Персональные данные

Тема защиты персональных данных все более актуальна для бизнеса и физических лиц. К персональным данным относится любая информация о физическом лице, которая помогает его идентифицировать. В связи с этим все чаще возникают споры о защите персональных данных между физическими лицами и крупными компаниями, которые массово обрабатывают персональные данные и рискуют большими объемами таких данных. Компании, которые обрабатывают персональные данные, называют «операторы». Споры чаще всего происходят в связи с утечкой персональных данных или их избыточной обработкой: когда операторы запрашивают у физических лиц больше данных, чем нужно для той цели, для которой обрабатывают данные.

В особенностях организации защиты персональных данных в компании и в разрешении споров, которые возникают в этой сфере, помогут разобраться наши опытные адвокаты. Мы помогаем организовать работу по обработке персональных данных, разрешить споры и полностью сопровождаем во время их разрешения.

Что такое персональные данные?

Персональные данные — это любая информация, относящаяся к идентифицируемому человеку. Обычно они делятся на две группы.

Базовые данные включают ваше имя, номер телефона или дату рождения — сведения, используемые для подтверждения вашей личности и требующие особой защиты.

Защита персональных данных

Специальные категории данных охватывают более чувствительную информацию, такую как медицинские записи, политические взгляды, религиозные убеждения, IP-адреса и файлы cookie.

Чтобы определить, являются ли данные персональными, спросите себя:

Идентифицируют ли они конкретного человека?

Имеют ли прямую связь с кем-то, например, с владельцем автомобиля?

Или позволяют выделить кого-то из толпы, как, например, домашний адрес или место работы?

С развитием технологий даже такие онлайн-маркеры, как IP-адреса и cookies, считаются персональными данными, поскольку могут использоваться для установления вашей личности. Поэтому современные законы о конфиденциальности распространяются и на них.

Кто защищает персональные данные в Республике Беларусь

К операторам персональных данных в Республике Беларусь относятся белорусские организации и индивидуальные предприниматели. Операторы обязаны организовать защиту персональных данных.

Операторы — это компании и лица, которые ведут бизнес и при этом обрабатывают персональные данные физических лиц сами или совместно с другими операторами. К обработке персональных данных относится любое действие с ними: сбор, систематизация, хранение, изменение, обезличивание, распространение, удаление персональных данных и др.

Реестр операторов

Каждая компания, которая обрабатывает персональные данные, должна создать специальный отдел или назначить сотрудников, которые контролируют обработку данных внутри организации.

В Республике Беларусь есть государственный орган, который проверяет, соблюдают ли операторы законодательство о персональных данных. Это Национальный центр защиты персональных данных (НЦЗПД). НЦЗПД рассматривает жалобы по вопросам обработки персональных данных. Такую жалобу нужно подать в течение трех месяцев со дня, когда автор жалобы узнал о нарушениях.

Что такое Реестр операторов персональных данных?

НЦЗПД создаст с 1 января 2024 г. государственную базу данных ”Реестр операторов персональных данных“.

В Реестр внесут информацию об информационных ресурсах (системах), с помощью которых в частности, обрабатывают персональные данные более чем 100 тыс. взрослых физических лиц или более, чем 10 тыс. физических лиц до 16 лет, информацию о ресурсах для обработки биометрических и (или) генетических персональных данных.

споры в сфере персональных данных

Споры в сфере персональных данных могут возникать между физическим лицом и оператором или между оператором и НЦЗПД.

Споры между физическим лицом и оператором

Такие споры чаще всего связаны с излишними персональными данными, которые оператор запрашивает у физического лица. Такие данные объективно не нужны для тех целей, для которых оператор собирает персональные данные. К примеру, для доставки товаров из интернет-магазина объективно не нужны данные об идентификационном номере физического лица или о его месте работы. Физическое лицо может пожаловаться на излишнюю обработку персональных данных самому оператору и потребовать удалить лишние персональные данные или направить жалобу в НЦЗПД. В последнем случае к оператору может прийти проверка и возможны штрафы.

Важно проверить и скорректировать, если нужно, перечень персональных данных и цели их обработки, которые компании прописывают в форме согласия на обработку персональных данных.

Споры между НЦЗПД и операторами

Такие споры могут возникнуть по итогам проверки требований к защите персональных данных в компании. Чаще всего споры связаны с утечкой персональных данных, их незащищенностью, распространением без согласия физических лиц.

Права субъектов хозяйственного права

Это обычно вызвано несовершенством программного обеспечения, умышленными действиями либо случается от незнания законодательства о защите персональных данных.

Наши опытные адвокаты могут провести аудит внутренних документов компании по вопросам персональных данных. При необходимости наши эксперты могут разработать нужные документы.

Права субъектов хозяйственного права

С принятием нового закона о защите персональных данных клиенты и пользователи получают расширенные права, позволяющие им реально контролировать использование своей личной информации. Они могут в любой момент отозвать согласие на обработку данных и самостоятельно управлять тем, как их сведения обрабатываются. Также они имеют право знать, как и зачем используется их информация, чтобы принимать обоснованные решения в вопросах конфиденциальности.

Кроме того, физические лица могут требовать исправления неточной информации, узнавать, кому были переданы их данные, а также требовать удаления или усиленной защиты информации.

Компании, работающие с такими данными, обязаны выполнять эти требования. По закону, они должны ответить на запрос в течение 5 рабочих дней и предоставить полную информацию в срок до 15 дней. Этот правовой механизм значительно усиливает защиту прав граждан, подчёркивая важность персональных данных в цифровом обществе.

Передача сведений третьим лицам

Передача персональных данных третьим лицам допускается, но только в соответствии со строгими юридическими нормами. Обычно это касается передачи информации сотрудникам, таким как бухгалтеры или маркетологи, либо подрядчикам, работающим по договорам, содержащим чёткие условия защиты данных.

В любом случае, при обработке или передаче данных должен заключаться официальный договор. В нём необходимо указать, какие данные используются, с какой целью и какие конкретные меры предпринимает каждая сторона. Договор также должен предусматривать меры по обеспечению конфиденциальности и защите данных от несанкционированного доступа, чтобы все стороны соблюдали высокий уровень безопасности.

Правовые основания обработки

Обработка персональных данных возможна только при наличии законных оснований. Белорусское законодательство подробно определяет такие основания. В финансовой сфере обработка, как правило, основывается на одном из четырёх факторов: согласии субъекта; необходимости исполнения договора с этим лицом (например, при открытии банковского счёта); исполнении обязанностей, установленных законом; либо требованиях, связанных с национальной безопасностью, антикоррупционными и антиотмывочными мерами.

Документы по обработке персональных данных

Хотя согласие часто используется как основание, оно необходимо не всегда. Многие государственные органы и организации могут обрабатывать персональные данные без согласия, если это предусмотрено их полномочиями. Такой подход обеспечивает строгое соблюдение принципов законности при работе с персональными данными.

Документы по обработке персональных данных

Для соблюдения требований законодательства каждая организация, в том числе финансовые учреждения, обязана установить чёткие внутренние правила обработки персональных данных. Это включает в себя подготовку основных документов, регулирующих обработку, и при необходимости — публикацию их на сайте или в приложении.

Риск-ориентированный подход позволяет организациям самостоятельно определять, какие меры защиты необходимы. Однако Центр по защите персональных данных требует ведения определённых обязательных документов, таких как списки сотрудников, имеющих доступ к данным, и реестры IT-систем, содержащих персональную информацию.

Хранение персональных данных

В центре этого процесса находятся два основных документа. Внутреннее положение об обработке персональных данных регулирует внутренние процессы, а Политика конфиденциальности, размещённая на сайте или в приложении, информирует клиентов и пользователей. В политике указывается, кто собирает и использует данные, какие данные обрабатываются, с какой целью и какие права есть у субъектов данных — а также, как ими воспользоваться.

Если обработка осуществляется на основании согласия, организация обязана заранее предоставить отдельную и чёткую информацию об этом. Просто сослаться на политику конфиденциальности недостаточно — человек должен получить конкретные сведения,

Хранение персональных данных и ведение учета

Одним из главных правил обработки персональных данных является ограничение сроков хранения. Персональные данные должны храниться только столько, сколько необходимо для достижения цели их сбора. В Беларуси сроки хранения часто устанавливаются законом — например, постановлением Минюста о сроках хранения финансовых документов. Если закон не устанавливает конкретного срока, компания должна определить его самостоятельно.

Уведомление о нарушениях

Важным аспектом также является место хранения данных. В Беларуси нет требования о локализации данных, но действуют строгие требования к технической защите. Обработка персональных данных допускается только в IT-системах с сертифицированными средствами защиты, соответствующими стандартам Оперативно-аналитического центра (ОАЦ). Использование несертифицированных систем нарушает законодательство.

Кроме того, компании обязаны вести подробный внутренний реестр обработки данных. В нём фиксируются виды данных, способы обработки, сроки хранения и правовые основания. Доступ к персональным данным в организации строго регулируется, а внутренние документы устанавливают разграничение полномочий между отделами и сотрудниками.

Уведомление о нарушениях

Если система защиты персональных данных компании была нарушена, она обязана незамедлительно уведомить об этом Национальный центр защиты персональных данных (НЦЗПД). По закону уведомление должно быть направлено без промедления, но не позднее трёх рабочих дней с момента обнаружения инцидента.

Хотя прямой обязанности уведомлять пострадавших лиц нет, считается хорошей практикой размещение соответствующего уведомления на сайте компании.

Право на забвение

Если же нарушение не привело к незаконной передаче, изменению, блокировке или удалению персональных данных, делающих невозможным доступ к ним, уведомление в НЦЗПД не требуется. Такой подход позволяет сосредоточить надзорные усилия на действительно значимых инцидентах.

Право на забвение

Согласно статье 28 Конституции Республики Беларусь, каждый имеет право на защиту от незаконного вмешательства в личную жизнь, в том числе в тайну переписки, телефонных разговоров и иных коммуникаций. В условиях стремительного развития технологий это право распространяется и на персональные данные, защищая их от несанкционированного использования в коммерческих или государственных целях.

Новая законодательная инициатива усиливает эту защиту, вводя полноценное «право быть забытым». Это означает, что человек может требовать удаления или исправления своих данных из баз, получать информацию об их использовании и возражать против определённых видов обработки. Это важный шаг к настоящему контролю над цифровым следом человека.

Персональные данные детей, родственников и умерших лиц

По мере того как автоматизированные технологии обработки данных проникают во все сферы жизни, конфиденциальность детей сталкивается с новыми рисками.

Распространение данных без согласия

Закон требует, чтобы персональные данные лиц младше 16 лет обрабатывались только с согласия родителей или законных представителей.

Обработка персональных данных умерших также требует особой осторожности. Она допустима только при наличии прижизненного согласия самого человека или с разрешения его близких родственников или наследников. Это обеспечивает уважительное и безопасное обращение с чувствительной информацией даже после смерти.

Распространение персональных данных без согласия

Белорусское законодательство строго регулирует обработку персональных данных, а за нарушения предусмотрены серьёзные санкции. Орган по защите данных может обязать компанию изменить, удалить или заблокировать недостоверные или незаконно полученные данные, а также устранить другие нарушения.

Согласно статье 22.13 Кодекса об административных правонарушениях, лицо, сознательно разгласившее персональные данные, ставшие ему известны по работе, может быть оштрафовано на сумму от 4 до 20 базовых величин. Это подчёркивает важность ответственного отношения к персональным данным и необходимости обрабатывать и передавать их только при наличии законного основания.

Наши услуги

Разрешение споров, связанных с данными

Мы помогаем урегулировать споры в сфере защиты персональных данных, добиваясь справедливого исхода с минимальными рисками для бизнеса и регуляторного давления.

Оценка рисков и юридический аудит

Мы анализируем практики в области защиты данных, выявляем пробелы в соблюдении законодательства и предоставляем чёткий план по снижению юридических и операционных рисков.

Консультирование по трансграничной передаче данных

Вы получаете индивидуальные рекомендации по международной передаче данных, чтобы ваши процессы соответствовали как местным, так и международным нормам.

Поддержка в проверках и спорах

Мы сопровождаем вас в ходе расследований, представляем ваши интересы при спорах и помогаем при выполнении предписаний надзорных органов.

Внутренние политики защиты данных

Разрабатываем понятные и соответствующие требованиям внутренние правила обработки данных: цели, правовые основания, контроль доступа и порядок обработки запросов субъектов данных.

Назначение ответственного за данные

Помогаем назначить ответственное лицо, наладить внутренний контроль и оформить обучение персонала, чтобы обеспечить подотчётность в организации.

Определение целей и способов обработки данных

Проясняем, зачем и как ваша компания обрабатывает персональные данные, создавая прочную основу для законной и прозрачной деятельности.

Настройка контроля доступа

Устанавливаем детализированные уровни доступа, чтобы только уполномоченные сотрудники имели дело с чувствительными данными, минимизируя риски утечек и злоупотреблений.

Обработка запросов субъектов данных

Создаём чёткие алгоритмы приёма, рассмотрения и ответа на запросы по персональным данным, соблюдая требования закона и ориентируясь на клиента.

Правила видеонаблюдения

Разрабатываем политику видеонаблюдения на рабочем месте, соблюдая баланс между безопасностью и правом на неприкосновенность частной жизни.

Юридические инструменты для сайта

Обеспечим ваш сайт необходимыми документами: уведомления о конфиденциальности, баннеры cookies, условия использования — для соблюдения норм и укрепления доверия.

Соблюдение правил обработки данных сотрудников

Обучаем и сопровождаем сотрудников в корректной обработке персональных данных, защищая частную жизнь и снижая юридические риски.

Контракты с третьими сторонами

Готовим соглашения с обработчиками и партнёрами, в которых чётко прописаны обязанности по защите данных и обеспечивается сохранность информации.

Правила трансграничной передачи

Определяем правовые основания для передачи данных за границу и оформляем необходимые документы для поддержки международной деятельности.

Порядок удаления данных

Устанавливаем формальные правила безопасного удаления персональных данных, когда они более не нужны — это снижает риски и демонстрирует приверженность защите данных.

Виды ответственности за нарушения в области персональных данных

Дисциплинарная ответственность сотрудников

Сотрудники, нарушившие правила обработки персональных данных, могут быть привлечены к ответственности — от выговора до увольнения, в зависимости от тяжести нарушения и внутренней политики.

Штрафы и административные санкции

Суды могут наложить существенные штрафы на физических и юридических лиц. Например, за недостаточную защиту персональных данных штрафы могут составлять от примерно 740 до 1 850 долларов. Решения можно обжаловать в течение 10 дней.

Компенсация вреда

Если человек пострадал из-за ненадлежащей обработки его данных, он может требовать возмещения ущерба — как материального, так и морального. Часто выгоднее предложить компенсацию добровольно, но при отказе можно добиться её через суд с помощью юристов.

Виды персональной информации

Общие данные

Имя, дата рождения, место работы, контактная информация. Эти данные легко найти, но они всё равно требуют защиты.

Специальные данные

Раса, здоровье, судимость, политические или религиозные взгляды. Они редко бывают публичными и подлежат особой защите.

Биометрические данные

Уникальные биомаркеры, например отпечатки пальцев. Фото не считается биометрией, если не используется для идентификации.

Иные данные

Социальный статус и прочее. Они могут меняться со временем, но также относятся к области приватности.

Требования к персональным данным

Законодательство Беларуси устанавливает чёткие принципы по сбору, обработке и защите персональных данных.
В первую очередь необходимо определить цель обработки данных — будь то приём сотрудников, рассылка маркетинговых материалов или администрирование договоров. Это позволяет собирать данные только по законным и чётко обозначенным основаниям.
Следующим шагом является объём собираемых данных. Он должен строго соответствовать заявленной цели. Например, при доставке товара нет необходимости запрашивать электронную почту, если достаточно имени, телефона и адреса. Если же e-mail требуется для маркетинга, эта цель должна быть обозначена отдельно.
Также обязательным является получение согласия, если только закон прямо не разрешает обработку без него. Согласие должно быть ясным, конкретным и понятным — этого нельзя добиться, разместив на сайте расплывчатую фразу вроде «продолжая пользоваться сайтом, вы принимаете нашу политику». Лучше использовать галочку или иное подтверждение того, что пользователь прочитал и согласен с Политикой конфиденциальности.
Перед тем как дать согласие, человек должен быть проинформирован о вашей деятельности, какие данные вы собираете, с какой целью, как долго вы их храните и какие меры принимаете для их защиты. Всё это должно быть изложено в понятной и заранее доступной Политике конфиденциальности или Политике обработки персональных данных.

Почему мы

Опыт в разных отраслях

Работаем с компаниями в ИТ, финансах, медицине и других сферах. Это позволяет нам видеть риски заранее и давать решения, подходящие вашему бизнесу, а не просто теоретически правильные.

Говорим на понятном языке

Без сложной юридической терминологии. Всё объясняем просто и по делу, чтобы вы чётко понимали свои права и возможности.

Доказываем успех делом

Мы добиваемся положительных результатов — даже в сложных кейсах. Наши стратегии выдерживают давление и дают реальную защиту.

Решаем сложные юридические вопросы

Нам интересно разбираться в сложных случаях. Многоуровневая комплаенс-система или спор с регулятором — мы найдём выход.

Экономим ваше время

Мы берём на себя всё рутинное — от документов до общения с госорганами. Вы продолжаете заниматься бизнесом, а не юридической бюрократией.

Сохраняем деньги клиента

Работаем эффективно: продуманные договоры, избегание рисков и оптимизация затрат — защита ваших интересов и бюджета.

FAQ

Что считается согласием на обработку данных?

Это добровольное, конкретное, информированное и однозначное выражение воли лица, позволяющее обрабатывать его данные. В Беларуси согласие даётся в письменной форме или электронно — через активное действие.

Почему письменное согласие может быть недействительным?

Если в нём нет цели обработки, перечня данных, срока хранения, права на отзыв — или используется шаблонный текст без конкретики — суд может признать его недействительным.

Какие ошибки встречаются при сборе онлайн-согласия?

Типичные ошибки: заранее отмеченные галочки (не считаются активным действием), отсутствие возможности скачать текст согласия, подмена согласия ссылкой на политику. Все эти нарушения противоречат требованиям, аналогичным GDPR.

Какие последствия могут быть за ошибки с согласием?

Штрафы, предписания об устранении нарушений, приостановка обработки данных и репутационные потери, если жалоба поступит от клиента. Надзорные органы активно следят за соблюдением правил.

Что показывают судебная практика и административные дела?

Суды в Беларуси часто поддерживают регулятора. Согласие признаётся недействительным, если нет точного перечня данных или порядка отзыва. Прозрачность особенно важна при личных и онлайн-взаимодействиях.

Как правильно получать согласие лично?

Предоставьте человеку документ с целями обработки, типами данных, сроком и правом отзыва. Он должен его подписать и получить копию. Лучше всего — дублировать на e-mail.

Как обеспечить юридически корректное онлайн-согласие?

Используйте отдельные пустые чекбоксы, фиксируйте IP, дату и текст согласия. Не прячьте согласие в общих условиях использования. Оно должно быть напрямую связано с регистрацией, заказом или подпиской.

Зачем фиксировать отзыв согласия?

По закону человек может отозвать согласие в любой момент. Вы должны прекратить обработку в течение 15 дней и сохранить подтверждение отзыва — чтобы избежать споров или претензий в будущем.

Связаться с нами

Адвокат

Юридическую помощь оказывает адвокат Антон Гриневич, Специализированная коллегия адвокатов № 2 в Минске.
E-mail

info@ambylegal.by
Адрес

Офис: 220029, Республика Беларусь, город Минск, улица Красная 1, комната 3, этаж 1. Почтовый адрес: 220029, Республика Беларусь, город Минск, улица Красная 1, комната 3, этаж 1.
Время работы

Понедельник — Пятница 9:00-19:00

News

Смена учредителя в ЧУП

Смена учредителя в частном унитарном предприятии (ЧУП) — распространённая процедура, с которой компании сталкиваются при продаже бизнеса, реорганизации или передаче активов новым владельцам. Несмотря на кажущуюся простоту, этот процесс требует внимательного подхода: необходимо правильно оформить передачу прав, внести изменения в учредительные документы и уведомить регистрирующие органы. Любая ошибка в документах или несоблюдение процедуры может привести […]

Автор: Ambylegal

21.10.2025

Создание филиала предприятия

Расширение бизнеса часто требует выхода за пределы одного региона или даже страны. Когда компания стабильно работает и стремится укрепить присутствие на рынке, одним из наиболее эффективных инструментов становится создание филиала. Такой шаг позволяет оптимизировать управление, наладить оперативное взаимодействие с клиентами и партнёрами, а также сократить издержки, связанные с логистикой и обслуживанием. Филиал — это не […]

Автор: Ambylegal

16.10.2025

Срок исковой давности по кредиторской задолженности

Кредиторская задолженность — это часть хозяйственной деятельности большинства компаний. Поставки, услуги, займы, аренда — все эти отношения сопровождаются обязательствами, которые в идеале должны быть исполнены вовремя. Однако на практике нередко возникают ситуации, когда долги не возвращают в срок, а кредитор не предпринимает активных действий по их взысканию. Возникает закономерный вопрос: «можно ли считать такой долг […]

Автор: Ambylegal

14.10.2025

Посмотреть больше