Новые требования к кибербезопасности в Беларуси с июля 2026: что важно для малого бизнеса

Новые требования к кибербезопасности в Беларуси с июля 2026: что важно для малого бизнеса

С июля 2026 года в Беларуси вступают в силу обновлённые правила по защите информации для всех, кто работает с персональными данными клиентов. Это касается и микро-, и малого, и среднего бизнеса. Если у вас есть база клиентов (телефоны, email, адреса доставки), вы обязаны выполнить новые требования. Штрафы за нарушения выросли. Разбираем, что изменилось, на примерах и даём инструкцию, как подготовиться без лишних затрат.

Что изменилось в правилах работы с персональными данными

Основная цель новых требований — усилить контроль за хранением и обработкой данных. Раньше многие предприниматели хранили клиентские базы в открытых Excel-файлах на ноутбуках или в облачных сервисах без шифрования. С июля это недопустимо. Теперь нужно:

  • Получать явное согласие на обработку данных (не «галочка по умолчанию», а отдельное подтверждение).
  • Вести журнал учета действий с данными (кто, когда, зачем получил доступ).
  • Уведомлять Национальный центр защиты персональных данных (НЦЗПД) об утечках в течение 24 часов.
  • Назначить ответственного за защиту данных (можно внешнего специалиста).

Пример. Небольшой интернет-магазин одежды из Бреста собирал телефоны и email для рассылок акций. После обновления закона магазин обязан заново собрать согласия — каждому подписчику отправить письмо с просьбой подтвердить подписку. Если клиент не подтвердил, его данные нужно удалить. Как сделать: используйте двойное подтверждение (double opt-in) при подписке. Это снизит базу, но зато вы будете в законе.

Совет. Проверьте, как настроена форма сбора данных на сайте. Уберите предустановленные галочки. Добавьте текст: «Я согласен на обработку персональных данных» — чекбокс должен быть пустым. Храните согласия в отдельной таблице с датой и источником.

Обязательное шифрование и контроль доступа к базам

Все данные клиентов должны храниться в зашифрованном виде. Это касается и файлов на сервере, и резервных копий. Если вы используете облачный хостинг, убедитесь, что провайдер предоставляет шифрование на уровне диска или базы данных. Если данные утекают, а они не зашифрованы — штраф до 200 базовых величин (сейчас это около 8000 BYN).

Пример. Салон красоты в Гомеле вёл запись клиентов через Instagram* и Google Таблицы. После новых требований нужно перенести данные в CRM с шифрованием или использовать зашифрованный файл с паролем, доступ к которому есть только у администратора. Как сделать: перейти на специализированное ПО для салонов, где уже встроено шифрование. Или использовать бесплатную версию Bitwarden для хранения паролей, а саму базу хранить на защищённом сервере.

Совет. Настройте двухфакторную аутентификацию (2FA) для всех аккаунтов, где хранятся данные клиентов — CRM, email, облачные диски. Это простой шаг, который сразу повышает уровень защиты. Не используйте одинаковые пароли для разных сервисов.

Ответственность за утечки и новые штрафы

Раньше многие мелкие предприниматели думали: «меня не коснётся». Теперь за утечку данных или отсутствие мер защиты штрафуют и ИП, и юрлица. Размер штрафа — до 200 базовых величин (8000 BYN) для ИП и до 500 базовых (20 000 BYN) для организаций. Кроме того, могут заблокировать сайт или приостановить обработку данных до устранения нарушений. В 2026 году контроль усилился — НЦЗПД проводит выборочные проверки, особенно в сфере e-commerce и услуг.

Пример. У небольшой кофейни в Минске украли ноутбук администратора с таблицей клиентов (телефоны и история заказов). Если таблица не была зашифрована, кофейне грозит штраф и предписание изменить процессы. Как сделать: если такое произошло, немедленно сообщите в НЦЗПД (позвоните на горячую линию или через портал). У вас есть 24 часа. Также обязательно смените все пароли и ограничьте доступ к данным до выяснения.

Совет. Оформите договор с внешним специалистом по кибербезопасности (аутсорсинг). Для микро-бизнеса это стоит около 200-400 BYN в месяц. Специалист поможет настроить шифрование, обучить сотрудников и составит инструкцию на случай утечки. Это дешевле, чем платить штраф.

Типичные ошибки малого бизнеса при подготовке к новым требованиям

  • Хранить пароли от CRM и почты в открытом виде (на стикере на мониторе). Нужно использовать менеджер паролей.
  • Игнорировать обновления ПО. Если ваш сайт работает на старой версии CMS, в ней могут быть уязвимости. Обновляйте всё вовремя.
  • Не делать резервные копии или хранить их на том же сервере. Копии должны быть на отдельном носителе или в облаке с шифрованием.
  • Давать всем сотрудникам полный доступ к базе клиентов. Разграничьте права: только те, кто реально нуждается в данных, получают доступ.
  • Не обучать персонал правилам безопасности. Сотрудники могут случайно отправить базу на личную почту или открыть фишинговое письмо. Проведите короткую беседу раз в квартал.
  • Не подготовить план действий на случай утечки. Штраф за несвоевременное уведомление НЦЗПД — отдельный.

Что делать с уже собранными данными

Если вы собирали данные до июля 2026 года, нужно проверить, есть ли у вас законные основания для их хранения. Самое безопасное — заново запросить согласие у клиентов. Например, отправьте email или SMS с просьбой подтвердить подписку. Если клиент не отвечает в течение 30 дней, данные нужно удалить. Для старых баз, где нет даты получения согласия, закон рекомендует пересобрать согласие или прекратить обработку.

Пример. Магазин стройматериалов в Могилёве 5 лет собирал телефоны при покупках без отдельного согласия. После новых правил магазин должен уведомить клиентов (через кассу, на сайте, в соцсетях) и попросить подтвердить согласие. Как сделать: используйте сервис массовой рассылки (например, через CRM) с ссылкой на форму подтверждения. Если клиент не подтвердил — его данные будут удалены автоматически через 30 дней.

Совет. Для баз, которые вы не используете активно (старые заказы, неактивные подписчики) — лучше сразу удалите. Чем меньше данных храните, тем меньше рисков и меньше работы по обеспечению безопасности.

3 шага, которые можно сделать уже на этой неделе:

  1. Проведите аудит. Составьте список всех мест, где хранятся персональные данные клиентов: CRM, email-рассылки, Excel-файлы, облачные папки. Отметьте, какие из них защищены паролем, а какие — нет.
  2. Настройте двухфакторную аутентификацию для входа в CRM, почту и хостинг. Это делается за 10 минут: скачайте приложение типа Google Authenticator, привяжите каждый сервис.
  3. Получите новое согласие от клиентов. Составьте текст письма: коротко объясните, что изменился закон, попросите подтвердить подписку. Отправьте через вашу рассылку или SMS. Удалите тех, кто не ответил через месяц.

Полезные ссылки: защита малого бизнеса от телефонного мошенничества, мультизоновые базы данных на белорусском хостинге.