
Рекомендуем также: другие статьи, обслуживание сайтов и наши услуги.
Короткий ответ. Если ваш сайт использует аналитику (Яндекс.Метрику, Google Analytics), рекламные пиксели или собирает заявки через формы, вы обрабатываете персональные данные и обязаны выполнить требования Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»: разместить на сайте политику обработки персональных данных и политику cookie в открытом доступе, поставить баннер с реальным выбором «принять / отклонить» для необязательных cookie, назначить в компании ответственного за обработку данных и навести порядок в формах. Технические cookie, без которых сайт не работает, согласия не требуют. За несоблюдение мер защиты для юридического лица предусмотрен штраф от 20 до 50 базовых величин по ч. 4 ст. 23.7 КоАП, а отдельные нарушения при работе с данными тянут и на большее.
Если вам уже пришло письмо о нарушениях на сайте – сначала определите отправителя. Рекламное предложение юридических услуг не требует ответа и ничем не грозит само по себе. Обращение гражданина (субъекта персональных данных) требует ответа по существу в установленный законом срок: без ответа его жалоба уходит в НЦЗПД в усиленном виде. Официальный документ от НЦЗПД или другого госоргана – это уже процедура со сроками, тут подключается юрист. Подробный разбор всех трёх сценариев – ниже.
Дальше разберём по шагам, что это значит для обычной торговой или инжиниринговой компании с сайтом-каталогом и парой форм.
Пришло письмо про нарушения на сайте: кто его прислал и насколько это серьёзно
Волна таких писем связана с тем, что требования закона № 99-З действуют с ноября 2021 года, а разрыв между «как положено» и «как сделано на большинстве сайтов» стал заметным. Письма при этом бывают трёх принципиально разных типов, и путать их дорого в обе стороны: можно запаниковать из-за рекламы, а можно проигнорировать документ со сроком.

Тип 1: коммерческая рассылка. Юридическая фирма или сервис пишет, что нашли на вашем сайте нарушения, и предлагает услуги по приведению в порядок. Это реклама, а не претензия: отвечать не обязательно, штрафом само письмо не грозит. Единственный правильный вывод из него – нарушения, скорее всего, действительно есть, потому что отправитель нашёл вас простым сканированием сайта, и точно так же вас найдёт кто угодно другой.
Тип 2: обращение гражданина. Физическое лицо (клиент, посетитель сайта, бывший сотрудник) пишет вам как оператору персональных данных: требует прекратить обработку, удалить данные, объяснить, на каком основании вы их собрали. Это самый серьёзный из «неофициальных» сценариев, потому что закон устроен последовательно: сначала человек обращается к оператору, и сроки ответа зависят от требования – на предоставление информации об обработке у вас 5 рабочих дней (ст. 11 Закона № 99-З), на требования об удалении данных, внесении изменений или прекращении обработки – 15 дней (ст. 10, 14). Если ответа нет или он не устроил – человек идёт с жалобой в НЦЗПД, и ваш неответ прикладывается к жалобе как доказательство бездействия, ускоряющее рассмотрение. Игнорировать такое письмо – худший из вариантов.
Тип 3: официальный документ. Письмо от НЦЗПД, запрос или обращение из прокуратуры. Важно знать: НЦЗПД находит нарушения не только по жалобам – центр ведёт собственный мониторинг сети и рассылает требования по его итогам. Масштаб виден по отчётам самого центра: за 2025 год вынесено 556 требований об устранении нарушений против примерно 370 годом ранее, и лишь чуть больше половины из них – по жалобам, остальное дал мониторинг. Типовое такое письмо выглядит буднично: перечислены конкретные нарушения на вашем сайте (обработка целевых cookie без согласия, отсутствие политики по ст. 17), дан срок на устранение и указана обязанность письменно проинформировать Центр об устранении с приложением подтверждающих документов – это требование Положения о НЦЗПД, утверждённого Указом № 422 (в самом Законе № 99-З его нет, поэтому о нём часто не знают). Починить сайт и промолчать означает не выполнить требование. Паниковать по такому письму рано (это требование устранить, а не постановление о штрафе, и в письме обычно даны ссылки на типовые документы cpd.by), но и тянуть нельзя: ответственность наступает при неустранении в срок. Если объективно не успеваете – Положение допускает продление срока по заявлению, поданному не позднее трёх рабочих дней до его истечения. Здесь стоит подключить юриста для ответа и параллельно закрыть техническую часть.
Для спокойствия духа: публичных случаев штрафов конкретно за cookie в Беларуси пока немного – типовой сценарий начинается с требования устранить, а не с постановления. Но рассчитывать на то, что «нас не заметят», уже не приходится: сайты находят и мониторинг НЦЗПД, и жалобы граждан, и разбирательство по одному поводу спокойно вытаскивает на свет всё остальное. Закон при этом продолжает дорабатываться – в июле 2026 года на общественное обсуждение вынесен проект очередных изменений, и НЦЗПД анонсирует их как упрощения для бизнеса, а не ужесточения. Действующих требований это не отменяет: письма по итогам мониторинга приходят по ним.
Что делать в первую неделю после письма
День первый: определить тип письма по описанию выше и зафиксировать дату получения – от неё считаются сроки. День первый-второй, если письмо типа 2: подготовить ответ по существу (что обрабатываете, на каком основании, что сделали по требованию человека) и выполнить само требование, если оно законно – удалить данные из рассылки стоит дешевле любого продолжения. Если письмо типа 3, от НЦЗПД: выписать из него перечень нарушений и срок, распределить работы так, чтобы закончить с запасом, и запланировать финальное действие – письменно проинформировать Центр об устранении до истечения срока, приложив подтверждения (скриншоты баннера, ссылки на политики). Параллельно, в те же дни: закрыть технические дыры на сайте по чек-листу ниже – баннер, политики, чекбоксы. Это важно в любом сценарии: если дело дойдёт до жалобы, к ней прикладываются скриншоты вашего сайта, и сайт с уже наведённым порядком выглядит в разбирательстве совсем иначе, чем сайт, где нарушение продолжается. К концу недели: назначить ответственного за данные приказом, если его ещё нет, – при любом развитии событий это первое, о чём спросят.
Cookie – это вообще персональные данные?
Зависит от типа. Закон определяет персональные данные как любую информацию, относящуюся к физическому лицу, которое можно идентифицировать. Cookie, которые хранят уникальные идентификаторы, IP-адрес, историю поведения на сайте, позволяют выделить конкретного пользователя – и в этот момент они попадают под закон. Позиция НЦЗПД здесь последовательная: центр опубликовал примерную политику в отношении cookie и прямо указывает, что её издание необходимо операторам, которые обрабатывают не только технические cookie.
На практике cookie делятся на три группы, и от группы зависит, нужно ли согласие:
| Тип cookie | Примеры | Нужно ли согласие |
|---|---|---|
| Технические (необходимые) | сессия корзины, авторизация, защита форм | Нет – сайт без них не работает |
| Функциональные | язык интерфейса, выбранный регион, настройки | Как правило, нет, если не передаются третьим лицам |
| Аналитические и маркетинговые | Яндекс.Метрика, Google Analytics, рекламные пиксели, ретаргетинг | Да, до начала сбора |
Отсюда главный практический вывод: почти каждый корпоративный сайт в Беларуси попадает под требование о согласии, потому что счётчик аналитики стоит практически у всех.
Что должно быть на сайте: чек-лист из пяти пунктов
1. Политика обработки персональных данных. Документ в открытом доступе, доступный до начала обработки данных, то есть по прямой ссылке с любой страницы, где есть форма. Это требование ст. 17 Закона № 99-З; его невыполнение – самостоятельный состав по ч. 4 ст. 23.7 КоАП. Примерные формы всех документов собраны в «Портфеле оператора» на сайте НЦЗПД.
2. Политика cookie. Отдельный документ или раздел: какие cookie используются, для чего, срок хранения, как отключить. НЦЗПД публикует примерную форму политики cookie – её можно брать за основу и адаптировать под свой сайт.
3. Баннер с реальным выбором и возможностью передумать. Пользователь должен иметь возможность как принять, так и отклонить необязательные cookie, и отказ должен быть таким же доступным, как согласие. Две вещи, которые точно делать нельзя: включать аналитические cookie до того, как человек нажал «принять», и блокировать доступ к сайту тем, кто отказался. Предустановленные галочки и баннеры с единственной кнопкой «ОК» согласием по закону не считаются. И ещё одно требование, о котором забывают чаще всего: согласие должно быть отзывным прямо на сайте (п. 1 ст. 10 Закона) – пользователю нужен способ изменить свой выбор после закрытия баннера, обычно это ссылка «Настройки cookie» в подвале. НЦЗПД в своих письмах по итогам мониторинга указывает на это отдельным пунктом.

4. Порядок в формах. Каждая форма (заявка, обратный звонок, подписка) собирает персональные данные, поэтому рядом с ней нужны чекбокс согласия (пустой по умолчанию) и ссылка на политику. Согласие должно быть конкретным: на что, для какой цели, на какой срок.
5. Ответственный внутри компании. Закон требует назначить лицо, отвечающее за внутренний контроль обработки данных, и это требование усилено Указом № 422 от 28.10.2021: ответственные за защиту данных проходят специальное обучение. Для компании на 20–50 человек это обычно совмещение, а не отдельная ставка.
Про что все забывают: ваша аналитика – это трансграничная передача
Сервисы веб-аналитики хранят данные на серверах за пределами Беларуси. С точки зрения закона использование Яндекс.Метрики или Google Analytics – трансграничная передача персональных данных, и это отдельный режим со своими условиями. То же касается CRM в облаке, хранения клиентских баз на иностранных дисках и переписки с клиентами через зарубежные почтовые сервисы. Это не значит, что аналитикой пользоваться нельзя – это значит, что она должна быть честно описана в политике cookie: какой сервис, куда передаются данные, на каком основании. Кстати, сам НЦЗПД для своего сайта выбрал автономную аналитику без передачи данных третьим лицам – показательный ориентир того, как регулятор смотрит на вопрос.
Что будет, если не сделать
Административная ответственность по ст. 23.7 КоАП устроена так: несоблюдение мер защиты персональных данных (нет политики, нет ответственного, нет порядка доступа к данным) – штраф на юридическое лицо от 20 до 50 базовых величин; умышленные незаконные сбор, обработка или хранение данных – до 50 базовых величин; те же действия лицом, которому данные известны по службе, – от 4 до 100; незаконное распространение – до 200. Для отдельных нарушений существует и уголовная ответственность (ст. 203-1 и 203-2 УК), но это уже про существенный вред, а не про отсутствующий баннер.
Практическая иерархия рисков для обычной компании выглядит так: сначала предписание, затем штраф при невыполнении или при жалобе клиента. Жалоба, к слову, самый частый триггер: недовольный клиент или бывший сотрудник пишет обращение, и проверка приходит по конкретному поводу, а находит всё остальное.
Симптомы, что у вас не закрыто
Проверить себя можно за десять минут. Откройте свой сайт в режиме инкогнито и посмотрите:
- счётчик аналитики срабатывает до какого-либо согласия (видно в инструментах разработчика на вкладке Network);
- баннера нет, либо в нём одна кнопка;
- в подвале нет ссылки на политику обработки персональных данных;
- у форм заявок нет чекбокса согласия;
- в компании никто не назначен ответственным за данные приказом.
Два и более пункта из пяти – вопрос стоит закрывать. Объём работ зависит от того, сколько счётчиков, виджетов и форм накопил сайт за годы.
С чего начать: план по шагам
Первый шаг – аудит: выписать все cookie сайта (расширение браузера или отчёт CMS), все формы и все сервисы, куда уходят данные. Второй – документы: политика обработки ПДн и политика cookie на основе примерных форм НЦЗПД, приказ о назначении ответственного. Третий – техническая часть: баннер согласия с блокировкой необязательных cookie до принятия, чекбоксы у форм, ссылки на политики в подвал. Четвёртый – проверка в инкогнито: аналитика молчит до согласия, отказ работает, сайт при отказе доступен. Организационные шаги делаются своими силами; сроки технической части у всех разные – они зависят от платформы сайта и количества источников cookie.
Единственный пункт, где обычно нужна помощь со стороны, – корректная блокировка счётчиков до согласия: скрипты аналитики должны загружаться после нажатия кнопки, и на некоторых CMS это требует рук разработчика.
Когда звать подрядчика
Если сайт на самописной CMS, счётчиков и пикселей больше двух, есть интернет-магазин с личным кабинетом или данные из форм уходят сразу в несколько систем (почта, CRM, 1С) – блокировку cookie до согласия и описание всех потоков данных быстрее и дешевле сделать с тем, кто видит сайт, хостинг и внутреннюю инфраструктуру целиком.
Свежий пример из нашей практики: компании пришло письмо НЦЗПД по итогам мониторинга – обработка целевых cookie без согласия, отсутствие политик, месяц на устранение. Мы прошли по всем страницам сайта и собрали полный список источников cookie (счётчики аналитики, карты, виджеты соцсетей, пиксели), классифицировали их по типам, поставили необязательные под согласие с возможностью отзыва, подготовили политики по формам НЦЗПД и собрали подтверждения устранения для ответа Центру. Компания отчиталась регулятору в срок – без штрафа и без остановки работы сайта.
Такие задачи мы делаем в рамках услуги обслуживания сайтов – разово или на постоянной основе. Если хотите проверить свой сайт – напишите нам, посмотрим вместе.
Частые вопросы
Пришло письмо от НЦЗПД по итогам мониторинга – это уже штраф?
Пришло письмо от юридической компании о нарушениях на сайте – это штраф?
Что будет, если не ответить на обращение гражданина о его персональных данных?
Нужен ли баннер, если на сайте только каталог без форм?
Можно ли взять политику cookie с чужого сайта?
Обязательно ли отключать Яндекс.Метрику?
Что делать со старыми данными из форм, собранными без согласия?
Кто вообще проверяет сайты?
Нужен внешний взгляд на ваш сайт с точки зрения Закона № 99-З? Мы проведём аудит, настроим баннер и подготовим политики в рамках обслуживания сайтов от dserver.by.