白俄罗斯个人数据保护：企业必须遵守的法律要求

个人数据保护是指为保障自然人的权利和自由，在收集、存储、使用、传输和销毁其个人信息过程中，采取的法律、组织和技术措施的总称。在白俄罗斯，这一问题受到2021年5月7日通过的《个人数据保护法》（第99-Z号法律）的严格规制。此外，2021年10月28日第422号总统令进一步完善了监管框架，并设立了专门的监督机构——国家个人数据保护中心。对于在白俄罗斯运营的企业而言，理解并遵守这些规定不仅是法律义务，更是保护公司声誉、避免重大罚款和检查的关键。

谁是运营商和授权人？

在白俄罗斯的个人数据保护体系中，有两个核心角色：运营商和授权人。

运营商是指国家机关、白俄罗斯共和国法人实体、其他组织或个人（包括个体工商户），他们独立或与他人共同组织和/或进行个人数据的处理。运营商决定处理哪些个人数据以及出于什么目的，并对数据主体承担直接责任。

授权人是指根据法律规定、国家机关的决定或与运营商的合同，代表运营商或为运营商利益进行个人数据处理的实体。授权人只能在运营商组织的框架内，按照运营商的指示行事。

举例说明：如果A公司与B公司签订会计服务合同，A公司将员工和客户的个人数据提供给B公司处理，那么A公司是运营商，B公司是授权人。如果B公司发生数据泄露，B公司对A公司承担违约责任，但A公司仍需对数据主体（受影响的个人）和数据保护立法承担责任。

运营商有哪些核心义务？

根据法律规定，所有处理个人数据的组织都必须履行一系列义务。

任命负责人：企业必须任命一名负责内部控制的员工，该员工负责监督数据保护立法的遵守情况，为管理层和其他处理个人数据的员工提供咨询，并处理公民的投诉。

制定隐私政策：每个运营商都必须发布个人数据处理政策（通常称为隐私政策）。在此政策中，运营商必须披露其处理哪些个人数据、出于何种目的以及基于何种法律依据。这一措施旨在确保处理的透明度，避免公民对数据处理感到意外。

培训员工：运营商必须对负责内部控制的员工以及直接处理个人数据的员工进行培训。这种培训旨在确保员工了解相关法律要求，避免以"不知法"为由的违规行为。培训可以由国家个人数据保护中心、教育机构或其他组织开展。

维护信息资源和登记：运营商必须建立并维护包含个人数据的信息资源（系统）清单，包括数据类别（公开数据、特殊数据、生物识别数据等）以及处理期限。此外，运营商还需在国家个人数据保护中心创建的国家信息资源"个人数据运营商登记册"中登记相关信息，并保持信息更新。

哪些情况下需要获得同意？

白俄罗斯法律明确区分了需要获得公民同意的情况和依法可以直接处理数据的情况。

计划中的法律修正案将进一步明确这种划分。一般来说，如果数据处理的依据是法律要求，则无需获得同意。例如，处理应聘者的数据用于招聘目的，以及国家或私人组织形成新闻内容时，可能属于依法处理的范围。

在需要同意的情况下，同意必须是具体的、知情的和自愿的。公民有权随时撤回同意。

数据主体拥有哪些权利？

《个人数据保护法》赋予公民一系列新权利，使其能够控制自己的个人信息：

• 知情权：了解自己的哪些数据被处理、处理目的以及数据接收方；
• 访问权：访问被处理的个人数据；
• 更正权：要求更正不准确或不完整的数据；
• 撤回同意权：随时撤回对数据处理的同意；
• 删除权（被遗忘权）：在特定条件下要求删除个人数据；
• 申诉权：就数据处理行为向国家个人数据保护中心提出申诉。

这些权利的明确实施机制一方面保障了公民的监督权，另一方面也给企业带来了具体义务，要求企业谨慎处理、记录和保护个人数据。

运营商与授权人的关系如何规范？

运营商与授权人之间的关系必须通过合同正式确立。法律规定了此类合同的必备条款，而国家个人数据保护中心的建议提供了更多细节：

• 授权人聘用其他方处理数据的权限；
• 授权人参与运营商履行对数据主体义务的机制；
• 合同期满后授权人停止处理相关个人数据的义务。

如果授权人是外国居民，则涉及跨境数据传输问题。必须确保接收数据的外国提供足够级别的个人数据保护——这类国家的名单由国家个人数据保护中心批准。无论该外国是否提供足够保护，合同都应签订。值得注意的是，运营商对授权人在白俄罗斯境外发生的个人数据泄露承担责任。

有哪些培训要求？

第422号总统令规定了具体的培训要求：

• 信息系统的所有者（所有者）以及从事技术和（或）加密信息保护许可活动的组织，必须确保其负责信息安全的员工至少每三年在国家个人数据保护中心参加一次进修培训。
• 运营商必须至少每五年组织一次对负责内部控制的人员以及直接处理个人数据的人员的培训。
• 特定类别的人员必须在国家个人数据保护中心参加培训，其他人可以在教育机构或其他组织参加培训课程。

运营商必须在每年11月15日前向国家个人数据保护中心提交需要培训的人员信息。

2026年检查计划

国家个人数据保护中心已批准2026年个人数据保护立法遵守情况检查计划，包括10家运营商（授权人）：

检查将重点关注授权人遵守个人数据保护立法的情况。国家个人数据保护中心提醒，如果运营商委托授权人处理个人数据，运营商对授权人的行为向公民承担责任。

中心将继续通过非计划和实地检查对事件和公民投诉作出反应，并在网站上提供检查表、文件样本和方法材料，帮助运营商自查并避免最常见的数据保护违规行为。

最新立法动态

截至2026年1月，白俄罗斯正在准备对《个人数据保护法》进行修订。据国家中心主任安德烈·加耶夫介绍，修正案不会具有加强限制的性质，而是澄清和优化现有规定。

计划中的主要变化包括：

• 更明确地划分依法处理数据和需要同意的情况；
• 对视频监控和录音制定更严格的规则，包括禁止在属于个人私密领域的地方进行拍摄，并确立合理最小化原则；
• 明确呼叫中心处理个人数据的规则；
• 处理与人工智能技术相关的风险，包括深度伪造和数字身份攻击；
• 扩大无需同意即可处理数据的情况范围，如招聘时的数据处理、新闻内容形成、为第三方利益签订合同以及与保存历史记忆相关的任务；
• 明确数据运营商之间的互动秩序、分包商的聘用以及外包应用，包括针对小型企业和控股结构。

该法律草案计划于2026年8月提交部长会议审议。

对于在白俄罗斯运营的企业而言，个人数据保护合规不仅是一项法律义务，更是建立客户信任和竞争优势的重要途径。通过任命负责人、制定隐私政策、培训员工、规范与授权人的关系以及及时了解最新立法动态，企业可以有效管理数据保护风险，避免检查中的违规发现。

我们的律师事务所“经济纠纷律师事务所”专注于为商业合同关系提供全方位支持，包括与非住宅租赁终止相关的纠纷。我们的创始人谢尔盖·别利亚夫斯基先生在经济法院系统拥有20年的经验，其中包括10年的法官经验，对这类案件的判决逻辑有着深刻的理解。我们拥有一支由15名律师和专家组成的团队，从业经验在15至25年之间，提供全方位的服务：从租赁协议的法律分析和庭前纠纷解决，到起草诉状、计算损失、税务咨询以及在各级法院的代理。我们精通俄语、波兰语和英语，拥有遍布160个国家的合作伙伴网络，并在波兰PKO银行开设了账户，这使我们能够有效地支持涉及外国投资者的交易。我们已成功代理超过2000起案件，累计保护的资产和追回的资金总额超过19.5亿卢布。如果您的企业在终止非住宅租赁方面需要法律支持，包括法律辩护和税务支持，请在 https://e-sud.by 提交请求——我们将提供切实可行的解决方案。