С 5 сентября действуют новые правила контроля за обработкой персональных данных. В зависимости от тяжести возможных последствий при нарушении правил работы с персональными данными компании разделили на четыре группы риска от «А» до «Г». На основе градации и вероятности нарушений организациям присваивают категории риска от низкой до высокой.

От этого зависит периодичность проверок:

  • компании с высокой категорией риска будут проверять раз в два года или проведут один профилактический визит в год;
  • в отношении компаний со значительным, средним или умеренным риском предусмотрены только профилактические визиты;
  • для компаний с низким риском не будет ни проверок, ни профилактических визитов.

Критерии риска, согласно которым компании относят к той или иной группе, тоже обновили.

К группе «Г» (наименее тяжкие последствия) теперь относят только те компании, чья деятельность соответствует двум критериям: обработка данных менее 1 тыс. человек и обработка данных из общедоступных источников.

К группе «А» (наиболее тяжкие последствия) теперь относят в том числе компании, которые обрабатывают данные более 100 тыс. человек или обрабатывают данные с согласия субъекта в тех случаях, когда по закону такое согласие можно не получать. Организацию также отнесут к группе «А», если при сборе данных в интернете она использует базы иностранных компаний и физлиц. А если пользуется для этого зарубежными серверами, то попадет в группу «Б», а не «А», как раньше.

Компанию отнесут к группе «Б», если она обрабатывает данные более 10 тыс. человек, а не 20 тыс., как раньше; данные о детях, когда это предусмотрено законом, и обезличенные данные без их дальнейшего распространения.

В группу «В» включат компании, обрабатывающие данные до 10 тыс. человек, а не 20 тыс., как раньше. К этой же группе отнесут компании, распространяющие данные с согласия субъекта, хотя прежде такого критерия вообще не было.