top of page

ПАМЯТКА

Персональные данные

по состоянию на 11.02.2026*

* В случае изменения законодательства информация в данной памятке может устареть. Перед принятием юридически значимых решений рекомендуем проконсультироваться у юристов LegalHub.

Сегодня почти каждый наш шаг связан с передачей личной информации: при регистрации на Интернет-ресурсах, оформлении покупок, обращении в банки, к мобильным операторам и государственным органам. Особую ценность персональные данные приобрели в связи с развитием информационных технологий и цифровизации услуг.

 

Тем не менее, защита персональных данных — это относительно новое явление в Беларуси. Основной нормативный акт в этой области (Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных») вступил в силу только 15 ноября 2021 года — поэтому практика работы по нему ещё активно формируется. Тем не менее, основные принципы и подходы уже наметились.

 

Именно о них юристы LegalHub и подготовили настоящую памятку. В ней мы простым и понятным языком ответили на самые важные вопросы о персональных данных и их защите в Беларуси.

 

Что относится к персональным данным?

Согласно абз. 9 ст. 1 Закона «О защите персональных данных», персональные данные — это любая информация, относящаяся к идентифицированному человеку или человеку, который может быть идентифицирован.

 

Исходя из данного определения можно выделить следующие основные признаки персональных данных:

1. Персональные данные — это информация, то есть какие-либо сведения о соответствующем человеке. Это могут быть как объективные данные (например, возраст, место работы), так и субъективные оценки (например, характеристика с места работы).

 

2. Относимость к конкретному человеку — это может быть информация:

  • которая непосредственно относится к человеку (например, история его болезни, место рождения, др.); или

  • которая связана не с самим человеком, а с его деятельностью — которую впоследствии можно использовать для оказания влияния на него и его поведение (например, данные GPS-навигатора, история звонков с мобильного телефона и тд).

 

3. Возможность идентификации человека (то есть его установления, выделения среди других). Персональные данные могут либо идентифицировать человека напрямую (например, Ф.И.О., паспортные данные, фото, адрес проживания и т.д.), либо косвенно позволять его идентифицировать (например, отслеживание поведения пользователя на сайте либо в мобильном приложении с использованием IP-адреса устройства, с которого осуществляется вход, либо файлов cookie и др., которые позволяют с высокой степенью точности прогнозировать индивидуальные предпочтения соответствующего лица).

 

Какие существуют виды персональных данных?

В отдельную группу абз. 12 ст. 1 Закона «О защите персональных данных» выделяет специальные персональные данные, которые представляют собой наиболее «чувствительную» информацию о человеке, разглашение которой несёт повышенный риск для его прав и свобод и потенциально может привести к дискриминации, травле человека, его преследованию за определённые убеждения, разрыву дружеских или семейных связей и др.

 

К специальным относятся персональные данные, касающиеся:

  1. расовой принадлежности;

  2. национальной принадлежности;

  3. политических взглядов;

  4. членства в профессиональных союзах;

  5. религиозных или других убеждений;

  6. здоровья;

  7. половой жизни;

  8. привлечения к административной или уголовной ответственности;

  9. генетические персональные данные — то есть информация, относящаяся к наследуемым либо приобретённым генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца (абз. 4 ст. 1 Закона «О защите персональных данных»).

  10. биометрические персональные данные — то есть информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (абз. 2 ст. 1 Закона «О защите персональных данных»), например:

  • отпечатки пальцев рук и ладоней;

  • радужная оболочка глаза;

  • характеристики лица и его изображение и другое.

 

В отношении специальных персональных данных законодательство предусматривает дополнительные (повышенные) требования в части их обработки и защиты.

 

Какие права есть у владельцев персональных данных?

Законодательство выделяет следующие основные права субъектов персональных данных:

1. Право на отзыв согласия на обработку персональных данных (ст. 10 Закона «О защите персональных данных»).

Это право означает, что человек может в любое время без объяснения причин отозвать своё согласие на обработку его персональных данных.

После получения заявления об отзыве согласия оператор персональных данных (то есть лицо, которое осуществляет обработку персональных данных) в течение 15 дней должно прекратить обработку персональных данных и уведомить об этом заявителя.

 

2. Право на получение информации, касающейся обработки персональных данных (п. 1 — 3 ст. 11 Закона «О защите персональных данных»).

Это значит, что человек имеет право на получение информации:

  • об операторе персональных данных (то есть о том, кто именно обрабатывает его персональные данные);

  • о том, какие именно персональные данные обрабатываются;

  • об источнике получения его персональных данных;

  • о правовых основаниях и целях обработки персональных данных и тд.

Для получения такой информации человеку нужно подать оператору соответствующее заявление. При этом человек не обязан обосновывать свой интерес к запрашиваемой информации.

Срок ответа оператора не должен превышать 5 рабочих дней. При этом информация должна предоставляться, как правило, бесплатно.

 

3. Право на изменение персональных данных (п. 4 — 5 ст. 11 Закона «О защите персональных данных»).

Такое право позволяет человеку требовать от оператора внесения изменений в свои персональные данные в случае, если эти данные являются неполными, устаревшими или неточными.

Оператор обязан в 15-дневный срок после получения заявления внести соответствующие изменения в персональные данные заявителя и уведомить его об этом.

 

4. Право на получение информации о предоставлении персональных данных третьим лицам (ст. 12 Закона «О защите персональных данных»).

Это значит, что человек 1 раз в календарный год может получить от оператора информацию о том, кому предоставлялись его персональные данные.

Соответствующую информацию оператор обязан предоставить в 15-дневный срок после получения заявления. При этом информация должна предоставляться, как правило, бесплатно.

5. Право требовать прекращения обработки персональных данных и / или их удаления (ст. 13 Закона «О защите персональных данных»).

Это право означает, что человек может потребовать от оператора бесплатного прекращения обработки своих персональных данных (включая их удаление) — но только при отсутствии установленных законодательством оснований для продолжения их обработки.

Оператор обязан в 15-дневный срок после получения заявления прекратить обработку персональных данных, а также осуществить их удаление и уведомить об этом заявителя. При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом заявителя в тот же срок.

 

6. Право на обжалование действий / бездействия и решений оператора, связанных с обработкой персональных данных (ст. 15 Закона «О защите персональных данных»).

Такое право позволяет человеку обжаловать в уполномоченный орган действия / бездействие и решения оператора, нарушающие его права при обработке персональных данных. 

 

Каким требованиям должно отвечать согласие на обработку персональных данных?

Согласие является одним из главных и наиболее часто встречающихся оснований для обработки персональных данных человека.

 

Законодательство исходит из того, что совершеннолетний дееспособный человек вправе свободно распоряжаться своими персональными данными и самостоятельно определять, кому, в каких целях и в каком объёме передавать их для обработки — и делает он это путём выдачи соответствующего согласия.

В отношении недееспособных граждан, а также лиц, не достигших 16 лет, согласие на обработку персональных данных дают их законные представители (родители или усыновители / удочерители, опекуны или попечители).

 

Согласие на обработку персональных данных может быть дано в письменной или электронной форме, в том числе путём СМС-сообщения, сообщения на адрес электронной почты, проставления соответствующей галочки на сайте и т.д.

Важно, чтобы при этом согласие было: 

1. Свободным, данным без принуждения.

Например, нельзя обуславливать предоставление определённых услуг обязательным получением согласия на обработку персональных данных для иных, непосредственно не связанных с данными услугами целей (например, для целей рекламных рассылок).

 

2. Однозначным.

Это значит, что согласие на обработку персональных данных не может предполагаться по умолчанию — оно обязательно должно вытекать из и быть результатом конкретных действий человека, прямо подтверждающих его намерение на передачу персональных данных.

3. Информированным.

До момента дачи согласия на обработку своих персональных данных человек должен быть уведомлён о том, кому, для каких целей, на какой срок и какие именно персональные данные он предоставляет право обрабатывать. Данная информация должна быть предоставлена в той же форме, что и форма получения согласия.

 

В каких случаях согласие на обработку персональных данных не требуется?

По общему правилу (п. 3 ст. 4 Закона «О защите персональных данных»), обработка персональных данных осуществляется с согласия субъекта персональных данных, т.е. самого человека. Однако ст. 6 и п. 2 ст. 8 Закона «О защите персональных данных» установлен целый ряд случаев, когда получения такого согласия не требуется.

 

Любые персональные данные (включая специальные) могут обрабатываться без согласия человека:

1. Если персональные данные сделаны общедоступными самим человеком.

 

2. В деятельности государственных органов при выполнении ими определённых функций:

  • для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;

  • в целях обеспечения функционирования единой государственной системы регистрации и учёта правонарушений;

  • в целях ведения криминалистических учётов;

  • для осуществления правосудия;

  • для осуществления исполнительного производства;

  • для совершения нотариусом исполнительной надписи или оформления наследственных прав;

  • для целей национальной безопасности;

  • для целей обороны;

  • для борьбы с коррупцией, терроризмом и противодействия экстремизму;

  • для предотвращения легализации доходов, полученных преступным путём, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

  • для осуществления административных процедур;

  • для осуществления пограничного и иных видов контроля на границе Беларуси;

  • при рассмотрении вопросов, связанных с ограничением въезда или выезда из Беларуси;

  • в связи с реализацией международных договоров Беларуси о реадмиссии;

  • для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

  • при рассмотрении вопросов, связанных с гражданством, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Беларуси;

  • при оформлении и выдаче документов, удостоверяющих личность;

  • в целях назначения и выплаты пенсий, ежемесячного денежного содержания отдельным категориям государственных служащих.

 

3. При оформлении приёма на работу / службу а также в процессе трудовой / служебной деятельности.

Важно отметить, что данное основание не охватывает обработку персональных данных нанимателем в случаях, не связанных непосредственно с трудовой деятельностью работника (например, при организации добровольного медицинского страхования, корпоративных мероприятий и т.д.).

 

4. В целях оказания медицинской помощи — при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого распространяется обязанность сохранять врачебную тайну.

 

5. Для защиты жизни, здоровья или иных жизненно важных интересов самого человека или других людей — если получение согласия от самого человека невозможно.

Например, если человеку требуется экстренная операция, для проведения которой необходимы отдельные сведения из медицинских документов его родителей — а работники больницы по объективным причинам не могут связаться с ними и получить согласие на обработку их персональных данных.

 

Персональные данные (за исключением специальных) также могут обрабатываться без согласия человека:

1. В деятельности государственных органов при выполнении ими определённых функций:

  • в целях осуществления уполномоченными органами контроля (надзора);

  • при реализации законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики, депутата местного Совета депутатов;

  • для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

  • при осуществлении учёта, расчёта и начисления платы за ЖКУ, пользование жилым помещением и возмещения расходов на электроэнергию.

Важно отметить, что обработка персональных данных должна осуществляться в рамках полномочий государственных органов и в соответствии с установленными целями.

Например, если коммунальные службы решат использовать полученные ими персональные данные не для расчёта и начисления коммунальных платежей, а для информационных рассылок либо для проведения мероприятий по облагораживанию территории — такое использование допускается только с согласия субъекта персональных данных.

 

2. В научных или иных исследовательских целях — при условии обязательного обезличивания персональных данных.

 

3. В целях осуществления законной профессиональной деятельности СМИ, направленной на защиту общественного интереса.

При этом под защитой общественного интереса понимается потребность общества в обнаружении и раскрытии:

  • информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде; или

  • информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, или общественными деятелями.

4. При получении персональных данных на основании договора с человеком — если персональные данные нужны для совершения действий, предусмотренных этим договором.

Данное основание является одним из наиболее используемых в коммерческой деятельности. При этом важно отметить, что это основание позволяет обрабатывать только те персональные данные человека, без которых выполнение обязательств по договору невозможно или существенно затруднено (например, если продавец осуществляет доставку товара покупателю, обработка персональных данных об адресе его проживания будет соответствовать законодательству, а в случае самовывоза – нет).

 

5. При обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном человеком — если такая обработка осуществляется в соответствии с содержанием этого документа.

Примером обработки персональных данных на данном основании является подача работниками заявлений на оказание материальной помощи, или частичное возмещение стоимости путёвок в санаторно-курортные и оздоровительные учреждения, или компенсацию стоимости подписки, абонементов и т.п.

 

6. Если персональные данные ранее были распространены третьими лицами — но только при условии, что человек не заявил требований о прекращении обработки и уданлении этих распространённых персональных данных.

 

Куда обратиться для защиты своих прав на персональные данные?

Основным уполномоченным органом в сфере защиты персональных данных является Национальный центр защиты персональных данных

 

Именно он в, соответствии с п. 3 ст. 18 Закона «О защите персональных данных», уполномочен:

  1. осуществлять контроль за обработкой персональных данных;

  2. рассматривать жалобы субъектов персональных данных;

  3. требовать изменения, блокирования или удаления недостоверных или полученных незаконным путём персональных данных, а также устранения иных нарушений;

  4. давать разъяснения по вопросам применения законодательства о персональных данных.

 

Обратите внимание: согласно п. 27 Положения о Национальном центре защиты персональных данных, срок для обращения с жалобой составляет 3 месяца со дня, когда человеку стало известно о действиях / бездействии, которые непосредственно затрагивают его права, свободы и законные интересы.

 

Срок для рассмотрения поданной жалобы составляет 1 месяц со дня, следующего за днём регистрации жалобы в Национальном центре защиты персональных данных. При необходимости дополнительного изучения и проверки этот срок может быть продлён — но не более чем на 1 месяц (пункт 31 Положения о Национальном центре защиты персональных данных).

 

Принятое Национальным центром защиты персональных данных решение не является оконочательным — и может быть обжаловано в суд (п. 2 ст. 15 Закона «О защите персональных данных»).

 

Помимо Национального центра защиты персональных данных, полномочиями по установлению фактов нарушения законодательства о персональных данных обладают:

  • органы внутренних дел — в части административных правонарушений;

  • Следственный комитет — в части преступлений.

 

Какая ответственность существует за нарушение законодательства о персональных данных?

В зависимости от тяжести совершённого нарушения и обстоятельств, при которых оно было допущено, может наступить гражданско-правовая, административная или уголовная ответственность. Если такое нарушение допущено в процессе работы, для работника может наступить также дисциплинарная ответственность.

 

Административная ответственность предусмотрена за:

1. Умышленные незаконный сбор, обработку, хранение или предоставление персональных данных человека либо нарушение его прав, связанных с обработкой персональных данных (ч. 1 ст. 23.7 Кодекса об административных правонарушениях).

Совершение такого правонарушения влечёт наложение штрафа в размере от 0,1 до 50 базовых величин.

 

2. Умышленные незаконный сбор, обработку, хранение или предоставление персональных данных человека либо нарушение его прав, связанных с обработкой персональных данных — если они совершены лицом, которому персональные данные стали известны в связи с его профессиональной или служебной деятельностью (ч. 2 ст. 23.7 Кодекса об административных правонарушениях).

Совершение такого правонарушения влечёт наложение штрафа в размере от 4 до 100 базовых величин.

 

3. Умышленное незаконное распространение персональных данных человека (ч. 3 ст. 23.7 Кодекса об административных правонарушениях).

Совершение такого правонарушения влечёт наложение штрафа в размере от 0,1 до 200 базовых величин.

 

4. Несоблюдение мер обеспечения защиты персональных данных людей (ч. 4 ст. 23.7 Кодекса об административных правонарушениях).

Совершение такого правонарушения влечёт наложение штрафа в размере:

  • от 2 до 10 базовых величин — если правонарушение совершено физическим лицом;

  • от 10 до 25 базовых величин — если правонарушение совершено ИП;

  • от 20 до 50 базовых величин — если правонарушение совершено юридическим лицом.

 

Уголовная ответственность предусмотрена за:

 

1. Умышленные незаконные сбор или предоставление (то есть передача определённому кругу лиц) персональных данных другого человека без его согласия — если это повлекло причинение существенного вреда его правам, свободам и законным интересам (ч. 1 ст. 203-1 Уголовного кодекса).

Совершение такого преступления наказывается:

  • общественными работами на срок от 60 до 360 часов; или

  • штрафом в размере от 30 до 1000 базовых величин; или

  • арестом на срок от 1 до 3 месяцев; или

  • ограничением свободы на срок от 6 месяцев до 2 лет; или

  • лишением свободы на срок от 6 месяцев до 2 лет.

 

2. Умышленное незаконное распространение (то есть передача неопределённому кругу лиц) персональных данных другого человека без его согласия — если это повлекло причинение существенного вреда его правам, свободам и законным интересам (ч. 2 ст. 203-1 Уголовного кодекса).

Совершение такого преступления наказывается:

  • штрафом в размере от 30 до 1000 базовых величин; или

  • арестом на срок от 1 до 3 месяцев; или

  • ограничением свободы на срок от 6 месяцев до 3 лет; или

  • лишением свободы на срок от 6 месяцев до 3 лет со штрафом или без штрафа.

 

3. Умышленные незаконные сбор, предоставление или распространение персональных данных без согласия другого человека или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга — если это повлекло причинение существенного вреда их правам, свободам и законным интересам (ч. 3 ст. 203-1 Уголовного кодекса).

Совершение такого преступления наказывается:

  • ограничением свободы на срок от 6 месяцев до 5 лет; или

  • лишением свободы на срок от 6 месяцев до 5 лет со штрафом.

 

4. Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных — если это повлекло по неосторожности их распространение и причинение тяжких последствий (ст. 203-2 Уголовного кодекса).

Совершение такого преступления наказывается:

  • штрафом в размере от 30 до 1000 базовых величин; или

  • лишением права занимать определённые должности или заниматься определённой деятельностью на срок от 1 до 5 лет; или

  • исправительными работами на срок от 6 месяцев до 1 года; или

  • арестом на срок от 1 до 3 месяцев; или

  • ограничением свободы на срок от 6 месяцев до 2 лет; или

  • лишением свободы на срок от 6 месяцев до 1 года.

 

Гражданско-правовая ответственность (п. 2 ст. 19 Закона «О защите персональных данных») предполагает:

  1. возмещение имущественного вреда — если он был нанесён; 

  2. возмещение убытков — если человек их понёс;

  3. возмещение человеку морального вреда.

 

Дисциплинарная ответственность в рамках трудовых отношений применяется за нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных — если в его трудовые обязанности входит обработка персональных данных.

В качестве меры дисциплинарного взыскания могут быть применены:

  1. замечание (п. 1 ч. 1 ст. 198 Трудового кодекса);

  2. выговор (п. 2 ч. 1 ст. 198 Трудового кодекса);

  3. лишение полностью или частично стимулирующих выплат на срок до 12 месяцев (п. 4 ч. 1 ст. 198 Трудового кодекса);

  4. увольнение (п. 10 ч. 1 ст. 47 и п. 4 ч. 1 ст. 198 Трудового кодекса).

Оцените памятку
Не нравитсяТак себеСреднеХорошоОтлично!

Если у вас остались вопросы, обращайтесь за квалифицированной
юридической помощью к юристам LegalHub

bottom of page