С 2021 г. ко всем операторам персональных данных (ПД) применяется риск-ориентированный подход, согласно которому они разделены на группы тяжести (А, Б, В, Г), группы вероятности (от 1 до 4) и категории риска (высокий, значительный, средний, умеренный, низкий). В постановлении от 27.08.2025 № 1286 с учетом потенциальных негативных последствий возможных нарушений правительство ужесточило критерии, по которым деятельность операторов ПД относится к группам тяжести последствий возможного нарушения требований в области ПД. Кроме того, содержание групп вероятности было обновлено в соответствии с актуальной редакцией ст. 13.11, 13.11.2, 13.11.3 КоАП РФ. Подробности в материале.
В Положении о государственном надзоре за обработкой персональных данных (ПД) (постановление Правительства РФ от 27.08.2025 № 1286, ред. с 05.09.2025) уточнено, что плановые контрольно-надзорные мероприятия (проверка раз в два года либо ежегодный обязательный профвизит) проводятся только в отношении объектов высокого риска. Без плановых проверок в принципе обойдутся объекты контроля категории значительного, среднего, умеренного или низкого риска (включая плановые профвизиты. Если в ходе дистанционного контроля без взаимодействия с контролируемым лицом будут выявлены нарушения обязательных требований к обработке ПД, то такому лицу могут быть направлены и предостережение, и требование об уничтожении ПД.
Общий риск-ориентированный подход разделения организаций и ИП (как операторов ПД) на категории в зависимости от тяжести возможных последствий из-за нарушения требований к обработке ПД остался неизменным: с учетом тяжести потенциальных негативных последствий несоблюдения обязательных требований к обработке ПД все операторы делятся на группы тяжести — А, Б, В, Г, а с учетом оценки вероятности несоблюдения обязательных требований — на группы от 1 до 4. Сочетание тяжести и вероятности дает одну из пяти категорий риска — высокий, значительный, средний, умеренный, низкий.
Так, содержание групп вероятности было обновлено в соответствии с актуальной редакцией ст. 13.11, 13.11.2, 13.11.3 КоАП РФ. Существенному обновлению подверглись и критерии, по которым деятельность операторов ПД относится к группам тяжести последствий возможного нарушения требований в области ПД:
- в группах тяжести «А» и «Б» было увеличено количество видов деятельности по обработке ПД (с четырех до шести для группы «А», с четырех до пяти для группы «Б»), а вот группа «Г» недосчиталась сразу двух критериев, то есть шанс оператору ПД попасть в более значимую группу тяжести увеличился;
- по каждой группе тяжести сделан фокус на масштаб обработки ПД в информационных системах, который теперь базируется на четырех показателях — обработка ПД более чем 100 тыс. субъектов ПД (группа «А»), 10—100 тыс. субъектов ПД (группа «Б»), 1—10 тыс. субъектов ПД (группа «В») и менее 1 тыс. субъектов ПД (группа «Г»);
- в группе «А» появились сразу два новых вида деятельности — сбор ПД, в том числе в интернете, с использованием иностранных систем/программ/сервисов, а также обработка ПД с согласия субъекта ПД, если законом не предусмотрена обязанность получения такого согласия (что явно перекликается с положениями опубликованного 25.08.2025 законопроекта о втором «антифрод» пакете — ID проекта: 159652);
-
из группы «Г» была исключена деятельность по трансграничной передаче ПД в иностранные государства, являющиеся сторонами Конвенции Совета Европы № 108 «О защите физических лиц при автоматизированной обработке персональных данных», а в группу «Б» добавлена деятельность по трансграничной передаче ПД в случаях, определяемых Правительством РФ согласно ч. 15 ст. 12 Закона о персональных данных (видимо, это было сделано с учетом законопроекта о пересмотре перечня доверенных стран для трансграничной передачи ПД — законопроект № 951518-8);
-
в группу «В» добавлена деятельность по распространению ПД с согласия субъекта ПД, предусмотренного ст. 10.1 Закона о персональных данных, а из группы «Г» исключили обработку ПД, не требующую направления уведомления в Роскомнадзор — что представляется логичным в свете практически полного исключения в 2022 г. из ч. 2 ст. 22 Закона о персональных данных обстоятельств, позволяющих операторам обрабатывать ПД без уведомления Роскомнадзора.
Критерии отнесения объектов федерального государственного контроля (надзора) за обработкой персональных данных к определенной категории риска (в ред. постановления Правительства РФ от 27.08.2025 № 1286)
|
|
Критерии отнесения к группе вероятности |
РКН в течение последних двух лет были выданы предписания, требования или предупреждения и (или) вступило в законную силу решение о привлечении к адм. отв. в течение последних трех лет |
|||
|
|
в отношении нарушений ч. 1.1, 2.1, 5.1, 8, 9, 12—18 ст. 13.11 и ст. 13.11.3 КоАП РФ |
в отношении нарушений, ч. 1, 2, 5, 6, 10, 11 ст. 13.11 и ст. 13.11.2 КоАП РФ |
в отношении нарушений, предусмотренных ч. 4, 7 ст. 13.11 КоАП РФ |
Отсутствие обстоятельств, предусмотренных для 1—3 группы вероятности |
|
|
Критерии отнесения к группе тяжести |
Тяжесть \ Вероятность |
Группа 1 |
Группа 2 |
Группа 3 |
Группа 4 |
|
|
Группа А |
Высокий риск |
Значительный риск |
Значительный риск |
Средний риск |
|
|
Группа Б |
Высокий риск |
Значительный риск |
Средний риск |
Умеренный риск |
|
|
Группа В |
Значительный риск |
Значительный риск |
Средний риск |
Умеренный риск |
|
|
Группа Г |
Средний риск |
Средний риск |
Умеренный риск |
Низкий риск |