Hyper App
Вернуться в журнал
Compliance March 21, 2026 6 min read

Закон Узбекистана № 213:
что это значит для вашей облачной инфраструктуры

Hyper App Legal & Engineering
Hyper App Legal & EngineeringСоответствие и инфраструктура
Поделиться
Закон Узбекистана № 213: что это значит для вашей облачной инфраструктуры

Закон Узбекистана № 213-II «О персональных данных», принятый в 2019 году и с тех пор неоднократно изменённый, — не теоретический риск несоответствия. Компании, собирающие персональные данные граждан Узбекистана, независимо от места регистрации, обязаны обрабатывать и хранить эти данные в базах данных, физически находящихся в Узбекистане. Это означает, что статус соответствия определяется расположением вашего сервера баз данных, а не логикой приложения.

Что именно регулирует закон

Закон № 213-II даёт широкое определение «персональных данных»: имя, номер паспорта, телефон, электронная почта, биометрические данные, геолокация и любая информация, позволяющая идентифицировать конкретного человека. Если ваше приложение собирает любые из этих данных от пользователей в Узбекистане — а это практически любое потребительское приложение и большинство B2B SaaS — вы подпадаете под действие закона.

Исполняющий орган — Агентство по персональным данным. Санкции за несоответствие включают регуляторные проверки, обязательную приостановку обработки данных и потенциальные ограничения деятельности на узбекском рынке.

Наиболее распространённый нарушающий закон паттерн

  • AWS Frankfurt как основная база данных — Многие узбекские компании запускают PostgreSQL или MySQL на AWS eu-central-1 и полагают, что раз их пользователи и серверы приложений находятся в Узбекистане, они соответствуют требованиям. Нет. Точка соответствия — место хранения данных, а Франкфурт находится в Германии.
  • «Мы просто читаем из Узбекистана» — Направление доступа к данным не имеет значения для закона. Закон касается места хранения и обработки данных, а не места отправки запросов. Запрос к базе данных во Франкфурте с сервера приложений в Ташкенте не удовлетворяет требованиям локализации.
  • Управляемые SaaS-инструменты с иностранным хранилищем — CRM-системы, аналитические платформы и маркетинговые инструменты, по умолчанию хранящие персональные данные в иностранных юрисдикциях. Передача узбекских пользовательских данных в Salesforce на серверах США без соответствующего соглашения об обработке данных — также нарушение Закона № 213.

Как выглядит соответствующая архитектура

Правило простое: основная база данных с персональными данными граждан Узбекистана должна находиться на серверах физически в Узбекистане. Хорошая новость: это не мешает использовать зарубежную инфраструктуру для всего остального. CDN, аналитические конвейеры (обрабатывающие анонимизированные данные), обучение ML на анонимизированных датасетах и серверы приложений могут законно работать за пределами страны.

Паттерн соответствующей архитектуры

  • Основная БД в Узбекистане — PostgreSQL или MySQL на серверах, физически расположенных в стране (например, регион Hyper App в Ташкенте). Здесь персональные данные записываются и хранятся.
  • Аналитика на анонимизированных данных — Агрегированная, деидентифицированная аналитика может передаваться в зарубежные аналитические платформы. Ключевое условие: никакие данные, позволяющие идентифицировать личность, не покидают страну.
  • CDN для статических ресурсов — Изображения, скрипты и статические файлы можно раздавать с глобальных CDN-узлов. Они не содержат персональных данных.
  • Журналы аудита внутри страны — Журналы доступа, содержащие идентификаторы пользователей, также должны оставаться в Узбекистане для возможных регуляторных проверок.

Аналогия с GDPR — и отличия

Если вы знакомы с требованиями GDPR к резидентности данных граждан ЕС, Закон № 213 следует схожей концептуальной модели. Ключевое отличие — масштаб. GDPR распространяется на весь ЕС и включает обширный механизм трансграничной передачи данных. Закон № 213 уже — он пока фокусируется в первую очередь на требовании локализации. Простейший путь к соответствию — также и лучший с точки зрения производительности: перенос основной БД на сервер физически в Узбекистане. На инфраструктуре Hyper App TTFB из Ташкента снижается с 150–250 мс (Франкфурт) до 8–25 мс.

«Мы не понимали, что находимся вне соответствия, пока юридическая проверка не указала на нашу базу данных AWS Frankfurt. Перенос в ташкентскую базу оказался быстрее, чем юридические документы, которые нам пришлось бы подготовить для продолжения работы на AWS.»
— CTO, узбекская FinTech-платформа