С 5 сентября 2025 года в России вступили в силу изменения, которые напрямую затрагивают порядок контроля за обработкой персональных данных и оценку категорий риска юридических лиц и индивидуальных предпринимателей. Поправки утверждены постановлением Правительства РФ от 27.08.2025 № 1286 и меняют критерии, по которым компании и ИП относятся к различным «группам тяжести» последствий возможных нарушений.
Главное новшество коснулось группы «А». Теперь в неё попадают организации, которые обрабатывают сведения более чем о 100 тыс. физических лиц в одном регионе или на всей территории России. В эту же категорию включена обработка на основании согласия субъекта в случаях, когда по закону такое согласие формально не требуется. Таким образом, Роскомнадзор усиливает внимание к крупным массивам данных и к практикам «избыточного» согласия.
Критерии для группы «Б» переработаны ещё более существенно, что расширяет список операторов, для которых возможно изменение действующей категории риска.
Итоговая категория риска определяется сочетанием двух параметров: группы тяжести и группы вероятности несоблюдения требований законодательства о персональных данных. Эти базовые соотношения остались прежними, однако обновлённые критерии перераспределяют многие компании и ИП в сторону более высокой группы тяжести.
Категория риска влияет на частоту проверок и интенсивность контроля со стороны Роскомнадзора. Чем выше категория, тем больше вероятность попасть в планы проверок. Для компаний с обширными клиентскими базами, HR-системами или маркетинговыми платформами это означает рост нагрузки по комплаенсу и необходимости обновить внутренние процессы.
Компании, которые обрабатывают большие массивы данных или используют согласие как универсальное основание для обработки, должны провести ревизию своих регистров персональных данных, пересмотреть правовые основания и при необходимости обновить внутренние политики и локальные акты. Это позволит заранее подготовиться к проверкам и снизить вероятность санкций.
Одновременно с изменениями в критериях риска вступили в силу и другие поправки, во многом дублирующие положения Федерального закона «О государственном контроле (надзоре) и муниципальном контроле».
Документ: Постановление Правительства РФ от 27.08.2025 № 1286