В Узбекистане утверждены новые стандарты обработки персональных данных

Принят приказ министра юстиции под регистрационным номером 3478 от 15 ноября 2023 года, утверждающий типовой порядок обработки персональных данных.

Данный порядок определяет:

• Порядок обработки персональных данных;
• Принципы, цели и условия обработки;
• Права и обязанности собственника и оператора базы персональных данных.

При обработке персональных данных собственником, оператором или третьим лицом необходимо соблюдать следующие шаги:

• Осуществление обработки в конкретных и заранее установленных целях.
• Недопущение объединения баз персональных данных, не совпадающих по целям обработки.
• Обеспечение точности, достоверности, надежности и целостности персональных данных.
• Хранение персональных данных не более срока, необходимого для достижения цели обработки (если в законодательстве или договоре с субъектом не предусмотрен иной срок хранения).
• Обеспечение уничтожения или обезличивания персональных данных после достижения целей обработки или при прекращении необходимости в них (если законодательством не предусмотрен другой порядок).

Согласие субъекта на обработку его персональных данных должно быть получено в письменной форме или в виде электронного документа. При указании конкретных целей обработки в оферте (публичном договоре), принятие (утверждение) оферты (публичного договора) считается согласием субъекта на обработку его персональных данных.

Субъект или его законный представитель вправе в любое время отозвать свое согласие на обработку персональных данных. В согласии субъекта должны быть отражены: наименование оператора, ИНН (для физических лиц – ФИО, ПИНФЛ), Ф.И.О. субъекта, цели обработки, перечень сведений, сроки действия согласия, разрешение на передачу данных третьим лицам и их трансграничную передачу, разрешение на распространение данных в общедоступных источниках и другие сведения.

При обработке персональных данных для исследовательских или научных целей собственник, оператор и третье лицо должны обезличивать эти данные. Согласие субъекта на обработку не требуется в этом случае. Обезличивание персональных данных исключает возможность их восстановления.

Персональные данные должны быть уничтожены в течение 3 дней после достижения целей обработки, отзыва согласия, истечения срока действия согласия или вступления судебного решения в законную силу.

При запросе госоргана о предоставлении сведений о персональных данных, субъекту необходимо отправить уведомление об этом (за исключением гостайн и сведений ограниченного пользования).

Персональные данные передаются хозяйственным объединениям, государственным организациям и учреждениям, а также негосударственным организациям только с согласия субъекта