Live Direct Marketing
ГлавнаяБлогПраво и комплаенс

152-ФЗ и базы для аутрича: что значит обработка персональных данных сотрудников

7 июля 2026 · 9 мин чтения · Гайд: Право и комплаенс

Многие B2B-команды считают, что персональные данные — это только про физлиц-потребителей, а рабочая почта вида имя.фамилия@компания.ру находится вне зоны 152-ФЗ. Это ошибка: закон о персональных данных не делает исключения для контактов в контексте работы, и рабочий email, привязанный к конкретному человеку, попадает под те же требования, что и любые другие персональные данные. Разберём, что это значит практически для сбора, хранения и обработки B2B-баз для холодного аутрича.

Коротко
  • Рабочий email сотрудника, содержащий имя или позволяющий идентифицировать конкретного человека, — персональные данные по 152-ФЗ
  • Обработка возможна без согласия на основании законного интереса оператора, но это основание нужно уметь обосновать, а не просто заявить
  • Требование локализации означает, что первичный сбор и хранение данных россиян должно происходить на серверах в России
  • Ответственность за нарушения — от предписаний Роскомнадзора до штрафов, размер которых периодически пересматривается законодателем
  • Практический минимум для снижения риска — политика обработки данных, реестр оснований обработки и работающий механизм отписки/удаления по запросу

Является ли рабочий email персональными данными

152-ФЗ определяет персональные данные широко — как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Рабочий адрес формата имя.фамилия@компания.ру прямо содержит имя и фамилию конкретного человека — этого достаточно, чтобы попасть под определение, даже если адрес используется исключительно в рабочих целях и не содержит других личных сведений.

Обезличенные адреса вроде info@ или sales@ персональными данными не являются, поскольку не идентифицируют конкретного человека — но именно они, как правило, бесполезны для адресного аутрича, где ценность в обращении к конкретному ЛПР, а не в контакте с абстрактным отделом. Пограничный случай — адрес вида ivan.p@company.ru, где фамилия сокращена до одной буквы: формально идентификация менее прямая, но в сочетании с должностью и названием компании человек всё равно легко устанавливается, поэтому безопаснее по умолчанию считать такой адрес персональными данными, а не искать лазейку в сокращении.

Отсюда практический вывод: если база для холодных писем строится вокруг персонализированных контактов конкретных людей (а не общих ящиков компании), она почти наверняка содержит персональные данные и подпадает под требования закона.

Похожая логика применима и к другим полям базы, которые обычно собирают вместе с email для персонализации писем: имя, должность, телефон, иногда фотография с профиля в соцсети. Все эти данные в совокупности тоже относятся к персональным данным конкретного человека, и требования к их обработке распространяются на всю запись о контакте, а не только на сам email.

На каком основании можно обрабатывать эти данные без согласия

Закон допускает обработку персональных данных без явного согласия субъекта в ряде случаев, и один из применимых для B2B-контекста — обработка в рамках законного интереса оператора, если она не нарушает права и свободы субъекта данных. Практически это означает, что сбор и использование рабочего контакта сотрудника компании для делового предложения его работодателю может опираться на законный интерес — но это основание нужно фактически обосновывать и документировать, а не просто держать в голове как аргумент на случай проверки.

Важное отличие от классического email-маркетинга по физлицам-потребителям: в холодном B2B-аутриче контакт используется для делового обращения в контексте профессиональной деятельности человека, а не для продажи ему лично чего-либо как частному потребителю. Это меняет баланс интересов в пользу оператора данных, но не отменяет обязанностей по хранению, защите и предоставлению возможности отказаться.

На практике имеет смысл фиксировать это основание в собственной политике обработки данных компании: указать, что контакты сотрудников юрлиц собираются и используются для делового аутрича на основании законного интереса, с описанием, как соблюдается баланс интересов — минимизация данных, только рабочие контакты, возможность отказаться от коммуникации в любой момент.

Источник получения контакта тоже имеет значение для обоснования законного интереса. Контакты, собранные из открытых источников — сайт компании, публичный профиль в деловой соцсети, открытые реестры — обосновать проще, чем контакты, полученные из закрытых баз сомнительного происхождения. Прозрачность источника не только снижает юридический риск, но и упрощает объяснение получателю, откуда у вас его контакт, если он спросит.

Требования к локализации данных

Закон о персональных данных требует, чтобы при сборе персональных данных граждан России запись, систематизация, накопление и хранение этих данных с использованием баз данных, расположенных на территории России, происходили как минимум для первичного сбора — то есть база данных, где данные впервые попадают в систему, должна физически находиться на российских серверах.

Для команд, использующих зарубежные CRM или инструменты рассылки, это требует внимания: если первичный сбор и хранение контактов происходит на серверах за пределами России, это создаёт юридический риск, даже если сама компания российская. Практическое решение — использовать инфраструктуру с российским хостингом для первичного хранения базы или явно проверять у поставщика инструмента, где физически расположены серверы хранения данных.

Дальнейшая передача данных за рубеж (например, для аналитики или резервного копирования) допустима при соблюдении дополнительных условий, но начинается всё с требования о первичной локализации.

Для команд, которые уже используют зарубежный инструмент рассылки или CRM, практический путь — не отказываться от привычного инструмента полностью, а выстроить архитектуру так, чтобы первичная запись новых контактов происходила в базе на российском сервере, а уже оттуда данные синхронизировались в рабочий инструмент. Это требует дополнительной настройки интеграции, но закрывает формальное требование о месте первичного сбора, оставляя удобство работы с привычным софтом.

Ответственность и риски на практике

Нарушения обработки персональных данных могут повлечь предписания Роскомнадзора об устранении нарушений, а при неисполнении — штрафы, размер которых периодически пересматривается и может отличаться в зависимости от типа нарушения (отсутствие согласия при необходимости, нарушение локализации, утечка данных). Точные суммы и пороги стоит уточнять в актуальной редакции КоАП на момент конкретной ситуации, а не полагаться на цифры из старых источников.

На практике для холодного B2B-аутрича более реалистичный риск — не штраф от регулятора по итогам проверки, а жалоба конкретного получателя, если письмо воспринято как навязчивое или получатель не может понять, откуда у отправителя его контакт и как отказаться от переписки. Такие жалобы могут привести к проверке, поэтому базовая гигиена — прозрачность источника контакта и рабочий механизм отписки — снижает риск задолго до штрафов.

Дополнительный практический риск — репутационный, а не юридический: даже если формально всё соответствует закону, компания, чьи холодные письма воспринимаются рынком как навязчивые или непрозрачные, теряет доверие быстрее, чем накапливает штрафы. Соблюдение буквы закона — необходимый минимум, но не гарантия того, что аутрич воспринимается адресатами позитивно.

Практический минимум для команды, работающей с B2B-базами

Не нужно превращать работу с базой в юридический квест, но есть набор действий, которые закрывают основные риски без избыточной бюрократии.

Что не стоит делать, ссылаясь на B2B-специфику

Распространённая ошибка — считать, что раз контакт рабочий и переписка деловая, то закон вообще не применяется. Это не так: закон применяется, просто основание обработки для делового B2B-контекста обычно доступнее, чем для потребительских рассылок. Полное игнорирование требований локализации или отсутствие механизма отписки не защищено фактом, что письмо адресовано юрлицу, а не частному лицу.

Вторая ошибка — использовать факт «мы же не спамим, мы делаем персонализированный аутрич» как индульгенцию от требований закона. Персонализация действительно отличает адресный аутрич от массовой рассылки по этике коммуникации, но с точки зрения 152-ФЗ email всё равно остаётся персональными данными независимо от того, насколько качественно письмо написано.

Третья ошибка — считать вопрос закрытым после однократной настройки политики обработки данных при регистрации компании. Состав используемых инструментов, источники сбора базы и объёмы аутрича со временем меняются, и политику обработки данных стоит пересматривать при существенных изменениях процесса — например, при переходе на новую CRM или запуске аутрича на новый рынок с другими источниками контактов.

Вопросы и ответы

Считается ли адрес info@company.ru персональными данными

Нет, если адрес не идентифицирует конкретного человека и используется как общий ящик отдела или компании. Персональными данными становится адрес, который прямо или косвенно указывает на конкретное физическое лицо, например имя.фамилия@company.ru.

Нужно ли получать согласие каждого сотрудника перед отправкой холодного письма

Не обязательно, если обработка опирается на законный интерес оператора и не нарушает баланс прав субъекта данных — это основание, применимое в деловой B2B-переписке. Но основание нужно документировать в политике обработки данных компании, а не просто подразумевать.

Можно ли хранить базу контактов в зарубежной CRM

Требование локализации предполагает, что первичный сбор и хранение персональных данных граждан России должны происходить на серверах в России. Использование зарубежной CRM для первичного хранения базы создаёт юридический риск и требует отдельной проверки инфраструктуры поставщика.

Что грозит за нарушение требований по персональным данным в B2B-аутриче

От предписания Роскомнадзора устранить нарушение до штрафа при неисполнении или повторном нарушении — конкретные суммы периодически меняются, их стоит уточнять в актуальной редакции законодательства, а не по устаревшим источникам.

Как минимизировать риск при работе с B2B-базой без лишней бюрократии

Достаточно опубликованной политики обработки данных, зафиксированного основания обработки, хранения данных на серверах в России, работающего механизма отписки в письмах и процедуры удаления данных по запросу — это закрывает основные риски без избыточных процедур.

Отличаются ли требования закона для холодного аутрича и обычной email-рассылки по подписчикам

Базовое определение персональных данных и требования к локализации одинаковы для обоих случаев. Разница в основании обработки: у подписчиков обычно есть явное согласие через подписку, а в холодном B2B-аутриче основанием чаще выступает законный интерес оператора в деловой коммуникации.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу