GDPR для иностранных компаний при найме специалистов из Беларуси: какие документы должны быть оформлены

Автор Команда Spex
19.05.2026

Найм программистов, дизайнеров или административный специалистов из Беларуси — один из самых экономически эффективных способов масштабировать техническую команду без потери качества. Сильный кадровый резерв, высокий уровень английского, удобные часовые пояса для работы с ЕС и Ближним Востоком.

Что часто недооценивают — это объём документации в части защиты данных. Как только хотя бы одна строка с персональными данными сотрудника пересекает границу ЕС, начинает действовать Общий регламент по защите данных (GDPR). При этом Беларусь не входит в перечень стран, для которых Европейская комиссия признала достаточный уровень защиты персональных данных. Это значит — нужны конкретные документы, в конкретной форме, подписанные конкретными сторонами, ещё до того, как будет начислена первая зарплата.

В этой статье — перечень того, что должно быть у Вас на руках. Без философских рассуждений о GDPR — только сами документы, кто их подписывает и как они соотносятся с реальностью найма сотрудника в Минске или Гомеле из Лондона, Берлина или Амстердама.

Почему GDPR действует, даже если Ваш инженер сидит в Минске

GDPR следует за данными, а не за рабочим местом. Если Ваша компания зарегистрирована в ЕС или Вы обрабатываете персональные данные людей, находящихся в ЕС, — клиентов, конечных пользователей, собственного штата, который взаимодействует с белорусским сотрудником, — регламент применим. Найм разработчика в Беларуси не выводит Ваш бизнес из-под его действия.

Когда Вы оформляете белорусского специалиста — даже опосредованно, через местного Employer of Record, — Вы обрабатываете его персональные данные: ФИО, паспортные данные, банковские реквизиты, информацию о зарплате, оценки эффективности, IP-адреса при подключении к корпоративному VPN. Эти данные постоянно перетекают из Беларуси в Ваши HRIS, систему расчёта зарплаты или рабочее пространство в Slack, размещённые в ЕС. Каждая такая передача в терминах GDPR — международный трансфер данных.

Хорошая новость: в самой по себе такой схеме нет ничего необычного или рискованного. Компании работают так каждый день. Плохая новость: регуляторные органы не принимают аргумент «так делают все». Либо документы есть, либо их нет.

Беларусь и трансграничная передача персональных данных

Европейская комиссия может признать, что страна за пределами ЕС обеспечивает «адекватный» уровень защиты данных — такой статус есть, например, у Великобритании, Швейцарии, Японии и Южной Кореи. Передача персональных данных в эти юрисдикции происходит почти так же свободно, как внутри ЕС.

Беларуси в этом списке нет. В 2021 году в Беларуси был принят собственный Закон «О защите персональных данных», во многом построенный на принципах GDPR, но Брюссель не оценивал его как адекватный. На практике это означает: любая передача данных сотрудника из ЕС в Беларусь требует надлежащих гарантий в соответствии с Главой V GDPR — чаще всего это Стандартные договорные положения (SCC) плюс дополнительные меры там, где этого требует местная правовая среда.

И это не формальность. После решения Суда ЕС по делу Schrems II регуляторы ожидают увидеть письменный анализ: Вы оценили законодательство страны-получателя (полномочия спецслужб, доступ органов власти к данным, возможности судебной защиты) и убедились, что Ваши гарантии достаточны.

Документы, которые должны быть на руках

Ниже — необходимый перечень для иностранной компании, нанимающей одного или нескольких специалистов из Беларуси. Это минимум, а не максимум.

1. Реестр операций по обработке данных (статья 30)

Каждый контролёр данных и большинство обработчиков обязаны вести реестр операций по обработке персональных данных (Record of Processing Activities, ROPA). Это внутренний документ, в котором фиксируется, какие персональные данные обрабатываются, с какой целью, кто имеет к ним доступ, как долго они хранятся и кому передаются. Найм сотрудника в Беларуси обычно добавляет сразу несколько новых процессов обработки данных: подбор персонала, онбординг, расчёт заработной платы, управление эффективностью и предоставление доступа к корпоративным ИТ-системам. Все эти процессы должны быть отражены в вашем ROPA.

Аудиторы и надзорные органы запрашивают ROPA в первую очередь. Если в Вашем реестре не указана Беларусь как страна-получатель, у Вас уже есть пробел.

2. Обоснование правового основания

Для каждой операции по обработке данных, связанной с белорусским сотрудником, необходимо определить и зафиксировать правовое основание по статье 6 GDPR. Для большинства трудовых процессов это либо исполнение договора (статья 6(1)(b)), либо законный интерес (статья 6(1)(f)). Специальные категории данных — сведения о здоровье при оформлении больничных, биометрия для контроля доступа в офис — требуют дополнительного основания по статье 9.

Этот анализ должен лежать рядом с ROPA. Обычно достаточно одностраничной служебной записки на каждую цель обработки.

3. Уведомление о конфиденциальности для сотрудника

Статьи 13 и 14 GDPR обязывают компанию информировать сотрудника из Беларуси о том, как используются его персональные данные. В уведомлении необходимо указать, какая организация обрабатывает данные, с какой целью и на каком основании это делается, кому данные могут передаваться, как долго они будут храниться, какие механизмы используются при их трансграничной передаче, а также какими правами в отношении своих персональных данных обладает сотрудник.

Распространённая ошибка — выдать сотруднику корпоративную политику конфиденциальности, написанную для клиентов. У этих двух документов разные задачи и разная аудитория. Соберите отдельное уведомление для сотрудников, переведите его при необходимости и зафиксируйте факт ознакомления на этапе онбординга. Если Вы не уверены, как это согласуется с требованиями белорусского трудового законодательства к кадровой документации, короткая консультация с командой HR-консалтинга, которая разбирается в обеих системах, обычно окупает себя.

4. Соглашение об обработке данных (статья 28)

Если Вы пользуетесь услугами местного EOR- или PEO-партнёра для официального оформления специалиста, этот партнёр обрабатывает персональные данные по Вашему поручению. Статья 28 GDPR требует письменного соглашения — Data Processing Agreement (DPA) — между Вами (контролёром) и партнёром (процессором).

DPA должен охватывать предмет и срок обработки, характер и цели, категории данных и субъектов, Ваши инструкции, обязательства процессора по конфиденциальности и безопасности, привлечение субпроцессоров, содействие в реализации прав субъектов, уведомление об инцидентах, возврат или удаление данных по окончании сотрудничества. Большинство добросовестных провайдеров предложит свой шаблон — но прежде чем подписать, сверьте его со своими внутренними юридическими стандартами и требованиями к информационной безопасности.

5. Стандартные договорные положения для трансграничной передачи

Для самой передачи данных из ЕС в Беларусь нужны гарантии в соответствии со статьёй 46. На практике почти для любого сценария найма подходят модульные SCC, которые Европейская комиссия утвердила в 2021 году. Выберите нужный модуль (как правило, Модуль 2 — контролёр-процессор) и заполните приложения с описанием категорий данных, целей обработки, технических и организационных мер и списка субпроцессоров.

SCC — это договор. Его нужно подписать, проставить дату и хранить у себя. Простой ссылки на SCC в рамочном договоре недостаточно — сами SCC должны быть приложены и заключены.

6. Оценка воздействия передачи данных

Подписание SCC само по себе не решает задачу. После Schrems II контролёр должен провести Transfer Impact Assessment (TIA) — письменный анализ того, не помешает ли законодательство страны-получателя стороне-получателю фактически исполнять SCC. Методология изложена в Рекомендациях 01/2020 Европейского совета по защите данных.

В TIA по Беларуси, как правило, рассматриваются: категории передаваемых данных, локальная правовая база (Закон «О защите персональных данных» 2021 года, полномочия спецслужб и правоохранительных органов по доступу к данным, роль Национального центра защиты персональных данных), практическая вероятность запросов со стороны государственных органов и принятые Вами дополнительные меры — шифрование при передаче и хранении, псевдонимизация, контроль доступа, договорные права на обжалование запросов.

Дату на TIA нужно ставить и пересматривать его ежегодно — или каждый раз, когда меняется правовой ландшафт.

7. Оценка воздействия на защиту данных — там, где она необходима

Полноценная DPIA по статье 35 обязательна только тогда, когда обработка с высокой вероятностью создаёт значительный риск для субъектов данных. Стандартный расчёт зарплаты удалённому инженеру в этот порог попадает редко. Но если Вы внедряете системы мониторинга продуктивности, биометрическую аутентификацию или автоматизированную систему оценки сотрудников — DPIA нужна. Независимо от результата рекомендуется зафиксировать принятое решение. Даже краткая служебная записка с выводом «DPIA не требуется» и обоснованием этого вывода станет полезным подтверждением соблюдения требований GDPR.

8. Процедуры реализации прав субъектов данных

Сотрудник, работающий в Беларуси, пользуется теми же правами, предусмотренными GDPR, что и сотрудник в любой стране ЕС. Он может запросить доступ к своим персональным данным, их исправление, удаление (с учётом обязательных сроков хранения кадровых документов), ограничение обработки, перенос данных, а также возразить против отдельных видов обработки.

Поэтому у компании должна быть внутренняя процедура, определяющая порядок приёма, проверки и рассмотрения таких запросов. Ответ на обращение должен быть предоставлен в течение одного месяца. На практике это короткий регламент и выделенный почтовый ящик или тикет-очередь. Главное — чтобы порядок существовал в письменном виде и чтобы люди, отвечающие за HR-запросы, знали, как им пользоваться.

9. План реагирования на инциденты

Статья 33 даёт 72 часа, чтобы уведомить ведущий надзорный орган о нарушении в области персональных данных, которое может создать риск для субъектов. Статья 34 требует прямого уведомления самих субъектов, если риск высокий. Утечка зарплатных данных Вашей белорусской команды полностью подпадает под эти требования.

В плане должны быть указаны: состав команды реагирования, триггеры эскалации, критерии оценки риска, шаблоны уведомительных писем. Тестируйте план раз в год.

10. Сроки хранения

GDPR не устанавливает фиксированных сроков хранения — он требует, чтобы данные хранились не дольше, чем это необходимо. Для кадровых документов белорусское трудовое законодательство устанавливает минимальные сроки (от трёх до семидесяти пяти лет в зависимости от типа документа, причём наиболее долгие сроки — по документам по социальному страхованию и зарплатным ведомостям). Ваш регламент хранения должен примирить принцип минимизации данных по GDPR с этими локальными обязательствами и зафиксировать обоснование. Лучше всего работает построчная таблица.

Услуги управления ИТ компанией
Управление IT-компанией в Беларуси с сопровождением всех процессов и профессиональной поддержкой!

Ошибки, которые обходятся компаниям дороже всего

Среди иностранных работодателей, у которых возникают проблемы с GDPR по белорусским схемам, повторяются несколько типичных сценариев.

Первый — относиться к найму белорусского сотрудника как к чему-то, что находится вне зоны действия GDPR, потому что человек физически за рубежом. Это не так.

Вторая распространённая ошибка — полностью полагаться на соответствие EOR-провайдера требованиям GDPR и не выстраивать собственные процессы. Даже если EOR соблюдает все требования, этого недостаточно. Он обрабатывает персональные данные по вашему поручению, а основная ответственность за соблюдение требований GDPR остаётся за вашей компанией. Передать эти обязанности EOR-провайдеру нельзя.

Третий — подписать SCC, но пропустить TIA. Регуляторы недвусмысленно дают понять, что это связанные документы. Подписанный контракт без сопровождающего анализа — красный флаг для любого аудита.

Четвёртый — забывать про собственный режим защиты данных в Беларуси. Закон 2021 года накладывает обязательства на местные организации, обрабатывающие персональные данные, в том числе требует регистрации отдельных операций обработки в Национальном центре защиты персональных данных. Компании также иногда упускают из виду, как фактически будет разрешаться спор, если он эскалируется; самостоятельный материал о выборе подходящей юрисдикции стоит прочитать до подписания SCC, а не после.

Как партнёр в формате EOR или PEO меняет картину

Использование локального Employer of Record серьёзно упрощает документационную нагрузку, не снимая её полностью. EOR становится официальным работодателем в Беларуси, берёт на себя соблюдение местного трудового законодательства и ведёт расчёт зарплаты по белорусским правилам. Ваша роль сужается до контролёра, который даёт указания процессору, — она по-прежнему весомая, но границы у неё чётче.

Опытный EOR-провайдер приходит за стол переговоров с уже согласованным шаблоном DPA, готовой к заполнению формой SCC, подтверждениями собственных технических и организационных мер и оформленными местными регистрациями. Для большинства компаний это самый быстрый путь от «мы хотим нанять кого-то в Минске» до полностью легального оформления зарплаты — обычно укладывается в две недели. Если Вы выбираете провайдера, страница EOR-услуг в Беларуси поясняет, чем прямой провайдер отличается от перепродавца — а эта разница начинает иметь значение, как только вопросы начинают задавать регуляторные органы.

Частые вопросы

Применяется ли GDPR, если у нашей компании нет офиса в ЕС и единственная связь с ЕС — несколько клиентов?

Может применяться. По статье 3(2) GDPR действует экстерриториально, когда Вы предлагаете товары или услуги людям в ЕС или отслеживаете их поведение. Если Ваш белорусский сотрудник обрабатывает персональные данные клиентов из ЕС, GDPR распространяется на эту обработку — независимо от того, где находится штаб-квартира.

Можно ли просто полагаться на SCC и пропустить Transfer Impact Assessment?

Нет. EDPB и национальные надзорные органы открыто заявляют: SCC без TIA не являются полноценной гарантией. После решения Schrems II проведение TIA стало базовым требованием при передаче персональных данных в страны, для которых Европейская комиссия не признала адекватный уровень защиты данных.

Кто подписывает SCC, если мы работаем через EOR?

Как правило, Вы подписываете как экспортёр данных и контролёр; EOR подписывает как импортёр данных и процессор. Если EOR использует субпроцессоров — например, провайдера зарплатного ПО, — соответствующие положения отражаются либо в приложениях к SCC, либо в отдельном соглашении о субпроцессорах.

Какова ответственность за нарушение?

Верхний порог по статье 83 — до 4% годового глобального оборота или 20 миллионов евро, в зависимости от того, что больше. На практике регуляторы концентрируют санкции на серьёзных или повторных нарушениях. Более распространённая «цена» — время и юридические издержки на реакцию на жалобу или аудит, когда документация оформлена некорректно.

Нужно ли назначать Data Protection Officer из-за того, что мы нанимаем в Беларуси?

Не автоматически. Требование о DPO по статье 37 возникает в зависимости от характера обработки — масштабного систематического мониторинга или масштабной обработки специальных категорий данных. Сам факт найма инженеров в Беларуси этот порог не переходит. Некоторые компании назначают DPO как пример хорошей практики.

Как часто нужно обновлять документацию?

Относитесь к ROPA, уведомлению о конфиденциальности и TIA как к живым документам. Пересматривайте их минимум раз в год — и каждый раз, когда происходит что-то существенное: появляется новый субпроцессор, добавляется новая операция обработки, меняется регулирование в Беларуси или на уровне ЕС.

Итог

Документационный пакет для найма специалиста из Беларуси в рамках GDPR в целом ограничен и довольно структурирован. Речь идёт примерно о десяти основных документах, большинство из которых после первичной настройки превращаются в шаблоны для дальнейшего использования. Сложности возникают не у тех, кто считает правила запутанными, а у тех, кто решил, что правила к ним не относятся.

Подготовьте документы в начале сотрудничества, держите их под ежеквартальным пересмотром — и GDPR в найме из Беларуси превращается в фоновый процесс, а не в ежеквартальный пожар. Если перед подписанием Вам нужен независимый взгляд на собранный пакет документов, свяжитесь с нами — 30-минутный звонок обычно выявляет пробелы быстрее любого чек-листа.

Об Авторе
Команда Spex
Спекс Эдвайзрс — команда опытных профессиональных консультантов, бухгалтеров, HR-специалистов и юристов из Минска (Беларусь), которая с 2018 года консультирует иностранный бизнес и частных клиентов.
Услуги Payroll в Беларуси
Профессиональное управление заработной платой в Беларуси с экспертными бизнес-решениями!

Похожие записи

Масштабирование команды в Беларуси через EOR: от 1 сотрудника до 50+

Почти каждая международная компания начинает работу в новой стране одинаково: сначала нужно быстро нанять одного-двух специалистов, а уже потом думать о собственной инфраструктуре. Именно поэтому EOR часто становится первым шагом выхода на рынок. Однако по мере роста команды меняются не только кадровые задачи, но и экономика модели. Если для первых сотрудников EOR почти всегда оказывается […]

Автор Команда Spex
14.04.2026
Стратегия контрофера: как удержать senior-разработчиков в Беларуси без переплаты

Разговор обычно начинается одинаково. Senior-инженер просит поговорить наедине, закрывает дверь и сообщает, что общается с другой компанией. Иногда у него уже есть письменное предложение. Иногда — пока нет. В любом случае ближайшие двое суток решат, останется ли с вами один из тех, кого в команде заменить почти невозможно, — и удастся ли удержать его за […]

Автор Команда Spex
02.07.2026
Удалённое управление иностранной дочерней компанией в Беларуси в 2026 году: роли, обязанности и календарь отчётности

Большинство международных групп, владеющих белорусской дочерней компанией, физически в Минске не присутствуют. Головной офис находится в Лондоне, Нью-Йорке, Дубае, Сингапуре или Берлине. Финансовый директор общается с командой в Slack, совет директоров смотрит квартальные показатели на панели аналитики, а на месте — только инженерная команда, бухгалтер и те должностные лица, которых требует закон. Такая схема работает […]

Автор Команда Spex
30.06.2026

Связаться с нами