10.09.2025

Контроль за обработкой персональных данных: новые критерии категории риска с 5 сентября 2025 года

Контроль за обработкой персональных данных: новые критерии категории риска с 5 сентября 2025 года

С 5 сентября 2025 года в России вступили в силу изменения, которые напрямую затрагивают порядок контроля за обработкой персональных данных и оценку категорий риска юридических лиц и индивидуальных предпринимателей. Поправки утверждены постановлением Правительства РФ от 27.08.2025 № 1286 и меняют критерии, по которым компании и ИП относятся к различным «группам тяжести» последствий возможных нарушений.


Что изменилось в контроле за обработкой персональных данных?

Главное новшество коснулось группы «А». Теперь в неё попадают организации, которые обрабатывают сведения более чем о 100 тыс. физических лиц в одном регионе или на всей территории России. В эту же категорию включена обработка на основании согласия субъекта в случаях, когда по закону такое согласие формально не требуется. Таким образом, Роскомнадзор усиливает внимание к крупным массивам данных и к практикам «избыточного» согласия.

Критерии для группы «Б» переработаны ещё более существенно, что расширяет список операторов, для которых возможно изменение действующей категории риска.


Как формируется категория риска Роскомнадзора

Итоговая категория риска определяется сочетанием двух параметров: группы тяжести и группы вероятности несоблюдения требований законодательства о персональных данных. Эти базовые соотношения остались прежними, однако обновлённые критерии перераспределяют многие компании и ИП в сторону более высокой группы тяжести.


Почему это важно для бизнеса

Категория риска влияет на частоту проверок и интенсивность контроля со стороны Роскомнадзора. Чем выше категория, тем больше вероятность попасть в планы проверок. Для компаний с обширными клиентскими базами, HR-системами или маркетинговыми платформами это означает рост нагрузки по комплаенсу и необходимости обновить внутренние процессы.

Компании, которые обрабатывают большие массивы данных или используют согласие как универсальное основание для обработки, должны провести ревизию своих регистров персональных данных, пересмотреть правовые основания и при необходимости обновить внутренние политики и локальные акты. Это позволит заранее подготовиться к проверкам и снизить вероятность санкций.


Дополнительные поправки

Одновременно с изменениями в критериях риска вступили в силу и другие поправки, во многом дублирующие положения Федерального закона «О государственном контроле (надзоре) и муниципальном контроле».

Документ: Постановление Правительства РФ от 27.08.2025 № 1286