Персональные данные в Кыргызстане: закон, ПВТ, Реестр держателей
- Закон № 58 · ГАЗПД · dpa.gov.kg
- Реестр · «Тундук» · Регистрация
- Закон № 95 · Штрафы с 2025
- ПВТ КР · IT-компании · GDPR
- 1Закон № 58: структура, принципы, отличия от GDPR / 152-ФЗ
- 2ГАЗПД: регулятор, полномочия, проверки
- 3Реестр держателей: регистрация через dpa.gov.kg и «Тундук»
- 4Закон № 95: новые штрафы с 23.11.2025 и 11.2026
- 5Согласие субъекта: форма, содержание, сайт
- 6Трансграничная передача: нет локализации, но есть условия
- 7ПВТ КР и ПДн: типичное заблуждение резидентов
- 8IT-компании в КР: что нужно для сайта
- 9КР vs РФ vs КЗ: сравнительная таблица
- 10Чек-лист: 8 пунктов compliance
- ?FAQ
1Закон № 58 «Об информации персонального характера»: структура, принципы, отличия
Основой регулирования персональных данных в Кыргызской Республике служит Закон КР от 14 апреля 2008 года № 58 «Об информации персонального характера». Закон принят в период, когда ни GDPR, ни современные редакции 152-ФЗ ещё не существовали — он опирается на базовые принципы защиты ПДн, выработанные в ОБСЕ-пространстве, без детализации уровня европейских стандартов. За прошедшие годы закон получил несколько поправок, последняя значительная — Закон № 95 от 19.05.2025, существенно ужесточивший ответственность.
Закон охватывает любую обработку «информации персонального характера» (ИПХ) — данных, позволяющих идентифицировать физическое лицо: ФИО, адрес, дата рождения, контактные данные, идентификационные номера, биометрия, IP-адреса и т.д. Субъектом является физическое лицо — гражданин КР или иностранец, чьи данные обрабатываются на территории республики.
Обработка только при наличии правового основания (закон, договор, согласие)
Только для заявленных целей, не для несовместимых с ними
Объём данных — не больше необходимого для достижения цели
Данные должны быть точными и при необходимости обновляться
Хранение — только на период, необходимый для цели обработки
Технические и организационные меры защиты от несанкционированного доступа
Доступ, исправление, удаление, ограничение обработки
Субъект информируется о держателе, целях, правах и способах обращения
| Параметр | Закон № 58 (КР) | GDPR (ЕС) | 152-ФЗ (РФ) |
|---|---|---|---|
| Год принятия | 2008 (ред. 2025) | 2018 | 2006 (ред. 2023) |
| Локализация данных | Нет требования | Нет требования | Обязательна для граждан РФ |
| Регулятор | ГАЗПД при Правительстве КР | DPA каждого государства-члена | Роскомнадзор (РКН) |
| Обязательная регистрация | Да — Реестр держателей | Нет (в большинстве стран) | Да — Реестр операторов РКН |
| Максимальный штраф | 120 000 сом (~$1 380) с 11.2026 | €20M или 4% оборота | 500 млн ₽ (оборотный) |
| DPIA / оценка рисков | Не предусмотрена как обязательная | Обязательна для high-risk операций | Не предусмотрена явно |
| Специальные категории | Выделены, повышенная защита | Детально урегулированы (ст. 9 GDPR) | Выделены (ст. 10 152-ФЗ) |
Закон № 58 — один из наиболее доступных для понимания режимов защиты ПДн в СНГ: нет требований локализации, нет обязательного DPO, относительно мягкая документационная нагрузка. Но регистрация в Реестре держателей обязательна — и с 2025 года за её отсутствие штрафуют реально. Юридическая упаковка для Кыргызстана — это прежде всего Privacy Policy + регистрация в ГАЗПД.
2ГАЗПД: регулятор, полномочия, проверки
Государственное агентство по защите персональных данных (ГАЗПД) при Правительстве Кыргызской Республики — уполномоченный орган по надзору в сфере ИПХ. Сайт: dpa.gov.kg. ГАЗПД сочетает три функции: регистрирующий орган (ведёт Реестр держателей), надзорный орган (проверки и санкции) и методологический центр (разъяснения, рекомендации).
Регистрирует держателей массивов ПДн, присваивает регистрационные номера, публикует реестр в открытом доступе. Отказ в регистрации возможен при неполноте сведений или нарушениях требований закона.
Проводит плановые и внеплановые проверки держателей. Основания для внеплановой проверки: жалоба субъекта ПДн, сообщение о нарушении в СМИ, инцидент с утечкой. Вправе запрашивать документы и объяснения.
Выдаёт обязательные предписания об устранении нарушений. Составляет протоколы об административных правонарушениях. С 2025 года — реальное применение штрафов по новым составам.
Принимает жалобы субъектов ПДн на нарушение их прав. При обоснованной жалобе — возбуждение административного производства и проверка. Субъект вправе также обратиться в суд напрямую.
При получении запроса или уведомления о проверке от ГАЗПД: не игнорировать, ответить в установленный срок. Отказ от взаимодействия — отягчающее обстоятельство. Необходимо подготовить: документацию о регистрации в реестре, Privacy Policy (политику ИПХ), подтверждение механизмов согласия, перечень субпроцессоров и принятые меры безопасности. Юридическое сопровождение проверки — стандартная практика для IT-компаний.
3Реестр держателей: регистрация через dpa.gov.kg и «Тундук»
Статья 17 Закона № 58 обязывает всех держателей массивов ИПХ зарегистрироваться в Реестре держателей до начала обработки. «Держатель» по Закону № 58 — юридическое лицо или индивидуальный предприниматель, создающий и использующий массивы (базы) ИПХ. Реестр публичен и ведётся ГАЗПД. Отсутствие в реестре — одно из наиболее распространённых нарушений, выявляемых при проверках.
- 1Подготовить сведения о держателе и массивах ПДн
Собрать: полное наименование юрлица / данные ИП, юридический и фактический адрес, цели обработки ИПХ, категории данных и субъектов, перечень используемых информационных систем, меры безопасности, сведения о трансграничной передаче.
До подачи - 2Подача через dpa.gov.kg или портал «Тундук»
Электронный способ: через официальный сайт ГАЗПД (dpa.gov.kg) с авторизацией через Единый портал электронных государственных услуг — «Тундук» (tunduk.gov.kg). «Тундук» — государственная интеграционная платформа КР, объединяющая электронные сервисы ведомств. Для подачи через портал необходима ЭЦП организации или руководителя.
Бумажный способ: лично или почтой в ГАЗПД (г. Бишкек). Форма заявления — на сайте dpa.gov.kg.
Срок: до начала обработки ПДн - 3Рассмотрение и внесение в реестр
ГАЗПД рассматривает заявление в течение 30 дней. При отсутствии замечаний — присваивает регистрационный номер и вносит в публичный реестр. При замечаниях — направляет уведомление с указанием недостатков; их нужно устранить и подать повторно.
Срок рассмотрения: 30 дней - 4Обновление сведений при изменениях
При изменении любого из зарегистрированных сведений (смена адреса, новые цели, новые категории данных, новые системы) — подать уведомление в ГАЗПД в течение 10 дней. Несвоевременное обновление — отдельный состав нарушения.
Обновление: в течение 10 дней
Что указывается при регистрации:
Неконкретные цели: «обработка в рамках деятельности компании» — не принимается. Нужны формулировки вида «заключение и исполнение договоров с клиентами», «выполнение требований трудового законодательства». Пропущенные категории данных: IP-адреса, cookie-идентификаторы, данные из систем аналитики — тоже ИПХ. Нет упоминания зарубежных систем: если используете AWS, Google Analytics, Mailchimp — это трансграничная передача, её нужно декларировать.
4Закон № 95 (19.05.2025): новые штрафы с 23.11.2025 и с ноября 2026
Закон КР от 19 мая 2025 года № 95 внёс существенные изменения в административную и уголовную ответственность за нарушения в сфере ИПХ. Закон вводит ответственность в два этапа — с разными датами вступления в силу.
Вступает в силу первая часть изменений: ответственность за наиболее распространённые нарушения. Составы: отсутствие регистрации в Реестре держателей, нарушение порядка обработки ИПХ, несоблюдение прав субъектов, незаконная передача третьим лицам.
До 65 000 сом (~$750)Вторая очередь изменений: расширенный перечень составов, охватывающий нарушения требований безопасности, неправомерную трансграничную передачу, повторные нарушения, нарушения при обработке специальных категорий данных.
До 120 000 сом (~$1 380)За что именно штрафуют с 23.11.2025:
- Отсутствие регистрации в Реестре держателей — при фактической обработке ИПХ без регистрации в ГАЗПД
- Нарушение принципов обработки — обработка сверх заявленных целей, избыточный сбор данных, хранение дольше необходимого
- Нарушение прав субъектов — отказ в предоставлении доступа к своим данным, отказ от исправления или удаления при наличии оснований
- Незаконная передача третьим лицам — передача ИПХ без согласия субъекта или законного основания
- Несоблюдение требований безопасности — отсутствие технических и организационных мер защиты
- Несвоевременное уведомление об инциденте — при утечке ИПХ держатель обязан уведомить ГАЗПД
Если компания ещё не зарегистрирована в Реестре держателей — подать заявку нужно немедленно. С учётом 30-дневного срока рассмотрения: подача в октябре 2025 обеспечивает регистрацию к дате вступления штрафов в силу. Компании, начавшие работу в КР после 2022 года (IT-релоканты, ПВТ-резиденты), особенно в зоне риска — многие так и не прошли регистрацию.
5Согласие субъекта: форма, содержание, электронный формат
Согласие субъекта — основной и наиболее универсальный правовой basis для обработки ИПХ по Закону № 58. Прочие основания (исполнение договора, требования закона) действуют в более узких ситуациях. На практике для большинства коммерческих операций с данными пользователей — нужно согласие.
Не предзаполненный чекбокс рядом с текстом «Я даю согласие на обработку персональных данных в соответствии с [ссылка на Политику ИПХ]». Клик — фиксируется в логах с датой, IP и версией документа. Ссылка ведёт на актуальную Политику ИПХ.
Для нетехнических cookie (аналитика, маркетинг) — всплывающий баннер с явным выбором «Принять» / «Отклонить». Кнопка «Принять» не должна быть визуально крупнее кнопки «Отклонить». Закон № 58 не детализирует cookie-требования, но согласие на cookie-слежку = согласие на обработку ИПХ.
Отдельное согласие на получение маркетинговых рассылок — не включается в общее согласие при регистрации. Double opt-in (подтверждение через письмо) — стандарт, снижающий риски при проверке.
Для договоров с физическими лицами — согласие вписывается в текст договора или оформляется отдельным приложением. Указываются все обязательные реквизиты: стороны, цели, перечень данных, срок, порядок отзыва.
6Трансграничная передача: нет локализации, но есть условия
Одно из ключевых преимуществ Кыргызстана для IT-компаний по сравнению с Россией и Казахстаном: Закон № 58 не содержит требования об обязательной локализации данных. Держатель вправе хранить и обрабатывать ИПХ на серверах в любой стране. Однако трансграничная передача данных — не «свободная зона»: есть условия, которые нужно выполнить.
| Условие передачи | Требование Закона № 58 | На практике |
|---|---|---|
| Согласие субъекта | Субъект дал явное согласие на передачу данных в конкретную страну или организацию | Упомянуть в Privacy Policy и в форме согласия: «ваши данные могут передаваться в [страна/сервис]» |
| Адекватная защита в стране-получателе | Страна-получатель обеспечивает уровень защиты ИПХ не ниже установленного Законом № 58 | ГАЗПД не ведёт официального перечня «адекватных» стран. Ориентир: наличие собственного закона о ПДн у получателя |
| Указание в Реестре держателей | Сведения о трансграничной передаче должны быть указаны при регистрации в ГАЗПД | Указать страны, получателей, цели; при появлении новых субпроцессоров — обновить |
| Договорные гарантии | Закон допускает передачу на основании договора с гарантиями защиты ИПХ | Data Processing Agreement / Data Transfer Agreement с зарубежным субпроцессором — рекомендуется |
На практике для большинства IT-продуктов трансграничная передача — повседневная реальность: AWS (США), Google Cloud (США), Cloudflare (США), Mailchimp (США), SendGrid (США), KYC-провайдеры. Правильная стратегия: перечислить всех зарубежных субпроцессоров в Privacy Policy и в регистрационной карточке ГАЗПД; упоминать передачу данных в форме согласия на сайте; иметь актуальные DPA с каждым субпроцессором.
Россия обязывает хранить данные граждан РФ на серверах в РФ (ч. 5 ст. 18 152-ФЗ). Казахстан устанавливает аналогичное требование для своих граждан. Кыргызстан — нет. Это делает КР привлекательной базой для IT-продуктов с многострановой аудиторией, которым нужна гибкость в выборе инфраструктуры. Подробнее о различиях — в юридической упаковке для России и для Казахстана.
7ПВТ КР и персональные данные: типичное заблуждение
Парк высоких технологий Кыргызской Республики (ПВТ КР) — специальный экономический режим для IT-компаний, зарегистрированных в установленном порядке. Резиденты ПВТ получают существенные налоговые преференции: нулевая ставка НДС, пониженный налог на прибыль, льготы по социальным отчислениям. ПВТ активно продвигается как инструмент привлечения IT-бизнеса — в том числе релокантов из России и Казахстана.
Здесь возникает распространённое заблуждение: многие резиденты ПВТ полагают, что специальный статус освобождает их от требований общего законодательства — в том числе от Закона № 58 и обязанности регистрации в ГАЗПД. Это не так.
- 0% НДС на экспорт IT-услуг
- 5% налог на прибыль (вместо 10%)
- Льготные ставки социальных взносов
- Упрощённые процедуры трудоустройства иностранцев
- Доступ к инфраструктуре технопарка
- Государственную поддержку и продвижение
- Освобождения от Закона № 58 о ПДн
- Освобождения от регистрации в Реестре держателей
- Специального режима для трансграничной передачи
- Иммунитета от проверок ГАЗПД
- Автоматической Privacy Policy
- Каких-либо льгот по ответственности за нарушения ПДн
Резидент ПВТ КР — это юридическое лицо, зарегистрированное в Кыргызстане и имеющее специальный статус. Как юрлицо, обрабатывающее ПДн сотрудников, клиентов и пользователей своих продуктов, оно обязано соблюдать Закон № 58 в полном объёме. Штрафы по Закону № 95 применяются к резидентам ПВТ наравне с остальными компаниями. Подробнее о ведении бизнеса в Кыргызстане.
Если ваша компания является резидентом ПВТ КР, но до сих пор не зарегистрирована в Реестре держателей ГАЗПД — это нарушение, которое с 23.11.2025 влечёт штраф. Провести регистрацию необходимо параллельно с налоговой и юридической настройкой компании. Юридическая упаковка для Кыргызстана включает сопровождение регистрации в ГАЗПД.
8IT-компании в КР: что нужно для сайта и продукта
Минимальный compliance-набор для IT-компании, работающей в Кыргызстане или обрабатывающей данные кыргызских пользователей, состоит из нескольких взаимосвязанных элементов. Каждый из них — не формальность, а реальное требование, проверяемое ГАЗПД.
Публикуется на сайте на доступном языке (русский, кыргызский). Содержит: наименование держателя, цели обработки, категории данных, правовые основания, срок хранения, права субъектов, контакты для обращений, сведения о субпроцессорах и трансграничной передаче.
ОбязательноЧекбокс при регистрации (не предзаполненный), ссылка на актуальную Политику ИПХ, логирование факта согласия. Для маркетинговых рассылок — отдельное согласие. Cookie banner для нетехнических cookie.
ОбязательноПодача через dpa.gov.kg / «Тундук» до начала обработки ПДн. Указать все цели, категории данных, субпроцессоры. Обновлять при изменениях. С 23.11.2025 — штраф за отсутствие до 65 000 сом.
ОбязательноМинимум: шифрование при передаче (HTTPS), ролевой доступ к данным, резервное копирование, антивирусная защита, политика паролей. Для продуктов с биометрией или медданными — усиленные меры.
ОбязательноData Processing Agreement с каждым зарубежным сервисом, обрабатывающим ПДн пользователей (AWS, Google, аналитика, email-рассылки, KYC-провайдеры). Подтверждает договорные гарантии защиты при трансграничной передаче.
РекомендуетсяЗакон № 58 регулирует данные кыргызских пользователей. Если сервисом пользуются лица на территории ЕС — параллельно применяется GDPR (экстерриториально). Нужна отдельная Privacy Notice по Art. 13–14, DPA с субпроцессорами по Art. 28, cookie opt-in. Подробнее: юридическая упаковка для ЕС.
При EU-аудиторииЗакон № 58 не устанавливает требований к языку Privacy Policy. На практике для продуктов с кыргызскими пользователями — документ публикуется на русском языке (широко распространён в КР как деловой язык) и/или на кыргызском. Английская версия добавляется при наличии иностранной аудитории. Для B2B-клиентов из РФ или ЕС — соответствующие языковые версии согласно требованиям применимого права.
9КР vs РФ vs КЗ: сравнительная таблица
Многие компании в Кыргызстане имеют деловые связи с Россией или Казахстаном, либо работают параллельно в нескольких юрисдикциях. Ниже — сравнение ключевых параметров трёх режимов, чтобы понять, что именно меняется при переходе между юрисдикциями.
| Параметр | 🇰🇬 Кыргызстан (Закон № 58) | 🇷🇺 Россия (152-ФЗ) | 🇰🇿 Казахстан (Закон о ПДн) |
|---|---|---|---|
| Регулятор | ГАЗПД (dpa.gov.kg) | Роскомнадзор (РКН) | КИБ / Министерство цифрового развития |
| Обязательная регистрация | Да — Реестр держателей ГАЗПД | Да — Реестр операторов РКН | Да — уведомление оператора |
| Локализация данных | Нет — не требуется | Да — данные граждан РФ на серверах в РФ | Да — данные граждан КЗ в КЗ |
| Трансграничная передача | Согласие субъекта + адекватная защита в стране-получателе | Страны из перечня ПП-1665 + согласие + уведомление РКН | Страны с адекватным уровнем защиты или согласие субъекта |
| Макс. административный штраф | 120 000 сом (~$1 380) с 11.2026 | 500 млн ₽ (оборотный) | До 4 000 МРП (~$28 000) |
| Уголовная ответственность | УК КР — при умысле / грубой халатности | УК РФ — ст. 137, 272, 274 | УК РК — при умысле |
| Обязательный DPO | Нет | Ответственное лицо (ст. 18.1) | Ответственный сотрудник |
| DPIA / оценка рисков | Не обязательна | Не обязательна | Не обязательна |
| Согласие на маркетинг | Отдельное явное согласие | Отдельное явное согласие | Отдельное явное согласие |
| Общая нагрузка | Умеренная | Высокая | Средняя |
10Чек-лист: 8 пунктов compliance в Кыргызстане
Минимальный набор для IT-компании, работающей в КР или с кыргызскими пользователями. Выполнение этих пунктов закрывает основные риски по Закону № 58 с учётом изменений 2025 года.
- Зарегистрироваться в Реестре держателей ГАЗПД — через dpa.gov.kg или «Тундук», до начала обработки ПДн. С 23.11.2025 штраф за отсутствие до 65 000 сом. Срок рассмотрения — 30 дней, учтите заранее
- Разработать и опубликовать Политику ИПХ (Privacy Policy) — на русском и/или кыргызском языке. Включить: держатель, цели, категории данных, права субъектов, субпроцессоры, трансграничная передача, контакты
- Внедрить механизм явного согласия на сайте — ненажатый чекбокс при регистрации, отдельное согласие на маркетинг, cookie banner с реальным opt-in для нетехнических cookie
- Задокументировать трансграничную передачу — если используете AWS, Google, Mailchimp и другие зарубежные сервисы: указать в Реестре ГАЗПД, упомянуть в Privacy Policy, заключить DPA с каждым субпроцессором
- Назначить ответственного за обработку ПДн — ФИО, должность, контактные данные. Указать в регистрационной карточке ГАЗПД и в Privacy Policy как контакт для обращений субъектов
- Принять технические меры безопасности — HTTPS, ролевой доступ к базам данных, шифрование резервных копий, политика паролей, журналирование доступа к ПДн
- Обновлять регистрацию при изменениях — смена адреса, новые цели, новые субпроцессоры, новые категории данных: уведомление ГАЗПД в течение 10 дней с момента изменений
- Для ПВТ-резидентов и EU-аудитории — подтвердить регистрацию в ГАЗПД (ПВТ не освобождает); при наличии EU-пользователей добавить GDPR-компонент: Privacy Notice по Art. 13–14, DPA с субпроцессорами по Art. 28, полный GDPR-пакет
?Частые вопросы
Распространяется ли Закон № 58 на иностранную компанию без офиса в КР?
Можно ли использовать одну Privacy Policy для КР и России одновременно?
Нужен ли cookie banner для кыргызского сайта?
Что будет, если компания уже работает в КР больше года, но не зарегистрирована в ГАЗПД?
Применяется ли Закон № 58 к обработке данных сотрудников?
Как ПВТ КР влияет на требования по защите персональных данных?
С 23.11.2025 штраф до 65 000 сом за отсутствие регистрации. ПВТ-статус не освобождает. Регистрация через dpa.gov.kg или «Тундук».
Хранить данные можно на любых серверах. Но трансграничная передача требует согласия субъекта, указания в реестре и DPA с субпроцессорами.
Клиенты из РФ — 152-ФЗ. Из ЕС — GDPR. Кыргызские пользователи — Закон № 58. Нужна мультиюрисдикционная Privacy Policy.