---

«Кто владеет информацией, тот владеет миром»

— Владимир Викторович, вы вместе со многими другими специалистами стояли у истоков разработки закона «О защите персональных данных». Можете назвать какие-то громкие кейсы, которые послужили предпосылками?

— Появление самостоятельного законодательного акта в этой сфере — это веяние времени: Беларусь была последней страной на постсоветском пространстве, где появился такой закон. Персональные данные постепенно наполнили пространство вокруг нас — специализированное регулирование в любом случае рано или поздно появилось бы.

Поэтому не надо искать черную кошку в комнате, в которой ее нет.

— Если говорить о персональных данных, что вы считаете самой большой угрозой?

— Самое серьезное — это, конечно, утечки. Помните пример крупной торговой сети «Остров чистоты»: сначала около 150 тыс. записей, потом более 700 тыс. Когда данные попадают в сеть, они используются бесконтрольно. Все эти телефонные мошенники звонят, в том числе используя информацию из таких баз. После утечки организация несколько лет выходит из кризиса. Это удар по имиджу: вы не смогли уберечь мои данные — пойду к конкуренту.

Первые крупные утечки были в 2020—2022 годах, когда хакеры взламывали компании через дыры в программном обеспечении, из-за необдуманных действий сотрудников, выкачивали базы и продавали.

Хакеры заявляют: можно взломать любую систему, все зависит от того, сколько на это выделено денег и времени.

Известны случаи, когда хакеры около года находились в сети оператора и видели все: вот рабочий компьютер директора, главного бухгалтера, вот папочка кадровика с копиями паспортов руководителей. А организация даже не знает, что она уже полностью на ладони. Мало того, что закон не соблюдают, так еще и не заботятся и об элементарной информационной безопасности. А ведь, как говорится, кто владеет информацией, тот владеет миром.

---

«Зачем вообще хакерам биться в стену, если у вас открыта боковая дверь»

— Андрей Анатольевич, какие тенденции вы наблюдаете в правоприменительной практике закона «О защите персональных данных», с чем еще предстоит поработать?

— В самом начале действия закона его реализация многими организациями сводилась к формальному исполнению: назначили ответственного, но документов не приняли, работников не обучили, реальной работы не проводили.

Сегодня тенденция меняется. Это видно и по поступающим в Центр запросам. Вопросы становятся глубже, организации пытаются привести в соответствие с требованиями закона конкретные бизнес-процессы.

Сегодня вызывают беспокойство ситуации, связанные с:

• ненадлежащим поручением обработки персональных данных уполномоченным лицам, в том числе иностранным организациям;
• избыточной обработкой персональных данных;
• сбором персональных данных без должных правовых оснований: видеосъемка работников, клиентов, пациентов на приеме у врача, нерегламентированная аудиозапись телефонных разговоров, рекламные звонки, ксерокопирование паспортов.

Растет и число жалоб от людей. Так, например, в 2025 году стало больше обращений по вопросам:

• правомерности предоставления персональных данных третьим лицам, распространения личной информации, в том числе в интернете (в мессенджерах, социальных сетях), — с 27 до 33,1%;
• осуществления видеонаблюдения
и аудиозаписи — с 13 до 16,2%;
• избыточной обработки персональных данных — с 5 до 6,2%.

Один из последних крупных инцидентов, связанных с утечкой данных, произошел в этом году у лизинговой компании через удаленное рабочее место ее работника. Через компьютер, который использовался работником без защищенного канала связи, злоумышленники попали в информационную систему организации — и произошла утечка значительного объема данных.

Вот так обычно и случается: зачем хакерам биться в стену, если у вас открыта боковая дверь.

— Проверок и штрафов от НЦЗПД бизнес боится не так сильно, как приостановки обработки персональных данных на полгода, ведь для бизнеса это смерть. Были такие случаи? И что стало с теми компаниями?

— Вопрос размеров санкций обсуждаемый, но не приоритетный.

Штрафы у нас маленькие — 50 базовых величин для юрлица по сравнению с утечкой сотен тысяч записей — ничто.

Но сначала, до их применения надо предоставить возможность адаптироваться к требованиям законодательства, помочь настроить процессы обработки и защиты личных данных. Ведь, как сказано в статье 28 Конституции Республики Беларусь, государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании. И эти условия в стране созданы.

К возможности приостанавливать обработку мы прибегаем в крайних ситуациях. За прошлый год было только три случая. В частности, в одном из них меры по технической защите персональных данных не были реализованы вовсе. Любой злоумышленник, хоть чуть-чуть понимающий в компьютерных делах, мог поломать информационный ресурс без всякого противодействия. В другом случае обработка велась без каких-либо правовых оснований.

В таких ситуациях выносится предписание по прекращению обработки персональных данных до устранения нарушений. Если, например, меры по защите информации изначально не были реализованы организацией, но впоследствии ею стали предприниматься конкретные действия по устранению выявленных проблем, Центр идет навстречу: разрешается восстановить обработку данных по мере выполнения основных организационных и технических мероприятий, даже когда остаются этапы по оформлению документов.

Мы понимаем, насколько такие решения чувствительны для бизнеса.

Поэтому все проводимые Центром проверки сопровождаются его сотрудниками до конца, мы не бросаем организации и стараемся им помочь. На сайте Центра есть все шаблоны, алгоритмы действий, чтобы грамотно выстроить процесс обработки персональных данных. В прошлом году провели комплексные работы по адаптации документов для социально значимых сфер: образования, здравоохранения, — а также для малого бизнеса.

Какие изменения предлагает законопроект и когда их могут принять

— Новый законопроект необходимо внести в Совет Министров в августе 2026 года. Какие изменения в нем самые значимые? Что принципиально изменится для людей и для бизнеса?

— Сразу скажу: ужесточений никаких не будет. Одни вопросы уточняются, другие направлены на упрощение исходя из практики. Так, например, для снижения административной нагрузки на организации проектом закона предлагаются:

• упрощение подходов к порядку получения согласия гражданина на обработку персональных данных, в том числе сокращение объема указанной в нем информации;
• установление новых случаев обработки персональных данных без согласия, например при рассмотрении резюме соискателей на трудоустройство, обработке персональных данных субъектов, не являющихся стороной по договору, но в пользу которых договор заключается или на которых возложено его исполнение, обработке персональных данных в документах, направляемых оператору в электронном виде (например, на электронную почту организации), при распространении изображений граждан на сайтах организаций, а также при трансграничной передаче персональных данных;
• определение вопросов совместной обработки персональных данных несколькими операторами;
• конкретизация регулирования взаимоотношений между операторами и уполномоченными лицами;
• исключение из специальных персональных данных тех персональных данных, которые касаются членства в профессиональных союзах;
• увеличение с 5 до 15 дней сроков принятия решений по заявлениям граждан о реализации права на получение информации об обработке их персональных данных;
• предоставление права выбора субъектам малого бизнеса организовывать внутренний контроль за обработкой персональных данных собственными силами или привлекать для этого сторонние организации, а для холдингов — права организации такого контроля силами их управляющих компаний или одной из организаций, входящих в состав холдинга.

— Что означает фраза «расширение функций Национального центра защиты персональных данных»? Какие новые полномочия и инструменты у него появятся?

— В части компетенции Центра правильнее говорить не о расширении, а об уточнении функций Центра, которые активно реализуются и сегодня.

Речь идет:

• об участии Центра в правовом просвещении граждан, в том числе несовершеннолетних, по вопросам защиты персональных данных, содействии формированию культуры обращения с персональными данными, повышении осведомленности и понимания обществом рисков, гарантий и прав, связанных с обработкой персональных данных;
• о взаимодействии Центра с общественными объединениями (организациями) по вопросам защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.

— В проекте говорится о повышении защиты данных при видеонаблюдении и аудиозаписи. Что конкретно изменится для магазинов, кафе, офисов, где стоят камеры?

— Сегодня регулирование этих вопросов носит фрагментарный характер. Например, комплексное регулирование вопроса видеонаблюдения есть только в отношении использования систем видеонаблюдения за состоянием общественной безопасности.

Такое регулирование позволяет прозрачно и понятно для людей обрабатывать персональные данные и не вызывает конфликтных ситуаций.

В иных случаях цели, основания и пределы вмешательства в личную жизнь для граждан остаются неясными и, как следствие, порождают конфликты и жалобы, которых становится все больше.

При этом использование технических средств для видео- и аудиозаписи в различных сферах (торговля и услуги, жилищно-коммунальное хозяйство, здравоохранение, транспорт, наниматели и тому подобные) становится все более активным. Отсутствие регулирования этого вопроса влечет не только появление спорной практики среди организаций, но и затрагивает вопросы распространения охраняемой законом тайны: врачебной, нотариальной и так далее.

Поэтому проектом закона предлагается урегулировать концептуальные моменты осуществления видео- и аудиозаписи, в том числе о мерах, принимаемых для этого оператором, местах и случаях осуществления записи, об информировании граждан, о возможности их отказа от записи, осуществляемой с их согласия, а также о хранении видео- и аудиозаписей.

Одновременно, поскольку большинство обращений людей в Центр касается использования технических средств, осуществляющих видео-
и (или) аудиозапись, в трудовых отношениях и сфере жилищно-коммунального хозяйства, предлагается урегулировать эти вопросы в отраслевом законодательстве.

В таких общественных местах, как магазины, кафе и тому подобное, камеры видеонаблюдения, как правило, установлены в целях наблюдения за общественной безопасностью. Поэтому регулирование этих вопросов специальными законодательными актами останется прежним.

Что касается видеонаблюдения за работниками в офисах, то здесь предлагается нормативно закрепить жизненно выработанные подходы. Такое видеонаблюдение может иметь место только при наличии специфических обстоятельств: опасных условий труда, необходимости обеспечения охраны денежных и материальных ценностей, в местах непрерывного приема граждан.

При этом не может осуществляться видеонаблюдение за рядовыми офисными работниками или избирательно за отдельными работниками.

— Автоматизированная обработка данных — как собираются регулировать это направление?

— Предлагается урегулировать вопрос, связанный с принятием организациями в отношении граждан юридически значимых решений, основанных исключительно на автоматизированной обработке персональных данных, то есть без участия человека.

Особенно актуальным этот вопрос становится в условиях стремительного развития технологий искусственного интеллекта. Значительное число систем, построенных на алгоритмах, а также сами модели искусственного интеллекта при принятии решений могут допускать ошибки. При этом люди не только не должны страдать от подобных ошибок, но и в принципе должны иметь возможность не подвергаться процедурам принятия решения на основании автоматизированной обработки их персональных данных, кроме случаев, когда сам человек выражает на это свое согласие либо законом не установлено изъятие из этого правила для основанных на законе публичных интересов.

Так, например, мировая практика отражает применение автоматизированной обработки:

• В банковском секторе: автоматизированные системы могут несправедливо отклонять заявки на кредиты из-за ошибок или предвзятости в данных; отказ в кредите на основе алгоритма требует предоставления объяснений клиенту;
• в сфере трудоустройства: системы отбора резюме должны быть прозрачными и недискриминационными;
• в здравоохранении: постановка диагноза не может осуществляться исключительно на основании искусственного интеллекта; каждый человек индивидуален, и окончательное заключение врача может иметь значение для жизни пациента.

Предлагается также закрепить обязанность информирования граждан при применении такой обработки.

— Взаимодействие оператора и уполномоченного лица все еще вызывает вопросы у бизнеса?

— Да, это одна из самых актуальных проблем. Бывает так, что оператор принимает меры по защите персональных данных, а уполномоченное лицо — нет. И при этом оператору уполномоченным лицом не предоставляется возможность убедиться в соблюдении им требований безопасности. А по закону, случись что, отвечать должен оператор. Для человека такая модель — единственно верный вариант защитить свои права в случае их нарушения: уполномоченных лиц может быть сколько угодно, и не пострадавшие (а их может быть много) должны разбираться и заниматься поиском, у кого в этой цепочке лиц, обрабатывающих персональные данные, возникла проблема.

Недавно был случай, когда белорусский оператор доверил уполномоченному лицу отправить SMS клиентам. В свою очередь, уполномоченное лицо привлекло к процессу еще одно лицо из другой страны, у которого случилась утечка. Кто виноват? Обычному человеку выяснить это невозможно. Поэтому отвечает оператор. Его задача — выстроить работу так, чтобы предупредить проблему, а если она возникла — минимизировать ее последствия. И в помощь операторам в проекте закона закладываются соответствующие нормы.

— Что с внутренним контролем? Для малого бизнеса что-то меняется?

— Планируется, что у малого бизнеса появится выбор: либо назначать ответственного за внутренний контроль самому, либо привлечь компанию на аутсорсинге, чтобы она настроила работу. Например, кафе: директор, бухгалтер на полставки, несколько поваров, официанты, доставка — вполне можно привлечь уполномоченное лицо на аутсорсинге.

Для холдингов: управляющая либо входящая в ее состав компания может организовать внутренний контроль во всех организациях холдинга. Сегодня формально ответственный должен быть назначен в каждой компании. Появляется вариативность.

— То есть ужесточений нет?

— В плане усиления требований — ничего такого нет.

Многие нормы, которые мы стараемся закрепить, — из практики применения. Они отражают сложившиеся подходы.

— Когда планируется принятие законопроекта? В какие сроки граждане и бизнес увидят эти изменения?

— Законопроект должен пройти все стадии нормотворческого процесса. Это не такая быстрая процедура. В соответствии с пунктом 27 плана подготовки проектов законодательных актов на 2026 год, утвержденного указом президента Республики Беларусь от 18 ноября 2025 года №400, срок его внесения в парламент — ноябрь этого года.

«Сама выложила в сеть все, что использовали против нее»

— Наш телефон, фото в соцсетях, данные паспорта — кому на самом деле принадлежат эти сведения, когда мы публикуем их сами, скажем, в соцсетях? Может ли человек потребовать удалить свои данные из интернета, если передумал?

— С правовой точки зрения эта информация принадлежит человеку. Во многом она отражает осознание ценности информации о себе. В интернете сначала надо семь раз подумать и только потом размещать. К нам недавно обращалась блогер, которая подверглась троллингу, ее замучили хейтеры. В результате разбирательства выяснилось, что она сама выложила в сеть все, что потом использовали против нее. Те, кто использовал ее данные, взяли их из открытых источников.

Давать в неконтролируемый доступ надо то, что потенциально не принесет вреда.

Человек в любой момент вправе требовать удалить персональные данные, если у оператора отсутствуют основания для их обработки. Разрешается обрабатывать персональные данные гражданина без его согласия только в установленных законом случаях: если интересы общества и государства превалируют над интересами конкретного гражданина.

Был и другой случай, который получил правовую оценку: человек получил ответ на обращение по поводу действий преподавателя и выложил его в школьный чат. В ответе было понятно, о ком идет речь. В итоге учитель не смогла продолжить работу. Любимые ученики, дело ее жизни оказалось для нее закрытым. Конечно, никто не имел права использовать персональные данные так, без согласия. Подобное вмешательство в судьбу человека недопустимо. Есть признаки нарушения — для разбирательства имеются уполномоченные на это органы, куда и надо обращаться, не ловя хайп и не устраивая самосуд.

Повторюсь, что даже при использовании общедоступных персональных данных необходимо учитывать первоначальную цель их распространения. Например, фото человека из его аккаунта в социальной сети не может без его согласия использоваться организацией для рекламы своих услуг или товаров. Иначе вы нарушаете закон, и за этим следует дисциплинарная, административная и даже уголовная ответственность. Например, однажды блогер, пиаривший себя в TikTok, разместил информацию о заведующей магазином. Начался буллинг, ее правам и свободам был причинен существенный вред, психологическое воздействие оказывалось и на ее близких. Она обратилась за привлечением к ответственности, понеся нравственные и другие страдания. В итоге блогера привлекли к уголовной ответственности.

— В таких случаях человек имеет право на компенсацию?

— Да, это решается в рамках уголовного или административного процесса. Гражданское законодательство также дает возможность получения материальной компенсации морального вреда. Стороны также могут урегулировать конфликт в добровольном порядке. Так тоже бывает.

— Что делать человеку, если он обнаружил, что его данные утекли (например, звонят мошенники и все о нем знают)? Как доказать факт утечки, куда жаловаться и можно ли получить компенсацию?

— Если ваши данные утекли, немедленно смените пароли на используемых сайтах (в приложениях), подключите двухфакторную аутентификацию в соответствующих сервисах, если еще не сделали этого. Будьте внимательны при поступлении звонков и сообщений с незнакомых номеров, в том числе в мессенджерах.

Настороженно относитесь к поступающим просьбам третьих лиц (о декларировании денег, участии в поимке преступника, сообщении направленных кодов), в том числе представляющихся якобы работниками правоохранительных органов и коммунальных служб. Государственные структуры так не работают.

Помните: настройки мессенджеров позволяют исключить получение звонков от незнакомых контактов.

Соберите скриншоты поступивших звонков и сообщений для направления жалобы на нарушение ваших прав в милицию или Национальный центр защиты персональных данных.

— Вы сказали, что в Беларуси уже появилось профессиональное сообщество по защите персональных данных.

— Да, это сообщество специалистов из разных сфер: банки, страхование, ретейл, здравоохранение. Раньше люди сами группировались по интересам, обсуждали профессиональные вопросы, помогали друг другу, а теперь это официальное отделение. Таким образом, у нас появилось связующее звено: мы в НЦЗПД слышим, что происходит, не придумываем ничего из головы, а применяем то, что наработано жизнью.

---

«Идея оформилась, когда мы столкнулись с непростыми задачами»

— Владислав, от ваших коллег мы узнали, что в Беларуси уже есть единая площадка для прямого диалога специалистов из разных сфер друг с другом и с регулятором для совместного поиска решений. Что это за площадка и какие вопросы находятся в ее компетенциях?

— Да, такая площадка действительно есть: это отделение специалистов по защите персональных данных общественного объединения «Белорусский республиканский союз юристов».

Идея создания такого сообщества возникла, когда частные и государственные организации столкнулись с пластом непростых практических задач:

• как настроить процессы под новое регулирование, особенно когда устоявшиеся подходы часто держатся на принципе «мы так делали исторически»;
• как корректно интерпретировать специальные нормы;
• как находить рабочие решения в сфере приватности, где многие ситуации нетипичны и часто требуют индивидуального риск-ориентированного подхода.

Достаточно быстро стало очевидно: всем нам (юристам, специалистам по информационной безопасности, представителям бизнеса и государственных организаций) не хватает единой площадки для диалога.

В итоге благодаря содействию коллег из НЦЗПД и Белорусского республиканского союза юристов в составе последнего появилось наше отделение — чтобы объединить экспертизу, доносить практику и предложения до регулятора и вместе формировать культуру ответственного обращения с данными.

Глобально мы ставим перед собой несколько ключевых задач:

• Повышать уровень профессионализма сообщества. До конца года планируем провести серию круглых столов и дискуссий для обмена практикой и обсуждения готовящиеся изменения в закон «О защите персональных данных».
• Формировать и доносить до регулятора согласованную позицию по ключевым практическим вопросам, помогая находить единообразные подходы и решения.
• Работать над тем, чтобы защита персональных данных воспринималась не как формальная обязанность, а как естественная часть работы любой организации, в том числе для выстраивания доверительных отношений с партнерами, клиентами, заказчиками.

В планах — подготовка понятных методических материалов для участников сообщества — с фокусом на практические рекомендации и живые кейсы. Параллельно будем расширять взаимодействие с другими профессиональными объединениями, чтобы усиливать нашу синергию, экспертизу и представленность.

Читайте также:

• «Компании пишут „бумажки“, а данные „гуляют“». Как работать с персональной информацией

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by