__Лосев_В.В._Персон_данные дек 2025

1.

2.

Рассмотрим:
1. Основные акты законодательства о персональных данных
2. Ответственность за его нарушение (административная, уголовная,
дисциплинарная, гражданско-правовая)
3. Контроль в этой сфере. Полномочия Национального центра защиты
персональных данных (НЦЗПД)
4. Понятие персональных данных. Общие требования к их обработке
5. Правовые основания обработки персональных данных (без согласия субъекта;
на основании согласия)
6. Обязательные меры организации по обеспечению защиты персональных
данных: нормативные положения и рекомендации НЦЗПД
7. Права субъектов персональных данных и механизм их реализации

3.

ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Конституция Республики Беларусь (ст. 28)
Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных
данных»
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации,
информатизации и защите информации»
Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по
совершенствованию защиты персональных данных» (с Положением о Национальном
центре защиты персональных данных)

4.

ОСНОВНЫЕ НПА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ответственность:
Кодекс Республики Беларусь об административных правонарушениях (статья 23.7)
Уголовный кодекс Республики Беларусь (статьи 203-1, 203-2)
Трудовой кодекс Республики Беларусь (пункт 10 части 1 статьи 47)
Декрет Президента Республики Беларусь от 15 декабря 2014 г. № 5 «Об усилении
требований к руководящим кадрам и работникам организаций» (подпункт 6.14-1)
Закон о защите персональных данных (пункт 2 статьи 19)

5.

ОСНОВНЫЕ НПА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Приказы Оперативно-аналитического центра при Президенте Республики
Беларусь:
от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики
Беларусь от 9 декабря 2019 г. № 449» (с изм.)
от 10 декабря 2024 г. № 259 «Об изменении приказов Оперативно-аналитического
центра при Президенте Республики Беларусь от 28 марта 2014 г. № 26 и от 20 февраля
2020 г. № 66»
от 12 ноября 2021 г. № 194 «Об обучении по вопросам защиты персональных
данных» (с изм. от 23.11. 2023 г. № 218)
от 1 июня 2022 г. № 94 «О государственном информационном ресурсе «Реестр
операторов персональных данных» (вступил в силу 1 января 2024 г.)

6.

ОСНОВНЫЕ НПА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Выпуск 1 ЕКСД «Должности служащих для всех видов деятельности» (утв.
постановлением Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159):
с дополнениями, внесенными постановлением Министерства труда и социальной защиты
Республики Беларусь от 31 октября 2022 г. № 62)
Постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. №
140 «О перечне типовых документов» (приложение 1 «Перечень типовых документов,
образующихся в процессе деятельности государственных органов, иных организаций и
индивидуальных предпринимателей, с указанием сроков хранения»)
Приказы Национального центра защиты персональных данных (НЦЗПД):
от 15 ноября 2021 г. № 12 «О классификации информационных ресурсов (систем)»
от 15 ноября 2021 г. № 13 «Об уведомлении о нарушениях системы защиты
персональных данных»
от 15 ноября 2021 г. № 14 «О трансграничной передаче персональных данных»

7.

РЕКОМЕНДАЦИИ И РАЗЪЯСНЕНИЯ НЦЗПД
Алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с
требованиями Закона Республики Беларусь «О защите персональных данных» (2021)
Рекомендации по составлению документа, определяющего политику оператора
(уполномоченного лица) в отношении обработки персональных данных (2021; в редакции от 24
апреля 2025 г.)
Рекомендации об обработке персональных данных в связи с трудовой (служебной)
деятельностью (2022, с изм. и доп. 2022 и 2023 гг.)
Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке
персональных данных (2022; в редакции от 22 октября 2025 г.)
Об объеме сведений, необходимом для оформления доверенности (2023)
О копиях документов, удостоверяющих личность (2023)
О праве субъекта персональных данных получать от оператора информацию о
предоставлении своих персональных данных третьим лицам (2023)
Постатейный комментарий к Закону Республики Беларусь «О защите персональных
данных» (2023)

8.

РЕКОМЕНДАЦИИ И РАЗЪЯСНЕНИЯ НЦЗПД
Информации и разъяснения для сферы образования (2022-2025)
Рекомендации по обработке персональных данных в сфере здравоохранения (2024)
Разъяснения об обработке персональных данных при направлении рекламной рассылки
с использованием абонентского номера, адреса электронной почты (2025)
Примерный перечень вопросов и документов («чек-лист»), изучаемых Центром в ходе
осуществления плановых или внеплановых проверок (2025)
Разъяснения об обработке персональных данных при осуществлении деятельности
субъектов малого предпринимательства (2025) и др.,
Защита персональных данных: учебное пособие (2024)
Меры по обеспечению защиты персональных данных: учебное пособие (2025)
а также ответы на вопросы
– размещены на сайте НЦЗПД: https://cpd.by, в информационно-правовых системах
Полезная информация - в мессенджере Telegram (Центр персональных данных):
t.me/cpd_by

9.

КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
Статья 23.7 КоАП. Нарушение законодательства о защите персональных данных
1. Умышленные незаконные сбор, обработка, хранение или предоставление
персональных данных физического лица либо нарушение его прав, связанных с
обработкой персональных данных, - влекут наложение штрафа в размере до 50 базовых
величин.
2. Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом,
которому персональные данные известны в связи с его профессиональной или
служебной деятельностью, - влекут наложение штрафа в размере от 4 до 100 базовых
величин.
3. Умышленное незаконное распространение персональных данных физических
лиц - влечет наложение штрафа в размере до 200 базовых величин.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц
- влечет наложение штрафа в размере от 2 до 10 базовых величин, на индивидуального
предпринимателя - от 10 до 25 базовых величин, а на юридическое лицо - от 20 до 50
базовых величин.

10.

УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
Статья 203-1 УК. Незаконные действия в отношении информации о частной
жизни и персональных данных
1. Умышленные незаконные сбор, предоставление информации о частной жизни и
(или) персональных данных другого лица без его согласия, повлекшие причинение
существенного вреда правам, свободам и законным интересам гражданина, наказываются общественными работами, или штрафом, или арестом, или ограничением
свободы на срок до 2 лет, или лишением свободы на тот же срок.
2. Умышленное незаконное распространение информации о частной жизни и
(или) персональных данных другого лица без его согласия, повлекшее причинение
существенного вреда правам, свободам и законным интересам гражданина, наказывается ограничением свободы на срок до 3 лет или лишением свободы на тот же
срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в
отношении лица или его близких в связи с осуществлением им служебной деятельности
или выполнением общественного долга, - наказываются ограничением свободы на срок
до 5 лет или лишением свободы на тот же срок со штрафом.

11.

УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
Статья 203-2 УК. Несоблюдение мер обеспечения защиты персональных данных
Несоблюдение мер обеспечения защиты персональных данных лицом,
осуществляющим обработку персональных данных, повлекшее по неосторожности их
распространение и причинение тяжких последствий, - наказывается штрафом, или
лишением права занимать определенные должности или заниматься определенной
деятельностью, или исправительными работами на срок до 1 года, или арестом, или
ограничением свободы на срок до 2 лет, или лишением свободы на срок до 1 года.

12.

ТРУДОВОЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
Статья 47. Дополнительные основания прекращения трудового договора с
некоторыми категориями работников при определенных условиях
10) нарушение работником порядка сбора, систематизации, хранения,
изменения, использования, обезличивания, блокирования, распространения,
предоставления, удаления персональных данных.
Декрет Президента Республики Беларусь от 15 декабря 2014 г. № 5
«Об усилении требований к руководящим кадрам и работникам организаций»
6. Трудовые договоры (контракты) до истечения срока их действия могут быть
расторгнуты нанимателем по следующим основаниям, признаваемым
дискредитирующими обстоятельствами увольнения:
6.14-1. нарушение работником порядка сбора, систематизации, хранения,
изменения, использования, обезличивания, блокирования, распространения,
предоставления, удаления персональных данных.

13.

Закон о защите персональных данных
Статья 19. Ответственность за нарушение настоящего Закона
1. Лица, виновные в нарушении настоящего Закона, несут ответственность,
предусмотренную законодательными актами.
2. Моральный вред, причиненный субъекту персональных данных вследствие
нарушения его прав, установленных настоящим Законом, подлежит возмещению.
Возмещение морального вреда осуществляется независимо от возмещения
имущественного вреда и понесенных субъектом персональных данных убытков.

14.

Указ Президента Республики Беларусь от 28 октября 2021 г. № 422
«О мерах по совершенствованию защиты персональных данных»
Создан Национальный центр защиты персональных данных Республики Беларусь.
Утверждено Положение о Национальном центре защиты персональных данных
(прилагается).
Установлено, что Национальный центр защиты персональных данных имеет право
реализовывать образовательную программу повышения квалификации руководящих
работников и специалистов, в том числе по вопросам технической и (или)
криптографической защиты информации, защиты персональных данных;
В пунктах 3.2-3.4. определены вопросы обучения
В пунктах 3.5, 3.6. – обязанности операторов

15.

Указ Президента Республики Беларусь от 28 октября 2021 г. № 422
Положение о Национальном центре защиты персональных данных
Основные задачи Национального центра защиты персональных данных:
принятие мер по защите прав субъектов персональных данных при обработке их
персональных данных;
организация обучения по вопросам защиты персональных данных.
Функции НЦЗПД:
осуществляет контроль за обработкой персональных данных операторами
(уполномоченными лицами) (далее - контроль);
рассматривает жалобы субъектов персональных данных по вопросам обработки
персональных данных;
дает разъяснения по вопросам применения законодательства о персональных
данных, проводит иную разъяснительную работу о законодательстве о персональных
данных;
имеет др. полномочия, предусмотренные законодательством о персональных
данных.

16.

Указ Президента Республики Беларусь от 28 октября 2021 г. № 422
Положение о Национальном центре защиты персональных данных
Формы контроля НЦЗПД:
- плановые проверки
- внеплановые проверки;
- камеральные проверки.
Операторы (уполномоченные лица), имеющие положительное заключение НЦЗПД
по итогам проведения добровольного аудита соблюдения требований законодательства
о персональных данных, не подлежат плановым проверкам в течение пяти лет со дня
получения соответствующего заключения.

17.

План проверок соблюдения законодательства о персональных данных на 2025 год
ООО «Корал Трэвел»
Администрация Партизанского района города Минска
ИООО «ЭПАМ Системз»
УО «Белорусский государственный университет культуры и искусств»
ООО «Хьюмен Систем»
ООО «Компания электронных платежей «АССИСТ»
ООО «Финпрофит»
ООО «СДЭК-Бел»
ОАО «Паритетбанк»

18.

Указ Президента Республики Беларусь от 28 октября 2021 г. № 422
Положение о Национальном центре защиты персональных данных
Внеплановые проверки могут назначаться директором НЦЗПД при наличии
сведений, в том числе полученных от организации или физического лица, жалоб
субъектов персональных данных, свидетельствующих о совершаемом (совершенном)
нарушении требований законодательства о персональных данных.
Анонимная информация не является основанием для назначения внеплановых
проверок.
Срок проведения плановой и внеплановой проверки не может превышать 20
рабочих дней.
Указанный срок может быть продлен директором НЦЗПД однократно не более
чем на 10 рабочих дней.

19.

Указ Президента Республики Беларусь от 28 октября 2021 г. № 422
Положение о Национальном центре защиты персональных данных
Камеральные проверки проводятся НЦЗПД по месту своего нахождения
посредством изучения, анализа и оценки:
информации, размещенной в средствах массовой информации и глобальной
компьютерной сети Интернет;
документов и иной информации, в том числе полученной от оператора
(уполномоченного лица) по запросу НЦЗПД.
Камеральная проверка проводится без выдачи предписания на ее проведение и
уведомления об этом оператора (уполномоченного лица).
По результатам такой проверки оператору (уполномоченному лицу) могут быть
направлены рекомендации об устранении выявленных нарушений законодательства о
персональных данных.

20.

Итоги работы Национального центра защиты персональных данных в 2024 г.:
✔ Рассмотрено 525 жалоб субъектов персональных данных. Защищены права
более 400 граждан, пострадавших от нарушений в сфере оборота персональных данных
✔ В рамках личного приема и работы горячей линии предоставлена информация
616 заявителям
✔ Проведено 47 плановых, внеплановых и камеральных проверок, по результатам
которых направлены требования (предписания), рекомендации об устранении
выявленных нарушений
✔ В целом проведено более 400 мероприятий по выявлению и устранению
нарушений законодательства о персональных данных
✔ Удалены свыше 24 млн записей, содержащих персональные данные, обработка
которых не соответствовала установленным требованиям

21.

Персональные данные
Персональные данные – это любая информация, относящаяся к конкретному
человеку – в большом объеме или даже отдельные фрагменты (идентификаторы):
✔ фамилия, имя, отчество ✔ место регистрации / жительства
✔ дата, место рождения ✔ реквизиты паспорта ✔ идентификационный номер
✔ банковские реквизиты физического лица (в том числе ИП)
✔ место работы, должность ✔ сведения об образовании
✔ сведения о заработной плате ✔ сведения о состоянии здоровья
✔ характеристика ✔ сведения о привлечении к ответственности
✔ адрес личной электронной почты ✔ личный номер телефона
✔ фото-, видеоизображение человека ✔ аудиозапись голоса человека
и многое другое

22.

Чьи персональные данные получают и используют в организациях?
Субъекты персональных данных:
✔ клиенты, заказчики, покупатели, обучающиеся, пациенты
✔ участники мероприятий
✔ пользователи сайта, мобильного приложения
✔ работники, члены их семей, близкие родственники
✔ бывшие работники
✔ соискатели на трудоустройство
✔ контрагенты – индивидуальные предприниматели (в т.ч. подрядчики)
✔ представители контрагентов – юридических лиц
✔ лица, обратившиеся с жалобой
✔ лица, обратившиеся за административной процедурой
✔ посетители
и т.д.

23.

Обработка персональных данных
Обработка персональных данных – это любое действие или совокупность
действий, совершаемые с персональными данными, включая:
сбор, систематизацию,
хранение,
изменение, использование,
обезличивание,
блокирование,
распространение, предоставление,
удаление персональных данных.

24.

Закон о защите персональных данных распространяется на действия с
персональными данными:
- с использованием средств автоматизации (компьютерная обработка);
- без использования средств автоматизации, если при этом обеспечиваются поиск
персональных данных и (или) доступ к ним по определенным критериям (картотеки,
списки, базы данных, журналы и другое).
Закон о защите персональных данных не распространяется на действия граждан с
персональными данными в процессе исключительно личного, семейного, домашнего и
иного подобного их использования, не связанного с профессиональной или
предпринимательской деятельностью.
! Если же это связано с профессиональной или предпринимательской
деятельностью – попадает под действие Закона о защите персональных данных.

25.

Общие требования к обработке персональных данных (принципы обработки)
Законность обработки
Соразмерность и справедливость обработки
Наличие правового основания обработки
Ограничение цели обработки
Запрет избыточности обработки
Прозрачность обработки
Ограничение хранения персональных данных
Обеспечение достоверности персональных данных
Содержание общих требований к обработке персональных данных раскрывается
в ст. 4 Закона о защите персональных данных.

26.

Закон о защите персональных данных
Статья 4. Общие требования к обработке персональных данных
1. Обработка персональных данных осуществляется в соответствии с настоящим
Законом и иными актами законодательства.
2. Обработка персональных данных должна быть соразмерна заявленным целям
их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение
интересов всех заинтересованных лиц.
3. Обработка персональных данных осуществляется с согласия субъекта
персональных данных, за исключением случаев, предусмотренных настоящим Законом и
иными законодательными актами.
В случае обработки персональных данных без согласия субъекта персональных
данных цели обработки персональных данных устанавливаются настоящим Законом и
иными законодательными актами.
…

27.

Закон о защите персональных данных
Статья 4. Общие требования к обработке персональных данных
4. Обработка персональных данных должна ограничиваться достижением
конкретных, заранее заявленных законных целей. Не допускается обработка
персональных данных, не совместимая с первоначально заявленными целями их
обработки.
В случае необходимости изменения первоначально заявленных целей обработки персональных данных
оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее –
согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при
отсутствии иных оснований для такой обработки, предусмотренных настоящим Законом и иными законодательными
актами.
5. Содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям их обработки. Обрабатываемые персональные
данные не должны быть избыточными по отношению к заявленным целям их обработки.
…

28.

Закон о защите персональных данных
Статья 4. Общие требования к обработке персональных данных
6. Обработка персональных данных должна носить прозрачный характер. В этих
целях субъекту персональных данных в случаях, предусмотренных настоящим Законом,
предоставляется соответствующая информация, касающаяся обработки его
персональных данных.
7. Оператор обязан принимать меры по обеспечению достоверности
обрабатываемых им персональных данных, при необходимости обновлять их.
8. Хранение персональных данных должно осуществляться в форме,
позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого
требуют заявленные цели обработки персональных данных.

29.

Правовые основания обработки персональных данных
Согласие субъекта – это не единственное законное основание обработки
персональных данных.
Случаи, когда такое согласие не требуется, определены в статье 6 и пункте 2 статьи
8 Закона о защите персональных данных
Типичное нарушение: получение у субъекта согласия на обработку персональных
данных в целях и случаях, когда это не надо – есть иные правовые основания для
обработки персональных данных (квалифицируется как «избыточное» согласие и
нарушение Закона о защите персональных данных)
Это важно учитывать при составлении Политики в отношении обработки
персональных данных, Реестров обработки персональных данных, текстов Согласий на
обработку персональных данных и других документов

30.

Правовые основания обработки персональных данных
Статья 6. Обработка персональных данных без согласия субъекта персональных данных
Согласие субъекта персональных данных на обработку персональных данных, за
исключением специальных персональных данных, порядок обработки которых установлен
статьей 8 настоящего Закона, не требуется:
для целей ведения административного и (или) уголовного процесса, осуществления
оперативно-розыскной деятельности;
для осуществления правосудия, исполнения судебных постановлений и иных
исполнительных документов;
в целях осуществления контроля (надзора) в соответствии с законодательными актами;
при реализации норм законодательства в области национальной безопасности, о борьбе
с коррупцией, о предотвращении легализации доходов, полученных преступным путем,
финансирования террористической деятельности и финансирования распространения оружия
массового поражения; …

31.

Правовые основания обработки персональных данных
Статья 6. Обработка персональных данных без согласия субъекта персональных данных
при реализации норм законодательства о выборах, референдуме, об отзыве депутата
Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь,
депутата местного Совета депутатов;
для ведения индивидуального (персонифицированного) учета сведений о
застрахованных лицах для целей государственного социального страхования, в том числе
профессионального пенсионного страхования;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой
(служебной) деятельности субъекта персональных данных в случаях, предусмотренных
законодательством;
для осуществления нотариальной деятельности;
при рассмотрении вопросов, связанных с гражданством Республики Беларусь,
предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в
Республике Беларусь; …

32.

Правовые основания обработки персональных данных
Статья 6. Обработка персональных данных без согласия субъекта персональных данных
в целях назначения и выплаты пенсий, ежемесячного денежного содержания
отдельным категориям государственных служащих, пособий;
для организации и проведения государственных статистических наблюдений,
формирования официальной статистической информации;
в научных или иных исследовательских целях при условии обязательного обезличивания
персональных данных;
при осуществлении учета, расчета и начисления платы за жилищно-коммунальные услуги,
платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за
другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании
задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым
помещением и возмещению расходов на электроэнергию;
при получении персональных данных оператором на основании договора,
заключенного (заключаемого) с субъектом персональных данных, в целях совершения
действий, установленных этим договором; …

33.

Правовые основания обработки персональных данных
Статья 6. Обработка персональных данных без согласия субъекта персональных данных
при обработке персональных данных, когда они указаны в документе, адресованном
оператору и подписанном субъектом персональных данных, в соответствии с содержанием
такого документа;
в целях осуществления законной профессиональной деятельности журналиста и (или)
деятельности средства массовой информации, организации, осуществляющей издательскую
деятельность, направленных на защиту общественного интереса, представляющего собой
потребность общества в обнаружении и раскрытии информации об угрозах национальной
безопасности, общественному порядку, здоровью населения и окружающей среде, информации,
влияющей на выполнение своих обязанностей государственными должностными лицами,
занимающими ответственное положение, общественными деятелями, за исключением случаев,
предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовнопроцессуальным законодательством, законодательством, определяющим порядок
административного процесса; …

34.

Правовые основания обработки персональных данных
Статья 6. Обработка персональных данных без согласия субъекта персональных данных
для защиты жизни, здоровья или иных жизненно важных интересов субъекта
персональных данных или иных лиц, если получение согласия субъекта персональных данных
невозможно;
в отношении распространенных ранее персональных данных до момента заявления
субъектом персональных данных требований о прекращении обработки распространенных
персональных данных, а также об их удалении при отсутствии иных оснований для обработки
персональных данных, предусмотренных настоящим Законом и иными законодательными
актами;
в случаях, когда обработка персональных данных является необходимой для
выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда настоящим Законом и иными законодательными актами прямо
предусматривается обработка персональных данных без согласия субъекта персональных
данных.

35.

Согласие субъекта персональных данных
Согласие субъекта – это свободное, однозначное, информированное выражение
его воли, посредством которого он разрешает обработку своих персональных данных
(пункт 1 статьи 5 Закона о защите персональных данных)
! Если не соответствует одному из критериев – согласие не считается полученным
законно.
Поэтому последующие действия с персональными данными на основании такого
«согласия» признаются незаконными.

36.

Согласие субъекта персональных данных
Согласие субъекта может быть получено:
✓ письменной форме
- в виде электронного документа
✓ в иной электронной форме
Согласие в иной электронной форме:
- указание (выбор) субъектом определенной информации (кода) после получения
CMC-сообщения, сообщения на адрес электронной почты
✓ проставление субъектом соответствующей отметки на интернет-ресурсе
(«галочка» согласия на сайте)
- другие способы, позволяющие установить факт получения согласия субъекта

37.

Согласие субъекта персональных данных
Важно: до получения согласия субъекта оператор обязан предоставить ему
информацию в письменной либо электронной форме, соответствующей форме
выражения согласия (пункт 5 статьи 5 Закона о защите персональных данных):
✓наименование и место нахождения оператора, получающего согласие
✓ цели обработки персональных данных
✓ перечень персональных данных, на обработку которых дается согласие субъекта
✓ срок, на который дается согласие
✓ об уполномоченных лицах
✓ перечень действий с персональными данными, на совершение которых дается
согласие субъекта, общее описание используемых оператором способов обработки
персональных данных
✓ иную информацию, необходимую для обеспечения прозрачности процесса
обработки персональных данных …

38.

Согласие субъекта персональных данных
До получения согласия субъекта оператор обязан предоставить ему информацию
в письменной либо электронной форме, соответствующей форме выражения согласия) –
пункт 5 статьи 5 Закона о защите персональных данных:
✓ о правах субъекта, при обработке его персональных данных
✓ о механизме реализации прав
✓ о последствиях дачи согласия
✓ о последствиях отказа дать согласие.
Важно: Эта информация должна быть предоставлена оператором субъекту
отдельно от иной предоставляемой ему информации (отдельно от Политики,
Публичного договора, Правил пользования сайтом и т.д.).

39.

Важно:
Обязанность доказывания получения согласия субъекта возлагается на оператора.
Обеспечить учет и хранение согласий!
Субъект вправе отозвать свое согласие в порядке, установленном настоящим
Законом.
И это ему сразу разъясняется при получении согласия.

40.

Закон о защите персональных данных
Статья 17. Меры по обеспечению защиты персональных данных
1. Оператор (уполномоченное лицо) обязан принимать правовые,
организационные и технические меры по обеспечению защиты персональных данных
от несанкционированного или случайного доступа к ним, изменения, блокирования,
копирования, распространения, предоставления, удаления персональных данных, а
также от иных неправомерных действий в отношении персональных данных.
2. Оператор (уполномоченное лицо) определяет состав и перечень мер,
необходимых и достаточных для выполнения обязанностей по обеспечению защиты
персональных данных, с учетом требований настоящего Закона и иных актов
законодательства.

41.

В Законе не определен исчерпывающий перечень таких мер, так как для
предприятий, организаций в разных сферах (с учетом их особенностей, масштаба,
потенциальных рисков и т.д.) перечень мер и их содержание различаются.
Риск-ориентированный подход: каждый оператор (уполномоченное лицо)
самостоятельно определяет состав и перечень мер:
1) необходимых и
2) достаточных
для выполнения обязанностей по обеспечению защиты персональных данных.

42.

Перечень обязательных мер по защите персональных данных для любого
оператора (уполномоченного лица) закреплен в:
- п. 3 ст. 17 Закона о защите персональных данных
- подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422
- законодательстве об информационной безопасности
Важно: эти обязательные меры являются основой для разработки иных мер по
защите персональных данных.
Организация (оператор) не может ограничиваться принятием необходимого
минимума мер (это является типичным нарушением законодательства).
Следует принять и иные меры, прямо не указанные в законодательстве о
персональных данных, но требующиеся с учетом специфики организации как оператора.

43.

Закон о защите персональных данных
Статья 17. Меры по обеспечению защиты персональных данных
3. Обязательными мерами по обеспечению защиты персональных данных
являются:
назначение оператором (уполномоченным лицом), являющимся государственным
органом, юридическим лицом Республики Беларусь, иной организацией, структурного
подразделения или лица, ответственного за осуществление внутреннего контроля за
обработкой персональных данных;
издание оператором (уполномоченным лицом), являющимся юридическим
лицом Республики Беларусь, иной организацией, индивидуальным предпринимателем,
документов, определяющих политику оператора (уполномоченного лица) в отношении
обработки персональных данных;
…

44.

Закон о защите персональных данных
Статья 17. Меры по обеспечению защиты персональных данных
3. Обязательными мерами по обеспечению защиты персональных данных
являются:
ознакомление работников оператора (уполномоченного лица) и иных лиц,
непосредственно осуществляющих обработку персональных данных, с положениями
законодательства о персональных данных, в том числе с требованиями по защите
персональных данных, документами, определяющими политику оператора
(уполномоченного лица) в отношении обработки персональных данных,
а также обучение указанных работников и иных лиц в порядке, установленном
законодательством;
…

45.

Закон о защите персональных данных
Статья 17. Меры по обеспечению защиты персональных данных
3. Обязательными мерами по обеспечению защиты персональных данных
являются:
установление порядка доступа к персональным данным, в том числе
обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных
в порядке, установленном Оперативно-аналитическим центром при Президенте
Республики Беларусь, в соответствии с классификацией информационных ресурсов
(систем), содержащих персональные данные.

46.

Указ Президента Республики Беларусь от 28 октября 2021 г. № 422
«О мерах по совершенствованию защиты персональных данных»
3.5. операторы, являющиеся государственными органами, юридическими лицами
Республики Беларусь, иными организациями, устанавливают и поддерживают в актуальном
состоянии:
а) перечень информационных ресурсов (систем), содержащих персональные данные,
собственниками (владельцами) которых они являются;
б) категории персональных данных, подлежащих включению в такие ресурсы (системы):
общедоступные персональные данные;
специальные персональные данные (кроме биометрических и генетических
персональных данных);
биометрические и генетические персональные данные;
персональные данные, не являющиеся общедоступными или специальными;
в) перечень уполномоченных лиц, если обработка персональных данных осуществляется
уполномоченными лицами;
г) срок хранения обрабатываемых персональных данных.

47.

Закон о защите персональных данных
Статья 17. Меры по обеспечению защиты персональных данных
4. Оператор (уполномоченное лицо), являющийся юридическим лицом
Республики Беларусь, иной организацией, индивидуальным предпринимателем, обязан
обеспечить неограниченный доступ, в том числе с использованием глобальной
компьютерной сети Интернет, к документам, определяющим политику оператора
(уполномоченного лица) в отношении обработки персональных данных, до начала
такой обработки.

48.

НЦЗПД: Алгоритм приведения деятельности операторов, уполномоченных лиц
в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З
«О защите персональных данных»
1. Назначить структурное подразделение или лицо, ответственное за
осуществление внутреннего контроля за обработкой персональных данных (ПД),
определить его должностные обязанности.
2. Выявить и зафиксировать бизнес-процессы организации, в которых
используются ПД, и проанализировать их на предмет соответствия требованиям
законодательства о ПД.
3. Издать документы, определяющие Политику в отношении обработки ПД, и
обеспечить неограниченный доступ к данной политике, в том числе с использованием
глобальной компьютерной сети Интернет.
4. Разработать необходимые локальные правовые акты (например, перечень лиц,
имеющих доступ к ПД, перечень собственных информационных ресурсов, содержащих
ПД, перечень уполномоченных лиц, если обработка ПД осуществляется такими лицами,
порядок удаления ПД и др.).

49.

НЦЗПД: Алгоритм приведения деятельности операторов, уполномоченных лиц
в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З
«О защите персональных данных»
5. Внести изменения в должностные обязанности лиц, обрабатывающих ПД.
6. Ознакомить работников и иных лиц, непосредственно осуществляющих
обработку ПД, с положениями законодательства о ПД.
7. Организовать обучение лиц, непосредственно осуществляющих обработку ПД, и
лиц, ответственных за осуществление внутреннего контроля за обработкой ПД.
8. Реализовать организационные и технические меры по обеспечению реализации
прав субъектов ПД.
9. Осуществить техническую и криптографическую защиту ПД в соответствии с
классификацией информационных ресурсов (систем), содержащих ПД.

50.

В КОМПЛЕКТ ДОКУМЕНТОВ ДЛЯ ПРАВОВОГО ОБЕСПЕЧЕНИЯ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ВХОДЯТ:
1. Политика организации / ИП в отношении обработки персональных данных
работников, соискателей на трудоустройство, представителей контрагентов, подрядчиков
и др. субъектов
2. Политика организации / ИП в отношении обработки персональных данных
покупателей / заказчиков / клиентов / обучающихся / пациентов / участников
мероприятий (для размещения на сайте)
3. Политика обработки файлов куки (для размещения на сайте)
4. Политика видеонаблюдения (аудиозаписи)

51.

В КОМПЛЕКТ ДОКУМЕНТОВ ДЛЯ ПРАВОВОГО ОБЕСПЕЧЕНИЯ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ВХОДЯТ:
5. Политика организации / ИП как уполномоченного лица в отношении обработки
персональных данных, полученных в соответствии с договором (для размещения на
сайте):
- если организация / ИП оказывает услуги ✓ бухгалтерские, ✓ кадровые,
✓ по администрированию сайта, ✓ ведению аккаунтов в соцсетях,
✓ по изготовлению и / или распространению в сети Интернет фото-,
видеоматериалов (рекламных, информационных и др.),
✓ по предоставлению программного обеспечения (бухгалтерского,
управленческого, кадрового учета и др.),
✓ полиграфические,
✓ транспортные и др. услуги и поэтому поручаются (доверяются) персональные
данные для обработки

52.

В КОМПЛЕКТ ДОКУМЕНТОВ ДЛЯ ПРАВОВОГО ОБЕСПЕЧЕНИЯ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ВХОДЯТ:
6. Тексты Информации для различных категорий субъектов, предоставляемой
перед получением согласия (в письменном виде и электронном – на сайте перед
«галочкой» согласия)
! Эта информация должна быть предоставлена оператором субъекту в письменной
либо электронной форме, соответствующей форме выражения его согласия, отдельно от
иной предоставляемой ему информации, в том числе отдельно от Политики, договора
присоединения, договора оферты и др. документов
7. Формы Согласий на обработку персональных данных различных категорий
субъектов (клиента, покупателя, соискателя на трудоустройство, работника, подрядчика,
представителя контрагента и т.д.)
8. Приказ о назначении работника (структурного подразделения), ответственного
за осуществление внутреннего контроля за обработкой персональных данных

53.

В КОМПЛЕКТ ДОКУМЕНТОВ ДЛЯ ПРАВОВОГО ОБЕСПЕЧЕНИЯ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ВХОДЯТ:
9. Локальные правовые акты об обработке и защите персональных данных в
организации:
- Положение об организации внутреннего контроля за обработкой персональных
данных
- Положение о порядке доступа к персональным данным (в том числе
обрабатываемым в информационных ресурсах (системах))
- Положение о порядке обработки персональных данных
и др.

54.

В КОМПЛЕКТ ДОКУМЕНТОВ ДЛЯ ПРАВОВОГО ОБЕСПЕЧЕНИЯ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ВХОДЯТ:
10. Реестры обработки персональных данных всех категорий субъектов
11. Перечень уполномоченных лиц
12. Формы соглашений с уполномоченными лицами об обработке персональных
данных
13. Приказ об утверждении перечня информационных ресурсов (систем),
содержащих персональные данные, и категорий персональных данных, подлежащих
включению в них
14. Дополнения в должностные инструкции, ПВТР, положения о структурных
подразделениях, содержащие положения о защите персональных данных.
При необходимости с учетом особенностей деятельности организации
разрабатываются и другие юридические документы.

55.

Как сделать видеонаблюдение законным?
Видеонаблюдение – это обработка персональных данных – изображения
человека: сбор, хранение, использование, предоставление, уничтожение (удаление)
видеозаписей
Издать:
Политика видеонаблюдения
Приказ о применении видеонаблюдения
Эти документы должны быть разработаны в соответствии с:
- Законом о защите персональных данных,
- Рекомендациями НЦЗПД об обработке персональных данных в связи с трудовой
(служебной) деятельностью (с изм. от 9 июня 2022 г., 12 декабря 2023 г.) и
- Разъяснениями НЦЗПД по составлению документов, определяющих политику оператора
(уполномоченного лица) в отношении обработки персональных данных (в ред. 2025 г.)
и согласованы по содержанию с Политикой в отношении обработки персональных данных
и другими локальными правовыми актами организации

56.

В Политике видеонаблюдения определить:
✓ цели и правовые основания видеонаблюдения (без согласия работников и
других субъектов персональных данных)
✓ порядок видеонаблюдения
✓ порядок доступа к видеозаписям
✓ порядок обработки видеозаписей (использования, хранения, предоставления,
уничтожения / удаления)
✓ сроки хранения видеозаписей
✓ права субъектов персональных данных при осуществлении видеонаблюдения
Важно: Видеонаблюдение осуществляются только открыто. Тайное
видеонаблюдение не допускается
Посетители и работники информируются о видеонаблюдении путем установления
информационных табличек об этом перед входом на объекты и на объектах организации
возле каждого контролируемого места

57.

В Приказе о применении видеонаблюдения определить:
✓ дату, с которой применяется видеонаблюдение
✓ работников (с указанием ФИО, должности):
- ответственных за организацию видеонаблюдения
- ответственных за хранение и уничтожение видеозаписей
- имеющих доступ к видеоизображениям в режиме реального времени
- имеющих доступ к видеозаписям и устройствам их хранения
- имеющих право просмотра видеозаписей и демонстрации их субъектам
персональных данных
- имеющих право предоставления (передачи) видеозаписей в установленном
законодательством порядке
Важно: это необходимо для ограничения и разграничения доступа работников к
видеозаписям

58.

Права субъектов персональных данных
(предусмотрены статьями 10–13 Закона о защите персональных данных»)
1) право на отзыв согласия субъекта персональных данных (ст. 10);
2) право на получение информации, касающейся обработки персональных данных
(ст. 11);
3) право на изменение персональных данных (ст. 11);
4) право на получение информации о предоставлении персональных данных
третьим лицам (ст. 12);
5) право требовать прекращения обработки персональных данных и (или) их
удаления (ст. 13),
а также предусмотренное статьей 15 Закона право на обжалование в
Национальный центр защиты персональных данных действий (бездействия) и решений
оператора (организации, индивидуального предпринимателя), связанных с обработкой
персональных данных.