Что считается персональными данными?

Под персональными данными (ПД) обычно понимают любую информацию, по которой можно прямо или косвенно идентифицировать человека:

• ФИО, e‑mail, телефон
• Никнеймы, ссылки на соцсети
• Адрес, место работы, должность
• IP‑адрес, идентификаторы устройств и аккаунтов
• Ответы в анкетах, если из них можно понять, о каком человеке речь

Любая форма обратной связи или анкета, где человек оставляет контакты или пишет о себе — это уже сбор ПД.

А сбор ПД автоматически запускает для организации юридические обязанности: уведомления регуляторов, локализация баз, договоры с подрядчиками, требования к защите данных и т.д.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с законодательством не распространяется требование соблюдения конфиденциальности.

Примеры общедоступных ПД:

• ФИО и должность сотрудника на официальном сайте организации (с его согласия или в соответствии с Законом);
• ФИО и контактный телефон в разделе «Контакты» (с согласия лица или в соответствии с Законом);
• ФИО победителей конкурса (с их согласия на публикацию);
• ФИО и фотография в новостной статье (с согласия лица).

Конфиденциальные персональные данные — ПД, доступ к которым ограничен законодательством. Примеры: данные паспорта, номера банковских карт, медицинские диагнозы, информация о судимости, биометрические данные и т.д.

Избыточные персональные данные — ПД, которые не требуются для достижения заявленной цели обработки.

Пример: если вы собираете обратную связь от родителей через форму на сайте, вам достаточно имени и email/телефона. Номер паспорта, адрес прописки, личный номер — это избыточные ПД для данной цели.

Субъект персональных данных — физическое лицо, которому принадлежат персональные данные.

Обработка персональных данных — любое действие с ПД: сбор, запись, систематизация, накопление, хранение, изменение, использование, распространение, обезличивание, блокирование, удаление.

---

О платформе CMS "Веб-Мастерская"

CMS «Веб-Мастерская» — это платформа с повышенным уровнем защиты данных. Мы имеем сертификат соответствия, а наш хостинг размещён в защищённом республиканском центре обработки данных РЦОД (БИКЛАУД), что выгодно отличает нас от стандартных CMS (WordPress, Joomla, Drupal) на обычном хостинге.

Однако важно понимать уровень защиты нашей платформы:

• ✅ Мы находимся на несколько ступеней выше, чем обычные CMS на стандартном хостинге.
• ⚠️ Но мы находимся на несколько уровней ниже, чем специализированные сервисы с высокоуровневыми системами защиты информации, аттестованные для работы с конфиденциальными и особыми категориями персональных данных.

Это означает, что наша платформа подходит для работы с общедоступными персональными данными, но не предназначена для обработки конфиденциальных ПД.

Для работы с конфиденциальными и особыми категориями персональных данных необходимо использовать сервисы, которые прошли соответствующую аттестацию (обращения.бел и другие АИС республиканского уровня).

---

ПРАВИЛА работы с ПД в "Веб-Мастерская":

Правило 1. Запрет на сбор и хранение ПД без согласия субъектов ПД

Для сайтов на платформе CMS «Веб-Мастерская» запрещается:

• Организовывать сбор и хранение любых персональных данных без согласия субъектов ПД.
• Собирать ПД без разъяснения субъектам их прав, связанных с обработкой персональных данных.

Это правило действует как при использовании встроенных инструментов CMS «Веб-Мастерская» (формы обратной связи, опросы, анкеты), так и при подключении сторонних сервисов (Google Forms, Яндекс.Формы и т.п.).

Пример нарушения:

Школа разместила на сайте форму "Задать вопрос", где запрашивает ФИО, контактный телефон и контактный еmail, но не разместила информацию о том:

• кто и зачем собирает эти данные;
• как долго они будут храниться;
• какие права имеют субъекты ПД (право на доступ, исправление, удаление своих данных).

и не запросила у субъектов ПД явного и однозначного разрешения на обработку их ПД с ссылкой на Политику в отношении обработки ПД.

Как правильно:

После формы разместить чекбоксы с текстом:

  Подтверждаю, что даю своё согласие на обработку выше указанных своих собственных персональных данных в соответствии с Политикой в отношении обработки персональных данных (ссылка на Политику)

  Подтверждаю, что мне простым и ясным языком разъяснены мои права, связанные с обработкой персональных данных, механизм реализации таких прав, а так же последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия отдельно от иной предоставленной мне информации - Права субъекта персональных данных (ссылка на права субъекта ПД)

ВАЖНО:

1. Настройки сайта должны быть выполнены таким образом, чтобы субъект ПД мог отправить свои ПД (нажать на кнопку "отправить") только, если все чекбоксы активированы (дано явное и однозначное  согласие). Если хотя бы один любой из чекбоксов не активирован - кнопка "Отправить" должна быть неактивной (нельзя отправить данные).

2. Обязательно нужно указывать ссылку на Политику в отношении обработки персональных данных учреждения, так как субъект ПД должен дать согласие не просто на абстрактную обработку своих ПД, а на обработку своих ПД строго в соответствии с Политикой в отношении обработки персональных данных Вашего учреждения.

3. Соответственно в Политике в отношении обработки персональных данных Вашего учреждения должно быть указано: кто и зачем собирает эти данные; как долго они будут храниться; кто к ним имеет доступ; другая информация требуемая по Закону.

---

Правило 2. Разрешён сбор только общедоступных персональных данных

Даже при наличии согласия субъектов ПД и разъяснения им их прав, на платформе CMS «Веб-Мастерская» разрешается собирать и хранить только общедоступные персональные данные.

Что можно собирать:

• ФИО (имя, фамилия, отчество);
• Контактный телефон;
• Контактный еmail;

Что НЕЛЬЗЯ собирать и хранить в системе:

• Данные паспорта (серия, номер, дата выдачи);
• Место проживания и регистрации;
• Номера банковских карт;
• Медицинские диагнозы, информация о состоянии здоровья;
• Биометрические данные (отпечатки пальцев, сканы сетчатки глаза);
• Информация о судимости;
• Данные о национальности, религиозных убеждениях, политических взглядах;
• Любые другие конфиденциальные ПД.

Пример нарушения:

Поликлиника разместила на сайте форму предварительной записи на приём, где запрашивает:

• ФИО пациента ✅
• Телефон ✅
• Номер медицинской карты ❌
• Жалобы на здоровье (симптомы) ❌

Почему это нарушение?

Номер медицинской карты и информация о состоянии здоровья — это конфиденциальные ПД, которые нельзя собирать через обычную форму на сайте без специальных мер защиты.

Как правильно:

Форма на сайте должна запрашивать только:

• ФИО пациента;
• Телефон для связи и/или контактный email;
• Желаемую дату и время приёма.

Все остальные данные (номер карты, жалобы) пациент сообщает лично при визите в регистратуру или по телефону.

---

Правило 3. Обязательное предупреждение о недопустимости оставлять избыточные ПД

Перед всеми формами сбора персональных данных (обратная связь, опросы, анкетирование) необходимо размещать предупреждение о недопустимости оставлять избыточные и/или не запрашиваемые персональные данные, особенно выходящие за рамки общедоступных ПД.

Как это сделать:

Разместите перед формой обратной связи или анкетой следующий текст:

---

⚠️ ВНИМАНИЕ!

Пожалуйста, не указывайте в сообщении:

• данные паспорта (серия, номер);
• номера банковских карт;
• медицинские диагнозы и информацию о состоянии здоровья;
• любую другую конфиденциальную информацию.

Для обратной связи достаточно указать ваше имя и контактный email или телефон.

Если вам необходимо передать конфиденциальную информацию, пожалуйста, свяжитесь с нами по телефону или посетите нас лично.

---

Пример:

Детский сад разместил форму обратной связи. Родитель в поле «Ваше сообщение» написал:

«Здравствуйте! Моя дочь Иванова Мария Петровна, 15.03.2018 г.р., проживающая по адресу г. Минск, пр-т. Сталина, д. 10, кв. 5, посещает группу № 3. У неё аллергия на молочные продукты. Прошу учесть это при организации питания. Мой паспорт: МР 1234567, выдан 01.01.2010».

Проблема:

Родитель оставил избыточные ПД:

• полную дату рождения ребёнка;
• точный адрес проживания;
• медицинскую информацию (диагноз);
• данные своего паспорта.

Для обратной связи достаточно было написать: «Здравствуйте! У моей дочери Маши из группы № 3 особые потребности в питании. Прошу связаться со мной для обсуждения питания. Мой телефон: +375 29 000-00-00».

Если бы перед формой было размещено предупреждение, родитель, возможно, не стал бы указывать избыточные данные.

---

Правило 4. Немедленное обезличивание или удаление избыточных ПД

Если субъект ПД проигнорировал предупреждение и передал в систему избыточные и/или не запрашиваемые персональные данные (особенно конфиденциальные), такие данные после обнаружения редактором или администратором сайта должны быть немедленно обезличены или удалены из системы.

Что значит "обезличить"?

Обезличивание — это изменение ПД таким образом, чтобы без использования дополнительной информации невозможно было определить принадлежность ПД конкретному субъекту.

Пример обезличивания:

Было (в сообщении от родителя):

«Моя дочь Иванова Мария Петровна, 15.03.2018 г.р., проживающая по адресу г. Минск, пр-т. Сталина, д. 10, кв. 5, посещает группу № 3. У неё аллергия на молочные продукты. Мой паспорт: МР 1234567».

Стало (после обезличивания редактором):

«Моя дочь Иванова Мария Петровна посещает группу № 3. У неё особые потребности в питании».

Когда удалять, а когда обезличивать?

• Удалять — если информация не нужна для работы (например, данные паспорта в форме обратной связи).
• Обезличивать — если суть обращения нужно сохранить, но без привязки к конкретному человеку.

Ответственность редактора/администратора:

Редактор или администратор сайта обязан регулярно проверять поступающие через формы обратной связи сообщения и немедленно обезличивать или удалять избыточные ПД.

Рекомендуемая периодичность проверки: не реже 1 раза в неделю (для активных сайтов — ежедневно).

---

Правило 5. Запрет на распространение ПД с нарушением законодательства

Запрещается использовать сайты на платформе CMS «Веб-Мастерская» для распространения (публикации) персональных данных, если это нарушает Закон Республики Беларусь «О защите персональных данных».

В частности запрещено:

1. Публиковать ПД без согласия субъекта ПД или его законных представителей.

   Пример нарушения:
   Школа опубликовала на сайте список победителей школьных олимпиад с указанием ФИО, даты рождения, адреса проживания и телефонов родителей без получения согласия родителей.

   Как правильно:
   Перед публикацией любых ПД (даже ФИО) необходимо получить письменное согласие субъектов ПД или их законных представителей (для детей).

2. Публиковать конфиденциальные ПД.

   Пример нарушения:
   Поликлиника опубликовала на сайте отчёт о диспансеризации с указанием ФИО пациентов и выявленных заболеваний.

   Как правильно:
   Публиковать только обезличенную статистику: «Всего обследовано 150 человек, выявлено 20 случаев заболеваний органов дыхания» (без указания ФИО).

---

Меры ответственности за нарушение правил

В случае обнаружения на сайтах платформы «Веб-Мастерская» нарушения (или подозрения на нарушение) законодательства о защите персональных данных, служба технической поддержки имеет право:

1. Незамедлительно заблокировать или удалить спорный контент (форму, страницу, сообщение).
2. Провести разбирательство с владельцем сайта для выяснения обстоятельств.
3. Потребовать устранения нарушения в установленный срок.
4. Заблокировать сайт полностью (в крайних случаях) до устранения нарушения.

Почему мы действуем так?

Эта мера направлена на:

• защиту прав субъектов персональных данных;
• защиту всех пользователей платформы от возможных санкций со стороны контролирующих органов;
• соблюдение законодательства Республики Беларусь.

Мы просим с пониманием отнестись к этим мерам. Блокировка или удаление контента производится не для наказания, а для предотвращения более серьёзных последствий (штрафов, судебных разбирательств, репутационного ущерба).

После устранения нарушения доступ к сайту (контенту) будет восстановлен.

---

Чек-лист для редакторов и администраторов сайтов CMS "Веб-Мастерская"

Перед размещением любой формы сбора ПД или публикацией информации с ПД проверьте:

• Получено ли согласие субъектов ПД на обработку их данных?
• Разъяснены ли субъектам их права (доступ, исправление, удаление данных)?
• Собираются ли только общедоступные ПД (ФИО, телефон, email)?
• Размещено ли предупреждение о недопустимости оставлять избыточные/конфиденциальные ПД?
• Проверяются ли регулярно поступающие сообщения на наличие избыточных ПД?
• Удаляются/обезличиваются ли немедленно обнаруженные избыточные ПД?
• Не публикуются ли ПД без согласия субъектов ПД?
• Не публикуются ли конфиденциальные ПД (паспортные данные, медицинская информация и т.п.)?

Если хотя бы на один вопрос вы ответили «Нет» или «Не уверен» — не размещайте форму или информацию до устранения проблемы.

---

Полезные ссылки и ресурсы

Законодательство Республики Беларусь:

• Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
• Оперативно-аналитический центр при Президенте Республики Беларусь — разъяснения по деятельности ОАЦ в сфере кибербезопасности и защиты информации

---

---

⚠️ ВАЖНО: ДАННАЯ СТАТЬЯ НЕ ЯВЛЯЕТСЯ ЮРИДИЧЕСКОЙ КОНСУЛЬТАЦИЕЙ

Представленная информация носит исключительно ознакомительный и рекомендательный характер. Авторы не являются юристами и не несут ответственности за возможные последствия применения данных рекомендаций без дополнительной профессиональной консультации.

Для получения правовой оценки вашей конкретной ситуации обратитесь к квалифицированному юристу, специализирующемуся на защите персональных данных.