С 5 сентября 2025 были изменены критерии, по которым организации и ИП распределяются по группам риска при обработке персональных данных. Постановление Правительства от 27.08.2025 № 1286 ввело новые условия, по которым компании будут отнесены к одной из категорий, в зависимости от тяжести последствий, вызванных нарушениями требований при обработке персданных.
В категорию риска «А» с 5 сентября будут включены организации и ИП, которые:
- обрабатывают сведения о более 100 тысяч физлиц в регионе или по РФ;
- обрабатывают персданные на основе согласия физлиц, хотя по закону его получать не обязательно.
Изменения в категории «Б» следующие:
- критерий «Обработка сведений о детях, когда законы ее не предусматривают» теперь звучит как «Обработка сведений о детях, когда законы ее предусматривают»;
- лимит обрабатываемых записей снизился с 20 тысяч до 10 тысяч человек;
- критерий «Сбор сведений с помощью иностранных программ и сервисов» поменялся на «Сбор сведений с помощью зарубежных баз данных в ряде случаев»;
- появилось условие об обработке обезличенных данных без передачи ее третьим лицам;
- добавлен критерий о трансграничной передаче персданных без уведомления делать это.
Для объектов высокого риска будет проводиться одна плановая проверка раз в 2 года или один обязательный профилактический визит ежегодно. Объекты контроля значительного, среднего, умеренного и низкого риска под плановые проверки не попадают. Также отменены профилактические визиты для объектов категорий низкого риска.
