Персональные данные

В современном обществе персональные данные — это любая информация, которая позволяет точно или потенциально идентифицировать физическое лицо. В Беларуси к персональным данным правовые нормы относят в том числе биометрические сведения (отпечатки пальцев, радужка), генетическая информация, а также обычные атрибуты — ФИО, дата рождения, адрес и прочее.

До ноября 2021 г. правовое регулирование в сфере персональных данных было фрагментарным. Новый закон, введённый в тот период, впервые установил комплексную систему: он определил ключевых участников — субъекты, операторы и уполномоченные лица, закрепил принципы обработки, требования к безопасности и механизм защиты прав граждан.

Сегодня операторы персональных данных (это те компании и индивидуальные предприниматели, которые имеют дело с персональными данными) используют при обработке персональных данных риск‑ориентированный подход: сами определяют уровни защиты, в том числе правовые, технические и организационные меры, которые соответствуют масштабу и характеру обработки. При обязательно назначить ответственных за безопасность, разработать внутреннюю политику, обучить сотрудников и внедрить крипто‑ или иные технические меры защиты персональных данных.

За соблюдением требований правовых норм в сфере персональных данных следит Национальный центр защиты персональных данных (НЦЗПД). По плану на 2025 год запланирована проверка не менее девяти операторов — среди них крупные ИТ‑компании, банки, образовательные учреждения — при этом предусмотрены и внеплановые выездные аудиты.

Основными правами субъектов персональных данных (это физические лица, персональные данные которых обрабатывают операторы) являются доступ, исправление, удаление, блокирование, а также право на подачу жалобы и обжалование действий оператора. С этой точки зрения закон во многом сближен с европейским GDPR: аналогичные принципы прозрачности обработки персональных данных, минимизации рисков при их обработке и контроля за обработкой.

Основные понятия в сфере персональных данных

Понимание ключевых терминов — важный шаг на пути к правильному обращению с персональными данными. В этом разделе мы рассмотрим, кто участвует в процессе обработки данных и какие типы информации подлежат защите.

Субъект персональных данных

Субъект — это физическое лицо, к которому относится персональная информация. Речь идёт о любом человеке, чьи данные собирают, хранят, используют или каким-либо образом обрабатывают. Это может быть клиент компании, сотрудник, контрагент, подписчик рассылки или пользователь сайта. Главное — наличие идентифицирующих признаков: ФИО, адрес, телефон, паспортные данные и т. д.

Оператор персональных данных

Оператор — это организация или индивидуальный предприниматель, который определяет цели и способы обработки персональных данных. Именно он отвечает за то, чтобы обработка персональных данных происходила в рамках требований государства, и права субъектов персональных данных не нарушались. В роли оператора чаще всего выступает работодатель, интернет-магазин, банк, страховая компания, учреждение образования и т. д.

Оператор не всегда обрабатывает данные сам — он может привлекать другие лица, но при этом несёт основную ответственность за соблюдение требований.

Уполномоченное лицо

Это третье лицо, которому оператор поручает обработку персональных данных. Уполномоченное лицо действует на основании договора или поручения и обязано соблюдать те же правила и меры защиты, что и оператор. Пример — компания, которая оказывает бухгалтерские услуги и получает доступ к данным работников заказчика, или ИТ-подрядчик, который обслуживает CRM-систему с базой клиентов.

Что включает в себя обработка персональных данных

Обработка — это не только сбор и хранение. Под обработкой понимают весь цикл обращения с данными, включая:

• Получение и регистрацию.
• Систематизацию и накопление.
• Хранение и использование.
• Передачу (в том числе третьим лицам и за границу).
• Обезличивание.
• Блокирование и удаление.

Даже простое наличие данных в корпоративной почте или таблице Excel уже считается обработкой.

Категории персональных данных

Персональные данные делятся на несколько категорий в зависимости от степени чувствительности:

1. Общие данные — ФИО, дата рождения, адрес, телефон, место работы, образование. Это наиболее распространённые сведения, с которыми работают практически все компании.

2. Специальные данные — информация, которая раскрывает расовую или национальную принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, судимость и прочее. Работа с такими данными требует особой аккуратности.

3. Биометрические данные — сведения, полученные в результате обработки физических характеристик: отпечатков пальцев, изображения лица, голоса, радужной оболочки глаза и т. п. Эти данные могут использоваться для установления личности.

4. Генетические данные — информация, которая касается наследственных признаков человека, передающихся на уровне ДНК. Чаще всего встречается в медицинской и научной сферах.

Чёткое понимание того, кто участвует в процессе обработки данных и с какой именно информацией работает организация, помогает выстроить эффективную систему защиты персональных данных и избежать правовых рисков.

Принципы обработки персональных данных

Эффективная и законопослушная работа с персональными данными возможна только при соблюдении базовых принципов их обработки. Эти принципы отражают общепринятый подход к защите информации и формируют основу для внутренней политики любой организации.

Законность и добросовестность

Обработка персональных данных должна происходить на понятных, честных и открытых основаниях. Это означает, что организация должна иметь законную цель и правовое основание для сбора информации о человеке. Нельзя собирать данные «про запас» или без уведомления субъекта. Добросовестность требует уважения к интересам человека, чьи данные обрабатываются, а также избегания манипуляций и скрытых методов.

Целесообразность и минимизация персональных данных, которые собирают

Организация должна собирать только те данные, которые действительно необходимы для конкретных целей. Если цель можно достичь без обработки определённой категории данных — их сбор и хранение не допускаются. Например, для доставки товара нет необходимости запрашивать паспортные данные или информацию о семейном положении. Принцип минимизации помогает снизить риски утечки, упростить внутренние процессы и повысить доверие со стороны клиентов.

Достоверность и актуальность

Персональные данные должны быть точными и актуальными. Оператор обязан предпринимать разумные меры для корректировки неточной или устаревшей информации. Например, если сотрудник изменил адрес проживания или контактный номер — данные должны быть обновлены в кратчайшие сроки. Использование неверной информации может привести к финансовым потерям, недоставке товара, ошибке в расчетах и другим негативным последствиям.

Сроки хранения и удаление

Данные не могут храниться бессрочно. Срок хранения должен быть ограничен рамками, необходимыми для достижения цели обработки. По достижении цели данные подлежат удалению или обезличиванию. Например, после увольнения сотрудника его персональные данные должны храниться только в рамках сроков, предусмотренных для архивирования, расчётов и возможных проверок. После этого их удаляют с соблюдением требований безопасности.

Безопасность и конфиденциальность

Обработка данных должна сопровождаться мерами, которые гарантируют защиту информации от несанкционированного доступа, утраты, изменения или распространения. Это касается как технических решений (шифрование, ограничение доступа, резервное копирование), так и организационных подходов (обучение сотрудников, внедрение внутренних регламентов, контроль за подрядчиками). Кроме того, к персональным данным нужно допускать только тех лиц, которым доступ необходим для выполнения служебных обязанностей.

Обязанности оператора персональных данных

Оператор персональных данных — это ключевое звено в процессе обработки информации. Именно он отвечает за соблюдение принципов и требований правовых норм. Независимо от размера организации, оператор обязан выстроить систему защиты данных, обеспечить контроль за её работой и создать условия для реализации прав субъектов.

Назначение ответственного за защиту персональных данных

Первое, с чего должна начинаться системная работа с персональными данными — это назначение уполномоченного сотрудника или подразделения, отвечающего за организацию обработки и обеспечение безопасности. Такой специалист координирует внедрение внутренних политик, взаимодействует с надзорным органом и консультирует руководство по вопросам защиты данных. Это особенно важно для организаций, которые обрабатывают большие массивы информации или ведут деятельность в сфере здравоохранения, образования, онлайн-сервисов и пр.

Разработка внутренней документации

Работу с персональными данными нужно оформить локальными документами. Оператор обязан разработать и внедрить внутренние локальные акты, которые регулируют:

• Цели и способы обработки данных.
• Порядок доступа к данным внутри компании.
• Действия в случае утечки или неправомерного доступа.
• Сроки хранения и удаления информации.
• Формы согласий и уведомлений субъектов.

Документация должна соответствовать реальным бизнес-процессам и регулярно пересматриваться в случае изменений.

Обучение персонала

Сотрудников, которые имеют доступ к персональным данным, знакомят с правилами их обработки. Такие сотрудники должны соблюдать меры защиты. Обучение может включать вводный инструктаж, регулярные проверки знаний, проведение тренингов и рассылку обновлений. Недостаточная осведомлённость персонала — один из главных факторов возникновения инцидентов, связанных с утечкой или неправомерной передачей данных.

Технические и организационные меры

Оператор обязан обеспечить безопасность персональных данных. Для этого применяют как технические, так и организационные меры. В их числе:

• Установка антивирусного ПО и межсетевых экранов.
• Разграничение доступа к информационным системам.
• Защита данных при передаче (например, с использованием шифрования).
• Резервное копирование и контроль за внешними носителями.
• Мониторинг действий пользователей и предотвращение несанкционированного доступа.

Организационные меры включают также контроль за подрядчиками, аудит информационной безопасности и внедрение регламентов работы с бумажными носителями.

Ведение журналов и регистраций

Оператор должен вести учёт операций с персональными данными. Это включает:

• Фиксацию фактов доступа к данным.
• Регистрацию передачи данных третьим лицам.
• Документирование инцидентов и ответных мер.
• Хранение согласий субъектов и истории их отзыва.

Такая регистрация позволяет доказать соблюдение законодательства, восстановить картину обработки в случае конфликта или проверки и обеспечить прозрачность процессов.

Комплексный подход к исполнению обязанностей оператора не только снижает юридические риски, но и демонстрирует зрелость организации с точки зрения цифровой ответственности и культуры обращения с информацией.

Права субъектов персональных данных

Одна из ключевых задач законодательства о защите персональных данных  — обеспечение контроля гражданина над информацией о себе. Каждый субъект персональных данных обладает определённым набором прав, которые позволяют ему влиять на то, как, кем и для чего используются его данные. Оператор обязан не только соблюдать эти права, но и создавать удобные механизмы для их реализации.

Право получать информацию о своих данных

Гражданин имеет право знать, кто именно обрабатывает его персональные данные, в каких целях, на каком основании, какие категории данных используются и кому они передаются. По запросу субъект должен получить исчерпывающую и понятную информацию, в том числе сведения о сроках хранения и мерах защиты.

Важно, чтобы оператор не скрывал данные под предлогом «внутреннего регламента» и предоставлял ответы в разумные сроки. Не допускается взимание платы за подобные запросы, если речь идёт о первом обращении или предоставлении стандартной информации.

Право на доступ, изменение, блокировку, удаление

Субъект может обратиться к оператору с просьбой:

• Предоставить доступ к своим данным.
• Изменить или дополнить информацию, если она устарела или недостоверна.
• Временно заблокировать обработку.
• Полностью удалить данные, если исчезла цель обработки или гражданин отозвал согласие.

Например, если пользователь интернет-магазина больше не хочет, чтобы его номер телефона использовали для рекламных рассылок, он вправе потребовать удаления этой информации из базы оператора. Оператор должен либо выполнить такое требование, либо обосновать отказ (например, если данные необходимы для выполнения контракта или исполнения требований правовых норм).

Отзыв согласия

Если обработка персональных данных осуществляется на основании согласия субъекта, он может в любой момент отозвать это согласие. Объяснять причины отзыва не нужно. После отзыва согласия оператор обязан прекратить обработку соответствующих данных, если не существует других оснований для их использования (например, предусмотренных нормами трудового или налогового законодательства).

Оператор должен заранее предоставить понятный и удобный способ отзыва: через электронную форму, личный кабинет, письменное заявление и т. д. Усложнение процедуры отзыва или игнорирование заявлений субъекта является нарушением его прав.

Подача жалоб и обжалование действий оператора

Если субъект считает, что его права нарушены — например, его персональные данные передали третьим лицам без согласия или оператор отказался удалить информацию — он вправе подать жалобу. Жалобу можно направить напрямую в компанию (оператору), а также в уполномоченный государственный орган, осуществляющий контроль в сфере персональных данных. В Беларуси это Национальный центр защиты персональных данных (НЦЗПД).

Кроме того, субъект персональных данных имеет право обратиться в суд для защиты своих интересов, в том числе с требованием о компенсации морального вреда.

Реализация прав субъектов — это не формальность, а важный элемент правовой безопасности и доверия. Для операторов соблюдение этих прав — это не только требование закона, но и показатель зрелости корпоративной культуры, клиентоориентированности и прозрачности бизнеса.

Регулятор в сфере персональных данных: роль НЦЗПД

Система защиты персональных данных в Беларуси построена на принципе государственного контроля. Центром, который выполняет надзорные функции в этой сфере, является Национальный центр защиты персональных данных (НЦЗПД). Он не только проверяет соблюдение законодательства, но и играет важную консультативную и профилактическую роль.

Полномочия НЦЗПД

НЦЗПД наделён широким кругом полномочий, которые направлены на обеспечение законной и безопасной обработки персональных данных. В частности, центр:

• Контролирует, как организации обрабатывают персональные данные.
• Рассматривает жалобы граждан и юридических лиц.
• Выдает предписания об устранении нарушений.
• Ведёт реестр операторов.
• Участвует в разработке методических рекомендаций и информирует общественность.

Центр вправе запрашивать документы, проводить анализ информационных систем и опрашивать сотрудников организаций. Его предписания обязательны к исполнению.

Плановые и внеплановые проверки

НЦЗПД проводит как плановые, так и внеплановые проверки:

• Плановые проверки проводят на основании утверждённого графика. Такие проверки касаются, как правило, крупных компаний, государственных структур и операторов, работающих с чувствительными данными.
• Внеплановые проверки назначают при наличии жалоб, сообщений о возможных нарушениях или по результатам анализа рисков. Например, внеплановую проверку могут назначить после публикации в СМИ о массовой утечке клиентской базы.

В рамках проверки могут анализировать документы, проводить интервью с ответственными лицами, провереять IT-системы и локальные акты. Организация обязана обеспечить сотрудничество с представителями центра.

Последствия выявленных нарушений

Если в ходе проверки выявлены нарушения, НЦЗПД может:

• Выдать предписание об устранении нарушений в установленные сроки.
• Приостановить или ограничить обработку персональных данных.
• Направить материалы в другие надзорные органы или в суд.
• Инициировать административную ответственность для должностных лиц.

Нарушения, которые допущены по неосторожности, как правило, сначала влекут предупреждение и предписание. Однако систематические или грубые нарушения, в особенности связанные с утечкой персональных данных или игнорированием прав субъектов, могут повлечь более серьёзные последствия: штрафы, временное ограничение деятельности, репутационные потери.

Рекомендации и разъяснения от НЦЗПД

НЦЗПД активно публикует методические материалы, ответы на частые вопросы, формы документов, образцы согласий и инструкции по безопасной обработке данных. Эти разъяснения — ценный источник информации для юристов, руководителей компаний, IT-специалистов и сотрудников, работающих с персональными данными.

Организации могут обращаться в НЦЗПД за консультацией, направлять запросы по вопросам применения законодательства, получать поддержку при внедрении систем защиты. Такой диалог с контролирующим органом помогает снижать риски и формировать ответственную практику работы с данными.

Заключение

Персональные данные — это не просто информация о человеке, а чувствительный ресурс, с которым нужно обращаться с максимальной ответственностью. Компании, которые выступают в роли операторов, обязаны не только знать правила их обработки, но и выстраивать устойчивую систему защиты, соблюдать принципы законности, прозрачности и уважения к правам субъектов.

Требования государства в сфере персональных данных продолжают развиваться. Невнимание к этим вопросам может повлечь как юридические, так и репутационные последствия. В то же время грамотный подход к обработке персональных данных укрепляет доверие со стороны клиентов, партнёров и сотрудников, а также снижает риски для бизнеса.

Если вашей организации требуется аудит существующих процессов, помощь в разработке внутренней документации, обучение персонала или правовая поддержка при взаимодействии с НЦЗПД — специалисты AMBY Legal готовы предложить практические решения и сопровождение на всех этапах.

Свяжитесь с нами 

Если у Вас возникли вопросы, связанные с персональными данными в Беларуси — мы будем рады Вам помочь! Наш многолетний опыт поможет Вам в выборе адвоката для представления ваших интересов в суде.

• info@ambylegal.by;
• +37529142-27-19 (WhatsApp, Viber, Telegram).