Live Direct Marketing
ГлавнаяБлогПраво и комплаенс

Законный сбор контактов для B2B-базы: границы, риски, оформление

7 июля 2026 · 10 мин чтения · Гайд: Право и комплаенс

Рабочий email сотрудника с сайта компании — это персональные данные или нет? От ответа зависит, легальна ли ваша B2B-база и весь холодный аутрич по ней. Короткий ответ: чаще всего да, персональные, но это не делает сбор невозможным — это делает его регулируемым. Разберём, что 152-ФЗ реально требует от того, кто собирает контакты юрлиц, где проходят границы законного парсинга и какие практики снижают риск до приемлемого.

Коротко
  • Рабочий email вида имя.фамилия@компания.ру относится к персональным данным: по нему определяется конкретный человек.
  • Публикация данных в открытом доступе не означает согласия на любую обработку — это давняя позиция регулятора, закреплённая в законе.
  • У B2B-сбора есть рабочие правовые опоры: обработка в законных интересах при контакте с юрлицом, обезличенные ролевые адреса, данные из ЕГРЮЛ.
  • Минимальный гигиенический набор: собирать только необходимое, указывать источник, удалять по первому требованию, не передавать базу третьим лицам.
  • Покупка «слитых» баз и парсинг закрытых разделов соцсетей — за красной линией: риск и правовой, и репутационный, и технический.

Что из B2B-контактов считается персональными данными

152-ФЗ определяет персональные данные широко: любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Связка «Иван Петров, директор по закупкам ООО Ромашка, i.petrov@romashka.ru, +7...» определяет человека однозначно — это персональные данные без вариантов. То, что человек выступает в рабочей роли, а email корпоративный, ничего не меняет: субъект данных — физлицо, и закон на него распространяется.

А вот данные самого юрлица персональными не являются: название, ИНН, адрес, ролевые ящики вида info@, sales@, office@ — это сведения об организации. Пограничный случай — ИП: реестровые данные индивидуального предпринимателя публичны по закону о госрегистрации, но ФИО ИП остаётся персональными данными, просто с особым режимом доступа.

Практический вывод: почти любая живая B2B-база — база персональных данных, и компания, которая её собирает и использует, становится оператором персональных данных со всеми вытекающими обязанностями: определить цели и правовое основание обработки, обеспечить защиту, отвечать на запросы субъектов. Игнорировать этот статус — стратегия «пока не прилетело», и прилетать в последние годы стало заметно чаще: штрафы за нарушения в области персональных данных последовательно ужесточаются.

Миф «данные в открытом доступе — значит, можно всё»

Самое частое заблуждение при сборе баз: раз человек сам опубликовал свой email на сайте компании или в профиле соцсети, значит, согласился на любое использование. Это не так, и позиция регулятора здесь устойчива: факт общедоступности данных не равен согласию на их обработку в ваших целях. Более того, для распространения данных, разрешённых субъектом к распространению, закон требует отдельного явного согласия — эта конструкция появилась в 152-ФЗ именно чтобы закрыть логику «раз опубликовано, то свободно».

Что это значит для парсинга. Технически собрать email со страницы «Контакты» корпоративного сайта несложно, и сам по себе просмотр открытой страницы закон не нарушает. Нарушение начинается на этапе обработки: вы формируете базу, храните её, используете для рассылки — это уже обработка персональных данных, которой нужно правовое основание. «Данные были открыты» основанием не является.

Отдельная красная линия — источники, где сбор запрещён правилами платформы или данные получены из утечек. Парсинг закрытых разделов соцсетей в обход авторизации, покупка «слитых» баз, выгрузки из чужих CRM — здесь к нарушению 152-ФЗ добавляются претензии платформ и риск работы с данными, добытыми преступным путём. Такие базы не просто рискованны юридически — они и практически бесполезны: протухшие, с ловушками-honeypot, с людьми, которые никогда не были вашей аудиторией.

На что опираться: рабочие правовые основания для B2B

Согласие субъекта — главное, но не единственное основание обработки по 152-ФЗ. Для холодного B2B-аутрича согласия на этапе сбора по определению нет, поэтому практики выстраивают позицию на других основаниях. Первое — обработка, необходимая для осуществления прав и законных интересов оператора, если при этом не нарушаются права субъекта. Логика для B2B: вы обрабатываете минимальный набор рабочих данных (ФИО, должность, рабочий контакт) с единственной целью — деловое предложение юрлицу, в интересах которого этот человек действует. Это аргументируемая позиция, но не индульгенция: она требует минимизации данных и уважения к отказам.

Второе — данные из государственных реестров: ЕГРЮЛ и ЕГРИП публичны по закону, и сведения о руководителе юрлица там размещены правомерно. База, собранная от реестров (компания → руководитель → официальные контакты компании), — самый прочный фундамент с правовой точки зрения.

Третье — ролевые адреса и контакты юрлица: info@, sales@, приёмные и общие телефоны персональными данными не являются, и работа по ним регулируется не 152-ФЗ, а законом о рекламе, если письмо рекламное. Стратегия «сначала в официальный контакт компании, персональный контакт ЛПР — после ответа» медленнее, но юридически почти безупречна. На практике мы советуем комбинировать: реестры и официальные источники как каркас, точечное обогащение персональными рабочими контактами — с пониманием, что это зона аргументируемого риска, а не полной безопасности.

Гигиена сбора: правила, которые снижают риск

Если вы собираете рабочие контакты для аутрича, набор практик ниже — это разница между «оператор, который старается соблюдать закон» и «спамер с парсером». Регулятор и суды на неё смотрят, и она же определяет реакцию самих получателей: жалобу в ФАС и Роскомнадзор пишут не за факт письма, а за ощущение, что с твоими данными обращаются по-хамски.

Первое — минимизация: собирайте только то, что нужно для деловой коммуникации. ФИО, должность, компания, рабочий email — да; личный мобильный, дата рождения, домашний адрес — нет, им нечего делать в аутрич-базе. Второе — прозрачность источника: фиксируйте, откуда взят каждый контакт, и будьте готовы честно ответить получателю на вопрос «откуда у вас мой адрес». Третье — механика отказа: в каждом письме способ отказаться, отказ обрабатывается немедленно и навсегда, стоп-лист общий для всех кампаний. Четвёртое — не передавать базу третьим лицам: собранная под вашу цель база не товар.

И организационный минимум оператора: определите цель обработки, назначьте ответственного, опишите процесс во внутренней политике, подайте уведомление об обработке персональных данных в Роскомнадзор, если ваша деятельность того требует, храните данные на серверах в РФ — требование локализации для данных граждан РФ никто не отменял.

Как отвечать на запросы и жалобы получателей

У субъекта персональных данных есть право узнать, какие его данные вы обрабатываете и зачем, потребовать их уточнения или удаления. Для аутрич-команды это не абстракция: вопрос «откуда у вас мой email» — один из типовых ответов на холодное письмо. Отвечать на него нужно быстро, конкретно и без увиливаний: источник, цель, предложение немедленно удалить данные.

Правильно построенный ответ гасит конфликт почти всегда: человек, получивший честное объяснение и мгновенное удаление, редко идёт жаловаться дальше. Плохие сценарии начинаются, когда компания игнорирует запрос или продолжает слать письма после отказа — вот из этого вырастают жалобы в Роскомнадзор и ФАС, а систематические жалобы превращаются в проверку.

Заготовьте шаблон ответа заранее и пропишите процесс: кто отвечает, в какой срок, как контакт попадает в стоп-лист, как подтверждается удаление. Закон отводит на ответы субъектам конкретные сроки, и они короче, чем кажется, — процесс «разберёмся, когда дойдут руки» здесь не работает.

Пример

Шаблон ответа: «Ваш контакт взят из открытого раздела сайта вашей компании (ссылка). Мы использовали его один раз для делового предложения в адрес вашей организации. По вашему запросу мы удалили ваши данные из нашей базы — больше писем не будет. Подтверждение удаления пришлём по запросу».

Чего не делать: практики за красной линией

Есть способы «сбора», которые не спасёт никакая гигиена. Покупка готовых баз у брокеров без документального подтверждения происхождения и согласий — вы принимаете на себя чужие нарушения, а проверить заявленное «все согласия есть» невозможно. Использование утечек — очевидно. Массовый парсинг соцсетей в обход правил платформ — двойное нарушение плюс мусорное качество данных.

Отдельно про генерацию адресов перебором: скрипт, который составляет ivan.petrov@, i.petrov@, petrov@ по словарю имён и проверяет существование ящиков, формально не «собирает» данные — но результат его работы всё равно база персональных данных без правового основания, а по дороге вы устраиваете нагрузку на чужие почтовые серверы, что провайдеры фиксируют и наказывают репутацией вашего домена.

И последнее: не путайте юридическую допустимость с деловой уместностью. Даже безупречно законный сбор не оправдывает пять писем в неделю нерелевантному человеку. Правовая конструкция адресного B2B-аутрича держится на разумности: мало писем, точно в роль, по рабочему вопросу, с мгновенным уважением к отказу. Как только рассылка перестаёт быть разумной, рассыпается и аргумент про законный интерес.

Вопросы и ответы

Рабочий email — это персональные данные?

Если по адресу определяется конкретный человек (имя.фамилия@компания.ру) — да, это персональные данные, и на их обработку распространяется 152-ФЗ. Ролевые адреса вида info@ или sales@ к персональным данным не относятся — это контакты юрлица.

Можно ли парсить контакты с сайтов компаний?

Просмотр открытых страниц закон не нарушает, но формирование и использование базы — это уже обработка персональных данных, которой нужно правовое основание. Открытость данных сама по себе основанием не является. Снижают риск минимизация данных, фиксация источника и безусловная обработка отказов.

Законно ли покупать готовые B2B-базы?

Формально продавец может передать базу с согласиями на передачу, но на практике проверить это невозможно, и ответственность за обработку несёте уже вы. Плюс покупные базы почти всегда протухшие и убивают доставляемость. Надёжнее собирать свою базу от реестров и открытых официальных источников.

Нужно ли согласие на отправку холодного B2B-письма?

Разделяйте два вопроса. Обработка данных для базы опирается на согласие или иные основания 152-ФЗ, например законный интерес. Рекламный характер письма регулируется законом о рекламе, который требует согласия абонента на рекламные рассылки. Поэтому важно, чтобы письмо было адресным деловым обращением по существу деятельности компании, а не рекламным креативом — и всегда с возможностью отказа.

Что грозит за нарушения при сборе базы?

Административные штрафы по линии персональных данных и рекламы, предписания Роскомнадзора и ФАС, при систематических жалобах — проверки. Штрафы за последние годы заметно выросли, особенно за утечки и обработку без оснований. Но чаще первым наказывает не регулятор, а провайдеры: жалобы получателей убивают доставляемость домена задолго до штрафа.

Распространяется ли 152-ФЗ на базу, если мы пишем только юрлицам?

Вы пишете юрлицу, но письмо получает физлицо — сотрудник, и его данные в вашей базе остаются персональными. Исключение — работа исключительно по обезличенным контактам организаций: ролевые ящики, общие телефоны, данные из ЕГРЮЛ о самом юрлице.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу