Privacy-мнение: Узбекистан ослабил локализацию. Welcome, Apple Pay?
Что случилось?
Известный узбекистановед Кирилл З. подсказал, что там только что обновили правила обработки ПД. Поправки прямо влияют на возможность запуска ряда международных сервисов – сегмента, который раньше упирался в требования полной локализации.
Теперь часть данных можно трансграничить при соблюдении требований по защите. По сути, регулятор ушел от жесткой модели хранения всех ПД внутри страны к более гибкой конструкции.
Изменения касаются практически всех компаний, у которых есть трансграничные потоки данных. В наибольшей степени – тех игроков, которые ранее не могли выйти на рынок именно из-за локализации.
Итак, по-прежнему строго локализуются:
биометрия,
генетические данные,
данные абонентов телекома.
Все остальные ПД могут передаваться за пределы страны при соблюдении одного из условий:
страна-получатель обеспечивает сопоставимый уровень защиты,
используются стандартные договорные механизмы,
оператор соблюдает международные стандарты обработки и хранения.
Мы видим модель, близкую к GDPR, что быть может свидетельствует о постепенной синхронизации регулирования с глобальными практиками.
Кстати, уточнили и порядок регистрации баз данных. Теперь подлежат регистрации только те базы, которые содержат данные, подлежащие обязательной локализации. А раньше требование распространялось на все базы данных без исключения.
Формально режим стал мягче, но фактически требования к комплаенсу усложнились: необходимо обосновывать «сопоставимый уровень защиты», корректно оформлять договорные механизмы, выстраивать и документировать потоки данных, корректно классифицировать категории данных и др.
На практике сложности будут возникать в пограничных кейсах, например, при определении границы между телеком-данными и обычными пользовательскими данными, при квалификации отдельных решений как обрабатывающих биометрию.
Итого, стран без Apple Pay станет меньше. Это не просто локальная правка, а отражение тренда: юрисдикции постепенно отходят от жесткой локализации в пользу риск-ориентированной модели.