о деятельности Национального центра

защиты персональных данных

Республики Беларусь за 2024 год

I. Общие положения

Современное динамичное развитие информационных технологий, цифровых сервисов и цифровых инструментов как в Республике Беларусь,

Рассмотрено 1 304 обращения граждан и юридических лиц. 
Даны разъяснения о порядке применения законодательства о персональных данных в конкретных ситуациях.

так и в глобальном масштабе, придает вопросам защиты персональных данных все более актуальное значение.Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон) закрепил основополагающие требования к обработке персональных данных, а также перечень обязательных правовых, организационных и технических мер по обеспечению защиты персональных данных. Соблюдение этих требований является важным условием, направленным на защиту прав субъектов персональных данных, в том числе при их обработке в цифровом пространстве, а также минимизацию рисков незаконной обработки персональных данных и их утечки.

Данный подход нашел свое отражение в основных программных документах республики, принятых в 2024 году на среднесрочную перспективу.

Решением Всебелорусского народного собрания от 2 апреля 2024 г. № 5 утверждена Концепция национальной безопасности Республики Беларусь, согласно которой неправомерные действия в отношении персональных данных названы в числе основных угроз национальной безопасности. При этом одним из важнейших направлений нейтрализации внутренних источников угроз национальной безопасности в информационной сфере обозначено обеспечение защиты персональных данных от несанкционированного или случайного доступа к ним, иных неправомерных действий.

Соответствующие положения закреплены также в Концепции обеспечения суверенитета Республики Беларусь в сфере цифрового развития до 2030 года, утвержденной постановлением Совета Министров Республики Беларусь от 31 декабря 2024 г. № 1074, которой закреплена обязанность при разработке отечественного программного обеспечения учитывать требования законодательства о персональных данных.

Тематика защиты персональных данных в цифровой среде являлась предметом рассмотрения в рамках проведенных 22 ноября 2024 г. парламентских слушаний на тему «Развитие цифрового права в Республике Беларусь». 

В докладе директора Национального центра защиты персональных данных Гаева А.А. на тему «Цифровизация общества и персональные данные: баланс интересов» отмечены необходимость сочетания цифрового развития республики, применяемых передовых технологий с комплексными мерами по защите информации, а также актуальные вопросы, связанные с защитой персональных данных в условиях использования технологий больших данных и искусственного интеллекта, систем видеонаблюдения, охраной изображения гражданина и необходимостью их комплексного регулирования на законодательном уровне. 

В 2024 году Национальный центр защиты персональных данных (далее — Центр) как уполномоченный орган по защите прав субъектов персональных данных продолжил реализацию комплексного подхода к обеспечению защиты персональных данных в различных форматах взаимодействия с государственными органами, операторами (уполномоченными лицами) и гражданами. 

Такой подход обеспечивался как в рамках оказания гражданам и организациям практической помощи в решении возникающих у них вопросов обработки личной информации, принятия мер по защите прав граждан в этой сфере, проведения проверок, так и в процессе развития методологической базы для реализации Закона, проведения широкой разъяснительной работы, освещения вопросов защиты личной информации в медийном пространстве, на мероприятиях образовательного характера. 

При этом деятельность Центра в целом носила предупредительный характер и была направлена, в первую очередь, на создание условий для защиты персональных данных, принятие превентивных мер по обеспечению их защиты.

Сегодня можно констатировать, что, несмотря на новизну института защиты персональных данных, положения Закона восприняты организациями и гражданами, а заложенные в нем законодателем базовые подходы и принципы позволяют планомерно реализовывать задачи, на достижение которых он направлен. 

Граждане стали активно пользоваться предоставленными им государством правами и обращаться за их защитой. Количество жалоб на нарушения этих прав в 2024 году увеличилось более чем в 2,5 раза. При этом число обращений о разъяснении норм права уменьшилось на 11%, что свидетельствует о повышении правовой осведомленности организаций и граждан в вопросах защиты персональных данных. 

Настоящий отчет дополнен примерами и краткими пояснениями для целей совершенствования практики обработки персональных данных и недопущения нарушений прав граждан в этой сфере.

II. Рассмотрение обращений граждан и юридических лиц, жалоб субъектов персональных данных

В 2024 году Центром рассмотрено 1 304 обращения (запроса) граждан и юридических лиц по вопросам разъяснения законодательства о персональных данных, что на 11% меньше, чем в 2023 году.

По результатам их рассмотрения даны ответы 497 гражданам и 807 организациям.

В рамках личного приема и работы горячей линии предоставлена информация 616 заявителям.

Большинство вопросов, с которыми граждане и организации обращались в Центр, касались разъяснения применения законодательства о персональных данных в части:

• определения правовых оснований обработки персональных данных (получение согласия на обработку, обработка персональных данных в рамках договорных отношений, для выполнения обязанностей (полномочий), предусмотренных законодательными актами, и т.п.);
• соблюдения иных требований к обработке персональных данных (требования соразмерности, ограничения цели, запрета избыточности, прозрачности, ограничения хранения); 
• предоставления персональных данных третьим лицам;
• осуществления видеонаблюдения и аудиозаписи; 
• размещения персональных данных на интернет-сайтах, в социальных сетях и мессенджерах; 
• отнесения сведений к персональным данным; 
• трансграничной передачи персональных данных;
• разграничения правового статуса оператора и уполномоченного лица.

При этом количество рассмотренных Центром в истекшем году жалоб субъектов персональных данных по вопросам обработки персональных данных (525) превысило показатель 2023 года в 2,7 раза, что свидетельствует о заинтересованности граждан в вопросах защиты своих прав как субъектов персональных данных.

Около 60% жалоб признаны обоснованными полностью либо частично, 32% — оставлены без удовлетворения, 8% — оставлены без рассмотрения по существу.

Подавляющее количество жалоб поступило из г. Минска (62%), наименьшее — из Гродненской и Могилевской областей (3 и 4% соответственно).

В структуре поступивших жалоб по категориям лиц, осуществлявших обработку персональных данных, ключевую позицию занимают вопросы обработки персональных данных в сфере торговли и услуг (торговые сети, интернет-магазины и т.п.) — 33%. 

В сравнении с 2023 годом наблюдался рост жалоб, связанных с обработкой персональных данных в процессе личного, домашнего и иного подобного использования. Их число составило 13% от общего количества поступивших в Центр жалоб. 

Несмотря на то, что на подобную обработку персональных данных действие Закона не распространяется, граждане не свободны в сборе и распространении личной информации о других лицах. Статья 18 Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» предусматривает, что сбор, обработка, хранение, предоставление, распространение информации о частной жизни физического лица, а также пользование ею и обработка персональных данных осуществляются с согласия данного физического лица, если иное не установлено законодательными актами.

В два раза уменьшилось количество жалоб в деятельности организаций жилищно-коммунального хозяйства и организаций собственников (садоводческие товарищества, товарищества собственников, жилищно-строительные, гаражные кооперативы) (12%). 

В основном в таких жалобах поднимались вопросы правомерности предоставления информации, содержащей персональные данные членов организации собственников, в том числе имеющих задолженность, другим членам и третьим лицам, а также получения доступа к информации о деятельности такой организаций, с которой вправе ознакомиться член организации собственников.

Подходы к обработке персональных данных в деятельности организаций собственников, включая вопросы предоставления 

их персональных данных, изложены в Разъяснениях об обработке персональных данных при осуществлении деятельности гаражных кооперативов и кооперативов, осуществляющих эксплуатацию автомобильных стоянок, товариществ собственников, организаций застройщиков, садоводческих товариществ, с которыми можно ознакомиться на официальном сайте Центра в сети Интернет (далее — сайт Центра) в подразделе «Методологические документы» раздела «Правовая основа» .

В 10% случаях жалобы были связаны с вопросами обработки личных данных государственными организациями.

По-прежнему немало жалоб поступало на действия нанимателей при обработке персональных данных своих работников, а также на действия операторов при обработке персональных данных в социальной сфере (здравоохранение, образование) (по 6,4% соответственно).

Зачастую работники направляли жалобы, касающиеся осуществления нанимателем видеонаблюдения на рабочих местах, использования систем геолокации для цели учета рабочего времени, обработки личного абонентского номера при выполнении должностных обязанностей (например, размещение на интернет-сайте оператора, указание в корпоративном телефонном справочнике). 

При осуществлении видеонаблюдения в трудовых отношениях необходимо руководствоваться подходами, заложенными в Рекомендациях об обработке персональных данных в связи с трудовой (служебной) деятельностью, размещенных на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа».

Использование нанимателем систем геолокации для цели учета явки на работу и ухода с нее, с учетом существующей функции кадровой службы и непосредственного руководителя контролировать использование рабочего времени работников должно соответствовать требованиям соразмерности (пункт 2 статьи 4 Закона) и не влечь избыточную обработку персональных данных (пункт 5 статьи 4 Закона).

В 2024 году сохранялась актуальность вопросов обработки персональных данных в банках, финансовых и страховых организациях. Количество жалоб, затрагивающих такую обработку, составило 5%.

По тематике наибольшее количество жалоб поступило по вопросам правомерности предоставления персональных данных третьим лицам, распространения личной информации, в том числе в сети Интернет (мессенджерах, социальных сетях) (27%), обработки персональных данных при отсутствии надлежащих правовых оснований (16,2%), осуществления видеонаблюдения и аудиозаписи (12,8%). 

Значительно увеличилось количество жалоб в связи с неправомерным направлением сообщений рекламного характера (с 6 до 18%).

Граждане жаловались на поступающие звонки рекламного характера на их абонентские номера, а также направление рекламных сообщений с использованием мессенджеров и электронной почты. 

В официальном Telegram-канале Центра изучено мнение граждан о рассылке рекламных сообщений на абонентские номера, в котором приняло участие более 1300 человек. 

49% респондентов отметили, что относятся к рекламе нейтрально, но вместе с тем хотят иметь возможность отказываться от такой рассылки, 47% ответили, что отрицательно относятся к рекламным рассылкам без согласия, и лишь 4% респондентов положительно относятся к рекламе и всегда дают согласие на ее получение.

Обработка персональных данных в указанных целях может осуществляться только при наличии согласия субъекта персональных данных, полученного в соответствии с требованиями статьи 5 Закона.

Центром подготовлен просветительский материал и рекомендации для граждан о том, что делать, если им поступают «холодные звонки» и навязчивая реклама без согласий.

В свою очередь по сравнению с 2023 годом снизилось количество жалоб по вопросам сбора и хранения копий документов, в том числе удостоверяющих личность (с 8 до 3,5%), реализации прав субъектов персональных данных (с 12 до 6%), а также соблюдения общих требований к обработке персональных данных, в том числе требований о соразмерности и недопущении избыточной обработки персональных данных (с 9 до 5%).

III. Осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами)

В соответствии с Законом и Положением о Национальном центре защиты персональных данных, утвержденным Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 (далее — соответственно, Положение о Центре, Указ № 422), Центр осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

• плановые проверки;

План проверок соблюдения законодательства о персональных данных публикуется на сайте Центра не позднее 30 декабря года, предшествующего году проведения проверки.

• внеплановые проверки;
• камеральные проверки.

В 2024 году Центром проведено 47 проверок деятельности операторов (плановые, внеплановые и камеральные проверки). 
По результатам рассмотрения поступивших жалоб, а также мониторинга сети Интернет Центром принято порядка 370 решений о необходимости устранения выявленных недостатков при обработке операторами (уполномоченными лицами) персональных данных.

Такие мероприятия проведены в отношении операторов (уполномоченных лиц) различных сфер деятельности (здравоохранение, образование, банковская и страховая деятельность и т.п.), сайты которых были проанализированы Центром на предмет наличия документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных и правомерности обработки cookie-файлов (более 300 сайтов).

Плановые проверки.

В 2024 году проведено 11 плановых проверок в отношении следующих операторов:

При включении операторов в план проверок в качестве основных критериев учитывались:

• масштабная обработка персональных данных;
• осуществление видов деятельности, по которым субъектами персональных данных в 2023 году было подано большое количество обоснованных жалоб (в частности, в сферах торговли и услуг, страхования и иной финансовой деятельности, здравоохранения и образования).

Внеплановые проверки.

В 2024 году Центром проведено 6 внеплановых проверок. 

Основаниями для их назначения стали:

1) жалобы субъектов персональных данных (проверка в отношении ЗАО «Современные финансовые технологии», ООО «Хэлси Лайф», ООО «ЗвонокБУ» и ООО «Импорт сеил»);

2) уведомление о нарушении систем защиты персональных данных (проверка в отношении ООО «РиэлтБай»);

3) нарушения законодательства о персональных данных, выявленные по результатам анализа официального интернет-сайта (проверка в отношении ООО «Бонускарт»).

Справочно.

В 2023 году поводами для назначения внеплановых проверок в большинстве случаев являлись нарушения систем защиты персональных данных, повлекшие их утечку. 

Так, например, в отношении ООО «Хэлси Лайф», ООО «ЗвонокБУ» и ООО «Импорт сеил» массовый характер носили жалобы на звонки гражданам с предложением принять участие в рекламных мероприятиях.

В целом в ходе плановых и внеплановых проверок изучалось принятие операторами правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

При этом особое внимание уделялось надлежащей реализации обязательных мер по обеспечению защиты персональных данных, предусмотренных пунктом 3 статьи 17 Закона и подпунктами 3.3 и 3.5 пункта 3 Указа № 422. Количество нарушений по этим вопросам в 2024 году сократилось.

Камеральные проверки.

В 2024 году Центром проведено 30 камеральных проверок (в 2023 году — 18).

В 21 случае камеральные проверки были начаты по результатам мониторинга Центром информации, размещенной в средствах массовой информации и глобальной компьютерной сети Интернет, в 7 случаях поводами для их проведения являлись жалобы субъектов персональных данных, в 1 случае — поступившее от оператора уведомление о нарушении систем защиты персональных данных, в 1 случае — поступившая от государственного органа информация о возможном нарушении законодательства о персональных данных. 

Если в ходе проведения плановых и внеплановых проверок изучались все основные бизнес-процессы операторов, то при проведении камеральных проверок оценка давалась, главным образом, отдельным из них. Так, в большинстве случаев в 2024 году предметом изучения являлись документы, определяющие политику оператора (уполномоченного лица) в отношении обработки персональных данных, наличие надлежащих правовых оснований обработки персональных данных, а также соблюдение установленных статьей 5 Закона требований к получению согласия на обработку персональных данных.

По итогам камеральных проверок операторам направлялись рекомендации об устранении выявленных нарушений законодательства о персональных данных.

Основные нарушения.

Характер устанавливаемых Центром нарушений не претерпел значительных изменений в сравнении с 2023 годом. Так, в 2024 году Центром выявлены:

• формальный подход к реализации обязательных мер по обеспечению защиты персональных данных;
• обработка персональных данных без наличия правовых оснований;
• нарушение требований, предусмотренных статьей 5 Закона к получению согласия на обработку персональных данных.
• Большинство выявленных нарушений не требуют от операторов значительных ресурсов (финансовых и административных), в связи с чем могли быть устранены до их выявления Центром. Особое беспокойство у Центра вызывают следующие нарушения.

1. Ненадлежащая организация работы лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных. 

В ряде случаев такое лицо, не находясь по вопросам внутреннего контроля за обработкой персональных данных в прямом подчинении руководителю (у крупных операторов — заместителю руководителя) организации, вынуждено согласовывать вырабатываемые им решения с «вертикалью» руководителей.

Наличие конфликта интересов, непредоставление названному лицу достаточных ресурсов (временных и организационных) для обеспечения эффективного внутреннего контроля за обработкой персональных данных не способствует построению эффективной системы мер по обеспечению защиты персональных данных у оператора и, соответственно, соблюдению прав граждан в этой сфере.

Имели место факты непривлечения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, для оценки внедряемых оператором новых бизнес-процессов с целью обеспечения соответствия их требованиям законодательства о персональных данных. Это приводило к дополнительным затратам на их последующую доработку.

Только эффективный внутренний контроль, а не формальное назначение лица (структурного подразделения), ответственного за его осуществление в организации, помогает выявить риски, связанные с защитой персональных данных, и предотвратить нарушения законодательства о персональных данных, в том числе их утечку, незаконное предоставление этих данных и причинение гражданам иных неблагоприятных для них последствий (мошенничество, угрозы и т.п.), а также значительные репутационные и материальные издержки организаций.

2. Поручение обработки персональных данных уполномоченным лицам без оценки принимаемых ими мер по защите персональных данных. 

В 2024 году практически при проведении каждой плановой и внеплановой проверки Центром устанавливались факты поручения обработки персональных данных уполномоченным лицам без изучения и подтверждения принятия ими соответствующих правовых, организационных и технических мер по обеспечению защиты персональных данных в соответствии с требованиями Закона.

Отсутствие такого анализа на этапе принятия решения о привлечении рассматриваемого лица и формальное закрепление в договоре между оператором и уполномоченным лицом положения о принятии уполномоченным лицом названных мер без их оценки оператором свидетельствует о недостаточности принимаемых оператором мер для обеспечения защиты персональных данных. Ответственность перед субъектом персональных данных за действия уполномоченного лица несет оператор (пункт 3 статьи 7 Закона).

По итогам каждой из 17 проведенных плановых и внеплановых проверок Центром выявлялись нарушения законодательства о персональных данных, и, соответственно, с учетом положений части первой пункта 23 Положения о Центре выносились письменные требования (предписания) об их устранении.

Исполнение письменных требований (предписаний) об устранении выявленных нарушений находится на постоянном контроле Центра.

Центр также вправе принимать решение о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливать срок такого приостановления (прекращения), не превышающий шести месяцев. 

С учетом последствий, которые влечет для оператора принятие соответствующего решения, этот инструмент Центром используется максимально точечно и взвешенно: в 2024 году решение о приостановлении обработки персональных данных в информационных ресурсах (системах) принято лишь в отношении одного оператора. 

Нарушение законодательства о персональных данных влечет административную и уголовную ответственность. 

Центр не является органом, ведущим административный процесс, в связи с чем при выявлении в действиях (бездействии) операторов признаков административного правонарушения, соответствующая информация направлялась в органы внутренних дел, должностные лица которых наделены полномочиями по составлению протоколов об административных правонарушениях. 

По результатам проведенных в 2024 году проверок в 75 случаях (в 2023 году — 18) для решения вопроса о начале административного процесса в органы внутренних дел направлены материалы, в том числе связанные с незаконными звонками рекламного характера (часть 2 статьи 23.7 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП), а также несоблюдением операторами обязательных мер по обеспечению защиты персональных данных по результатам проведения плановых и внеплановых проверок (часть 4 статьи 23.7 КоАП).

В отдельных случаях материалы направлялись по статьям 24.1 «Неисполнение письменного требования (предписания)» и 24.11 «Непредставление документов, отчетов и иных материалов» КоАП.

По результатам изучения поступившей в Центр информации в одном случае усмотрены признаки уголовно наказуемого деяния (в части наличия сомнений в подлинности содержащихся в согласиях на обработку персональных данных подписей субъектов персональных данных). В этой связи Центром направлены материалы в орган внутренних дел для решения вопроса о проведении проверки в рамках уголовно-процессуального законодательства Республики Беларусь.

Об обработке cookie-файлов.

В 2024 году внимание Центра было уделено соблюдению законодательства о персональных данных также при обработке интернет-ресурсами cookie-файлов. Такие файлы являются неотъемлемой частью любого интернет-ресурса и обеспечивают не только его нормальное функционирование (обязательные технические), но и позволяют отслеживать действия пользователей, в том числе учитывать их при показе рекламных предложений (например, при формировании контекстной рекламы). 

Сookie-файлы, которые не являются необходимыми для работы интернет-ресурса (необязательные), но позволяют отслеживать действия пользователей, собираются, как правило, для определенной цели, в которой заинтересован оператор, — направление рекламы, осуществление аналитики, сбор статистики. Они являются полезным инструментом для владельца интернет-сайта, а также компании, которая их разработала (в большинстве случаев ООО «Яндекс» или Google LLC). Такие файлы несут также определенную пользу и для субъекта персональных данных, поскольку позволяют сделать для него контент на интернет-ресурсах более релевантным (отвечающим его потребностям).

В то же время обработка персональных данных с помощью файлов cookie влечет для граждан ряд потенциальных рисков, связанных в том числе с ее непрозрачностью. Этот процесс требует определенных технических знаний, происходит незаметно в фоновом режиме и фактически остается невидимым для посетителей сайтов. Обычный интернет-пользователь не всегда осознает, что такие файлы загружаются на его устройство, и посредством этих файлов собираются и иным образом обрабатываются персональные данные. Даже если граждане осведомлены о функциях файлов cookie, то применительно к конкретным случаям обработки без получения от оператора дополнительной информации зачастую сложно понять, какие именно данные и с какой целью собираются, как долго они хранятся и кто имеет к ним доступ.

Кроме того, пользователи сети Интернет могут нуждаться в определенной степени приватности (анонимности). Такие ожидания могут быть продиктованы, в том числе бытовыми потребностями. Например, в случае сбора целевых cookie-файлов без согласия субъектов персональных данных при совместном использовании одного ноутбука членами семьи поиск одним из них подарка на день рождения другого приводит к показу контекстной рекламы с этим товаром всем пользователям ноутбука.

Полученные сведения о поведении человека в сети Интернет также могут быть использованы для воздействия на него.

По этой причине сбор необязательных сookie-файлов без получения согласия является вмешательством в частную жизнь. Нежелательность сбора этой информации для многих людей подтверждается отказом на практике значительного количества пользователей, имеющих выбор согласиться или отказаться от сбора необязательных сookie-файлов, от дачи согласия на сбор такой информации.

В свою очередь, неединичными являются случаи различных ухищрений (от введения пользователей в заблуждение до нарушения законодательства) со стороны владельцев интернет-ресурсов, чтобы обрабатывать необязательные cookie-файлы для достижения желаемых ими целей.

По результатам обобщения итогов изучения содержания интернет-ресурсов Центром установлены типичные нарушения законодательства о персональных данных при обработке необязательных сookie-файлов.

С информацией о таких типичных нарушениях можно ознакомиться на сайте Центра.

В целом в законодательстве отсутствуют требования к сookie-баннерам, в том числе к тому, какого цвета и размера должны быть кнопки. В этой связи операторам при обработке сookie-файлов следует руководствоваться общими требованиями к обработке персональных данных, а также к получению согласия субъекта персональных данных.

Практики операторов, которые с целью получения согласия намеренно полагаются на невнимательность субъектов персональных данных, нежелание разбираться во всплывающих баннерах либо тратить время на изучение политики сookie, являются недобросовестными и нарушают соблюдение установленного Законом принципа обеспечения справедливого соотношения интересов всех заинтересованных лиц (пункт 2 статьи 4).

План проверок соблюдения законодательства о персональных данных на 2025 год.

Приказом директора Национального центра защиты персональных данных от 30 декабря 2024 г. № 96 утвержден план проверок соблюдения законодательства о персональных данных на 2025 год, в который включено 9 операторов.

Центром продолжена практика включения в план преимущественно операторов, которые осуществляют обработку значительного количества персональных данных. 

Уведомления о нарушении систем защиты персональных данных.

Нарушение систем защиты персональных данных способно причинить серьезный вред правам и законным интересам субъектов персональных данных. Установленная Законом обязанность по уведомлению Центра о таком инциденте направлена на минимизацию негативных последствий нарушений, выявление и устранение всех обстоятельств, ставших его причиной.

Порядок уведомления Центра о нарушениях систем защиты персональных данных определен приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13 «Об уведомлении о нарушениях систем защиты персональных данных».

Обязанность направления такого уведомления не зависит от количества лиц, затронутых инцидентом, а также от того, обрабатываются ли персональные данные с использованием средств автоматизации или без использования таковых.

В 2024 году в Центр поступило 26 уведомлений операторов о нарушении систем защиты персональных данных (в 2023 году — 17). В большинстве случаев причинами их направления являлись действия третьих лиц, приведшие к незаконному распространению персональных данных (утечке), а также ошибка работника оператора, приведшая к незаконному предоставлению персональных данных.

Наиболее крупные утечки персональных данных в 2024 году произошли в следующих организациях:

• ООО «Онлайн Маршрутки» (сервис atlasbus.by) (нарушением затронуто свыше 980 тыс. человек);
• частное предприятие «Модный магазин» (интернет-магазин belbazar24.by) (распространены свыше 300 тыс. строк с персональными данными);
• ООО «Открытый контакт» (распространены персональные данные около 20 тыс. субъектов).

В 15 случаях инцидентами затронуто незначительное количество субъектов персональных данных (в 12 случаях — не более 5, а в 3 — от 16 до 30). В 2 случаях уведомления касались нарушений при обработке персональных данных, осуществляемой без использования средств автоматизации (несанкционированный доступ к документам оператора на бумажном носителе). 

В отдельных случаях по итогам проведенных Центром мероприятий информация о факте нарушения систем защиты персональных данных не подтверждена.

Количество зафиксированных утечек персональных данных жителей Республики Беларусь за последние два года снизилось.

Удаление незаконно обрабатываемых персональных данных.

Центр имеет право требовать от операторов блокирования или удаления полученных незаконным путем персональных данных, прекращения их обработки, если иными способами невозможно обеспечить защиту прав субъектов персональных данных (абзацы шестой и седьмой пункта 8 Положения о Центре).

В 2024 году в результате исполнения вынесенных Центром требований операторами удалено свыше 24 млн. записей из информационных ресурсов, а также документов, содержащих персональные данные, которые обрабатывались с нарушением требований Закона (в 2023 году — 2,7 млн.).

В большинстве случаев требования об удалении персональных данных выносились операторам по результатам рассмотрения жалоб граждан. В 13 случаях удаление данных стало результатом устранения нарушений, выявленных по итогам плановых или внеплановых проверок.

Как и в 2023 году, в отчетном периоде основаниями для вынесения таких требований являлись преимущественно случаи обработки персональных данных без надлежащих правовых оснований, а также обработки персональных данных, которые являются избыточными для достижения конкретной цели (например, копии документов, удостоверяющих личность, свидетельств о рождении, фотографии, видео- и аудиозаписи, идентификационные номера, сведения о привлечении к административной или уголовной ответственности, адресе места жительства и т.п.). 

В отдельных случаях требования выносились в связи тем, что операторами фактически необоснованно дублировались персональные данные в различных информационных ресурсах (системах) одного и того же оператора.

Несмотря на широкое освещение информации о возможности истребования копии документа, удостоверяющего личность, только в случае, если это предусмотрено законодательством, в 2024 году требования об удалении таких копий выносились операторам в 10 случаях.

С более подробной информацией по данному вопросу можно ознакомиться на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» . 

Полагаем целесообразным еще раз обратить внимание на то, что сбор и хранение копий документов, удостоверяющих личность, влечет дополнительные риски для операторов и субъектов персональных данных по совершению противоправных действий третьими лицами. Копии этих документов являются ценным «активом», который привлекает внимание злоумышленников.

Добровольный аудит. 

В 2024 году значительно вырос интерес операторов (уполномоченных лиц) к проведению Центром добровольных аудитов соблюдения требований законодательства о персональных данных.

Подробнее о проведении аудита можно ознакомиться на сайте Центра.

Проведение таких мероприятий осуществлялось с учетом первоочередного выполнения Центром функций по контролю за обработкой персональных данных операторами (уполномоченными лицами), а также рассмотрению жалоб субъектов персональных данных по вопросам обработки персональных данных. 

В этой связи при выборе операторов, в отношении которых был проведен аудит (7 операторов), Центр исходил из осуществления ими масштабной обработки персональных данных в востребованных у населения сферах жизнедеятельности. 

При этом в отличие от практики прошлых лет проведенные аудиты носили точечный характер, то есть заключались в оценке отдельных бизнес-процессов оператора на предмет соблюдения законодательства о персональных данных. 

По итогам проведения аудитов Центром в ряде случаев проводились встречи с руководителями и работниками операторов, на которых обсуждены актуальные вопросы соблюдения законодательства о персональных данных с учетом особенностей деятельности конкретного оператора.

Такой подход позволил подготовить операторам рекомендации по конкретным блокам вопросов, а также в целом определить вектор для совершенствования ими условий защиты прав субъектов персональных данных. 

Несмотря на то, что по результатам проведения аудита Центром направляются рекомендации, которые не являются обязательными для исполнения, Центр с положительной стороны отмечает, что всеми операторами инициативно приняты меры по устранению выявленных нарушений законодательства о персональных данных и совершенствованию своей деятельности.

IV. Методологическая деятельность 

Методологические документы.

В 2024 году было продолжено развитие методологической базы по отраслевому принципу, в том числе с учетом количества и тематики поступавших в Центр обращений и жалоб.

Основной акцент в методологической и разъяснительной деятельности был сделан на социально значимые сферы, в которых осуществляется масштабная обработка наиболее чувствительных для граждан персональных данных (персональные данные несовершеннолетних, сведения о состоянии здоровья, входящие в состав охраняемой законом тайны и др.).

1. Центром во взаимодействии с Министерством экономики, Министерством жилищно-коммунального хозяйства и

Государственным комитетом по имуществу подготовлены Разъяснения об обработке персональных данных при осуществлении деятельности гаражных кооперативов и кооперативов, осуществляющих эксплуатацию автомобильных стоянок, товариществ собственников, организаций застройщиков, садоводческих товариществ.

В Разъяснениях освещены наиболее актуальные вопросы обработки персональных данных в указанных организациях при:

• проведении общего собрания, в том числе уведомлении членов организации собственников о проведении общего собрания, проведении голосования в форме письменного опроса, в заочной форме, избрании кандидатов на должность, доступе к бюллетеням;
• информировании членов организации собственников о результатах проведения общих собраний;
• предоставлении информации, содержащей персональные данные работников и членов организации собственников, в том числе обсуждаемой на общем собрании организации собственников, о деятельности организации собственников, о задолженности ее членов, о предоставлении по запросу членов организации собственников списка всех ее членов.

2. Продолжено оказание методологической помощи по приведению в соответствие с законодательством о персональных

данных деятельности организаций в сфере образования. В итоге методологическими документами и разъяснениями по применению законодательства о персональных данных обеспечены учреждения образования всех уровней.

Принимая во внимание ограниченность трудовых ресурсов в учреждениях дошкольного и общего среднего образования и в то же время обработку этими учреждениями значительных массивов персональных данных, в том числе персональных данных несовершеннолетних, в целях оказания методологической помощи по приведению деятельности учреждений дошкольного и общего среднего образования в соответствие с Законом Центром подготовлен и согласован с Министерством образования пакет примерных форм документов по реализации обязательных мер по обеспечению защиты персональных данных в этих учреждениях, предусмотренных статьей 17 Закона.

В частности, разработаны:

• реестр обработки персональных данных в учреждении дошкольного образования;
• реестр обработки персональных данных в учреждении общего среднего образования;
• политика в отношении обработки персональных данных в учреждении дошкольного, общего среднего образования;
• политика видеонаблюдения для учреждений дошкольного, общего среднего образования;
• формы согласия на обработку персональных данных обучающегося, законного представителя обучающегося, работника учреждения образования. 

В реестрах обработки персональных данных на примере конкретных учреждений образования отражены практически все имеющиеся в таких учреждениях цели обработки персональных данных, а также для каждой цели — объем собираемых персональных данных, правовые основания обработки и сроки их хранения. 

Реестры призваны обеспечить понимание процессов обработки персональных данных в указанных учреждениях и, соответственно, соблюдение требований к обработке персональных данных, установленных статьей 4 Закона.

Все упомянутые документы размещены в открытом доступе на сайте Центра (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/, https://cpd.by/pravovaya-osnova/portfel-operatora/ и доступны для скачивания в целях их адаптации применительно к деятельности конкретного учреждения образования.

Для учреждений среднего специального и высшего образования по результатам обобщения практики поступающих запросов, обращений и жалоб граждан подготовлены и согласованы с Министерством образования Разъяснения о применении законодательства о персональных данных в деятельности учреждений среднего специального и высшего образования.

В них отражены, в частности, вопросы обработки персональных данных при:

• проведении приемной кампании, создании личных кабинетов абитуриентов, размещении списков обучающихся, принятых (зачисленных) для получения образования; 
• учете и выдаче документов об образовании, документов об обучении и их дубликатов, предоставлении информации по запросам третьих лиц;
• реализации пропускного режима, осуществлении в учреждениях образования видеонаблюдения.

Названные Разъяснения размещены на сайте Центра и доступны для ознакомления и скачивания в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/). 

Кроме того, актуальные вопросы, связанные с обработкой персональных данных в учреждениях образования, освещались на различных площадках, организованных с участием Министерства образования, Минского городского и Минского областного исполнительных комитетов. 

По инициативе Центра в Кодексе Республики Беларусь об образовании урегулирован вопрос размещения учреждениями образования на их официальных сайтах в глобальной компьютерной сети Интернет сведений о педагогических работниках. 

В соответствии с подпунктом 2.21 пункта 2 статьи 19 Кодекса Республики Беларусь об образовании (с изменениями, вступающими в силу 1 сентября 2025 г.) учреждения образования вправе размещать на официальном сайте в глобальной компьютерной сети Интернет сведения о персональном составе педагогических работников (должность, фамилия, собственное имя, отчество (если таковое имеется), уровень образования, квалификации, сведения о наличии ученой степени, звания, а также при согласии указанных лиц и иные сведения о них).

3. Совместно с государственным учреждением «Республиканский научно-практический центр медицинских технологий,

информатизации, управления и экономики здравоохранения» («офис цифровизации» здравоохранения) подготовлены и согласованы с профильным Министерством комплексные Рекомендации по обработке персональных данных в сфере здравоохранения.

Рекомендации предназначены для применения как государственными, так и частными организациями здравоохранения и охватывают общие положения законодательства о персональных данных, особенности обработки персональных данных в организациях здравоохранения, в том числе:

• отличие согласия на обработку персональных данных от согласия на медицинское вмешательство, порядок обработки персональных данных при отказе пациента от дачи согласия или его отзыве;
• вопросы, связанные с обменом персональными данными между организациями здравоохранения, предоставлением персональных данных организациями здравоохранения третьим лицам, трансграничной передачей персональных данных; 
• обработка персональных данных при проведении диспансеризации взрослого и детского населения; 
• основания осуществления в организациях здравоохранения видеонаблюдения.

Рекомендации размещены на сайте Центра и доступны для ознакомления и скачивания в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/). 

Все перечисленные вопросы также освещались на различных мероприятиях, в том числе организованных во взаимодействии с Центром на базе Белорусского государственного и Гродненского медицинских университетов. Мероприятиями охвачено более 900 представителей сферы здравоохранения, включая руководителей, профессорско-преподавательский состав, студентов, работников иных учреждений здравоохранения.

4. Важным составляющим элементом успешной реализации Закона является наличие у кадров соответствующих компетенций.

Дисциплины по защите персональных данных включаются в том числе в образовательные программы высшего образования.
Для обеспечения стабильной методологической основы построения образовательного процесса по вопросам защиты персональных данных Центром подготовлено и в ноябре 2024 года издано учебное пособие «Защита персональных данных». 

Пособие разработано в соответствии с учебной программой повышения квалификации по специальности повышения квалификации «Защита персональных данных», реализуемой в Центре, рекомендовано Министерством образования в качестве учебного пособия и предназначено для слушателей, практикующих юристов и других специалистов, в профессиональные интересы которых входят вопросы защиты персональных данных, а также может быть полезно для обучающихся и всех, кто интересуется вопросами защиты персональных данных.

Взаимодействие с государственными органами.

В 2024 году продолжено активное взаимодействие по вопросам защиты персональных данных с государственными органами. При этом в зависимости от решаемых задач избирались его различные форматы.

1. В январе—феврале 2024 года на площадках областных и Минского городского исполнительных комитетов организован цикл рабочих встреч с представителями местных исполнительных и распорядительных органов и подчиненных им государственных организаций по актуальным вопросам применения Закона. Всего указанными мероприятиями охвачено более 1 700 участников, в том числе в онлайн-формате — 1377 человек.

В рамках данных мероприятий Центром доведена до участников информация о необходимости реализации обязательных мер по обеспечению защиты персональных данных, а также типичных ошибках при обработке персональных данных. Особый акцент был сделан на социальную сферу (образование, здравоохранение, социальная защита), в которой обрабатываются персональные данные уязвимых категорий населения (дети, пожилые граждане, инвалиды и пр.).

По итогам мероприятий подготовлена и направлена в областные и Минский городской исполнительные комитеты информация о применении Закона, содержащая обобщение типовых проблемных вопросов и предложения по совершенствованию практики применения законодательства о персональных данных местными исполнительными и распорядительными органами.

2. Во взаимодействии с Министерством по налогам и сборам проведена разъяснительная работа с налоговыми органами по применению законодательства о персональных данных в их деятельности.

Центр принял участие в организованном Министерством по налогам и сборам семинаре-совещании для 125 специалистов налоговых органов, назначенных в них ответственными за осуществление внутреннего контроля за обработкой персональных данных. 

Итогом данного мероприятия стали подготовленные для системы налоговых органов материалы в формате «вопрос-ответ» по наиболее актуальным вопросам применения Закона с учетом специфики их деятельности.

3. С Национальным банком Республики Беларусь подписан Меморандум о сотрудничестве и взаимодействии, в котором определены формы и направления взаимодействия, обусловленного необходимостью выработки общих подходов к защите персональных данных, обрабатываемых в банковской сфере, в том числе с учетом требований Закона и требований по защите банковской тайны, предусмотренных банковским законодательством.

4. На протяжении 2024 года Центром была продолжена работа, направленная на минимизацию обработки, в том числе сбора, персональных данных при осуществлении административных процедур.

Особое внимание было направлено на исключение сложившейся в республике практики изготовления и приобщения в дело копий документов, удостоверяющих личность лиц, обращающихся за осуществлением административных процедур, избыточного указания реквизитов этих документов, а также получения от этих лиц согласий на обработку персональных данных.

При осуществлении административных процедур согласие субъекта персональных данных не требуется при обработке персональных данных в пределах установленного объема документов и (или) сведений, необходимых для совершения административной процедуры (представляемых заявителем и запрашиваемых уполномоченным органом).

Проводился также анализ установленных законодательством форм заявлений заинтересованных лиц на осуществление административных процедур и форм справок, других документов, посредством которых принимается административное решение.

Результаты этого анализа свидетельствуют о том, что указание в заявлении на осуществление административной процедуры идентификационного номера (при его наличии) необходимо только в случае, когда требуется получение документов и (или) сведений для осуществления административной процедуры от других государственных органов, иных организаций, а также из государственных регистров, реестров, кадастров, списков, каталогов, баз и банков данных, либо внесения в них сведений по итогам осуществления административной процедуры.

Данный подход реализован в пункте 5 статьи 14 Закона Республики Беларусь от 28 октября 2008 г. № 433-З «Об основах административных процедур» (с изменениями, внесенными Законом Республики Беларусь от 7 декабря 2023 г. № 314-З «Об изменении Закона Республики Беларусь «Об основах административных процедур»).

В связи с изменением законодательства об административных процедурах Центром подготовлена и направлена органам-регуляторам информация по вопросу обработки персональных данных при осуществлении административных процедур, в которой отмечена актуальность:

• проведения анализа нормативных правовых актов, регламентирующих осуществление административных процедур, на предмет соответствия заявленным целям объема обрабатываемой информации (в том числе в установленных формах заявлений заинтересованных лиц и справок или других документов, посредством которых принимается административное решение об осуществлении административной процедуры);
• исключения избыточной обработки персональных данных при подготовке проектов таких нормативных правовых актов.

Участие в нормотворческой деятельности.

1. В 2024 году Центром проведена системная работа по анализу практики применения Закона.

Информация о проблемных вопросах применения Закона запрошена в 60 государственных органах и иных организациях. Предложения представили 20 из них. 

Их анализ показал отсутствие вопросов системного характера, требовавших оперативного изменения Закона или его комплексного пересмотра.

Отдельные предложения были связаны со сложностями получения информации, необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

Необходимо отметить, что Закон является базовым законодательным актом, устанавливающим общие требования к обработке персональных данных независимо от сферы деятельности. При этом Закон не регулирует порядок информационного взаимодействия операторов (государственных органов, иных организаций) при реализации ими своих обязанностей (полномочий).

В то же время реализация Закона показала наличие отдельных пробелов правового регулирования такого взаимодействия и необходимости развития отраслевого законодательства, приведения его в соответствие с требованиями законодательства о персональных данных, в том числе в части:

• избыточного сбора персональных данных;
• регламентации порядка функционирования информационных ресурсов, предоставления сведений из них третьим лицам, а также порядка обмена информацией (ее получения, предоставления) при выполнении возложенных на организации функций.

В Концепции правовой политики Республики Беларусь, утвержденной Указом Президента Республики Беларусь от 28 июня 2023 г. № 196, в качестве одной из задач в сферах конституционного законодательства и законодательства о государственном управлении обозначена задача своевременной актуализации законодательства и совершенствование практики обработки персональных данных.

В целях оказания государственным органам методологической помощи в урегулировании обозначенных вопросов в Регламент Совета Министров Республики Беларусь, утвержденный постановлением Совета Министров Республики Беларусь от 14 февраля 2009 г. № 193, внесены изменения, предусматривающие участие Центра в рассмотрении нормативных правовых актов по вопросам обработки персональных данных.

С 27 марта 2024 г. все проекты правовых актов, подлежащие рассмотрению Президентом Республики Беларусь, законопроекты, проекты постановлений Совета Министров Республики Беларусь, затрагивающие вопросы обработки персональных данных, должны направляться в Центр для внесения возможных замечаний и (или) предложений. При внесении указанных проектов в Совет Министров Республики Беларусь к ним должна прилагаться информация о результатах их рассмотрения Центром.

2. В 2024 году Центром рассмотрено 170 проектов нормативных правовых актов и международных договоров. Это в 2,25 раза больше по отношению к 2022 году и в 1,5 раза — по отношению к 2023 году.

По результатам рассмотрения проектов нормативных правовых актов в подавляющем большинстве разработчикам направлялись замечания и предложения по их корректировке с учетом требований Закона, которые учтены при их доработке.

Особое внимание при рассмотрении проектов нормативных правовых актов уделялось следующим аспектам:

разумной минимизации обрабатываемых персональных данных и исключению избыточной обработки персональных данных в информационных ресурсах (системах), а также при осуществлении административных процедур;

уточнению целей обработки и объема обрабатываемых персональных данных, в том числе в информационных ресурсах (системах), полномочий государственных органов и иных организаций на предоставление или получение персональных данных;

определению порядка осуществления видеонаблюдения и др.

V. Просветительская и разъяснительная деятельность 

В 2024 году Центром продолжена системная работа по доведению до широкого круга лиц информации о создаваемых государством условиях для защиты персональных данных, ключевых проблемных вопросах в этой сфере, о правонарушениях и инцидентах, связанных с утечками данных, а также правилах «цифровой гигиены» и безопасности личной информации.

1. 2024-ый год традиционно начался с организованного Центром цикла мероприятий, приуроченных к Международному дню защиты персональных данных.

23 января 2024 года Центром проведен международный круглый стол на тему «Реестр операторов персональных данных (держателей массивов персональных данных): опыт формирования и использования».

На площадке Центра представители всех уполномоченных органов по защите прав субъектов персональных данных государств — членов Евразийского экономического союза получили возможность обменяться опытом и мнениями относительно организации и функционирования в этих государствах ресурсов, посредством которых обеспечивается учет операторов, обрабатывающих персональные данные.

В частности, обсуждались национальные особенности создания, формирования и ведения реестров операторов, проблемные вопросы их функционирования, а также формы и методы использования реестров в практической деятельности и перспективы их совершенствования.

Внутригосударственная повестка была обсуждена на проведенной 25 января Центром конференции «Актуальные вопросы защиты персональных данных на современном этапе».

Участие в конференции приняли более 150 представителей государственных органов и иных государственных организаций, банков, профессиональных бизнес-ассоциаций, высших учебных заведений, экспертов в сфере защиты персональных данных и информационной безопасности. В формате открытой дискуссии обсуждены вопросы, связанные с состоянием и трендами защиты персональных данных, международным оборотом персональных данных, обработкой личной информации в контексте цифрового развития, обеспечением безопасности данных в различных сферах.

В рамках мероприятия также награждены победители конкурса на лучшую работу в сфере защиты персональных данных, в котором приняли участие студенты, молодые ученые и практикующие юристы со всей страны. В своих работах участники конкурса раскрывали вопросы отнесения cookie-файлов к персональным данным и свой взгляд на модель сооператорства в практической деятельности.

2. Реализация плана мероприятий по правовому воспитанию и просвещению граждан в 2024–2029 годах, установленного постановлением Совета Министров Республики Беларусь от 12 января 2024 г. № 24, стала очередным элементом системной разъяснительной работы Центра, направленной на обеспечение соблюдения требований Закона, прав субъектов персональных данных, предотвращение их нарушений, формирование навыков «цифровой гигиены» у граждан.

2.1. Так, Центром продолжена реализация проекта «Детям о персональных данных» в формате цикла мероприятий о безопасности личной информации для школьников, учащихся средних специальных, профессионально-технических и высших учреждений образования. 

В течение года в онлайн и офлайн форматах в проекте приняли участие более 3,7 тыс. детей и молодежи. Проект на протяжении года реализовывался в виде квизов, квестов, презентаций, актуальных материалов для детей, родителей и педагогов. Одноименный раздел на сайте Центра пополнялся тематическими материалами, презентациями, электронными буклетами, содержание которых адаптировано для детской аудитории. 

2.2. Особое место в проводимой разъяснительной и просветительской работе занимал организованный с участием Центра цикл обучающих мероприятий для бизнеса в формате региональных митапов по защите персональных данных и кибербезопасности. Такие мероприятия прошли в 2024 году в Бресте, Гродно, Витебске, Солигорске и Могилеве.

В областных городах проекты реализовывались при поддержке научно-технических парков и бизнес-сообществ. В программе предусматривались выступления экспертов, кейс-сессии и ответы на вопросы.

2.3. Трижды в течение года в Центре прошли Дни открытых дверей, в ходе которых проводились тематические мероприятия для студентов, встречи со специалистами по защите персональных данных из организаций различных форм собственности.

В рамках одного из таких мероприятий был организован «офис правовой помощи» для граждан, на котором работниками Центра совместно со столичными адвокатами проведены бесплатные консультации по широкому кругу вопросов, связанных с защитой персональных данных.

Большинство граждан, пришедших на консультацию, волновали вопросы незаконного предоставления или распространения их персональных данных, привлечения к ответственности виновных лиц, а также процедуры взыскания морального вреда, подачи жалобы в Центр.

Среди обратившихся были и те, кто столкнулся с мошенническими действиями: кража, взлом, несанкционированный доступ, фишинг и выманивание денежных средств.

2.4. Центр активно поддерживает социально значимые проекты и инициативы Белорусского республиканского союза юристов.

В 2024 году Центр второй год выступил партнером фестиваля школьников и студентов «Медиация будущего». Для школьников на фестивале Центром была организована интерактивная площадка «Находясь в сети, не попадайся в сети: осознанное и безопасное интернет-пространство», в рамках которой проводились тренинги с участниками, а с педагогами в формате правовой мастерской обсуждались вопросы защиты личной информации, правовой культуры и просвещения в школе.

2.5. Ключевую роль в построении эффективной системы защиты персональных данных в организациях играют специалисты, назначенные ответственными за осуществление внутреннего контроля. В этой связи Центр считает важным формирование и развитие профессионального сообщества таких специалистов.

В 2024 году Центром была продолжена работа по организации для них площадок по обмену опытом и развитию коммуникаций.

Так, за прошедший год были организованы:

— юридический нетворкинг в мире приватности с мастер-классом по публичным выступлениям для специалистов в сфере защиты персональных данных «Звучи как лидер»;

— круглый стол с участием экспертов в сфере защиты персональных данных из Республики Беларусь и Российской Федерации и специалистов, ответственных за осуществление внутреннего контроля за обработкой персональных данных в банках, НКФО, ритейле, у операторов электросвязи, в ИТ-компаниях;

— тренинг «Приватность в фокусе: учимся искусству коммуникации».

2.6. Традиционно Центр принимал активное участие в мероприятиях и форумах на тему защиты персональных данных и информационной безопасности.

В рамках конференции «Технологии защиты информации и информационная безопасность организаций» (IT-Security Conference) Центром была организована сессия «Защита персональных данных в контексте цифровизации».

На площадке IV Форума «Цифровая экономика» состоялось тематическое заседание «Защита персональных данных и информации: технологии и практика применения».

Вопросы защиты данных также обсуждены на конференции «Банкlex-2024», на международном форуме «Транспорт и логистика-2024», на площадках «CYBER SECURITY FORUM 2024» и Евразийского конгресса по защите данных.

Тема персональных данных была в фокусе дискуссий на международном ИКТ форуме «ТИБО-2024», где Центр организовал тематическое заседание «Защита персональных данных и информации: технологии и практика применения», на котором собрались специалисты по защите данных, эксперты в сфере информационной безопасности, разработчики программного обеспечения, практикующие юристы. На заседании обсуждены актуальные вопросы защиты персональных данных в свете возникающих вызовов для сохранения конфиденциальности при использовании цифровых технологий.

В ходе мероприятия были продемонстрированы практические возможности автоматизации процессов обработки персональных данных на примере конкретных бизнес-процессов. В формате кейс-шоу участники представили реальные примеры успешного внедрения решений и технологий, направленных на обеспечение конфиденциальности.

Кроме того, представители Центра выступили с докладами на иных тематических мероприятиях форума. Например, в рамках диалоговой площадки «Цифровые горизонты: как обучение меняется в цифровую эпоху» обсудили вопросы формирования цифровой компетентности в сфере защиты персональных данных.

Наряду с участием в деловой программе ИКТ форума «ТИБО», деятельность Центра была представлена в рамках Международной специализированной выставки. 

Развитие национальной системы защиты персональных данных обсуждено также на площадке Белорусского юридического форума на тематической секции «Персональные данные — сфера особого внимания».

Центр выступил партнером белорусского форума по управлению интернетом «IGF-2024», где тема защиты данных обсуждена в рамках секций «Кибербезопасность и персональные данные: цифры, прогнозы, лучшие практики» и «Доступный и безопасный интернет для детей». Эксперты затронули вопросы онлайн-безопасности подростков в социальных сетях, цифровую зависимость, защиту личных данных, угрозы для несовершеннолетнего интернет-пользователя.

Открытая публичная деятельность Центра связана и с иными мероприятиями. В частности, на конкурсе «Вершина права», организованном Министерством юстиции, авторский коллектив постатейного комментария к Закону победил в номинации «Хозяйство и право». 

Комментарий к Закону размещен в открытом доступе на сайте Центра (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/postatejnyj-kommentarij-k....

2.7. В течение 2024 года Центром активно распространялась социальная реклама, отражающая ключевые аспекты защиты персональных данных и личной безопасности при их использовании. Это серия видео- и аудиороликов, афиш и плакатов, в которых рассказывается о персональных данных и о том, как их защитить. Социальная реклама — эффективный инструмент правового просвещения, направленный на формирование в обществе ценности персональных данных.

Аудио- и видеоролики на тему защиты персональных данных размещены на сайте Центра (https://cpd.by/populyarnoye-na-sayte/socialnaja-reklama/).

Акцент в социальной рекламе делался на безопасное использование персональных данных, бережное отношение к ним, цифровую грамотность.

На протяжении 2024 года в эфире 10 телевизионных каналов, 12 радиостанций, в филиалах 7 банков и в сетевых магазинах крупных торговых сетей демонстрировались видео- и аудиоролики на тему защиты персональных данных. 

Социальная реклама о защите персональных данных размещена на объектах Белорусской железной дороги, Минского метрополитена, в наземном общественном транспорте в столице и в Минской области.

Наружная социальная реклама 4 сюжетов размещена на рекламных конструкциях в 60 городах, в том числе в Минске, областных центрах, Полоцке, Новополоцке, Барановичах, Орше, Калинковичах, Борисове, Жлобине, Мозыре, Слуцке, Солигорске, Барановичах.

Сайт Центра (https://cpd.by) демонстрирует устойчивый прирост уникальных посетителей и активности на страницах: ежедневно его посещает порядка 2 тыс. человек. Поисковые системы выступают основным источником трафика, что может свидетельствовать о высоком уровне SEO-оптимизации контента. Увеличился трафик из социальных сетей и мессенджеров, что свидетельствует о частом упоминании Центра в медиа. 

В настоящее время Центр присутствует в следующих социальных сетях:

• https://www.instagram.com/cpd_by/; 
• https://t.me/cpd_by; 
• https://www.youtube.com/channel/UCZ7YB80BA-TvXW4sqpqV6mg; 
• https://by.linkedin.com/company/cpd-by; 
• https://vm.tiktok.com/ZMBJEfx8F/; 
• https://www.facebook.com/share/1BdofZfYhN/.

Аудитория Telegram-канала «Центр персональных данных» за год выросла на 2,5 тыс. подписчиков (с 8,7 тыс. до 11,2 тыс.), а количество уникальных просмотров по ряду публикаций превышает 40 тыс.

Суммарная аудитория всех социальных сетей и интернет-ресурсов Центра превышает 15 тыс. подписчиков. 

VI. Образовательная деятельность 

В число основных задач деятельности Центра входит организация обучения по вопросам защиты персональных данных, а также обучение работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации.

В 2024 году образовательная деятельность Центра осуществлялась по следующим образовательным программам дополнительного образования взрослых:

• повышение квалификации руководящих работников и специалистов;
• обучающие курсы (лектории, тематические семинары и иные виды обучающих курсов).

В феврале 2024 года в лицензию Центра на осуществление образовательной деятельности внесены изменения в части возможности оказания обучения в дистанционной форме, а с марта в таком формате начата реализация образовательной программы повышения квалификации руководящих работников и специалистов по учебной программе «Защита персональных данных».

За 2024 год обучение в Центре прошли 4 300 человек, из них:

1) курсы повышения квалификации — 2 907 человек, в том числе по вопросам:

• защиты персональных данных — 2 058,
• информационной безопасности — 747,
• технической защиты государственных секретов — 102;

2) обучающие курсы — 1 313 человек.

Во взаимодействии с Комитетом по образованию Минского городского исполнительного комитета в течение первого полугодия проведено 12 семинаров, по результатам которых обучены 638 руководителей и работников, ответственных за осуществление внутреннего контроля в учреждениях образования, детских дошкольных учреждениях г. Минска и организациях, подчиненных Комитету по образованию Минского городского исполнительного комитета.

С учетом развития системы защиты персональных данных в республике Центром проводится плановая работа по расширению учебных программ. Так, в апреле 2024 года успешно начата реализация специализированной учебной программы «Защита персональных данных в банках и НКФО» для работников банковской сферы и небанковских кредитно-финансовых организаций.

В целях удовлетворения запросов и потребностей специалистов в области информационной безопасности и защиты информации разработана практикоориентированная учебная программа повышения квалификации для специалистов в области информационной безопасности «Базовые механизмы обеспечения информационной безопасности».

Проведена плановая работа по актуализации учебных программ повышения квалификации по вопросам информационной безопасности, корректировке учебно-программной документации. Актуализированы учебные программы обучающих курсов.

VII. Укрепление организационно-технической базы, организационная структура

В 2024 году продолжена деятельность Центра по укреплению организационно-технической базы. Проводились мероприятия по закупке, настройке и введению в эксплуатацию технических средств, оборудования, программных продуктов, в том числе для целей защиты информации и модернизации персональных компьютеров.

Структура Центра в 2024 году не изменялась и по состоянию на 31 декабря 2024 года является следующей:

VIII. Приоритетные цели и задачи на 2025 год

В 2025 году внимание Центра будет сосредоточено на следующих задачах:

1) комплексный подход к защите прав субъектов персональных данных при осуществлении контрольных мероприятий.

По итогам проведения проверок операторов, включенных в план проверок соблюдения законодательства о персональных данных на 2025 год, будут обобщаться типичные для отдельной сферы нарушения и соответствующие рекомендации в превентивных целях будут доводиться до других операторов, осуществляющих схожую деятельность;

2) развитие методологической базы для реализации Закона.

Акцент будет сделан на:

разъяснительную работу по реализации Закона в организациях малого и среднего бизнеса;

стандартизацию целей обработки персональных данных в документах, определяющих политику в отношении обработки персональных данных.

Будет продолжено оказание методологической помощи по приведению в соответствие с законодательством о персональных данных деятельности организаций здравоохранения. Планируется подготовить пакет типовых документов, определяющих политику учреждений здравоохранения, оказывающих медицинскую помощь в стационарных и амбулаторных условиях, включая типовой реестр обработки персональных данных;

3) приведение отраслевого законодательства в соответствие с требованиями Закона.

Наряду с рассмотрением проектов нормативных правовых актов Центр продолжит осуществление мониторинга законодательства, в том числе на предмет избыточной обработки персональных данных и совершенствования защиты персональных данных граждан;

4) продолжение работы по анализу практики применения Закона, а также выработке подходов к обороту персональных данных в Евразийском экономическом пространстве;

5) создание просветительского контента о защите персональных данных для детской и молодежной аудитории, продвижение данной тематики в социальных сетях, мессенджерах, на видеохостингах;

6) реализация проектов по информированию граждан о своих правах как субъектов персональных данных, формированию социальной ценности личных сведений (социальная реклама, листовки, буклеты, организация офисов правовой помощи, проведение акций по бесплатному правовому консультированию и т.п.);

7) развитие взаимодействия в рамках проводимой разъяснительной работы для операторов и уполномоченных лиц, а также с профессиональным сообществом специалистов, назначенных ответственными за осуществление внутреннего контроля за обработкой персональных данных у операторов, в целях обсуждения актуальных вопросов применения Закона и обмена практическим опытом. 

Андрей Гаев, директор Национального центра защиты персональных данных Республики Беларусь