Обновили критерии категорий риска при обработке персданных

Кабмин обновил положение государственном контроле (надзоре) за обработкой персональных данных, которое утверждено постановлением Правительства от 29.06.2021 г. № 1046. Изменения, внесенные постановлением Правительства от 27.08.2025 № 1286, действуют с 5 сентября 2025 года.

Объектами контроля за обработкой персональных данных являются:

• деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора, по обработке персональных данных, осуществляемой с использованием или без использования средств автоматизации;
• результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных и принятых оператором мер, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

По общему правилу при осуществлении госконтроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.

РКН при осуществлении госконтроля относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба):

• высокий риск;
• значительный риск;
• средний риск;
• умеренный риск;
• низкий риск.

С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести «А», «Б», «В» и «Г».

К примеру, к группе тяжести «А» относятся следующие виды деятельности:

• обработка специальной категории персональных данных или биометрических персональных данных;
• сбор персональных данных, в том числе в интернете, осуществляемый с использованием баз данных, находящихся за пределами Российской Федерации;
• трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
• передача третьим лицам персональных данных, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных.

С 5 сентября 2025 года к группе тяжести «А» относятся также следующие виды деятельности:

• обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более чем 100 000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
• обработка персональных данных на основании согласия субъекта персональных данных на обработку его персональных данных в случаях, если федеральным законом не предусмотрена обязанность получения такого согласия.
• сбор персональных данных, в том числе в интернете, осуществляемый с использованием принадлежащих иностранным юридическим лицами или иностранным гражданам информационных систем или ПО.

При этом с учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю (надзору), разделяется на группы вероятности «1», «2», «3», «4».

К группе вероятности «1» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 статьи 13.11 КоАП:

• по фактам которых РКН в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
• в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

Сочетание тяжести потенциальных негативных последствий и группы вероятности и дает группу риска. К примеру, при группе тяжести «А» и группе вероятности «1» деятельность контролируемого лица отнесут к высокой категории риска.

До внесения правок было предусмотрено, что плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:

• в отношении объектов контроля, отнесенных к категории высокого риска, - инспекционный визит или выездная проверка с периодичностью один раз в 2 года;
• в отношении объектов контроля, отнесенных к категории значительного риска, - инспекционный визит или выездная проверка с периодичностью один раз в 3 года;
• в отношении объектов контроля, отнесенных к категории среднего риска, - инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;
• в отношении объектов контроля, отнесенных к категории умеренного риска, - документарная проверка или выездная проверка с периодичностью один раз в 6 лет.

В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.

Постановлением Правительства от 27.08.2025 № 1286 этот порядок проведения КНМ изменен следующим образом:

• в отношении объектов контроля, отнесенных к категории высокого риска, проводятся одно плановое контрольное (надзорное) мероприятие в 2 года или один обязательный профилактический визит в год;
• периодичность проведения обязательных профилактических визитов для объектов контроля, отнесенных к категории значительного, среднего или умеренного риска, устанавливается в соответствии с периодичностью, определенной Правительством в соответствии с пунктом 3 части 2 статьи 25 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»;
• плановые контрольные (надзорные) мероприятия в отношении объектов контроля, отнесенных к категории значительного, среднего, умеренного или низкого риска, и обязательные профилактические визиты в отношении объектов контроля, отнесенных к категории низкого риска, не проводятся.

Камбин внес и другие изменения.

К примеру, уточнил порядок проведения профилактических визитов.

Предусмотрено, что профилактический визит проводится:

• в форме профилактической беседы должностным лицом контролирующего органа (территориального органа) по месту осуществления деятельности контролируемого лица;
• либо путем использования видео-конференц-связи;
• либо с помощью мобильного приложения «Инспектор».

Осмотр в рамках обязательного профилактического визита может осуществляться с использованием средств дистанционного взаимодействия, в том числе посредством видео-конференц-связи, а также с использованием мобильного приложения «Инспектор».