Объекты контроля относятся к одной из категорий риска: чрезвычайно высокий, высокий, значительный, средний, умеренный, низкий — в зависимости от объёма обрабатываемых персональных данных, категорий субъектов и характера обработки. Соответствие категории риска обозначается буквами от А (минимальная) до Г (максимальная) и классом защиты от 1 (максимальный) до 4 (минимальный).
Категория риска присваивается на основании сведений из уведомления оператора, поданного в порядке ст. 22 Федерального закона № 152-ФЗ «О персональных данных».