152-ФЗ в 2026: оборотные штрафы 3%, обязательная УПД и ЭТТН — чек-лист малого бизнеса до сентября

В 2025–2026 годах регуляторный ландшафт для малого бизнеса резко ужесточился сразу по трём направлениям: оборотные штрафы за утечки персональных данных, обязательный универсальный передаточный документ как единственный формат первички, обязательная электронная транспортная накладная. Все три удара бьют в одни и те же процессы — обработка персональных данных, документооборот, логистика — и накладываются друг на друга. Малый бизнес, который к маю 2026 ещё не перестроил инфраструктуру, до сентября должен это сделать.

TL;DR

Три нормы 2025–2026 фактически переписали правила игры:

• С 30 мая 2025 введены оборотные штрафы по ч. 4 ст. 13.11.4 КоАП — до 3% годовой выручки или до 500 млн ₽ за утечку ПДн от 1000 субъектов.
• С 1 января 2026 УПД (универсальный передаточный документ в формате XML) — единственный допустимый электронный формат первичных документов на отгрузку.
• С 1 сентября 2026 электронная транспортная накладная (ЭТТН) — обязательна при автомобильной перевозке грузов между юрлицами и ИП.

К сентябрю 2026 нужно одновременно: иметь корректное уведомление в РКН, обновлённую политику и согласия на сайте, подключённый ЭДО с поддержкой XML-УПД, подключённую ГИС ЭПД для накладных, и пройденный аудит обработчиков ПДн в цепочке (хостинг, CRM, оператор ЭДО, перевозчик).

Главное

• Размер штрафа за утечку не зависит от того, виноваты ли вы или ваш подрядчик: оператор отвечает за всю цепочку обработки. Если утекло у хостера — штраф вам.
• ФНС и РКН теперь обмениваются данными о расхождениях. Поставили УПД — но в уведомлении РКН не указан оператор ЭДО как обработчик ПДн контрагентов — повод для проверки.
• ЭТТН передаётся через ГИС ЭПД (Минтранса). Грузополучатель, грузоотправитель и перевозчик автоматически становятся «совместными операторами» ПДн водителя — это надо отразить в политике и уведомлении.
• Никаких «бумажных» исключений для малого бизнеса больше нет. ИП на УСН подпадают под оборотные штрафы наравне с крупными.
• Готовиться нужно сейчас. Подключение ЭДО с поддержкой УПД — 2–4 недели. ГИС ЭПД — 1 неделя на регистрацию + обучение. РКН — 1–2 недели на корректное уведомление и переделку сайта.

Что изменилось в регуляторике в 2025–2026

Чтобы понимать масштаб, посмотрим на три события вместе.

Май 2025 — закон 420-ФЗ ужесточил санкции по ст. 13.11 КоАП. Появились оборотные штрафы за утечки. Параллельно — резко выросли стандартные штрафы: за отсутствие уведомления в РКН с 5 000 ₽ для юрлица стало до 75 000 ₽, за неполное согласие с 30 000 ₽ — до 700 000 ₽, за повторное нарушение — оборотный штраф или до 18 млн ₽ единовременно.

«С мая 2025 года штрафы выросли: отсутствие уведомления в РКН — до 500 000 ₽; нарушение порядка обработки данных — 150–300 тысяч рублей для организации; утечка персональных данных — от 3 до 15 миллионов рублей; повторное нарушение — оборотный штраф: до 3% от годовой выручки или до 500 миллионов рублей. К 2026 году эти нововведения должны быть внедрены повсеместно, а бизнес ждут массовые проверки со стороны Роскомнадзора.» — обзор «152-ФЗ для малого бизнеса», Klerk.ru, апрель 2026.

Январь 2026 — приказ ФНС от 12.10.2023 № ЕД-7-26/736 в полной редакции вступил в силу. XML-УПД формата 5.03 — единственный допустимый формат первичного документа на отгрузку при ЭДО. Старый формат 5.02 запрещён, бумажная первичка по сделкам B2B/B2G — только по индивидуальным основаниям, не как штатный режим.

Сентябрь 2026 — закон 65-ФЗ от 06.03.2022 в части ЭТТН окончательно вступает в силу для всех видов автомобильной перевозки коммерческих грузов. До этой даты — переходный период, после — обязательно через ГИС ЭПД Минтранса.

Каждый из этих ударов сам по себе значимый. Вместе они означают, что малый бизнес проходит полный апгрейд инфраструктуры одновременно — данные, документы, логистика.

Удар 1. Оборотные штрафы до 3% выручки

С 30 мая 2025 года по ч. 4–6 ст. 13.11.4 КоАП размеры штрафов за утечку ПДн считаются от объёма утёкших записей:

«Утечка» здесь — это любое раскрытие ПДн вне правовых оснований обработки. Не только взлом и слив базы, но и:

• ошибочная массовая рассылка с открытыми адресами в копии (а не в скрытой);
• неправильно настроенный доступ к Google Drive или Яндекс.Диску, где лежал экспорт CRM;
• предоставление ПДн контрагенту без договора поручения по ч. 3 ст. 6 152-ФЗ;
• утечка через скомпрометированный плагин на сайте (сценарий, который РКН отдельно отслеживает);
• передача ПДн в зарубежный сервис без отдельного уведомления по ст. 12.

Ключевой момент: ответственность лежит на операторе целиком. Если ПДн ваших клиентов утекли у хостинг-провайдера или у оператора ЭДО — штраф РКН выпишет вам, а вы потом разбираетесь с подрядчиком по гражданскому иску. Это сильно повышает требования к проверке подрядчиков.

Что делать.

1. Провести инвентаризацию всех мест, где лежат ПДн клиентов: CRM, ЭДО, маркетинговые рассылки, бэкапы, аналитика. Часто всплывают сюрпризы.
2. С каждым обработчиком должен быть подписан договор поручения по ст. 6 ч. 3 152-ФЗ с описанием цели, объёма и сроков обработки.
3. Все эти обработчики должны быть указаны в уведомлении в РКН (см. наш разбор подачи уведомления).
4. Если хоть один обработчик находится за рубежом — отдельное уведомление о трансграничной передаче по ст. 12 (актуально для Mailchimp, Telegram BotAPI, любой международной CRM, многих LLM-провайдеров — см. сравнение GigaChat / YandexGPT / DeepSeek).
5. Сетка реагирования на инциденты: РКН с 2025 обязал операторов уведомлять о любой утечке в течение 24 часов с момента обнаружения. Не уведомили — отдельный штраф плюс отягчающее обстоятельство.

Удар 2. УПД как единственный формат первички

С 1 января 2026 года XML-УПД формата 5.03 — обязательный электронный формат для первичной документации на отгрузку при работе через ЭДО. Норма установлена приказом ФНС от 12.10.2023 № ЕД-7-26/736, поэтапно введённым в действие с 2024 года.

Кого это касается:

• любая компания/ИП, которая выставляет или получает счета-фактуры/накладные через ЭДО (а это сейчас фактически любая B2B-цепочка);
• ритейл — особенно работающий с крупными сетями, у которых ЭДО внедрён давно;
• сервисные компании с регулярными актами выполненных работ;
• интернет-магазины при работе с B2B-клиентами.

Что меняется по сравнению с 2025:

• Старый формат UPD 5.02 — теперь только для документов, выставленных до 31.12.2025, и только до момента закрытия отчётности по ним.
• Бумажная первичка между ЭДО-участниками — только по уважительным причинам, не как штатный процесс. ФНС считает «штатную бумагу» при наличии ЭДО уклонением от обязательств.
• К XML-УПД требуется приложение машиночитаемых полей по ТОРГ-12 — товарные позиции, единицы, цены, налоги в строго регламентированном виде. Произвольная структура запрещена.

Связь с 152-ФЗ. В XML-УПД попадают ПДн (ФИО подписантов, контактные данные представителей, иногда — данные физлиц-покупателей). Это значит:

• оператор ЭДО (СБИС, Контур.Диадок, Такском, ЭДО.Софт и т. д.) — это обработчик ваших клиентских ПДн. Должен быть в списке обработчиков уведомления в РКН и в политике конфиденциальности на сайте.
• Если контрагенты — физлица, нужно отдельное основание обработки именно для целей ЭДО (исполнение договора по ст. 6 ч. 1 п. 5 152-ФЗ обычно покрывает).
• В случае утечки на стороне оператора ЭДО — отвечают все операторы в цепочке, передавшие туда данные.

Что делать до 01.01.2026 (если ещё не сделано):

1. Подключить ЭДО с поддержкой XML-УПД 5.03 (если ещё не подключен).
2. Обновить настройки автоматического формирования: товарные позиции, единицы, ставки НДС — всё в машиночитаемом виде.
3. Внести оператора ЭДО в уведомление в РКН (либо обновить уже поданное уведомление в течение 10 рабочих дней с момента подключения).
4. Обновить политику конфиденциальности на сайте — добавить блок «Передача в систему электронного документооборота».
5. Подписать договор поручения с оператором ЭДО, если ещё нет (обычно входит в типовой договор оказания услуг — проверить, что подписан в актуальной редакции).

Удар 3. Электронная транспортная накладная

С 1 сентября 2026 года ЭТТН становится обязательным форматом для оформления автомобильной перевозки коммерческих грузов между юрлицами/ИП. Норма установлена законом 65-ФЗ от 06.03.2022 с поэтапным переходом, окончательное вступление в силу — 01.09.2026.

Передача ЭТТН идёт через ГИС ЭПД — государственную информационную систему электронных перевозочных документов, которую ведёт Минтранс. В систему попадают:

• ФИО водителя, номер водительского удостоверения, серия и номер паспорта;
• марка и номер транспортного средства;
• маршрут;
• перечень и характеристики груза;
• реквизиты грузоотправителя, перевозчика, грузополучателя.

ПДн водителя — самая чувствительная часть. По 152-ФЗ грузоотправитель, перевозчик и грузополучатель становятся совместными операторами ПДн водителя на время перевозки. Это означает:

• у каждого должно быть правовое основание обработки этих ПДн (обычно — ч. 1 п. 5 ст. 6: исполнение договора перевозки, стороной которого водитель является через работодателя);
• в уведомлении РКН должна быть строка «обработка ПДн водителей для целей оформления электронных транспортных документов»;
• в политике конфиденциальности на сайте — отдельный пункт про водителей (если ваш бизнес имеет хоть какую-то логистику);
• передача данных водителя в ГИС ЭПД — это не трансграничная передача (ГИС — государственная российская система), но это всё равно передача третьему лицу со всеми вытекающими.

Что делать до 01.09.2026:

1. Заключить договор с оператором ГИС ЭПД-агрегатора (СБИС, Контур, ЭТРАН, ЭДО-Лайт и др.) — самостоятельно с ГИС ЭПД работают только крупные логисты.
2. Подключить ЭЦП для подписания накладных — у грузоотправителя, перевозчика и грузополучателя.
3. Обновить уведомление в РКН — добавить операцию «обработка ПДн водителей» и оператора ГИС ЭПД как обработчика.
4. Обновить политику конфиденциальности — раздел о водителях и логистах.
5. Проверить договоры с перевозчиками — должен быть пункт о согласии водителя на передачу его ПДн в ГИС ЭПД (стандартная практика — собирается через работодателя водителя).

Как три удара бьют по одним и тем же процессам

Эти три нормы не разрозненные. Они бьют в одни и те же узкие места малого бизнеса.

Узкое место 1 — уведомление в РКН. До 2025 года в типовом уведомлении ИП/ООО было 8–12 строк обработчиков. После всех изменений 2025–2026 минимум должно быть:

• хостинг-провайдер сайта;
• CRM или внутренняя система учёта;
• маркетинг (рассылки, аналитика);
• эквайринг и платёжные системы;
• оператор ЭДО (новое в 2026);
• оператор ГИС ЭПД-агрегатор (новое с сентября 2026);
• LLM/AI-сервисы, если используете (новое в 2025–2026);
• зарубежные сервисы — отдельным блоком трансгранички.

Каждый раз, когда в эту цепочку добавляется новый сервис, уведомление надо обновлять в течение 10 рабочих дней.

Узкое место 2 — политика конфиденциальности на сайте. Должна синхронно отражать всё, что в уведомлении. Если уведомление обновили, а политика на сайте — нет, при первой проверке РКН-бот зафиксирует расхождение и выдаст предписание. Подробно про то, как РКН-бот сканирует сайты, мы писали отдельно.

Узкое место 3 — согласия на обработку. К 2026 одного «согласия» в шапке формы недостаточно. Нужны раздельные согласия на:

• обработку для исполнения договора;
• маркетинговую рассылку;
• передачу в ЭДО (если контрагент — физлицо);
• передачу в ГИС ЭПД (если он водитель);
• трансграничную передачу (если используете зарубежные сервисы).

Каждое — отдельным чекбоксом, не pre-checked, с конкретной формулировкой. Полный разбор частых ошибок — в 9 ошибок в согласиях на ПДн.

Бюджет: сколько стоит подготовиться

Реалистичные цифры на май 2026 для малого бизнеса с одним сайтом, CRM и базовой логистикой:

Сравните с одним эпизодом штрафа: 1 млн ₽ за утечку до 10 000 записей у ИП, 3 млн ₽ для среднего бизнеса. Один реальный эпизод оплачивает 10 раундов подготовки.

Чек-лист подготовки до 01.09.2026

15 пунктов. Если хоть один не закрыт — это ваша критичная задача на лето 2026.

1. Подано или обновлено уведомление в РКН с полным списком обработчиков.
2. На сайте указан реестровый номер и дата включения в политике конфиденциальности.
3. Все формы используют раздельные чекбоксы для разных целей обработки.
4. Подключен ЭДО с поддержкой XML-УПД 5.03.
5. Оператор ЭДО внесён в уведомление в РКН и в политику на сайте.
6. Подписан договор поручения с оператором ЭДО.
7. Если есть логистика — выбран и подключен оператор ГИС ЭПД-агрегатор.
8. Оператор ГИС ЭПД внесён в уведомление в РКН.
9. В политике конфиденциальности есть раздел про водителей и ЭТТН (если применимо).
10. Если используются зарубежные сервисы (Mailchimp, Telegram BotAPI, любой LLM с зарубежным API) — подано уведомление о трансграничной передаче по ст. 12.
11. Назначен ответственный за обработку ПДн (ст. 22.1 152-ФЗ), есть приказ и контактные данные в уведомлении.
12. Описана процедура реагирования на инциденты с уведомлением РКН в течение 24 часов.
13. Сделана резервная копия конфигурации сайта на момент подачи уведомления (для доказательства соответствия при проверке).
14. Проведено обучение персонала, имеющего доступ к ПДн (для среднего бизнеса — обязательно, для малого — рекомендуется).
15. Подключен мониторинг изменений в нормативке (минимум — подписка на обновления РКН и ФНС).

Если кратко

К сентябрю 2026 у малого бизнеса должны быть закрыты три отдельных контура: оборотные штрафы (полный аудит и инвентаризация ПДн в цепочке), УПД (подключённый ЭДО), ЭТТН (подключённый оператор ГИС ЭПД). Каждый из них требует своей переделки уведомления в РКН, политики на сайте и согласий пользователей. Времени на «потом» уже нет: подготовка одного контура — 2–4 недели, всех трёх параллельно — 6–10 недель.

Если вы малый бизнес и не уверены, что готовы, — пробегитесь по чек-листу выше. Каждый незакрытый пункт — потенциальное предписание на сумму, в 3–10 раз превышающую стоимость подготовки. Если страшно делать самим — наш DocAssist автоматизирует часть подготовки: сканирует сайт на 152-ФЗ-соответствие, генерирует уведомление в РКН по реквизитам из ЕГРЮЛ/ЕГРИП, проверяет состав обработчиков, готовит черновики политики и согласий. Не заменяет юриста для нестандартных кейсов, но закрывает 80% рутины. Запуск кабинета — apps.xencom.ru, на стартовых тарифах работает бесплатно.

Если планируете подключать AI-ассистента или AI-агента для автоматизации работы с обращениями клиентов — это отдельный compliance-узел: оператор LLM становится новым обработчиком ПДн. Разбор технического выбора модели — в сравнении GigaChat / YandexGPT / DeepSeek, а отличия ассистента от агента и их влияние на compliance — в статье AI-агенты vs AI-ассистенты.

Источники и нормативная база

Все ссылки и пороги штрафов сверены с первичными источниками на 16 мая 2026.

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — ст. 6 (правовые основания), ст. 9 (согласие), ст. 12 (трансграничная передача), ст. 22 (уведомление), ст. 22.1 (ответственное лицо).
• Статья 13.11 КоАП РФ — действующая редакция санкций по ПДн, включая оборотные штрафы.
• Федеральный закон от 30.12.2024 № 420-ФЗ — закон, которым введены оборотные штрафы за утечки ПДн с 30.05.2025.
• Приказ ФНС России от 12.10.2023 № ЕД-7-26/736 — формат XML-УПД 5.03 и поэтапный переход.
• Федеральный закон от 06.03.2022 № 65-ФЗ — нормы об электронных перевозочных документах и сроки введения ЭТТН.
• Информационная система ГИС ЭПД (Минтранс) — официальный портал государственной информационной системы для электронных перевозочных документов.
• Реестр операторов, осуществляющих обработку персональных данных (РКН) — официальная база и формы подачи уведомления.
• Распоряжение Правительства РФ от 04.07.2017 № 1428-р — перечень обязательной информации в политике конфиденциальности на сайте.

Если в статье найдёте устаревшее утверждение или несоответствие текущим срокам — напишите команде, исправление выйдет с обновлением dateModified в schema. Регуляторика 2025–2026 быстро меняется, ключевые источники мы перепроверяем не реже раза в квартал. См. также наши предыдущие материалы по compliance-серии: методичка про автомат-инспектора РКН, 9 ошибок в согласиях, подача уведомления в реестр операторов.