Опубликован отчет о деятельности Национального центра защиты персональных данных Республики Беларусь за 2025 год

11.03.2026

В условиях стремительного развития новых технологий, связанных с обработкой персональных данных, с учетом задач социально-экономического развития государства деятельность Центра в 2025 году, как и в предыдущие годы, была направлена, прежде всего:

на принятие превентивных мер по обеспечению защиты персональных данных, проведение разъяснительной и просветительской работы, оказание гражданам и организациям практической помощи в решении возникающих у них вопросов в сфере защиты личной информации. В центре внимания были субъекты малого предпринимательства, молодежь и дети;
на участие в нормотворческом процессе и развитие методологической базы для реализации Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон);
на осуществление контроля за обработкой персональных данных, в том числе при рассмотрении жалоб граждан, а также в связи с утечками персональных данных.

Вопросы, связанные с их защитой, становятся неотъемлемой частью важнейших решений, принимаемых в государстве, в том числе в контексте национальной и информационной безопасности, совершенствования деятельности государственных органов и иных организаций.

Принятой 2 апреля 2025 г. Директивой Президента Республики Беларусь № 11 «О совершенствовании функционирования системы органов власти и управления, усилении исполнительской дисциплины» предусмотрена необходимость упорядочения процессов сбора информации и сокращения избыточных запросов в адрес юридических лиц, а также обеспечения информационной безопасности.

Таким образом, в современных условиях надлежащее обращение с личной информацией рассматривается не только одной из задач, стоящих перед организациями, но и показателем ответственности, дисциплинированности руководителей всех уровней как частного, так и государственного секторов.

В 2025 году активное развитие получила тема искусственного интеллекта. Его модели часто основаны на обработке персональных данных, а реализуемые с использованием его алгоритмов решения также помогают осуществлять их обработку, что, в свою очередь, требует грамотного применения этих технологий.

Центр целенаправленно работает над тем, чтобы сформировать у граждан понимание значимости, ценности их личной информации, необходимости бережного обращения с ней, умение распознавать манипуляции и противостоять мошенническим действиям.

Стремимся также повысить компетентность организаций, сформировать культуру их обращения с персональными данными и помочь осознать, что учет вопросов обработки и защиты персональных данных на старте проектов, применение отечественных разработок в области информационной безопасности минимизирует риски, связанные с незаконным использованием персональных данных, их утечкой, и, соответственно, обеспечивает доверие граждан и сохраняет репутацию.

Ниже содержится более подробная информация о деятельности Центра в 2025 году с примерами и краткими пояснениями для совершенствования практики обработки персональных данных и недопущения нарушений прав граждан в этой сфере.

Рассмотрение обращений граждан и юридических лиц, жалоб субъектов персональных данных

В 2025 году Центром рассмотрено 1462 обращения (запроса) граждан и юридических лиц по вопросам разъяснения законодательства о персональных данных, что на 12,1% больше, чем в 2024 году. По результатам их рассмотрения даны разъяснения 466 гражданам и 328 организациям. В рамках личного приема и работы горячей линии предоставлена информация 668 заявителям.

При этом содержание обращений изменилось. В большинстве случаев запросы касались не разъяснения правовых норм, а решения конкретных вопросов защиты персональных данных, что свидетельствует о повышении правовой осведомленности общества в этой сфере и стремлении организаций к созданию у себя действенной системы защиты персональных данных.

Наиболее часто поднимаемые вопросы, с которыми обращались граждане и организации в Центр, касались:

определения правовых оснований обработки персональных данных применительно к конкретным ситуациям (получение согласия на обработку, обработка персональных данных в рамках договорных отношений, для выполнения обязанностей (полномочий), предусмотренных законодательными актами);
осуществления видеонаблюдения и аудиозаписи;
размещения персональных данных на интернет-сайтах, в социальных сетях и мессенджерах;
запроса и предоставления персональных данных третьим лицам;
особенностей принятия мер, направленных на обеспечение защиты персональных данных, с учетом специфики деятельности операторов;
определения правового статуса (оператор и уполномоченное лицо) в конкретных бизнес-процессах;
трансграничной передачи персональных данных, в том числе посредством использования мессенджеров, и др.

Граждане активно реализовывали свое право на подачу в Центр жалоб на операторов, которые нарушают их права при обработке личной информации. В сравнении с 2024 годом количество жалоб увеличилось на 10,5% (с 525 до 580).

Из общего количества рассмотренных жалоб 53% признаны обоснованными полностью либо частично, 30% — оставлены без удовлетворения, 17% — оставлены без рассмотрения по существу.

Подавляющее количество жалоб поступило из г. Минска (56,8%), наименьшее — из Гродненской и Гомельской областей (4,1% и 4,5%).

Распределение жалоб по сферам деятельности (категориям лиц).

Наибольшее количество жалоб касалось вопросов обработки персональных данных в сфере торговли и услуг (торговые сети, интернет-магазины и т.п.). В сравнении с 2024 годом их количество от общего числа жалоб увеличилось с 33 до 38,4%.

Граждане жаловались, в частности:

на получение нежелательной рекламы;
на истребование избыточной личной информации, например, при участии в программах лояльности (сбор копий документов);
на запись разговоров без согласия;
на видеофиксацию при реализации товаров и оказании услуг, нереализацию прав субъектов персональных данных, включая невозможность отозвать согласие на обработку персональных данных.

С 2023 года отмечается рост числа жалоб, связанных с обработкой персональных данных в процессе личного, семейного и иного подобного использования (2023 г. — 5%, 2024 г. — 13%, 2025 г. — 15,5% от общего количества жалоб). Наиболее частые вопросы — осуществление видеонаблюдения в тамбурах жилых домов и за пределами принадлежащих гражданам земельных участков, размещение сведений о гражданах на интернет-ресурсах без их согласия.

Отношения, связанные с обработкой персональных данных физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, регулируются Законом Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации». Статья 18 указанного Закона предусматривает, что сбор, обработка, хранение, предоставление, распространение информации о частной жизни физического лица, а также пользование ею и обработка персональных данных осуществляются с согласия данного физического лица, если иное не установлено законодательными актами.

Увеличилось число жалоб на действия операторов в социальной сфере (с 6,4 до 10,7%): отсутствие законных оснований для обработки персональных данных (получение согласий при наличии иных оснований для обработки персональных данных, например, для целей образовательного процесса и оказания медицинской помощи), их избыточный сбор, использование иностранных сервисов для обработки персональных данных обучающихся в рамках образовательного процесса.

Немало жалоб поступало по вопросам обработки персональных данных в деятельности организаций собственников и организаций жилищно-коммунального хозяйства (жилищно-строительные, гаражные кооперативы, товарищества собственников, садоводческие товарищества) (10,7%). В таких жалобах в основном поднимались вопросы непринятия организациями собственников мер по обеспечению защиты персональных данных, неправомерного размещения персональных данных в чатах мессенджеров, на информационных стендах, осуществления видеонаблюдения, предоставления доступа к информации, содержащей персональные данные, без законных оснований.

Подходы к обработке персональных данных в деятельности организаций собственников изложены в Разъяснениях об обработке персональных данных при осуществлении деятельности гаражных кооперативов и кооперативов, осуществляющих эксплуатацию автомобильных стоянок, товариществ собственников, организаций застройщиков, садоводческих товариществ, с которыми можно ознакомиться на официальном сайте Центра в сети Интернет (https://cpd.by) (далее — сайт Центра) в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/storage/2024/04/Razjasnenija-po-organizacijam-sobstvennikov_02.04.2024.pdf).

В 2025 году сохранилась актуальность вопросов обработки персональных данных в деятельности государственных организаций (7,8%), банков, финансовых и страховых организаций (6,2%).

Продолжали поступать жалобы на действия нанимателей при обработке персональных данных работников (6%). Анализ этих жалоб свидетельствует о сохраняющейся проблематике видеонаблюдения и аудиомониторинга на рабочих местах. Кроме того, работников беспокоят вопросы неправомерного предоставления их персональных данных третьим лицам, их распространения, обработки личных данных работников (аккаунтов, абонентских номеров, адресов электронной почты и т.п.) без правовых оснований, незаконного сбора копий документов (документов, удостоверяющих личность, водительских удостоверений и т.п.).

В 2025 году наблюдался рост жалоб по вопросам правомерности предоставления персональных данных третьим лицам, распространения личной информации, в том числе в сети Интернет (мессенджерах, социальных сетях) (с 27 до 33,1%), осуществления видеонаблюдения и аудиозаписи (с 13 до 16,2%), несоблюдения общих требований к обработке персональных данных, в том числе в части требований о соразмерности и недопущении избыточной обработки персональных данных (с 5 до 6,2%).

В свою очередь, уменьшилось количество жалоб в связи с неправомерным направлением сообщений рекламного характера (с 18 до 13,8%), реализацией прав субъектов персональных данных (с 6 до 4,1%).

Осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами)

В соответствии с Законом и Положением о Национальном центре защиты персональных данных, утвержденным Указом № 422 (далее —Положение о Центре), Центр осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

плановые проверки;

План проверок соблюдения законодательства о персональных данных публикуется на сайте Центра не позднее 30 декабря года, предшествующего году проведения проверки.

внеплановые проверки;
камеральные проверки.

В 2025 году Центром проведено 46 проверок деятельности операторов (плановые, внеплановые и камеральные проверки).

В 556 случаях вынесено требование об устранении выявленных недостатков при обработке операторами (уполномоченными лицами) персональных данных (в 2024 году — порядка 370):

по результатам рассмотрения поступивших жалоб субъектов персональных данных, обращений граждан и юридических лиц (297);

по итогам мониторинга сети Интернет на предмет наличия документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, обработки cookie-файлов операторами, осуществляющими продажу автомобилей, риэлтерскими организациями, организациями по государственной регистрации и земельному кадастру и т.п. (259).

Плановые проверки.

В 2025 году на плановой основе проверено 9 операторов:

Общество с ограниченной ответственностью «Корал Тревел»

Администрация Партизанского района г. Минска

Иностранное общество с ограниченной ответственностью «ЭПАМ Системз»

Учреждение образования «Белорусский государственный университет культуры и искусств»

Общество с ограниченной ответственностью «ХЬЮМЕН СИСТЕМ»

Общество с ограниченной ответственностью «Компания Электронных Платежей «АССИСТ»

Общество с ограниченной ответственностью «Финпрофит»

Общество с ограниченной ответственностью «СДЭК-Бел»

Открытое акционерное общество «Паритетбанк»

С положительной стороны отмечается, что включение операторов в план проверок побудило большинство из них превентивно пересмотреть реализацию ими обязательных мер по обеспечению защиты персональных данных, скорректировать локальные правовые акты, а также принять дополнительные меры по обеспечению защиты персональных данных.

По результатам плановых проверок Центром дается оценка:

соответствия (несоответствия) принятых оператором (уполномоченным лицом) мер по обеспечению защиты персональных данных требованиям законодательства о персональных данных;
достаточности принятых оператором (уполномоченным лицом) мер для защиты персональных данных.

В этой связи анализировалась реализация обязательных мер, предусмотренных пунктом 3 статьи 17 Закона, подпунктами 3.3 и 3.5 пункта 3 Указа № 422 и иных положений законодательства о персональных данных.

В 2025 году особое внимание уделялось соблюдению операторами требований законодательства о персональных данных при поручении обработки персональных данных уполномоченным лицам, в том числе проводимой операторами оценке уполномоченных лиц на предмет принятия ими мер по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона.

Если ранее выявляемые нарушения касались в значительной степени базовых положений Закона (например, реализации обязательных мер по обеспечению защиты персональных данных, обработки персональных данных без правовых оснований, нарушения требований статьи 5 Закона к получению согласия на обработку персональных данных), то в 2025 году указанные нарушения хоть и выявлялись, но носили преимущественно «точечный» характер у отдельных операторов.

Так, например, если в 2022 — 2023 годах Центром по итогам осуществления контроля зачастую указывалось на необходимость обеспечения соотношения в документах, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее — политика), целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных, действий, совершаемых с ними, то в 2025 году указанный недостаток встречался значительно реже, поскольку операторами такое соотношение, как правило, обеспечивалось.

С примерами соотношения целей обработки, категорий субъектов персональных данных, чьи данные обрабатываются, перечня обрабатываемых персональных данных, действий, совершаемых с ними, в отношении типовых процессов обработки персональных данных, а также с примерными формами политик можно ознакомиться на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/pravovaya-osnova/metodologicheskie-dokumenty-test/portfel-operatora/).

В то же время в 2025 году нарушения выявлялись по вопросам:

определения операторами надлежащего порядка обработки персональных данных в сложных бизнес-процессах (например, в рамках группы юридических лиц). Отдельные нарушения были сопряжены в том числе с отсутствием детального отраслевого правового регулирования (например, при исполнении законодательства о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о лизинговой деятельности, борьбе с мошенничеством);
ненадлежащего поручения обработки персональных данных уполномоченным лицам;
вовлечения в процесс обработки иностранных операторов (уполномоченных лиц);
обработки персональных данных на основании пользовательского соглашения и др

Внеплановые проверки.

Внеплановые проверки могут назначаться директором Центра при наличии сведений, в том числе полученных от организации или физического лица, свидетельствующих о нарушении требований законодательства о персональных данных.

Решение о проведении внеплановой проверки принимается в каждом конкретном случае с учетом количества поступивших жалоб на оператора, степени, в которой предполагаемое нарушение может затрагивать права, свободы и законные интересы субъектов персональных данных, и других обстоятельств (уведомлений о нарушении системы защиты персональных данных, мониторинга глобальной компьютерной сети Интернет, обращений граждан и юридических лиц и т.п.).

В 2025 году Центром проведено 6 внеплановых проверок.

Основаниями для их назначения стали:

1) жалобы субъектов персональных данных и обращения граждан (проверка в отношении ООО «Астомстрой», учреждения образования «Минский государственный колледж железнодорожного транспорта имени Е.П. Юшкевича», ЧУП «АБСОЛЮТДИЛЕР», ООО «Картотека»);

2) уведомление о нарушении системы защиты персональных данных (проверка в отношении ООО «7 Видео»);

3) нарушения законодательства о персональных данных, выявленные по результатам анализа интернет-сайта (проверка в отношении ООО «Прокредит»).

С учетом характера допущенных нарушений эти проверки носили «точечный» характер исключительно по вопросам выявленных нарушений и критической уязвимости.

По итогам проведения внеплановых проверок ООО «Прокредит», учреждению образования «Минский государственный колледж железнодорожного транспорта имени Е.П. Юшкевича» и ООО «7 Видео» выносились письменные требования (предписания) не только об устранении выявленных нарушений, но и о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) в связи с нереализацией (ненадлежащей реализацией) обязательных мер по обеспечению защиты персональных данных.

Камеральные проверки.

В 2025 году проведена 31 камеральная проверка (в 2024 году — 30).

17 камеральных проверок проведено в отношении учреждений высшего образования (далее — УВО) (по вопросу соблюдения законодательства о персональных данных при размещении персональных данных абитуриентов, обучающихся и выпускников на их интернет-ресурсах (в частности, о зачислении обучающихся, списков заселенных в общежитие, составах различных советов, действующих в УВО). В отдельных случаях такие сведения продолжали распространяться, несмотря на то, что они утратили свою актуальность (например, списки заселенных в общежитие были доступны для ознакомления даже после окончания обучающимися УВО).

По итогам этих проверок сведения, которые обрабатывались с нарушением требований Закона, удалены. Во взаимодействии с Министерством образования выработаны подходы в отношении порядка размещения персональных данных на сайтах УВО.

По результатам проведения 8 камеральных проверок уполномоченных лиц, основным бизнес-процессом которых является направление СМС и Viber сообщений, направлены рекомендации в части реализации ими обязательных мер по обеспечению защиты персональных данных, предусмотренных абзацами пятым и шестым пункта 3 статьи 17 Закона.

О взаимоотношениях операторов и уполномоченных лиц.

При осуществлении контроля оценка Центром статуса сторон (оператор, уполномоченное лицо) осуществляется исходя из анализа фактически складывающихся отношений по обработке персональных данных между сторонами. При этом отсутствие в договоре положений (отдельного соглашения) по вопросам обработки персональных данных с определением статуса сторон не влияет на квалификацию организации в конкретных бизнес-процессах.

Поручение операторами обработки персональных данных уполномоченным лицам без обеспечения надлежащего контроля за принятием последними мер по защите персональных данных сопряжено с высокой степенью наступления неблагоприятных последствий для операторов в виде рисков утечки информации, наступления ответственности перед гражданами.

Так, около 20 из 50 нарушений систем защиты персональных данных, имевших место в 2025 году, произошли по вине уполномоченных лиц.

В соответствии с пунктом 3 статьи 7 Закона в случае, если оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Уполномоченное лицо несет ответственность перед оператором.

В 2025 году нарушения, связанные с ненадлежащим поручением обработки персональных данных уполномоченным лицам, выявлялись при проведении практически каждой проверки.

Операторами, как правило, допускаются следующие нарушения:

договоры с уполномоченными лицами составлены без учета положений, предусмотренных пунктом 2 статьи 7 Закона;
к обработке персональных данных привлекаются уполномоченные лица без оценки предоставленных ими гарантий принятия правовых, организационных и технических мер для обеспечения защиты персональных данных в соответствии с требованиями Закона;
не осуществляется контроль за обработкой персональных данных уполномоченными лицами (принимаемыми ими мерами по обеспечению защиты персональных данных, прекращением обработки (удалением, блокированием) персональных данных уполномоченным лицом при отсутствии оснований для обработки персональных данных или по окончании договора).

При привлечении к обработке персональных данных уполномоченных лиц операторам следует принимать во внимание и минимизировать следующие риски:

отрицание обработки персональных данных (обрабатываемые данные не являются персональными) и, как следствие, нереализация мер по обеспечению защиты персональных данных при такой обработке;
ненадлежащая реализация обязательных мер по обеспечению защиты персональных данных либо введение в заблуждение относительно их реализации;
нарушение систем защиты персональных данных, а также неинформирование о подобных инцидентах;
необеспечение реального контроля за действиями уполномоченного лица при обработке персональных данных (например, неудаление персональных данных по достижении целей обработки персональных данных, привлечение субуполномоченного лица, осуществление трансграничной передачи персональных данных без согласования с оператором и т.п.);
обработка уполномоченным лицом персональных данных в своих интересах (иными словами, уполномоченное лицо выходит за пределы полномочий, предоставленных оператором);
использование уполномоченным лицом облачных сервисов, технологий искусственного интеллекта иностранных организаций.

Для организации привлечения к обработке персональных данных уполномоченных лиц в соответствии с требованиями Закона рекомендуем ознакомиться с Рекомендациями Центра о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных.

В октябре 2025 г. Рекомендации дополнены новыми примерами по определению статуса лиц, осуществляющих обработку персональных данных, а также информацией по вопросам:
об определении статуса лица, привлекаемого оператором к работе, напрямую не связанной с обработкой персональных данных, но когда обработка теоретически возможна;
о привлечении оператором уполномоченного лица, являющегося иностранной организацией.

К Рекомендациям прилагаются стандартные положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных.

Упомянутые Рекомендации и иные материалы размещены на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/storage/2025/10/Rekomendacii-s-dopolnenijami-po-sostojaniju-na-22.10.2025.pdf и https://cpd.by/storage/2025/10/Standartnye-predlozhenija-v-dogovor-mezhdu-operatorom-i-upolnomochenn... соответственно).

Ответственность за нарушение законодательства о персональных данных.

Нарушение законодательства о персональных данных влечет, в том числе, административную и уголовную ответственность.

Центр не является органом, ведущим административный процесс, в связи с чем при выявлении в действиях (бездействии) операторов, граждан признаков административного правонарушения, соответствующая информация направлялась в органы внутренних дел, должностные лица которых наделены полномочиями по составлению протоколов об административных правонарушениях.

По результатам контрольных мероприятий, включая рассмотрение жалоб, в 2025 году в 39 случаях (в 2024 году — 75) в органы внутренних дел направлены материалы для решения вопроса о начале административного процесса по статьям 23.7 «Нарушение законодательства о защите персональных данных», 24.1 «Неисполнение письменного требования (предписания)» и 24.11 «Непредставление документов, отчетов и иных материалов» Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП).

Большая часть материалов была направлена по статье 23.7 «Нарушение законодательства о защите персональных данных» КоАП.

По результатам изучения поступившей в Центр информации в 7-ми случаях усмотрены признаки уголовно наказуемых деяний (в части наличия сомнений в подлинности содержащихся в согласиях на обработку персональных данных подписей субъектов персональных данных). Соответствующие материалы направлены в органы внутренних дел для решения вопроса о проведении проверки в рамках уголовно-процессуального законодательства.

План проверок соблюдения законодательства о персональных данных на 2026 год.

Приказом директора Центра от 23 декабря 2025 г. № 107 утвержден план проверок соблюдения законодательства о персональных данных на 2026 год, в который включено 10 операторов (уполномоченных лиц), осуществляющих обработку персональных данных в различных сферах.

При этом в отличие от практики предыдущих лет в план включены отдельные организации, осуществляющих обработку персональных данных преимущественно как уполномоченные лица. Это связано с необходимостью усиления контроля за уполномоченными лицами, которые осуществляют масштабную обработку персональных данных по поручению значительного количества операторов. Кроме того, информационные ресурсы (системы) уполномоченных лиц в 2025 году становились объектом противоправных действий злоумышленников.

Центром разработан примерный перечень вопросов и документов (чек-лист), изучаемых в ходе осуществления плановых или внеплановых проверок. Данный документ может быть использован операторами (уполномоченными лицами) для проведения внутреннего аудита бизнес-процессов на предмет их соответствия Закону как при подготовке к проверке, так и на периодической основе, что будет способствовать профилактике и недопущению наиболее типичных нарушений законодательства о персональных данных.

Документы в чек-листе обобщают лучшие практики по соблюдению Закона, накопленные за период работы Центра.

С перечнем вопросов и документов, изучаемых в ходе осуществления плановых или внеплановых проверок, можно ознакомиться на сайте Центра в подразделе «Контроль за обработкой» раздела «Оператору» (https://cpd.by/zachita-personalnyh-dannyh/operatoru/kontrol-za-obrabotkoj/).

Чек-лист не является исчерпывающим — при проверках могут рассматриваться и иные вопросы в зависимости от особенностей работы каждого оператора и его подходов к рискам.
Важно, чтобы реализуемые меры по защите данных не были формальными. Центром оцениваются не только документы оператора, но и то, как на деле реализуются принятые меры.

Уведомления о нарушении систем защиты персональных данных.

Нарушение систем защиты персональных данных способно причинить серьезный вред правам и законным интересам субъектов персональных данных. Установленная Законом обязанность по уведомлению Центра о таком инциденте направлена на минимизацию его негативных последствий, выявление и устранение всех обстоятельств, ставших его причиной.

Порядок уведомления Центра о нарушениях систем защиты персональных данных определен приказом Центра от 15 ноября 2021 г. № 13 «Об уведомлении о нарушениях систем защиты персональных данных».

Обязанность направления такого уведомления не зависит от количества лиц, затронутых инцидентом, а также от того, обрабатываются ли персональные данные с использованием средств автоматизации или без их использования.

В 2025 году в Центр поступило 50 уведомлений операторов о нарушении систем защиты персональных данных (в 2024 году — 26). Двукратный рост таких уведомлений обусловлен во многом инцидентом информационной безопасности на инфраструктуре зарубежного субуполномоченного лица, которое было привлечено белорусским уполномоченным лицом для рассылки сообщений по поручению 17 операторов.

Причинами направления уведомлений являлись технические инциденты у уполномоченных лиц операторов, приведшие к незаконному распространению персональных данных (утечке), противоправные действия третьих лиц, а также отдельные ошибки работников оператора, приведшие к незаконному предоставлению персональных данных.

Наиболее крупные утечки персональных данных в 2025 году произошли в следующих организациях:

ООО «7 Видео» (злоумышленниками получены персональные данные 176 тыс. человек);

ООО «Астомстрой» (получен несанкционированный доступ к базе данных пользователей сайта https://mile.by, содержащей персональные данные 110 тыс. субъектов).

В 23 случаях инцидентами затронуто незначительное количество граждан (в 17 случаях — не более 5, а в 6 — от 6 до 30). В 3 случаях уведомления касались нарушений при обработке персональных данных, осуществляемой без использования средств автоматизации (несанкционированный доступ к документам оператора на бумажном носителе).

В качестве меры, направленной на минимизацию негативных последствий нарушений систем защиты персональных данных, Центром указывалось операторам на необходимость информирования граждан, затронутых инцидентами (о произошедшем нарушении систем защиты, его причинах, принятых мерах и необходимых действиях субъектов персональных данных для защиты их интересов). Такое информирование способствует повышению бдительности граждан, минимизирует наступление для них неблагоприятных последствий.

В отдельных случаях по итогам проведенных Центром мероприятий информация о факте нарушения систем защиты персональных данных не подтвердилась.

Исходя из абзаца восьмого пункта 1 статьи 16 Закона, обязанность по информированию о нарушении систем защиты персональных данных возложена на оператора. Вместе с тем Центр с положительной стороны отмечает, что об отдельных утечках персональных данных Центр проинформировали в том числе уполномоченные лица, в информационных ресурсах (системах) которых произошли инциденты. Это способствовало оперативному принятию Центром мер по защите прав субъектов персональных данных.

Удаление незаконно обрабатываемых персональных данных.

Центр имеет право требовать от операторов блокирования или удаления полученных незаконным путем персональных данных, прекращения их обработки, если иными способами невозможно обеспечить защиту прав субъектов персональных данных (абзацы шестой и седьмой пункта 8 Положения о Центре).

В 2025 году в результате исполнения вынесенных Центром требований операторами удалено 16,6 млн. записей из информационных ресурсов, а также документов, содержащих персональные данные, которые обрабатывались с нарушением требований Закона (в 2024 году — 24 млн.). При не снижении в сравнении с предыдущим годом интенсивности проведения мероприятий по их выявлению констатируется уменьшение количества операторов, в деятельности которых допущены такие нарушения. Наиболее крупные массивы записей (в совокупности около 14 млн.) удалены 2-мя организациями.

В большинстве случаев требования об удалении персональных данных выносились операторам по результатам рассмотрения жалоб граждан (36 случаев). В 21-м случае удаление данных стало результатом устранения нарушений, выявленных по итогам плановых или внеплановых проверок.

Основаниями для вынесения таких требований послужили преимущественно обработка персональных данных без надлежащих правовых оснований, а также обработка персональных данных, которые являются избыточными для достижения конкретной цели (например, копий документов, удостоверяющих личность, свидетельств о рождении, фотографий, видео- и аудиозаписей, идентификационных номеров, сведений о привлечении к административной или уголовной ответственности, адресах места жительства и т.п.).

Требования об удалении копий документов, удостоверяющих личность, выносились операторам 4 раза, что в 2,5 раза меньше по сравнению с 2024 годом. Этому способствовала в том числе проводимая Центром разъяснительная работа.

С более подробной информацией по данному вопросу можно ознакомиться на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/storage/2025/01/6-Gosorgany-razjasnenie-po-kopijam-pasporta.pdf).

Полагаем целесообразным еще раз обратить внимание на то, что сбор и хранение копий документов, удостоверяющих личность, влечет дополнительные риски для операторов и субъектов персональных данных по совершению противоправных действий третьими лицами. Копии этих документов являются ценным «активом», который привлекает внимание злоумышленников.

Добровольный аудит

В 2025 году проведен добровольный аудит соблюдения требований законодательства о персональных данных в отношении 5 операторов, осуществляющих масштабную обработку персональных данных из различных сфер (банковской, торговли и общественного питания, организация застройщик, сетевое издание).

Возможность проведения таких мероприятий воспринимается операторами позитивно, поскольку позволяет получить экспертное мнение о соблюдении ими законодательства о персональных данных без риска вынесения обязательного для исполнения требования об устранении нарушений законодательства о персональных данных (зачастую в сжатые сроки) и привлечения оператора (его должностных лиц) к административной ответственности.

Операторы обращались преимущественно за анализом конкретных бизнес-процессов, несоответствие которых требованиям законодательства о персональных данных может нести значительные риски для бизнеса (затраты на устранение нарушений вследствие жалоб субъектов персональных данных, нарушение системы защиты персональных данных и т.п.).
В ходе проведения аудита Центром не только указываются нарушения законодательства о персональных данных, но и предлагаются конкретные алгоритмы по их устранению. Подготовка документов, подлежащих принятию операторами для соблюдения законодательства о персональных данных, при этом не осуществляется.

Подробнее о проведении аудита можно ознакомиться на сайте Центра (https://cpd.by/zachita-personalnyh-dannyh/operatoru/audit/).

По итогам проведения аудита направляются рекомендации, которые в отличие от требований об устранении нарушений, вынесенных по итогам плановых и внеплановых проверок, не являются обязательными. Тем не менее, Центром с положительной стороны отмечается, что операторами инициативно принимаются меры по устранению выявленных нарушений законодательства о персональных данных и совершенствованию своей деятельности. Проводятся также встречи с руководителями и работниками операторов, на которых обсуждаются актуальные вопросы соблюдения законодательства о персональных данных с учетом особенностей деятельности конкретного оператора.

Как показывает практика, на операторов, в отношении которых проведен добровольный аудит, поступает значительно меньше жалоб субъектов персональных данных (либо не поступает вовсе). Важно также отметить, что основания для проведения плановых и внеплановых проверок операторов, в отношении которых в 2022 — 2025 годах проводились аудиты, отсутствовали.

Методологическая деятельность

Методологические документы

В 2025 году акцент в методологической деятельности Центра был сделан на подготовке разъяснений по наиболее волнующим граждан и операторов вопросам для социальной сферы, а также на разработке образцов, форм документов и иных типовых решений для использования операторами при организации работы по реализации Закона.

1. Во взаимодействии с Министерством антимонопольного регулирования и торговли подготовлены Разъяснения об обработке персональных данных при направлении рекламной рассылки с использованием абонентского номера и адреса электронной почты.

Указанные Разъяснения размещены на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/storage/2025/01/17-Razjasnenija-po-reklame-NCZPD_MART.pdf).

В Разъяснениях обозначены ключевые подходы к такой обработке, в том числе к обеспечению правовых оснований, информированного согласия и прозрачного характера обработки.
Обработка персональных данных для целей направления рекламной рассылки осуществляется на основании согласия.

Субъекты персональных данных должны иметь возможность выбирать, какие именно контактные данные они готовы предоставить для целей получения рекламной рассылки и готовы ли они получать, например, не только сообщения, но и звонки с рекламными предложениями.

В качестве способов коммуникации для целей получения рекламной рассылки гражданин может выбрать один или несколько следующих способов:

направление рекламы на электронную почту;
направление рекламы на абонентский номер (исключая звонки);
рекламные звонки на абонентский номер.

Если согласие на получение рекламы дано рекламораспространителю, то он должен быть и отправителем рекламного сообщения (сообщение должно содержать его наименование).
Рекламораспространитель, которому дано согласие на получение рекламы, обязан получить отдельное согласие субъекта персональных данных на направление рекламной рассылки от третьих лиц.

2. В целях оказания методологической помощи субъектам малого предпринимательства (в том числе индивидуальным предпринимателям, самозанятым, блогерам, ремесленникам, субъектам агроэкотуризма) в построении системы защиты персональных данных при организации и осуществлении их деятельности подготовлены соответствующие Разъяснения.

Указанные Разъяснения размещены на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/storage/2025/09/Razjasnenija_malyj-biznes_2025.pdf).

В них освещены как общие вопросы реализации Закона с учетом особенностей правового статуса субъектов малого предпринимательства (их статус при обработке персональных данных, требования и правовые основания, меры по обеспечению защиты персональных данных), так и частные, наиболее характерные для данной категории операторов случаи обработки персональных данных (использование работником личного номера телефона для взаимодействия с клиентами, видеонаблюдение, трансграничная передача персональных данных, обработка файлов cookie).

Разъяснения включают в том числе чек-лист по приведению деятельности операторов (субъектов малого предпринимательства) в соответствие с требованиями Закона, который может помочь бизнесу в самостоятельной оценке своей деятельности на предмет ее соответствия Закону.

В чек-листе также детально разъяснено, где найти необходимые формы документов и дополнительную информацию по вопросам защиты персональных данных с соответствующими ссылками на сайт Центра.

3. В целях оказания поддержки учреждениям здравоохранения (поликлиникам, обслуживающим взрослое и (или) детское население) по приведению деятельности в соответствие с Законом разработан и согласован с Министерством здравоохранения пакет примерных документов по реализации обязательных мер по обеспечению защиты персональных данных в данных учреждениях, который включает в себя:

политику в отношении обработки персональных данных;
политику видеонаблюдения;
примерные реестры обработки персональных данных.

Все документы размещены на сайте Центра и доступны для ознакомления и скачивания в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/pravovaya-osnova/metodologicheskie-dokumenty-test/razjasnenija-po-voprosam-zashhity-p....

В реестрах обработки персональных данных отражены практически все имеющиеся в поликлиниках цели обработки персональных данных, а для каждой цели — объем собираемых персональных данных, правовые основания обработки и сроки их хранения.

Реестры призваны обеспечить понимание процессов обработки персональных данных в указанных учреждениях и, соответственно, соблюдение ими требований, установленных статьей 4 Закона.

В сфере здравоохранения обрабатывается колоссальный массив персональных данных пациентов, медицинских работников, иных лиц. Это не только информация о фамилии, имени, отчестве, месте жительства, но и сведения о состоянии здоровья, наличии заболеваний, диагнозах, иные сведения, в том числе личного характера.

Персональные данные, касающиеся здоровья человека, относятся к специальным персональным данным, для которых установлен особый режим обработки, а также составляют охраняемую законом врачебную тайну.

Обеспечение защиты таких конфиденциальных данных является важной задачей всех организаций здравоохранения, независимо от видов оказываемой медицинской помощи. Недостаточное внимание к вопросам защиты персональных данных и несоблюдение требований законодательства в этой области могут повлечь за собой серьезные риски и негативные последствия для граждан.

Перечисленные документы являются примерными, их необходимо адаптировать применительно к деятельности конкретного учреждения с учетом ее особенностей и законодательства, регулирующего виды оказываемой медицинской помощи.

Данные типовые решения могут также использоваться иными организациями здравоохранения (как государственными, так и частными) в качестве основы при разработке необходимых им документов.

4. Актуализированы, в том числе с учетом изменений законодательства и поступавших в Центр обращений и жалоб, и согласованы с Министерством образования Разъяснения о применении законодательства о персональных данных в деятельности учреждений дошкольного, общего среднего и специального образования.

Актуальные Разъяснения размещены на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/storage/2025/11/Razjasnenija-o-primenenii-ZPD-v-dejatelnosti-USO-i-UDO-21.11.2025.pdf....

Документ затрагивает как общие вопросы реализации Закона, так и особенности применения законодательства о персональных данных в деятельности учреждений образования при:

размещении на сайте учреждения образования информации о руководителях, педагогических работниках, участниках мероприятий;
получении материальной помощи к учебному году семьями, воспитывающими троих и более детей;
создании банка данных о детях с особенностями психофизического развития и др.

5. Обновлены Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Изменения основаны на анализе сложившейся в республике практики составления политик и направлены на обеспечение их доступности для восприятия гражданами, стандартизацию подходов к их разработке, упрощение практической реализации требований Закона и снижение административной нагрузки на организации при его реализации.

В Рекомендациях, в частности, закреплены следующие новации:

для удобства восприятия политик гражданами для каждой цели обработки персональных данных предлагается указывать категории субъектов, чьи данные обрабатываются, перечни обрабатываемых персональных данных, правовые основания их обработки и сроки хранения персональных данных;
развивается практика издания нескольких политик. В случае большого количества бизнес-процессов, целей обработки персональных данных оператору (уполномоченному лицу) для улучшения их понимания гражданами целесообразно разрабатывать политики по отдельным направлениям деятельности или в отношении отдельных категорий субъектов персональных данных (политику видеонаблюдения, в трудовых отношениях и т.п.);
совершенствуются способы обеспечения неограниченного доступа к политике, в том числе при наличии у оператора (уполномоченного лица) нескольких сайтов, мобильного приложения, страницы в социальной сети. Предложены варианты обеспечения неограниченного доступа к политике видеонаблюдения, политике обработки персональных данных в процессе трудовой деятельности;
указываются способы отражения информации об уполномоченных лицах, а также об иностранных государствах, в которые осуществляется трансграничная передача персональных данных.

Разработаны примерные формы:

политики в отношении обработки персональных данных, предусматривающей общие процессы обработки персональных данных;
политики обработки персональных данных в процессе трудовой деятельности;
политики обработки файлов cookie, издание которой необходимо для операторов (уполномоченных лиц), осуществляющих обработку не только технических cookie-файлов;
политики видеонаблюдения;
информации о правах субъектов персональных данных.

Актуальные Разъяснения и примерные формы политик размещены на сайте Центра в подразделе «Методологические документы» раздела «Правовая основа» (https://cpd.by/pravovaya-osnova/metodologicheskie-dokumenty-test/razjasnenija-po-voprosam-zashhity-p....

В примерных политиках за основу взяты наиболее типичные процессы обработки персональных данных безотносительно к конкретным сферам, которые могут быть адаптированы оператором (уполномоченным лицом) под осуществляемую им обработку персональных данных с учетом специфики деятельности.

Документы рассмотрены консультативным советом при Национальном центре защиты персональных данных и одобрены им.

6. Дополнены Рекомендации Центра о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных (подробнее об этом изложено в подразделе «О взаимоотношениях операторов и уполномоченных лиц» раздела III настоящего отчета).

7. В целях совершенствования методологического сопровождения ведения административного процесса и принимаемых процессуальных решений подготовлены и направлены в Министерство внутренних дел материалы для использования в работе органов внутренних дел (предложения по дополнению учебно-методического пособия «Особенности ведения административного процесса по делам об административных правонарушениях, предусмотренных статьей 23.7 КоАП Республики Беларусь», макеты дополнительных процессуальных документов для подготовки к рассмотрению дел об административных правонарушениях по статьям 23.7, 24.1 и 24.11 КоАП, наглядные блок-схемы по отдельным вопросам защиты персональных данных, вызывающим затруднения при применении законодательства).

Центром также подготовлен аналитический обзор по вопросам применения положений Уголовного кодекса Республики Беларусь и КоАП, предусматривающих ответственность за нарушение законодательства о персональных данных, основные положения которого в порядке взаимодействия также направлены в Министерство внутренних дел.

8. Подготовлены ответы на наиболее популярные вопросы об обработке персональных данных с использованием иностранных мессенджеров (Viber, Telegram, WhatsApp и др.):

о рисках для защиты персональных данных при использовании иностранных мессенджеров;
о допустимости использования иностранных мессенджеров для получения организациями копий и фотографий документов;
о соразмерности такой обработки персональных данных заявленной цели, если оператор осуществляет ее для выполнения обязанностей, предусмотренных законодательными актами.

С ответами на эти и другие вопросы в части трансграничной передачи персональных данных можно ознакомиться на сайте Центра в разделе «Ответы на часто задаваемые вопросы» (https://cpd.by/populyarnoye-na-sayte/otvety-na-chasto-zadavayemyye-voprosy/).

При использовании операторами (уполномоченными лицами) иностранных мессенджеров осуществляется трансграничная передача персональных данных в страны, не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных, что требует наличие правового основания, предусмотренного пунктом 1 статьи 9 Закона.

При этом должны быть учтены как существующие риски использования иностранных мессенджеров для обработки персональных данных, так и требования пункта 2 статьи 4 Закона о соразмерности обработки заявленным целям и обеспечении справедливого соотношения интересов всех заинтересованных лиц.

Использование иностранных мессенджеров в рамках договорных отношений должно носить исключительный характер, связанный, как правило, с выражением субъектом персональных данных желания относительно использования такого канала связи (например, путем проставления им дополнительной отметки в тексте договора, заявления и иного подобного документа либо инициативного обращения к оператору по мессенджеру).

Инициируя использование иностранных мессенджеров для коммуникации с субъектом персональных данных, оператор должен предоставить возможность использования иных, кроме личного посещения, удобных гражданам альтернативных каналов связи с ним, которые не сопряжены с рисками, существующими при трансграничной передаче персональных данных в иностранные государства, не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных (например, посредством использования мобильной связи, мобильного приложения, личного кабинета на сайте, «белорусской» электронной почты и т.п.).

Не совместимы с пунктом 2 статьи 4 Закона действия оператора по использованию иностранных мессенджеров в качестве единственного канала взаимодействия, в рамках которого осуществляется обработка (сбор, предоставление) персональных данных. Исключение составляют случаи, когда использование иных средств, не предполагающих трансграничную передачу, невозможно либо крайне затруднительно (например, в экстренных ситуациях либо при необходимости установления связи при нахождении за границей).

Оператор не вправе требовать предоставления посредством иностранных мессенджеров фотоизображений (копий) документов, содержащих персональные данные граждан.

В свою очередь, гражданам Центр рекомендует при использовании иностранных мессенджеров:

избегать отправки своих паспортных данных, сведений о банковских счетах, паролей и другой чувствительной информации;
ознакомиться с настройками конфиденциальности мессенджера, ограничить доступ к своим данным;
включить двухфакторную аутентификацию для добавления дополнительного уровня безопасности;
при установке мессенджера обращать внимание на запрашиваемые права на доступ к информации, хранящейся на устройстве гражданина;
регулярно обновлять приложения.

9. В целях упрощения процесса реализации субъектами персональных данных своих прав, предусмотренных статьями 10 — 13 Закона, подготовлены шаблоны (образцы) заявлений в адрес оператора:

на отзыв согласия на обработку данных;
на получение информации, касающейся обработки персональных данных;
на изменение персональных данных;
на получение информации о предоставлении персональных данных третьим лицам;
на прекращение обработки персональных данных и (или) их удаление.

Указанные шаблоны размещены на сайте Центра в подразделе «Реализация прав субъектов персональных данных» раздела «Защита персональных данных. Гражданину» (https://cpd.by/zachita-personalnyh-dannyh/grajdaninu/podacha-obrashhenija-operatoru/realizacija-prav....

Граждане могут скачать подходящий шаблон, заполнить «шапку», указав сведения о себе и об операторе, к которому они хотят обратиться, и отправить документ нужному оператору.

10. Подготовлено и издано учебное пособие «Меры по обеспечению защиты персональных данных».

Электронная версия учебного пособия размещена на сайте Центра в подразделе «Актуальные материалы» раздела «Популярное на сайте» и доступна для скачивания (https://cpd.by/storage/2025/08/POSOBIE-MERY-PO-OBESPEChENIJu-ZAShhITY-PERSONALNYH-DANNYH-2025.pdf).

Реализация мер по обеспечению защиты персональных данных представляет собой одно из ключевых направлений, нацеленных на соблюдение законодательства о персональных данных. Более того, реализация таких мер позволяет обеспечить баланс интересов граждан и лиц, осуществляющих обработку их персональных данных.

В учебном пособии дается общая характеристика требований законодательства о персональных данных в отношении системы мер по защите персональных данных, разъясняется суть риск-ориентированного подхода, заложенного в Законе, подробно излагается содержание законодательных требований по обеспечению защиты персональных данных, предлагаются возможные варианты реализации таких мер на практике. Особое внимание уделено типичным ошибкам, которые допускают операторы (уполномоченные лица) при реализации требований законодательства о персональных данных.

Учебное пособие адресовано слушателям, проходящим повышение квалификации в Центре, а также может быть полезным для преподавателей, обучающихся учреждений высшего образования, учреждений дополнительного образования взрослых.

11. Разработаны материалы для тематических уроков и занятий о защите персональных данных в учреждениях дошкольного и общего среднего образования.

Материалы содержат полезные презентации, задания, информационные карточки, которые помогают детям в доступной для них форме познакомиться с законодательством о персональных данных и правами человека в части их обработки, узнать, как безопасно обращаться с личной информацией. К ним также прилагаются памятки для педагогов по организации и проведению тематических занятий и уроков.

Данные материалы размещены на сайте Центра в разделе «Детям о персональных данных» и доступны для скачивания (https://cpd.by/populyarnoye-na-sayte/detjam-o-personalnyh-dannyh/uroki-bezopasnosti/).

Работа консультативного совета при Национальном центре защиты персональных данных.

Это совещательный орган, действующий на общественных началах, в состав которого входят представители государственных органов, бизнес-сообществ, практикующие юристы, эксперты в сфере защиты персональных данных. Одной из задач совета является выработка предложений и рекомендаций по совершенствованию законодательства о персональных данных и практики его применения.

Советом рассмотрены вопросы:

о внесении изменений в Рекомендации Центра по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, с учетом практики их применения;
о защите персональных данных и их обработке при использовании технологий больших данных и искусственного интеллекта (по итогам проведенных в ноябре 2024 г. парламентских слушаний на тему «Развитие цифрового права в Республике Беларусь»). Экспертами обозначена важность сочетания цифрового развития, применяемых передовых технологий с комплексными мерами по защите личной информации граждан.

Взаимодействие с государственными органами.

В республике на законодательном уровне задан вектор на цифровое развитие, охватывающее практически все сферы, определены его основные направления до 2030 года. При этом неправомерное использование персональных данных в цифровой среде может повлиять как на безопасность граждан, репутацию организаций, осуществляющих их обработку, так и представлять угрозу национальной безопасности.

Создание условий для защиты персональных данных и безопасности личности и общества при их использовании гарантированы Конституцией Республики Беларусь. Их выполнение требует активного участия государственных органов, реализующих государственную политику в различных сферах.

Согласно Концепции обеспечения суверенитета Республики Беларусь в сфере цифрового развития до 2030 года, утвержденной постановлением Совета Министров Республики Беларусь от 31 декабря 2024 г. № 1074, одним из направлений обеспечения суверенитета Республики Беларусь в сфере цифрового развития является повышение уровня актуальных ИТ-компетенций всех категорий специалистов, включая руководящий состав.

В этой связи Центр в разных форматах (встречи с трудовыми коллективами, участие в совещаниях, коллегиях, семинарах и т.п.) осуществляет активное взаимодействие с государственными органами, в рамках которого обсуждаются актуальные вопросы построения системы защиты персональных данных в преломлении к специфике их деятельности.

1. В 2025 году такие мероприятия проведены Центром, в частности:

в Секретариате Совета Республики Национального собрания Республики Беларусь;

в Управлении делами Президента Республики Беларусь для руководителей подчиненных ему организаций;

с руководством Министерства здравоохранения и подчиненных ему организаций;

для инженеров по подготовке кадров организаций системы Министерства лесного хозяйства;

в Министерстве образования для руководителей и специалистов, ответственных за взаимодействие со средствами массовой информации (далее — СМИ);

для работников Министерства природных ресурсов и охраны окружающей среды, Министерства энергетики и руководителей государственных организаций, подчиненных этим министерствам;

для руководителей территориальных органов принудительного исполнения, работников, осуществляющих обязательную юридическую экспертизу и (или) подготовку ведомственных нормативных правовых актов Министерства юстиции, работников кадровых служб, должностных лиц, ответственных за обеспечение идеологической работы, данного Министерства и входящих в его систему органов и организаций;

в Государственном таможенном комитете;

в Могилевском областном исполнительном комитете на семинаре по вопросам совершенствования работы с обращениями граждан и юридических лиц;
для работников экономического суда Витебской области;

для сотрудников подразделений ГУВД Мингорисполкома и территориальных органов внутренних дел г. Минска;

в Минском городском управлении Фонда социальной защиты населения Министерства труда и социальной защиты;

для участников Клуба по постинтернатному сопровождению детей-сирот, детей, оставшихся без попечения родителей, и лиц из их числа Минской области и г. Минска. Мероприятие проводилось международным общественным объединением «SOS-Детские деревни» совместно с государственным учреждением «Территориальный центр социального обслуживания населения Минского района».

2. В 2025 году с участием Министерства образования также проведен цикл мероприятий для руководителей и специалистов по обеспечению внутреннего контроля за обработкой персональных данных учреждений образования всех уровней образования.

Такие мероприятия организованы:

28 мая на базе государственного учреждения образования «Республиканский институт высшей школы» для учреждений высшего образования;
24 июня на базе государственного учреждения образования «Академия образования» для учреждений дошкольного, общего среднего и специального образования
14 августа на площадке учреждения образования «Республиканский институт профессионального образования» для учреждений профессионально-технического и среднего специального образования.

В их ходе подведены итоги взаимодействия Центра с Министерством образования и учреждениями образования по организации надлежащей реализации Закона в этих учреждениях, представлен комплекс разработанных Центром методологических документов, образцов, форм для использования учреждениями образования, обсуждены актуальные вопросы защиты персональных данных и перспективы дальнейшего взаимодействия с Центром.

Учреждениям дошкольного, общего среднего и специального образования также были представлены подготовленные Центром материалы для тематических уроков и занятий с детьми о защите персональных данных.

Участие в нормотворческой деятельности.

В Концепции правовой политики Республики Беларусь, утвержденной Указом Президента Республики Беларусь от 28 июня 2023 г. № 196, в качестве одной из задач в сферах конституционного законодательства и законодательства о государственном управлении обозначена задача своевременной актуализации законодательства и совершенствование практики обработки персональных данных.

Закон является базовым законодательным актом, закрепляющим общие подходы и требования к обработке персональных данных независимо от сферы деятельности, которые должны учитываться при регламентации конкретных общественных отношений, сопряженных с обработкой персональных данных, в отраслевом законодательстве.

Ввиду активной нормотворческой деятельности государственных органов (организаций) вопросы соблюдения требований Закона при определении содержательного наполнения отраслевого законодательства в части, относящейся к обработке персональных данных, остаются актуальными, что подтверждается, в том числе ростом количества проектов нормативных правовых актов, рассмотренных Центром в 2025 году.

С 27 марта 2024 г. в Регламент Совета Министров Республики Беларусь, утвержденный постановлением Совета Министров Республики Беларусь от 14 февраля 2009 г. № 193, внесены изменения, предусматривающие при внесении в Правительство проектов по вопросам обработки персональных данных необходимость приложения к ним информации о результатах их рассмотрения Центром.

Так, в 2025 году Центром рассмотрен 281 нормативный правовой акт, международный договор (далее — нормативные правовые акты) и их проекты. Это в 3,75 раза больше по отношению к 2022 году, в 2,5 раза — по отношению к 2023 году и в 1,65 раза — по отношению к 2024 году.

из них:

Основные вопросы, возникающие при рассмотрении Центром нормативных правовых актов и их проектов, касаются:

исключения не несущих правовой нагрузки и усложняющих законодательство норм об обработке персональных данных без согласия в случаях, когда обработка осуществляется для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
установления объективно необходимого (минимального) объема персональных данных, обрабатываемых в рамках соответствующих общественных отношений. Особенно актуальным это является применительно к устанавливаемым формам (образцам) документов, заявлений;
регламентации порядка функционирования информационных ресурсов, предоставления сведений из них, а также порядка обмена информацией (ее получения, предоставления) при выполнении возложенных на государственные органы (организации) функций.

В целях выработки единообразных подходов к рассмотрению проектов нормативных правовых актов в части положений, касающихся обработки персональных данных, в сентябре 2025 года на базе проведена встреча с работниками Министерства юстиции, в должностные обязанности которых входит подготовка проектов нормативных правовых актов, их согласование, проведение обязательной юридической экспертизы, в рамках которой разобраны типичные ошибки, допускаемые при подготовке нормативных правовых актов, основные направления совершенствования законодательства и приведения его в соответствие с требованиями статьи 4 Закона.

Для охвата более широкого круга таких специалистов вопрос о реализации Закона в национальном законодательстве включен по инициативе Центра в образовательную программу повышения квалификации «Актуальные вопросы нормотворческой деятельности на современном этапе конституционно-правового развития Республики Беларусь», реализуемую учреждением образования «Институт переподготовки и повышения квалификации судей, работников прокуратуры, судов и учреждений юстиции Белорусского государственного университета».

V. Просветительская и разъяснительная деятельность

1. Центр является субъектом правового просвещения в рамках реализации Плана мероприятий по правовому воспитанию и просвещению граждан в 2024 — 2029 годах, утвержденного постановлением Совета Министров Республики Беларусь от 12 января 2024 г. № 24.

При проведении данной работы в 2025 году использовались современные форматы доведения информации и релевантные каналы коммуникации для разных аудиторий.

Так, в Международный день интернета запущен проект «PROприватность PROсто», который направлен на повышение осведомленности детей о защите персональных данных и безопасности в сети. В тематическом видеоблоге в TikTok публикуются короткие видео с полезными советами, лайфхаками и рекомендациями экспертов по безопасности данных.

Организован цикл мероприятий о безопасности личной информации для школьников, учащихся учреждений среднего специального и высшего образования. Активно внедрялись интерактивные формы просвещения и геймификация, а встречи с молодежной аудиторией на протяжении года проводились в виде квизов, презентаций, профориентационного ток-шоу «Кто хочет стать прайвасистом?».

Разработаны буклеты с тематическим стикерпаком и актуальными материалами для детей, родителей и педагогов.

На сайте Центра раздел «Детям о персональных данных» пополнился тематическими материалами, содержание которых адаптировано для детской аудитории.

Школьникам и студентам в течение года была предоставлена возможность посетить Центр. Для учащихся начальных классов проводились интерактивные экскурсии, которые объединяют в себе не только познавательные, но и игровые моменты: «персональные загадки» и «путешествие по миру защиты личной информации». Для старших классов и студентов проводились тематические квизы по защите персональных данных и профориентационные встречи. Были организованы тематические мероприятия для студентов и учащихся в регионах: в городах Могилев, Несвиж и Витебск.

В целом в 2025 году в мероприятиях, проведенных Центром, приняли участие более 1,2 тыс. детей и молодежи.

2. В течение года в Центре проводились Дни открытых дверей, которые традиционно организуются в канун Международного дня защиты персональных данных, в рамках годовщины начала реализации курсов повышения квалификации и по случаю дня создания Центра.

В рамках Международного дня защиты персональных данных в январе 2025 г. состоялся круглый стол с участием специалистов, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и онлайн-митап «Тренды защиты персональных данных: мировая практика, локальные реалии, перспективы развития».

В марте в Центре состоялась тематическая встреча «Баланс Прав. Как защитить потребителей и их персональные данные», посвященная Дню Конституции и Дню потребителей.

Для граждан, которые столкнулись с нарушением своих прав при обработке персональных данных, в сентябре был организован «Офис правовой помощи», где любой желающий смог получить консультацию по широкому кругу вопросов, связанных с защитой личных данных.

Для организаций в этот день прошел «Офис правовой помощи для бизнеса» в формате консультаций по вопросам трансграничной передачи персональных данных, проектирования и разработки продуктов, услуг и систем с учетом принципов конфиденциальности.

В ноябре проведен День открытых дверей, приуроченный к четырехлетию со дня создания Центра. В этот день состоялась экспертная встреча с представителями СМИ, на которой обсуждены актуальные вопросы обработки персональных данных в профессиональной деятельности журналистов, СМИ, организаций, осуществляющих издательскую деятельность, рассмотрены практические кейсы и проблемные вопросы. Мероприятие проходило при поддержке Министерства информации и собрало представителей более 20 СМИ.

3. Центром принято участие в подготовке материалов для Единого дня информирования по теме «Кибербезопасность и профилактика киберпреступности». В ноябре в Минской городской ратуше прошел столичный инфострим по данной тематике. На мероприятии работники Центра осветили вопросы защиты персональных данных граждан, ответили на вопросы идеологического актива столицы. К онлайн-трансляции присоединились более тысячи зрителей.

4. Центром активно поддерживаются значимые проекты и инициативы Белорусского республиканского союза юристов.

В 2025 году Центр третий год подряд выступил партнером фестиваля школьников и студентов «Медиация будущего», ежегодно организуя интерактивную площадку по обсуждению вопросов защиты личной информации, безопасного интернет-пространства для детей.

Традиционно Центр выступил соорганизатором Белорусского юридического форума «Право в современном мире» (декабрь), организовав тематическую секцию «Защита персональных данных: кто эффективнее — человек или технологии». На одной площадке собралось более 250 юристов, специалистов по защите данных и информационной безопасности, обсудивших актуальные вопросы развития этой сферы.

При участии Центра в декабре 2025 г. зарегистрировано отделение специалистов по защите персональных данных общественного объединения «Белорусский республиканский союз юристов» (по профессиональной принадлежности). Это решение стало важным этапом в формировании сообщества, которое объединяет экспертов в области защиты персональных данных в организациях различных форм собственности.

Отделение специалистов по защите персональных данных получило статус юридического лица и право самостоятельного членства. В его состав могут входить не только юристы, но и представители других профессий, в том числе IT-специалисты, менеджеры по информационной безопасности. Такой междисциплинарный подход позволит объединить усилия в решении актуальных задач, связанных с защитой персональных данных, и выработке единых стандартов работы в рамках реализации организационных, правовых и технических мер, предусмотренных законодательством.

Ключевые направления деятельности отделения:

обмен образовательными и аналитическими материалами;
использование практических наработок специалистов при подготовке предложений по совершенствованию законодательства и выработке методических документов;
проведение конференций, семинаров, форумов и рабочих встреч;
развитие международных связей, прежде всего в рамках Союзного государства и Евразийского экономического союза (далее — ЕАЭС).

5. В 2025 году Центром был организован ряд просветительских мероприятий для субъектов малого предпринимательства.

Главный акцент данной работы направлен на формирование ответственного отношения к обработке персональных данных, проактивный подход и превентивные стратегии, приоритетной целью которых является предотвращение инцидентов с личными данными.

На протяжении года проведен цикл конференций и семинаров для бизнеса во всех областных городах, который завершен на площадке Белорусского государственного экономического университета бизнес-интенсивом «Защита персональных данных: реальные кейсы, эффективные стратегии», куда были приглашены представители государственных организаций, бизнес-союзов, клубов, руководители компаний малого и среднего бизнеса, специалисты по защите персональных данных, информационным технологиям, информационной безопасности. Всего в данном проекте приняло участие более 1,3 тыс. человек.

Представители Центра выступали в качестве спикеров и экспертов на различных мероприятиях, посвященных актуальным вопросам защиты данных, информационной безопасности, цифровизации, в том числе:

на конференции «От мифов к практике: как бизнесу защитить данные клиентов»;

на конференции «Технологии защиты информации и информационная безопасность организаций» (IT-Security Conference);

на семинаре «Перспективы развития кадрового потенциала в 2025 году» для руководителей HR-департаментов, директоров по персоналу банков и НКФО;

на потоке «DPO EDUCATION — 2025» для юристов, специалистов в области защиты персональных данных и информационной безопасности;

на XXI Международном форуме по банковским информационным технологиям «БАНКИТ-2025».

на конференции «Современный банковский бизнес: от традиций к инновациям»;

на конференциях для предпринимателей, проводимых на площадках Центров притяжения «Igrow» ОАО «Белагропромбанк» в городах Гомель и Минск;

на деловой конференции «Цифровая трансформация предприятий и отраслей в Республике Беларусь». Центр являлся экспертным партнером данной конференции.

В рамках форума «Digital Expo» Центром была организована пленарная дискуссия и кейс-сессия «Устойчивые подходы к защите персональных данных: баланс интересов организаций и прав граждан».

6. Цифровые коммуникации прочно укрепились в обществе, ввиду чего правовое просвещение активно проводилось и через социальные сети, мессенджеры, видеоплатформы, официальный сайт Центра.

В социальных сетях в доступной форме, в том числе в рамках рубрик #Вопрос_Ответ, #Кейсы_из_практики, #Важно_знать и т.д., давались ответы на часто задаваемые вопросы, а также разбирались кейсы с нарушениями у операторов, жалобы субъектов персональных данных, разъяснялись права граждан.

Первостепенный акцент в данной работе ставился на профилактику мошеннических и иных противоправных действий с персональными данными посредством публикаций дайджестов с новыми схемами преступлений, связанных с персональными данными. Вовлеченность таких публикаций достигала 50 тыс. просмотров, что свидетельствует об актуальности темы и выбранного формата подачи информации.

В аккаунтах Центра на платформе TikTok и сети Instagram размещались короткие ролики с советами по безопасности персональных данных в интернете, содержание подавалось в юмористическом формате, в том числе с использованием популярных мемов.

По-прежнему, наиболее вовлеченная аудитория Центра в Telegram. За 2025 год аудитория канала «Центр персональных данных» выросла на 2,2 тыс. и составила 13,4 тыс. подписчиков.

Аудитория всех социальных сетей, мессенджеров и иных интернет-ресурсов (с учетом среднесуточной посещаемости сайта) Центра превысила 17 тыс. человек.

Официальный сайт Центра cpd.by (цпд.бел) демонстрировал устойчивый прирост уникальных посетителей и активности на страницах: ежедневно его посещали порядка 2 тыс. человек.

Регулярное обновление контента, увеличение трафика социальных сетей и мессенджеров, частое упоминание тематики защиты личных данных в медиа способствуют доведению до широкого круга лиц информации о создаваемых государством условиях для защиты персональных данных, разъяснений и рекомендаций, ключевых вопросах в этой сфере, а также правилах цифровой гигиены и безопасности личной информации.

В течение года проводился поэтапный редизайн сайта, созданы новые тематические разделы и блоки, улучшена мобильная версия. Для удобства пользователей информация структурирована и размещена по тематическим разделам.

В настоящее время Центр присутствует в следующих социальных сетях:
https://www.instagram.com/cpd_by/;
https://t.me/cpd_by;
https://www.youtube.com/channel/UCZ7YB80BA-TvXW4sqpqV6mg;
https://by.linkedin.com/company/cpd-by;
https://www.linkedin.com/company/edu-cpd-by/;
https://tiktok.com/@pro_privatnost_prosto;
https://tiktok.com/@cpd_by;
https://www.facebook.com/share/1BdofZfYhN/.

7. В марте 2025 года стартовала новая социальная рекламная кампания, посвященная правам человека в сфере обработки персональных данных. Центром представлена серия ярких сюжетов в стиле «вредных советов», аудио- и видеоролики содержат комичные рекомендации о том, как не стоит обращаться с персональными данными. За шутками стоит важное предупреждение о необходимости рачительного отношения к личным данным.

Основная идея этой кампании — напомнить гражданам, что Закон позволил человеку стать «общественным контролером» в отношении обработки его персональных данных посредством реализации предоставленных ему прав субъектов персональных данных.

Социальная реклама Центра в 2025 году ротировалась в эфирах 22 республиканских и региональных телерадиоканалов, размещена на более чем 300 билбордах и лайтпостерах в 60 городах Беларуси. Наряду с распространением рекламы Центром, операторы наружной рекламы самостоятельно изготавливали и распространяли социальную рекламу на рекламных конструкциях в городах страны.

Тематические ролики и листовки размещались в банках, страховых организациях, организациях торговли, здравоохранения, на информационных стендах учреждений образования, вокзалах, в салонах общественного транспорта, на объектах Белорусской железной дороги, Минского метрополитена.

Социальная реклама также транслировалась на различных видеоплатформах и в социальных сетях для охвата широкой аудитории, что, в свою очередь, является доступным инструментом правового просвещения.

8. Выстроена эффективная коммуникация со СМИ, сетевыми ресурсами, крупными медиаплощадками в части распространения информации о защите персональных данных, направлениях деятельности Центра, в том числе проводимой методологической и разъяснительной работе, контрольной деятельности, работе с обращениями граждан и юридических лиц. Особое внимание уделяется формированию в обществе социальной значимости и ценности персональных данных.

В течение 2025 года в СМИ и на других медиаплощадках опубликовано и вышло в эфир более 1070 материалов и интервью. В отчетный период упор сделан на проведении масштабной разъяснительной работы для малого и среднего бизнеса, социальной сферы о необходимости соблюдения требований законодательства, а также на информировании граждан в части защиты их личной информации и прав.

Реализуются партнерские проекты со СМИ.

На портале «Officelife» на протяжении года публиковался цикл статей, в которых специалисты по вопросам защиты персональных данных, информационной безопасности из различных отраслей делились своим опытом реализации мер по обеспечению защиты персональных данных. На портале для бизнеса «ibMedia.by» создан тематический раздел, где освещаются рекомендации, разъяснения и новости о деятельности Центра.

На страницах газет и журналов, в эфирах телевидения и радио освещались наиболее важные для общества вопросы, относящиеся к компетенции Центра, такие как правила безопасного оборота персональных данных, информация о нарушениях систем их защиты, которые привели к утечке персональных данных, практика привлечения к ответственности за нарушение законодательства о персональных данных, порядок и правила работы операторов с персональными данными и обучения в этой сфере.

Значительное внимание уделено отражению мер, принимаемых Центром как уполномоченным органом по защите прав субъектов персональных данных.

Вопросы защиты персональных данных белорусских граждан активно освещались в рамках спецпроектов и репортажей в прайм-тайм в рейтинговых передачах «Контуры», «Все понятно с Мариной Караман», «Как посмотреть», «Наше утро» (ОНТ), «Зона Х», «Экономическая среда», «Панорама» (Беларусь 1), «Время высоких технологий» (ЯСНАе TV) и др.
Информационную поддержку деятельности Центра на постоянной основе оказывали информационные агентства «БелТА», «Минск-новости» юридический научно-практический журнал «Юстиция Беларуси», сетевые издания ibMedia.by, onliner.by, tochka.by, «Экономическая газета», Национальный правовой Интернет-портал Республики Беларусь «Pravo.by», газеты «Звязда», «СБ. Беларусь сегодня», «Народная газета», телеканалы «Первый информационный», «ОНТ», «Беларусь 1», «СТВ».

Международная повестка.

В деловой программе Евразийского экономического форума, который проходил в Минске в июне 2025 года, в блоке по цифровой трансформации обсуждены вопросы взаимодействия по обмену данными в ЕАЭС. В сессии принял участие директор Центра Андрей Гаев. Кроме того, руководство Центра присоединилось к специализированной панельной сессии «Право ЕАЭС — состояние и перспективы» с участием представителей бизнес-сообщества, уполномоченных государственных органов и органов Союза, на которых расмотрены перспективы развития правопорядка ЕАЭС, гарантии и правовые механизмы защиты прав и законных интересов субъектов бизнеса в ЕАЭС на национальном и наднациональном уровне с использованием инструментария права Союза.

Центр был представлен на Евразийском конгрессе по защите данных, организованном сообществами и ассоциациями по безопасности личных данных. В мероприятии приняли участие эксперты, компании, государственные и общественные организации, занимающиеся вопросами защиты персональных данных и информационной безопасности.

VI. Образовательная деятельность

Одной из основных задач Центра является организация обучения по вопросам защиты персональных данных, а также обучение работников и (или) иных лиц, в обязанности которых входит обеспечение технической и (или) криптографической защиты информации, по образовательной программе повышения квалификации руководящих работников и специалистов.

В 2025 году образовательная деятельность Центра осуществлялась по таким образовательным программам дополнительного образования взрослых, как:

повышение квалификации руководящих работников и специалистов;
обучающие курсы (тематические семинары и вебинары).

Кроме того, Центром проводилось обучение в формате предоставления информационно-консультационной услуги, ориентированное на освещение конкретных вопросов в области защиты персональных данных или на конкретный бизнес-процесс организации.

В целом, в 2025 году реализовывалось более 20 учебных программ дополнительного образования взрослых.

За 2025 год обучающими мероприятиями охвачены 3 956 человек, из которых:

1) курсы повышения квалификации прошли 2 876 человек, в том числе по вопросам:

защиты персональных данных — 1 695;
информационной безопасности — 1 067;
технической защиты государственных секретов — 114;

2) обучающие курсы посетили 1 028 человек;

3) информационно-консультационными услугами воспользовались 52 человека.

В феврале 2025 г. в соответствии с требованиями статьи 117 Кодекса Республики Беларусь об образовании проведен самоконтроль за обеспечением качества образования.

Успешно внедрена и введена в действие система менеджмента качества при реализации образовательных программ дополнительного образования взрослых в соответствии с СТБ ISO 9001-2015. В рамках этой работы в результате анализа действующих процессов при осуществлении образовательной деятельности и их правового регулирования актуализированы локальные правовые акты, регламентирующие образовательную деятельность.

С учетом развития системы защиты персональных данных в республике Центром проводится плановая работа по расширению учебных программ. Так, в марте 2025 г. разработаны учебные программы повышения квалификации руководящих работников и специалистов и начата их реализация:

«Защита персональных данных при осуществлении страховой деятельности» (очная форма обучения);

«Технологии информационной безопасности организации» (дистанционная форма получения образования).

VII. Укрепление организационно-технической базы, организационная структура

В 2025 году продолжена деятельность Центра по укреплению организационно-технической базы. Проводились мероприятия по закупке, настройке и введению в эксплуатацию технических средств, оборудования, программных продуктов, в том числе для целей защиты информации и модернизации персональных компьютеров.

Структура Центра в 2025 году претерпела изменения (отдел по работе с обращениями преобразован в соответствующее управление, управление образовательных услуг и связей с общественностью переименовано в управление образования и коммуникации) и по состоянию на 31 декабря 2025 г. является следующей:

VIII. Приоритетные цели и задачи на 2026 год

В 2026 году деятельность Центра будет сосредоточена на следующих направлениях:

1. подготовка основанного на пятилетней правоприменительной практике проекта Закона Республики Беларусь «Об изменении законов по вопросам защиты персональных данных» в соответствии с пунктом 27 плана подготовки проектов законодательных актов на 2026 год, утвержденного Указом Президента Республики Беларусь от 18 ноября 2025 г. № 400;

2. реализация мер по защите нарушенных прав граждан — субъектов персональных данных.

Центр продолжит работу по рассмотрению жалоб и обращений граждан, принятию мер реагирования в пределах компетенции, а также информированию о способах защиты их прав и законных интересов;

3. анализ и обобщение практики применения законодательства о персональных данных.

Особое внимание будет уделено обобщению типичных нарушений, выявляемых в различных сферах деятельности, и формированию рекомендаций превентивного характера для операторов (уполномоченных лиц).

Методологическая деятельность будет продолжена по отраслевому принципу. Планируется, в частности, подготовить:

рекомендации об обработке персональных данных при осуществлении профессиональной деятельности журналистов;
комплексные ответы на вопросы по обработке персональных данных в деятельности гаражных, жилищных кооперативов, товариществ собственников и садоводческих товариществ;
рекомендации по обработке cookie-файлов на сайтах операторов;

4. создание и развитие просветительских проектов, направленных на формирование культуры обращения с персональными данными и предупреждение нарушений в данной сфере.

Планируется дальнейшее развитие информационно-разъяснительного контента для различных категорий граждан, включая детскую и молодежную аудиторию, а также его продвижение в сети Интернет, социальных сетях и иных цифровых каналах;

5. развитие взаимодействия с операторами, уполномоченными лицами и профессиональным сообществом.