152-ФЗ и база контактов для холодных писем: что можно и что грозит за нарушение
Рабочий email руководителя отдела закупок — тоже персональные данные, даже если он состоит из имени и фамилии на корпоративном домене. 152-ФЗ регулирует их обработку независимо от того, собрали вы контакт для холодного письма одному ЛПР или для рассылки по миллиону подписчиков. Разберём, что закон требует именно от B2B-базы контактов, используемой в адресном аутриче, и чем реально грозит нарушение.
- Рабочий email с именем и фамилией — персональные данные по 152-ФЗ, даже если контакт собран из открытых источников
- Для B2B-аутрича ключевое основание обработки — законный интерес в виде деловой переписки с представителем юрлица, а не согласие в классическом виде
- Хранить нужно минимально необходимый набор данных и не дольше, чем оправдано целью контакта
- Штрафы по КоАП за нарушения обработки ПДн для организаций исчисляются от десятков тысяч до нескольких миллионов рублей за повторные и утечки
- В каждом письме должен быть понятный и рабочий способ отказаться от дальнейших писем
Является ли рабочий email ЛПР персональными данными
Да, если по нему можно идентифицировать конкретного человека. Формат имя.фамилия@company.ru или должность@company.ru в связке с именем в подписи — это уже персональные данные в смысле 152-ФЗ, потому что закон определяет их широко: любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Общий адрес вроде info@company.ru без привязки к конкретному человеку под это определение не подпадает.
Отсюда частое заблуждение: раз контакт собран из открытых источников — сайта компании, профиля в деловой сети, публичного каталога, — значит закон не применяется. Это не так: 152-ФЗ регулирует обработку данных вне зависимости от источника получения, включая общедоступные. Открытость источника снижает риски по части способа сбора, но не снимает требований к дальнейшей обработке, хранению и использованию.
Второе частое заблуждение — что закон писан только про рассылки физлицам-потребителям, а B2B-переписка с представителем юрлица вне его юрисдикции. Формально закон говорит о данных физического лица, и должность в компании не выводит человека из-под этого определения — обрабатывается именно персональный email, привязанный к конкретному имени.
На каком основании можно обрабатывать email ЛПР для холодного письма
В классическом email-маркетинге по потребителям основание обработки — согласие подписчика, полученное через форму. В холодном B2B-аутриче согласия на этапе первого контакта по определению нет: вы пишете человеку, который о вас ещё не слышал. Здесь применимо другое основание, предусмотренное законом, — обработка в рамках законного интереса оператора, если она не нарушает права и свободы субъекта данных непропорционально.
На практике это означает: обработка должна быть соразмерна цели (деловое предложение представителю компании в рамках его профессиональной роли), не должна использовать данные сверх необходимого (незачем хранить, скажем, домашний адрес или личные данные, не относящиеся к работе), и должна давать человеку понятный способ прекратить контакт.
Важное отличие от массовой рассылки: адресный аутрич обращается к человеку именно в его профессиональном качестве, по рабочему адресу, по деловому вопросу, соответствующему его роли в компании. Чем ближе переписка к этой логике, тем устойчивее основание законного интереса; чем больше она напоминает массовый рекламный спам не по адресу — тем выше юридический риск.
Отдельно стоит учитывать ФЗ-38 «О рекламе»: если письмо по содержанию — не деловое предложение, обращённое к конкретной профессиональной роли, а рекламное сообщение массового характера, на него распространяются требования к рекламной рассылке, включая необходимость согласия получателя. Граница здесь не формальная, а содержательная: письмо, адресованное конкретному ЛПР по существу его рабочих задач, ближе к деловой переписке; письмо с общим рекламным предложением «для всех подписчиков» — ближе к рекламе в смысле закона.
Что можно и нельзя при формировании базы контактов
Практические границы для B2B-базы, используемой в холодном аутриче, складываются из нескольких принципов, которые стоит закладывать в процесс сбора и хранения контактов ещё на этапе построения ICP-базы.
- Можно: собирать рабочие контакты ЛПР из открытых источников — сайтов компаний, деловых профилей, публичных каталогов
- Можно: хранить минимально необходимый набор — имя, должность, рабочий email, компания
- Нельзя: смешивать рабочий контакт с личными данными, не относящимися к деловой цели (личный телефон, соцсети не по работе)
- Нельзя: передавать базу третьим лицам без правового основания и без уведомления, если это требуется по договору с источником данных
- Нужно: обеспечить человеку простой способ отказаться от дальнейших писем и фактически его соблюдать
- Нужно: хранить данные не дольше, чем есть деловая цель контакта — устаревшие и неактуальные контакты стоит регулярно выводить из базы
Что грозит за нарушение обработки данных
Ответственность за нарушения обработки персональных данных предусмотрена административным законодательством и варьируется по тяжести: от штрафов за формальные нарушения (отсутствие политики обработки, невыполнение требований по локализации хранения) до существенно более крупных сумм при повторных нарушениях или в случаях, связанных с утечкой данных. Для юрлиц суммы штрафов за такие нарушения находятся в диапазоне от десятков тысяч до нескольких миллионов рублей в зависимости от состава нарушения и того, повторное оно или нет.
Помимо прямых штрафов, есть репутационный риск, который для компании, ведущей адресный B2B-аутрич, часто ощутимее: жалоба от ЛПР на некорректную обработку данных или на назойливые письма может дойти до регулятора и повлечь проверку, которая затронет не одну кампанию, а всю практику работы с базами контактов. Проверка регулятора обычно означает запрос документов по всей цепочке обработки данных — от источника контакта до текущего состояния базы, — и отсутствие элементарного порядка в этих документах превращает формальную проверку в долгий и затратный процесс даже при отсутствии злого умысла со стороны компании.
Отдельный риск — хранение базы без элементарной защиты и учёта: утечка контактной базы ЛПР, даже собранной из открытых источников, воспринимается регулятором и рынком как утечка персональных данных со всеми вытекающими последствиями, включая обязанность уведомить пострадавших и регулятора.
Как выстроить комплаенс базы контактов на практике
Для команды, ведущей холодный B2B-аутрич, комплаенс — это не разовая юридическая справка, а рабочий процесс, встроенный в повседневную работу с базой: от момента добавления контакта до его удаления по запросу или по истечении актуальности.
Полезно закрепить ответственного за обработку персональных данных внутри команды, вести реестр источников, откуда пришли контакты, и регулярно чистить базу от устаревших и нецелевых записей — это снижает не только юридический риск, но и репутационный урон от рассылки по неактуальным адресам.
- Политика обработки персональных данных, доступная публично, и её фактическое соблюдение
- Реестр источников контактов — откуда и когда получен каждый сегмент базы
- Работающая ссылка или инструкция отказа от писем в каждом отправляемом сообщении
- Регулярная чистка базы от неактуальных и нецелевых контактов
- Ограничение доступа к базе внутри команды и базовая защита при хранении
Хранение данных: локализация и сроки
Отдельное требование 152-ФЗ касается локализации: персональные данные граждан России при их первичном сборе должны обрабатываться с использованием баз данных, физически находящихся на территории страны. Для команды, использующей CRM или сервис рассылок, это означает необходимость проверить, где именно размещена инфраструктура хранения базы контактов, а не полагаться на предположение, что раз сервис на русском языке, требование выполнено автоматически.
По срокам хранения закон не даёт фиксированного числа месяцев или лет для B2B-контактов, но требует хранить данные не дольше, чем это оправдано целью обработки. На практике это означает регулярный пересмотр базы: контакт ЛПР, с которым не было взаимодействия год и более и который явно не привёл к результату, разумно выводить из активной рассылки, а не хранить бессрочно просто потому, что удаление требует лишнего действия.
Вопросы и ответы
Считается ли персональными данными адрес вида ivanov@company.ru
Да, если по нему можно определить конкретного человека — фамилия в адресе или имя в подписи письма делают такой контакт персональными данными по 152-ФЗ, даже на корпоративном домене.
Нужно ли получать согласие перед первым холодным письмом ЛПР
В классическом виде — нет, первый контакт в адресном B2B-аутриче обычно строится на основании законного интереса оператора, а не согласия. Но обработка должна быть соразмерна деловой цели, а получателю нужно дать понятный способ отказаться от дальнейшей переписки.
Можно ли использовать базу, собранную из открытых источников, без ограничений
Нет. Открытость источника снимает часть вопросов к способу сбора, но не отменяет требований к дальнейшей обработке — хранению, минимизации данных, сроку хранения и обязанности реагировать на запрос об отказе от писем.
Какой штраф грозит компании за нарушение обработки данных ЛПР
Диапазон зависит от состава нарушения и того, первичное оно или повторное — суммы для юрлиц варьируются от десятков тысяч до нескольких миллионов рублей. Дополнительно возможны репутационные последствия, включая проверку всей практики работы с базами.
Как быстро нужно реагировать на просьбу удалить контакт из базы
Максимально оперативно и без лишних условий — это одно из базовых требований к оператору персональных данных. Затягивание с удалением или игнорирование такой просьбы повышает риск жалобы регулятору.
Хотите применить это в своём аутриче?
Расскажем, как это работает на вашем сегменте и продукте — до старта работ.
Обсудить задачу