Установлены новые критерии оценки рисков при обработке персональных данных: изучаем изменения

5 сентября 2025 г.

Риски: с 5 сентября 2025 года расширен перечень видов деятельности, связанных с обработкой персональных данных в целях отнесения к высокой группе риска. К группе тяжести «А» добавлена обработка персданных более 100 тыс. лиц или получение личных данных по необязательному согласию, а группа «Б» расширена за счет случаев обработки детских данных по закону, обработки данных от 10 тыс. лиц в региональных системах, сбора данных через зарубежные базы, обезличивания без передачи третьим лицам и трансграничной передачи без уведомления.

Периодичность проведения Роскомнадзором плановых контрольных мероприятий установлена только в отношении объектов контроля, отнесенных к категории высокого риска (Федеральный закон от 31.07.2020 N 248-ФЗ, Постановление Правительства РФ от 29.06.2021 N 1046). Отнесение деятельности контролируемого лица к определенной категории риска в сфере обработки персональных данных основывается на соотнесении группы тяжести и группы вероятности.

Постановлением Правительства РФ от 27.08.2025 N 1286 внесены изменения в критерии отнесения деятельности организаций и ИП к группам тяжести возможных последствий от нарушения требований к обработке персональных данных.

К группе тяжести «А» добавлены виды деятельности, связанные с обработкой:

сведений о более чем 100 тыс. физлиц на региональном или федеральном уровне;
персональных данных, полученных на основе согласия физлица, когда получение такого согласия по закону не является обязательным.

В группе тяжести «Б» произошли более существенные изменения:

Как будет с 5 сентября 2025 года	Как было раньше
Обработка персональных данных детей в случаях, предусмотренных законом	Обработка персональных данных детей в случаях, когда законы ее не предусматривают
Обработка личных сведений в системах, содержащих информацию о более 10 тыс. физлиц в регионе или на всей территории РФ	Обработка персональных данных в системах с информацией о более 20 тыс. физлиц в регионе или на всей территории РФ
Сбор персональных данных с помощью зарубежных баз данных в установленных случаях	Сбор персональных данных с помощью иностранных ПО и сервисов
Обезличивание личных сведений и обработка его результатов без передачи третьим лицам	Обработка данных в целях, отличных от заявленных при сборе
Трансграничная передача персональных данных (в ряде случаев) без предварительного уведомления	Не было прямого аналога

В группы тяжести «В» и «Г» также внесены изменения, но данные группы не относятся к высокой категории риска. Соотношение группы тяжести и группы вероятности в целях отнесения деятельности контролируемого лица к определенной категории риска не изменится.

Постановление вступает в силу с 5 сентября 2025 года. Есть и другие изменения.

На заметку: для отнесения организации (ИП) к высокой группе риска, она должна соответствовать критериям группы тяжести «А» или «Б» и получить в течение последних двух лет предписание об устранении повторно совершенного и обнаруженного правонарушения ч. 1.1, 2.1, 5.1, 9 ст.13.11 КоАП (группа вероятности «1»).

Про порядок и периодичность проверок Роскомнадзора рассказано в Готовом решении в СПС КонсультантПлюс.

Полезную информацию и ответы на практические вопросы смотрите в специальном разделе «Все о персональных данных» на нашем сайте.

Читайте подробнее