С 5 сентября действуют нновые правила обработки персональных данных

С 1 сентября Роскомнадзор ужесточил критерии оценки рисков при обработке персональных данных. Порог для категории «Б» снижен до 10 тыс. записей, а для высокорисковых объектов вводятся регулярные проверки.

Постановление Правительства РФ от 27 августа 2025 г. № 1286 установило новые критерии отнесения организаций и ИП к категориям риска при обработке персональных данных, введя группы тяжести «А» и «Б» с новыми порогами и условиями. Документ вступил в силу 5 сентября 2025 года.

Изменения затрагивают как крупные компании, так и небольшие организации, работающие с клиентскими базами. Теперь при определении уровня риска учитываются не только объем обрабатываемых данных, но и способы их получения и передачи. Обновленные правила влияют на частоту проверок Роскомнадзора и могут увеличить нагрузку на бизнес.

• К категории риска «А» теперь относятся компании и предприниматели, которые обрабатывают данные более чем 100 тыс. физических лиц в пределах региона или по всей РФ, а также используют персональные данные на основании согласия, если по закону его получать не обязательно.

• В категорию «Б» включены: обработка данных детей в случаях, прямо предусмотренных законом; обработка сведений более чем о 10 тыс. человек (ранее порог был 20 тыс.); сбор данных с использованием зарубежных баз данных; обезличивание персональных данных без передачи третьим лицам; трансграничная передача данных без уведомления.

Организации и ИП, которые работают с крупными массивами персональных данных или использующие зарубежные сервисы, должны учитывать ужесточение критериев. Снижение порога для категории «Б» до 10 тыс. записей автоматически расширяет круг контролируемых субъектов. Для высокорисковых категорий проверки станут регулярными, что требует заранее выстроить систему защиты данных и привести процессы обработки в соответствие с законодательством, чтобы минимизировать риски штрафов и регуляторных претензий.