безвестно отсутствующим, осуществляется с согласия наследников, данного в письменной форме, в том числе в виде электронного документа.
Субъект отзывает согласие на обработку персональных данных в той форме, в какой данное согласие было дано, либо в письменной форме, в том числе в виде электронного документа.
Статья 22. Порядок предоставления информации, касающейся обработки персональных данных
Субъект имеет право на получение информации, касающейся обработки его персональных данных, содержащей:
подтверждение факта обработки персональных данных;
основания и цели обработки персональных данных;
применяемые способы обработки персональных данных;
наименование собственника и (или) оператора и место их (его) нахождения (почтовый адрес), сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора, заключенного с собственником и (или) оператором, или на основании закона;
состав обрабатываемых персональных данных, относящихся к соответствующему субъекту, источник их получения, если иной порядок предоставления таких данных не предусмотрен настоящим Законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом прав, предусмотренных статьей 30 настоящего Закона;
информацию об осуществленной или предполагаемой трансграничной передаче персональных данных.
Право субъекта на получение информации, касающейся обработки его персональных данных, может быть ограничено в случаях, когда предоставление такой информации нарушает права и законные интересы других лиц.
Порядок предоставления информации, касающейся обработки персональных данных субъекта, третьему лицу определяется условиями согласия субъекта на обработку персональных данных.
Собственник и (или) оператор освобождаются от обязанности предоставления информации субъекту, касающейся обработки его персональных данных, в случаях, если:
субъект ранее был уведомлен об осуществлении обработки его персональных данных;
персональные данные сделаны субъектом общедоступными или получены из общедоступного источника;
предоставление такой информации приведет к нарушению прав и законных интересов физических и юридических лиц.
Уведомление об отказе в предоставлении информации, касающейся обработки персональных данных, направляется подавшему запрос субъекту в письменной форме в течение десяти дней.
Решение об отказе в предоставлении информации, касающейся обработки персональных данных, может быть обжаловано субъектом в уполномоченный государственный орган или суд.
Статья 23. Уведомление о действиях при обработке персональных данных
Субъект при включении его персональных данных в базу персональных данных должен быть уведомлен в письменной форме о целях обработки персональных данных, его правах, определенных статьей 30 настоящего Закона.
В случае передачи персональных данных третьему лицу собственник и (или) оператор в течение трех дней уведомляет в письменной форме об этом субъекта.
Уведомление в письменной форме субъекта не производится при:
осуществлении государственными органами своих полномочий;
передаче персональных данных для обработки в исторических, статистических, социологических или научных целях;
сборе персональных данных из общедоступных источников.
Статья 24. Автоматизированная обработка персональных данных
Субъект имеет право не подвергаться принятию решения на основании исключительно автоматизированной обработки его персональных данных, затрагивающей его права и законные интересы, порождающей юридические последствия, за исключением случаев, предусмотренных частью второй настоящей статьи.
Решение на основании исключительно автоматизированной обработки персональных данных субъекта может быть принято в случаях:
наличия согласия субъекта в письменной форме, в том числе в виде электронного документа;
если решение принимается во исполнение договора между собственником и субъектом или выполнения условий ранее заключенного договора;
предусмотренных законодательством.
Собственник и (или) оператор обязан разъяснить субъекту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение этому решению, а также разъяснить порядок защиты субъектом своих прав и законных интересов.
Собственник и (или) оператор обязан рассмотреть возражение, указанное в части третьей настоящей статьи, и уведомить в письменной форме субъекта о результатах рассмотрения такого возражения в течение десяти дней.
Статья 25. Обработка специальных персональных данных
Специальными персональными данными являются данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости.
Обработка специальных персональных данных запрещается, за исключением случаев, предусмотренных частью третьей настоящей статьи.
Обработка специальных персональных данных допускается:
в целях обеспечения государственной безопасности от внешних и внутренних угроз уполномоченным государственным органом;
если субъект дал согласие в письменной форме, в том числе в виде электронного документа, на обработку своих специальных персональных данных;
если специальные персональные данные опубликованы субъектом в общедоступных источниках;
в целях защиты прав и законных интересов субъекта или других лиц;
при осуществлении деятельности судов и соответствующих правоохранительных органов в рамках возбужденного уголовного дела, исполнительного производства;
при осуществлении органами прокуратуры мер, направленных на противодействие легализации доходов, полученных от преступной деятельности, и финансированию терроризма;
при осуществлении деятельности органов государственной статистики, а также при использовании другими государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
при оказании медико-социальных услуг или установлении медицинского диагноза, лечении, с условием, что такие данные обрабатываются медицинским работником либо другим лицом учреждения здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных;
при осуществлении прав и выполнении обязанностей в сфере трудовых отношений;
при обеспечении защиты законных интересов субъекта или третьего лица в случае недееспособности или ограниченной дееспособности субъекта;
при обнародовании персональных данных, в том числе персональных данных кандидатов на выборные государственные должности;
при осуществлении деятельности негосударственной некоммерческой организацией, религиозной организацией, политической партией или профессиональным союзом при условии, что обработка касается исключительно персональных данных членов или работников этих организаций и объединений, и персональные данные не передаются третьему лицу без согласия субъектов;
при обработке персональных данных детей, оставшихся без попечения родителей, при их устройстве на воспитание в семьи граждан (на патронат) и осуществлении других мер по обеспечению опеки и попечительства;
при обработке персональных данных в целях обеспечения государственной безопасности;
при обработке данных о судимости государственными органами, а также иными лицами в пределах их полномочий.
Статья 26. Обработка биометрических и генетических данных
Биометрическими данными являются персональные данные, характеризующие анатомические и физиологические особенности субъекта.
Генетическими данными являются персональные данные, относящиеся к унаследованным или приобретенным характеристикам субъекта, которые являются результатом анализа биологического образца субъекта или анализа другого элемента, позволяющего получить эквивалентную информацию.
Биометрические и генетические данные, которые используются для установления личности субъекта, могут обрабатываться только при наличии согласия данного субъекта, за исключением случаев, связанных с реализацией международных договоров Республики Узбекистан, осуществлением правосудия, исполнительным производством, а также в иных случаях, предусмотренных законодательством.
Использование и хранение биометрических и генетических данных в электронной форме вне информационных систем может осуществляться только на материальных носителях информации, исключающих несанкционированный доступ к ним.
Статья 27. Гарантии защиты персональных данных
Государство гарантирует защиту персональных данных.
Собственник и (или) оператор, а также третье лицо принимают правовые, организационные и технические меры по защите персональных данных, обеспечивающие:
реализацию права субъекта на защиту от вмешательства в его частную жизнь;
целостность и сохранность персональных данных;
соблюдение конфиденциальности персональных данных;
предотвращение незаконной обработки персональных данных.
Статья 271. Особые условия обработки персональных данных граждан Республики Узбекистан
Собственник и (или) оператор при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети Интернет, обязан обеспечить их сбор, систематизацию и хранение в базах персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан и зарегистрированных в установленном порядке в Государственном реестре баз персональных данных.
Статья 28. Конфиденциальность персональных данных
Конфиденциальностью персональных данных является обязательное для соблюдения собственником и (или) оператором или иным получившим доступ к персональным данным лицом требование о недопустимости их раскрытия и распространения без согласия субъекта или наличия иного законного основания.
Собственник и (или) оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять персональные данные без согласия субъекта.
Статья 29. Общедоступные персональные данные
Общедоступными персональными данными являются персональные данные, доступ к которым является свободным с согласия субъекта или на которые не распространяются требования соблюдения конфиденциальности.
В целях информационного обеспечения населения могут создаваться общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы).
В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом.
Сведения о субъекте могут быть исключены из общедоступных источников персональных данных по его обращению, поданному в той форме, в какой было дано согласие, либо в письменной форме, в том числе в виде электронного документа, а также по решению уполномоченного государственного органа или суда.
Статья 30. Права и обязанности субъекта
Субъект персональных данных имеет право:
знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных и их состав;
получать по запросу информацию об обработке персональных данных от собственника и (или) оператора;
получать информацию об условиях предоставления доступа к своим персональным данным от собственника и (или) оператора;
обращаться по вопросам защиты прав и законных интересов в отношении своих персональных данных в уполномоченный государственный орган или суд;
дать согласие на обработку своих персональных данных и отозвать такое согласие, кроме случаев, предусмотренных настоящим Законом;
дать согласие собственнику и (или) оператору, а также третьему лицу на распространение своих персональных данных в общедоступных источниках персональных данных;
требовать от собственника и (или) оператора временного приостановления обработки своих персональных данных, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки.
Распоряжение персональными данными субъекта, признанного недееспособным или ограниченным в дееспособности, осуществляет его законный представитель.
Обязанностью субъекта является предоставление своих персональных данных в целях защиты основ конституционного строя Республики Узбекистан, нравственности, здоровья, прав и законных интересов граждан Республики Узбекистан, обеспечения обороны страны и безопасности государства.
Статья 31. Права и обязанности собственника и (или) оператора
Собственник и (или) оператор имеют право осуществлять обработку персональных данных.
Собственник и (или) оператор обязаны:
соблюдать законодательство о персональных данных;
предоставлять по обращению субъекта информацию касательно обработки его персональных данных;
утверждать состав персональных данных, необходимый и достаточный для выполнения ими задач;
принимать меры по уничтожению персональных данных в случае достижения цели их обработки, а также в иных случаях, установленных настоящим Законом;
представлять доказательство получения согласия субъекта на обработку его персональных данных в случаях, предусмотренных законодательством;
изменить и (или) дополнить персональные данные при условии документального подтверждения достоверности новых данных или уничтожить их при невозможности внесения таких изменений и (или) дополнений;
временно приостанавливать обработку или уничтожать персональные данные в случае наличия информации о нарушении условий их обработки;
обеспечить возможность подачи субъектом документов в электронном виде на временное приостановление обработки и (или) уничтожение его персональных данных;
уведомить в письменной форме субъекта, а также других участников обработки персональных данных в случаях изменения, уничтожения персональных данных и ограничения доступа к ним;
уведомить в письменной форме субъекта в случае передачи персональных данных третьему лицу;
зарегистрировать находящиеся в собственности и (или) обрабатываемые базы персональных данных;
принимать необходимые правовые, организационные и технические меры по защите персональных данных.
Собственник и (или) оператор вправе поручить обработку персональных данных третьему лицу в случаях:
наличия согласия субъекта в письменной форме, в том числе в виде электронного документа;
если решение принимается во исполнение договора между собственником и субъектом или выполнения условий ранее заключенного договора;
предусмотренных законодательством.
Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
Собственник и (или) оператор определяет структурное подразделение или должностное лицо, ответственное за работу, связанную с обработкой и защитой персональных данных, и обеспечивает его работу в соответствии с Типовым порядком обработки персональных данных.
Статья 32. Разрешение споров
Споры, возникающие в области персональных данных, разрешаются в порядке, установленном законодательством.
Статья 33. Ответственность за нарушение законодательства о персональных данных
Лица, виновные в нарушении законодательства о персональных данных, несут ответственность в установленном порядке.
Статья 34. Обеспечение исполнения, доведения, разъяснения сути и значения настоящего Закона
Уполномоченному государственному органу совместно с другими заинтересованными министерствами, государственными комитетами и ведомствами обеспечить исполнение, доведение до исполнителей и разъяснение среди населения сути и значения настоящего Закона.
Статья 35. Приведение законодательства в соответствие с настоящим Законом
Кабинету Министров Республики Узбекистан:
привести решения правительства в соответствие с настоящим Законом;
обеспечить пересмотр и отмену органами государственного управления их нормативно-правовых актов, противоречащих настоящему Закону.
Статья 36. Вступление в силу настоящего Закона
Настоящий Закон вступает в силу с 1 октября 2019 года.
Президент Республики Узбекистан Ш. МИРЗИЁЕВ
г. Ташкент,
2 июля 2019 г.,
№ ЗРУ-547