С 5 сентября 2025 года проверки Роскомнадзора по персональным данным (ПДн) «переехали» на обновлённую риск‑ориентированную модель: Кабмин поправил ПП № 1046 через постановление № 1286 и расширил критерии, по которым деятельность оператора относят к группам тяжести А/Б/В/Г. В 2026 году это напрямую влияет на то, кого будут «доставать» планово, а кто, скорее всего, увидит РКН только при жалобе или инциденте. 

Главное, что нужно понимать про 2026 год

  1. Плановая активность сосредоточена на “высоком риске”.
    Для объектов высокого риска проводится 1 плановое мероприятие раз в 2 года или 1 обязательный профилактический визит в год. Для значительного/среднего/умеренного/низкого риска плановых проверок нет, а для низкого риска нет даже обязательных профвизитов

  2. Категория риска — это не только “что вы делаете”, но и “как часто вы ошибаетесь”.
    Категория складывается из:

  • группы тяжести (А/Б/В/Г) — насколько опасна ваша модель обработки;

  • группы вероятности (1–4) — есть ли у вас нарушения/предписания/наказания за последние периоды (в приложении к ПП №1046). 

Вообщем в 2026 чаще всего будут попадать в план те, кто одновременно:

  • попадает в группу тяжести А (реже — “Б”), и/или

  • имеет “плохую” вероятность (история предписаний/штрафов).

Дальше давайте разберем, что же за "группы тяжести" такие.

Группа А — максимальная тяжесть (кандидаты №1 на внимание РКН)

Вы в группе А, если есть хотя бы один пункт ниже про вас: 

  • обрабатываете спецкатегории ПДн и/или биометрию (здоровье, биометрическая идентификация и т. п.);

  • у вас более 100 000 субъектов ПДн в пределах региона или РФ;

  • обрабатываете ПДн по согласию там, где закон не требует согласия (типовая проблема: “универсальные” согласия, которыми пытаются подменить нормальные основания обработки);

  • собираете ПДн через иностранные сервисы, принадлежащие иностранным юрлицам/гражданам;

  • делаете трансграничную передачу в страны без “адекватной защиты” (по перечню РКН);

  • передаёте третьим лицам данные, полученные после обезличивания (по утвержденным методам).

Какие компании чаще всего попадают в А (примеры по рынкам)

  • Финтех / банки / МФО / страховые

  • Телеком

  • Маркетплейсы, крупный e-commerce, доставки, агрегаторы услуг/такси

  • Медицина и лаборатории

  • HR-платформы/аутсорсинг (особенно на массовом рынке)

  • AdTech/маркетинговые платформы/Big Data-провайдеры

Группа Б — значительная тяжесть (широкий круг “средних” компаний)

Вы в группе Б, если выполняется что-то из списка: 

  • обрабатываете ПДн несовершеннолетних в случаях, предусмотренных законодательством;

  • у вас более 10 000 субъектов ПДн (порог снижен по сравнению со старой логикой и реально расширяет круг компаний);

  • собираете ПДн (в т.ч. в интернете) с использованием баз данных за пределами РФ;

  • делаете трансграничную передачу без уведомления (когда уведомление требуется);

Кто типично в категории Б

  • Средний e-commerce / сети услуг (10k+ клиентов: фитнес-сети, крупные частные школы/курсы, сети медцентров “лайт” без биометрии и т. п.).

  • EdTech/детские сервисы (если есть обработка данных несовершеннолетних по закону).

  • SaaS/онлайн-сервисы (особенно если инфраструктура/БД размещены за рубежом).

  • Компании с трансграничными процессами (подрядчики, международные группы).

Группа В — средняя тяжесть (обычно без плановых проверок)

  • обрабатываете ПДн близких родственников субъекта;

  • у вас от 1 000 до 10 000 субъектов ПДн;

  • трансграничная передача в страны с адекватной защитой;

  • распространение ПДн на основании согласия по ст. 10.1 (данные, разрешенные для распространения).

Типичные примеры

  • локальные/нишевые сервисы с базой 2–8k пользователей;

  • компании, публикующие данные пользователей “по согласиям на распространение” (отзывы, каталоги, профили).

Группа Г — минимальная тяжесть (наименее вероятные проверки)

  • менее 1 000 субъектов ПДн в ИСПДн;

  • обрабатываете ПДн из общедоступных источников.

Это микро-бизнес и маленькие проекты. Планово к вам, как правило, не придут — но внепланово могут (жалоба, публикация об утечке и т.п.).

Резюмируя выше написанное наши топ-кандидаты на проверки в 2026 году

  1. Любая компания из группы А (особенно с большой базой, спецкатегориями/биометрией, иностранными системами сбора, трансграном “в неадекватные страны”, передачей обезличенных данных третьим лицам). 

  2. Компании из группы Б, у которых есть проблемные “красные флажки”: трансгран без уведомления, зарубежные БД в процессах сбора, работа с ПДн детей, плюс история предписаний/штрафов. 

Наименее вероятны плановые мероприятия: у большинства из В и почти всех из Г, если нет инцидентов и жалоб.

Финальная мысль

В 2026 году вопрос “попадём ли мы под проверку” всё чаще будет решаться не абстрактно (“мы же маленькие”), а по простой логике: что именно вы делаете с ПДн и где у вас риск-факторы по списку А/Б/В/Г. Если находите себя в группе А или Б — лучше исходить из того, что внимание будет, и готовить процессы заранее.

Если хотите узнавать больше про 152-ФЗ и держать руку на пульсе, можно подписаться на мой телеграмм-канал.