Правительство утвердило новые правила, которые уточняют критерии для распределения организаций и индивидуальных предпринимателей по группам тяжести последствий возможных нарушений в сфере персональных данных. Поправки вступают в силу 5 сентября 2025 года.
Группа «А»
К этой группе теперь будут относить, в частности:
- обработку данных в системах, содержащих сведения более чем о 100 тыс. человек в регионе или по всей стране;
- обработку информации по согласию субъекта, если закон не требует получать такое согласие.
Группа «Б»
Изменения более существенные:
- вместо действующего критерия «обработка сведений о детях, когда законы её не предусматривают» появится обратная формулировка — «обработка сведений о детях, когда законы её предусматривают»;
- порог по числу обрабатываемых записей снижен: с 20 тыс. до 10 тыс. человек;
- уточнено правило о сборе сведений: вместо «через иностранные программы и сервисы» — «с помощью зарубежных баз данных в ряде случаев»;
- введён новый критерий — обезличивание данных и их обработка без передачи третьим лицам;
- добавлено требование о трансграничной передаче данных без уведомления о её планах в установленных случаях.
Категории риска
Соотношение группы тяжести и группы вероятности нарушения требований по-прежнему будет определять категорию риска причинения вреда, однако сами соотношения останутся прежними.
Кроме того, с этой же даты вступят в силу и другие изменения, в основном повторяющие положения Закона о государственном контроле.
Источник: КонсультантПлюс
