Рассмотрим важную тему на стыке двух законов: 140-ФЗ, согласно которому с 1 сентября 2026 года обязательно использование ЭПД – электронных перевозочных документов, и 152-ФЗ – закон о «Персональных данных».

Главные вопросы:

• какие персональные данные передаются при использовании ЭПД, и как их законно обрабатывать?
• кто из участников грузоперевозок является оператором персональных данных и на кого ложится ответственность по подготовке пакета документов по защите ПДн?
• кужно ли согласие на обработку персональных данных для ЭПД?

Постарались собрать ответы на эти вопросы в статье >> 

ЭПД: что изменится с 1.09.2026 года

Необходимо будет использовать электронные транспортные документы для всех участников цепочки перевозок автомобильным, железнодорожным и воздушным видами транспорта:

• Грузоотправителей

• Грузополучателей

• Перевозчиков и водителей

• Экспедиторов

• Фрахтователей

Читать подробнее: кому нужно будет подписывать ЭТрН с 1 сентября 2026 года

Изменения затронут документы по работе с персональными данными:

• Политика по обработке персональных данных

• Уведомление в РКН об обработке персональных данных

• Согласия на обработку персональных данных

• Должностные инструкции и т.д.

Что такое ЭПД?

Это электронные версии документов, сопровождающих транспортные перевозки. Передаются ЭПД посредством электронного документооборота (ЭДО) через аккредитованных операторов ЭПД, имеющих право передавать данные в ГИС ЭПД (государственную систему электронных перевозочных документов). 

Читать подробнее: Обмен транспортными документами в длектронном виде в 1С

Какие персональные данные могут быть в ЭПД

ЭПД могут содержать:

• Реквизиты, позволяющие идентифицировать участника перевозок, в том числе адрес регистрации по месту жительства, ИНН.

• Сведения о лице, оформившем путевой лист, о водителе (водителях) транспортного средства (ФИО, данные водительского удостоверения)

• Сведения о результате предсменного, предрейсового медицинского осмотра и о медицинском работнике, его осуществившем.

Правовые основания обработки ПДн в ЭПД

Основные нормативные акты, регулирующие обработку ПДн в ЭПД:

• Федеральный закон от 8 ноября 2007 г. № 259-ФЗ

• Постановление Правительства РФ от 3 марта 2022 г. № 281

• Постановления о правилах обмена ЭПД

• Приказы ФНС России о форматах ЭПД

Ссылки на эти нормативные акты операторы ПДн должны указать:

• В Политике по обработке персональных данных

• В организационно-распорядительных документах (ОРД)

• В Уведомлении в РКН

Участники обмена ЭПД – кто является оператором ПДн

Для того, чтобы понять, на кого из участников информационного взаимодействия при обмене ЭПД ложится обязанность обработки и защиты персональных данных, определимся с тем, кто же называется Оператором персональных данных.

Оператор ПДн - лицо, самостоятельно или совместно с другими лицами, определяющее цели, способы обработки, перечень ПДн и т.д.

Читать подробнее: Кто является оператором ПДн - обязанности и необходимые документы

Рассмотрим роли всех участников информационного взаимодействия:

Участники грузоперевозок (грузоотправитель, грузополучатель, перевозчик, экспедитор, фрахтователь):

• Использует ПДн для оформления ЭПД.
• Получает сведения о контрагентах и их сотрудниках например, водителях.
• Заключает Соглашение об ЭДО и ЭПД (обрабатывает ПДн контрагента или его представителя).
• Передает ПДн при обмене документами через ЭДО.
• Оформляет пропуск на водителя и т. д.

Оператор ИС ЭПД: аккредитованные Минтрансом организации (такие как Калуга Астрал):

• Заключает Соглашение об ЭДО и ЭПД (обрабатывает ПДн контрагента или его представителя).
• Обеспечивает обмена ЭПД (имеет доступ к ПДн в ЭПД).
• Передает ПДн в ГИС ЭПД.

3. ГИС ЭПД: федеральная информационная система для регистрации ЭПД

• Принимает, проверяет и регистрирует ЭПД.
• Хранит данные.
• Предоставляет информацию в контролирующие органы.

Таким образом, все участники взаимодействия являются операторами ПДн и обязаны исполнить требования закона 152-ФЗ, внести соответствующие правки во все свои организационно-распорядительные документы по обработке персональных данных.

Нужно ли Согласие на обработку ПДн при формировании и обмене ЭПД?

Включение ПДн в ЭПД, требования к содержанию ЭПД, порядок обмена ЭПД и передачи данных в ГИС ЭПД, обязанность передавать ЭПД через ИС ЭПД аккредитованных операторов - все это установлено законодательно и по-другому вы работать не можете.

Таким образом, согласно п. 2 ч.1 ст.6 152-ФЗ, обработка ПДн необходима для достижения целей, предусмотренных законом,  для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей

В этом случае получать согласие на обработку ПДн не нужно.

Что нужно подготовить операторам ПДн до начала использования электронных транспортных документов

Необходимо внести изменения в свои документы по персональным данным:

• Политика по обработке персональных данных

• Организационно-распорядительные документы (ОРД)

• Уведомление в РКН

Обязательность уведомления в РКН

С 30 мая 2025 года существуют штрафы до 300 000 рублей для ЮЛ и ИП, которые не подали вовремя уведомление в РКН о начале обработке персональных данных или не подали изменения, если процессы обработки персональных данных в организации изменились.

С чего начать?

Рекомендуем к просмотру лекцию Натальи Немудрой от 30.03.26: специалист 1С:Инфобезопасность подробно разложит по полочкам все, что что касается ПДн при использовании ЭПД.

Готовы оказать вам необходимую консультационную и техническую поддержку в подключении и настройке ЭПД и в организации работы с персональными данными.

Для любителей самостоятельного изучения – более глубокий разбор далее в статье. 

Переход на ЭПД: на что обратить внимание в части обработки ПДн

1. Цели обработки ПДн при обмене ЭПД

У каждого участника своя роль и задачи. Поэтому Цели обработки ПДн могут определяться Операторами самостоятельно более широко или более конкретно, со своими формулировками

Широкая цель, подходящая всем участникам обмена:

«Исполнение требований законодательства Российской Федерации в области транспорта» 

Субъекты ПДн: Работники, Контактные лица контрагентов, Водители и т.д.

Категории ПДн: Данные медосмотра, Водительское удостоверение, адрес места регистрации, ИНН и т.д

База хранения ПДн: обязательно учесть не только свои сервера, но и сервера сторонние. Например, оператора ИС ЭПД. Указываете, как сторонний ЦОД.

Адрес серверов ГИС ЭПД указывать не требуется.

Цели обработки, перечень ПДн, категории субъектов, чьи данные обрабатываются, способы обработки и т д. необходимо отразить в Локальных актах и Уведомлении в РКН (п.2 ч.1 ст.18.1 и ч.3, 3.1 ст.22 152-ФЗ).

Отражение Цели обработки ПДн при обмене ЭПД

Основной принцип формирования документов: единство информации. Цели, категории субъектов, категории ПДн в документе Политика (или иных ЛНА) должны полностью соотвествовать целям в Уведомлении, Процессы обновления должны быть синхронизированы.

2. Выбор аккредитованного оператора ИС ЭПД

• Тщательно подходите к выбору поставщика услуг, обращая особое внимание на репутацию его продуктов и уровень предлагаемых гарантий безопасности.

• Запросите у поставщика сведения о местах нахождения баз данных, в которых будут хранится ваши ЭПД.

• Укажите сведения о сторонних ЦОДах в ЛНА и Уведомлении в Роскомнадзор. 

3. Соглашение об ЭДО ЭПД

• Должно быть прописано, кто за что отвечает, обязанности сторон, формат обмена документами, принимаемые сторонами меры для безопасности и защиты перс. данных, какие требования предъявляются пользователям, сроки передачи данных и правила хранения.

• Поручение на обработку ПДн здесь не нужно, так как вы не перекладываете свои полномочия на Оператора ИС ЭПД, без него вы просто не сможете передать ЭПД в ГИС ЭПД и выполнить закон. Это звено между Участником и ГИС ЭПД введено законом.

4. Ответственные, обучение и разграничение доступа

• Назначьте ответственных сотрудников. Необходимо назначить ответственного за организацию обработки ПДн, ответственного за обеспечение безопасности информации и управление доступом к электронным документам, ответственных за работу с ЭПД.

• Разграничьте доступ. Сотрудники, работающие с ЭПД, должны получить доступ только к той информации, обработка которой необходима им для выполнения рабочих обязанностей. И это нужно закрепить в ЛНА.

• Обучайте сотрудников. Обучение персонала - ключевой инструмент предотвращения утечек, неправомерного использования ПДн и прочих инцидентов.

5. Локальные акты и отражение в них работы с ЭПД

• Внутренние документы по обработке ПДн: Политика, Правила обработки, Инструкции, Регламенты и т д.).

• Внутренняя политика, регулирующая работу сотрудников с персональными данными, позволит компании выстроить четкую систему контроля и управления, обеспечить соответствие требованиям законодательства и заложить прочную основу для формирования корпоративной культуры информационной безопасности.

Комплект ОРД в области ПДн:

• Политика в отношении обработки персональных данных

• Приказ об оценке вреда , который может быть причинен субъектамПДн

• Приказ об утверждении границ контролируемой зоны и перечней помещений где размещены ИСПДн

• Приказ об утверждении матриц доступа ИСПДн

• Приказ об утверждении перечня ИСПДн

• Приказ об утверждении перечня лиц , допущенных к обработке в ИСПДн

• Приказ об утверждении перечня лиц доступ которых к персональным данным обрабатываемым в ИСПДн других операторов

• Приказ об утверждении перечня лиц , имеющих право доступа в помещения с ИСПДн

• Приказ об утверждении перечня ПДн в ИСПДн

• Приказ об утверждении перечня ПДн обрабатываемых на бумажныхносителях

• Приказ об утверждении перечня работников , которым разрешены действия по внесению изменений в иконфигурацию ИСПДн и СЗИ.

• Приложение №1 правила обработки ПДн

• Приложение №2 правила рассмотрения запросов субъектов ПДн

• Приложение №3 правила осуществления внутреннего контроля

• Приложение №4 план внутреннего контроля обработки и защитыПДн

• Приложение №5 план мероприятий по защите ПДн ИСПДн

• Приложение №6 инструкция о порядке взаимодействия с Роскомнадзор

• Приложение №7 инструкция пользователя ИСПДн

• Приложение №8 положение по защите ПДн обрабатываемых в ИСПДн

• Приложение №9 инструкция по идентификации и аутентификации ИСПДн

• Приложение №10 инструкция по управлению доступом к ИСПДн

• Приложение №11 инструкция по защите машинных носителей ПДн

• Приложение №12 инструкция по управлению событиями ИБ ИСПДн

• Приложение №13 инструкция по антивирусной защите ИСПДн

• Приложение №14 инструкция по контролю анализу ) защищенности ПДн в ИСПДн

• Приложение №15 инструкция по защите технических средств

• Приложение №16 технологический процесс обработки и защиты ПДн

• Приложение №17 порядок доступа в помещения ИСПДн

• Приложение №18 порядок по управлению изменениями в конфигурации ИСПДн и СЗПДн

Сервис «152DOC для 1C»

Предлагает автоматизацию исполнения 152-ФЗ:

• Разработка комплекта документов

• Подача уведомления в Роскомнадзор

• Составление согласий на обработку ПДн

• Стоимость тарифа: от 30 000 до 66 000 рублей (годовая подписка)

Сервис «152DOC для 1С» интеллектуальный помощник, с помощью которого можно разработать все необходимые документы (ОРД), а также подать Уведомление в Роскомнадзор и составить Согласие на обработку ПДн.

Сервис поможет подготовить документы в правильной последовательности:

• сначала формируются документы,
• далее информация из документов автоматом подставляется в Уведомление.
• отправка Уведомления сразу из сервиса « 152DOC для 1С» на портал РКН

Подробности на странице сервиса.

Оставьте заявку на бесплатный демо-доступ к сервису 152-DOC. Демо-доступ не ограничен по времени.

Вас проконсультирует Мария Руководитель направления "Организация безопасности персональных данных"