Начали действовать новые правила оценки рисков при обработке персональных данных

С 5 сентября 2025 года вступило в силу Постановление Правительства РФ от 27 августа 2025 г. № 1286. Теперь действуют обновлённые правила оценки уровня риска при обработке персональных данных. Это связано с введением новых критериев разделения операторов на категории. Изменения существенно ужесточают требования для организаций и индивидуальных предпринимателей, работающих с персональными данными.

Новые правила разделяют операторов на категории риска «А» и «Б» с учётом объёма и способов обработки данных.

Категория риска «А»:

• Охватывает компании и ИП, обрабатывающие данные более 100 тыс. физлиц в одном регионе или по всей России.
• Включает случаи, когда сбор данных проводится на основании согласия физлиц.

Для категории риска «Б» снижен порог обработки данных до 10 тыс. записей (ранее 20 тыс.):

• Учитываются операции с данными детей, если это является обязательным по закону.
• Включается обработка обезличенных данных без передачи третьим лицам.
• Вводятся ограничения на использование иностранных баз данных и трансграничную передачу данных без уведомления Роскомнадзора.

Как изменится контроль?

Для высокорисковых объектов предусмотрены регулярные проверки: минимум один профилактический визит в год или плановая проверка раз в два года.

Для объектов со средним, умеренным и низким риском плановые проверки отменяются. Профилактические визиты также не проводятся для низкорисковых категорий.

Новые правила затрагивают как крупный бизнес, так и небольшие организации. Особенно это касается:

• Компаний, работающих с клиентскими базами данных.
• Операторов, использующих зарубежные сервисы для обработки данных.
• Организаций, занимающихся трансграничной передачей персональных данных.

Снижение порога для категории «Б» до 10 тыс. записей автоматически расширяет круг контролируемых субъектов. Это требует от бизнеса пересмотра процессов обработки данных и усиления мер защиты.