Защита персональных данных в Кыргызской Республике перестала быть формальной обязанностью. В 2025 году требования к бизнесу существенно усиливаются, а контроль со стороны государства становится системным. Сегодня практически любая компания, работающая с клиентами, сотрудниками, подрядчиками или бенефициарами, признаётся держателем персональных данных и несёт соответствующую юридическую ответственность.
Эта статья — практическое руководство для предпринимателей, руководителей компаний и HR-специалистов.
Что считается персональными данными
Персональные данные — это любая зафиксированная информация, которая прямо или косвенно позволяет идентифицировать конкретного человека. К ним относятся:
фамилия, имя, отчество;
паспортные и идентификационные данные;
адрес проживания или регистрации;
номер телефона, e-mail;
сведения о семейном положении, доходах, образовании, трудовой деятельности и состоянии здоровья.
Важно понимать: персональные данные — это не только паспорт и ИНН. Данные клиентов интернет-магазинов, пользователей сайтов и мобильных приложений, сотрудников и кандидатов на работу также подпадают под требования закона.
Кто обязан регистрироваться как держатель персональных данных
Согласно Закону КР «Об информации персонального характера», регистрация держателей массивов персональных данных является обязательной.
К держателям персональных данных относятся:
работодатели;
онлайн-магазины и цифровые сервисы;
медицинские и образовательные учреждения;
банки и страховые компании;
туристические агентства;
некоммерческие организации и фонды;
IT-компании и стартапы.
Регистрация осуществляется:
через сайт Государственного агентства по защите персональных данных https://dpa.gov.kg/ru;
исключительно через учётную запись в системе «Тундук».
Отсутствие регистрации рассматривается как прямое нарушение законодательства.
Ответственность и штрафы в 2025 году
С ноября 2025 года вступают в силу усиленные меры ответственности:
штраф до 65 000 сомов для юридических лиц за сбор, хранение или обработку персональных данных без регистрации;
штрафы также применяются за внесение неполной или недостоверной информации в Реестр.
Для бизнеса это означает, что несоблюдение требований — это реальный финансовый риск, а не формальная угроза.
Держатель и обработчик персональных данных: в чём разница
Закон чётко разграничивает две роли:
Держатель персональных данных:
определяет цели и объём обработки;
получает согласие субъектов данных;
несёт основную ответственность за законность и безопасность обработки.
Обработчик персональных данных:
действует на основании договора с держателем;
обрабатывает данные исключительно в рамках поручения;
не вправе использовать данные для собственных целей.
Собирать персональные данные только на законных основаниях (договор, оказание услуг, трудовые отношения).
Получать информированное согласие — в письменной или электронной форме.
Назначить ответственное лицо за организацию обработки и защиты персональных данных.
Соблюдать сроки хранения и уничтожать данные после достижения целей обработки.
Предоставлять субъекту его персональные данные в течение 7 дней по запросу.
Почему откладывать приведение в соответствие опасно
Государственное агентство уже публикует реальные кейсы проверок: утечки данных, незаконная передача третьим лицам, принудительные согласия без альтернативы.
Персональные данные — это зона повышенной юридической ответственности, где ошибки бизнеса обходятся особенно дорого.
Если вы планируете:
зарегистрироваться в Реестре держателей персональных данных;
подготовить корректные согласия и внутренние документы;
проверить сайт, договоры и HR-документацию на соответствие закону, то наша профессиональная юридическая поддержка позволит сделать это без лишних рисков и штрафов.
профессиональная юридическая поддержка позволит сделать это без лишних рисков и штрафов.