152-ФЗ и базы для аутрича: что значит обработка персональных данных сотрудников
Многие B2B-команды считают, что персональные данные — это только про физлиц-потребителей, а рабочая почта вида имя.фамилия@компания.ру находится вне зоны 152-ФЗ. Это ошибка: закон о персональных данных не делает исключения для контактов в контексте работы, и рабочий email, привязанный к конкретному человеку, попадает под те же требования, что и любые другие персональные данные. Разберём, что это значит практически для сбора, хранения и обработки B2B-баз для холодного аутрича.
- Рабочий email сотрудника, содержащий имя или позволяющий идентифицировать конкретного человека, — персональные данные по 152-ФЗ
- Обработка возможна без согласия на основании законного интереса оператора, но это основание нужно уметь обосновать, а не просто заявить
- Требование локализации означает, что первичный сбор и хранение данных россиян должно происходить на серверах в России
- Ответственность за нарушения — от предписаний Роскомнадзора до штрафов, размер которых периодически пересматривается законодателем
- Практический минимум для снижения риска — политика обработки данных, реестр оснований обработки и работающий механизм отписки/удаления по запросу
Является ли рабочий email персональными данными
152-ФЗ определяет персональные данные широко — как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Рабочий адрес формата имя.фамилия@компания.ру прямо содержит имя и фамилию конкретного человека — этого достаточно, чтобы попасть под определение, даже если адрес используется исключительно в рабочих целях и не содержит других личных сведений.
Обезличенные адреса вроде info@ или sales@ персональными данными не являются, поскольку не идентифицируют конкретного человека — но именно они, как правило, бесполезны для адресного аутрича, где ценность в обращении к конкретному ЛПР, а не в контакте с абстрактным отделом. Пограничный случай — адрес вида ivan.p@company.ru, где фамилия сокращена до одной буквы: формально идентификация менее прямая, но в сочетании с должностью и названием компании человек всё равно легко устанавливается, поэтому безопаснее по умолчанию считать такой адрес персональными данными, а не искать лазейку в сокращении.
Отсюда практический вывод: если база для холодных писем строится вокруг персонализированных контактов конкретных людей (а не общих ящиков компании), она почти наверняка содержит персональные данные и подпадает под требования закона.
Похожая логика применима и к другим полям базы, которые обычно собирают вместе с email для персонализации писем: имя, должность, телефон, иногда фотография с профиля в соцсети. Все эти данные в совокупности тоже относятся к персональным данным конкретного человека, и требования к их обработке распространяются на всю запись о контакте, а не только на сам email.
На каком основании можно обрабатывать эти данные без согласия
Закон допускает обработку персональных данных без явного согласия субъекта в ряде случаев, и один из применимых для B2B-контекста — обработка в рамках законного интереса оператора, если она не нарушает права и свободы субъекта данных. Практически это означает, что сбор и использование рабочего контакта сотрудника компании для делового предложения его работодателю может опираться на законный интерес — но это основание нужно фактически обосновывать и документировать, а не просто держать в голове как аргумент на случай проверки.
Важное отличие от классического email-маркетинга по физлицам-потребителям: в холодном B2B-аутриче контакт используется для делового обращения в контексте профессиональной деятельности человека, а не для продажи ему лично чего-либо как частному потребителю. Это меняет баланс интересов в пользу оператора данных, но не отменяет обязанностей по хранению, защите и предоставлению возможности отказаться.
На практике имеет смысл фиксировать это основание в собственной политике обработки данных компании: указать, что контакты сотрудников юрлиц собираются и используются для делового аутрича на основании законного интереса, с описанием, как соблюдается баланс интересов — минимизация данных, только рабочие контакты, возможность отказаться от коммуникации в любой момент.
Источник получения контакта тоже имеет значение для обоснования законного интереса. Контакты, собранные из открытых источников — сайт компании, публичный профиль в деловой соцсети, открытые реестры — обосновать проще, чем контакты, полученные из закрытых баз сомнительного происхождения. Прозрачность источника не только снижает юридический риск, но и упрощает объяснение получателю, откуда у вас его контакт, если он спросит.
Требования к локализации данных
Закон о персональных данных требует, чтобы при сборе персональных данных граждан России запись, систематизация, накопление и хранение этих данных с использованием баз данных, расположенных на территории России, происходили как минимум для первичного сбора — то есть база данных, где данные впервые попадают в систему, должна физически находиться на российских серверах.
Для команд, использующих зарубежные CRM или инструменты рассылки, это требует внимания: если первичный сбор и хранение контактов происходит на серверах за пределами России, это создаёт юридический риск, даже если сама компания российская. Практическое решение — использовать инфраструктуру с российским хостингом для первичного хранения базы или явно проверять у поставщика инструмента, где физически расположены серверы хранения данных.
Дальнейшая передача данных за рубеж (например, для аналитики или резервного копирования) допустима при соблюдении дополнительных условий, но начинается всё с требования о первичной локализации.
Для команд, которые уже используют зарубежный инструмент рассылки или CRM, практический путь — не отказываться от привычного инструмента полностью, а выстроить архитектуру так, чтобы первичная запись новых контактов происходила в базе на российском сервере, а уже оттуда данные синхронизировались в рабочий инструмент. Это требует дополнительной настройки интеграции, но закрывает формальное требование о месте первичного сбора, оставляя удобство работы с привычным софтом.
Ответственность и риски на практике
Нарушения обработки персональных данных могут повлечь предписания Роскомнадзора об устранении нарушений, а при неисполнении — штрафы, размер которых периодически пересматривается и может отличаться в зависимости от типа нарушения (отсутствие согласия при необходимости, нарушение локализации, утечка данных). Точные суммы и пороги стоит уточнять в актуальной редакции КоАП на момент конкретной ситуации, а не полагаться на цифры из старых источников.
На практике для холодного B2B-аутрича более реалистичный риск — не штраф от регулятора по итогам проверки, а жалоба конкретного получателя, если письмо воспринято как навязчивое или получатель не может понять, откуда у отправителя его контакт и как отказаться от переписки. Такие жалобы могут привести к проверке, поэтому базовая гигиена — прозрачность источника контакта и рабочий механизм отписки — снижает риск задолго до штрафов.
Дополнительный практический риск — репутационный, а не юридический: даже если формально всё соответствует закону, компания, чьи холодные письма воспринимаются рынком как навязчивые или непрозрачные, теряет доверие быстрее, чем накапливает штрафы. Соблюдение буквы закона — необходимый минимум, но не гарантия того, что аутрич воспринимается адресатами позитивно.
Практический минимум для команды, работающей с B2B-базами
Не нужно превращать работу с базой в юридический квест, но есть набор действий, которые закрывают основные риски без избыточной бюрократии.
- Опубликованная политика обработки персональных данных компании с описанием оснований и целей обработки контактов
- Реестр оснований обработки — фиксация, на каком основании собираются и используются контакты для аутрича
- Хранение первичной базы на серверах, расположенных в России
- Работающий механизм отписки или отказа от переписки в каждом письме
- Минимизация данных — сбор только тех полей, которые реально используются (имя, должность, компания, email), без избыточного сбора личной информации
- Процедура удаления данных по запросу субъекта в разумный срок
Что не стоит делать, ссылаясь на B2B-специфику
Распространённая ошибка — считать, что раз контакт рабочий и переписка деловая, то закон вообще не применяется. Это не так: закон применяется, просто основание обработки для делового B2B-контекста обычно доступнее, чем для потребительских рассылок. Полное игнорирование требований локализации или отсутствие механизма отписки не защищено фактом, что письмо адресовано юрлицу, а не частному лицу.
Вторая ошибка — использовать факт «мы же не спамим, мы делаем персонализированный аутрич» как индульгенцию от требований закона. Персонализация действительно отличает адресный аутрич от массовой рассылки по этике коммуникации, но с точки зрения 152-ФЗ email всё равно остаётся персональными данными независимо от того, насколько качественно письмо написано.
Третья ошибка — считать вопрос закрытым после однократной настройки политики обработки данных при регистрации компании. Состав используемых инструментов, источники сбора базы и объёмы аутрича со временем меняются, и политику обработки данных стоит пересматривать при существенных изменениях процесса — например, при переходе на новую CRM или запуске аутрича на новый рынок с другими источниками контактов.
Вопросы и ответы
Считается ли адрес info@company.ru персональными данными
Нет, если адрес не идентифицирует конкретного человека и используется как общий ящик отдела или компании. Персональными данными становится адрес, который прямо или косвенно указывает на конкретное физическое лицо, например имя.фамилия@company.ru.
Нужно ли получать согласие каждого сотрудника перед отправкой холодного письма
Не обязательно, если обработка опирается на законный интерес оператора и не нарушает баланс прав субъекта данных — это основание, применимое в деловой B2B-переписке. Но основание нужно документировать в политике обработки данных компании, а не просто подразумевать.
Можно ли хранить базу контактов в зарубежной CRM
Требование локализации предполагает, что первичный сбор и хранение персональных данных граждан России должны происходить на серверах в России. Использование зарубежной CRM для первичного хранения базы создаёт юридический риск и требует отдельной проверки инфраструктуры поставщика.
Что грозит за нарушение требований по персональным данным в B2B-аутриче
От предписания Роскомнадзора устранить нарушение до штрафа при неисполнении или повторном нарушении — конкретные суммы периодически меняются, их стоит уточнять в актуальной редакции законодательства, а не по устаревшим источникам.
Как минимизировать риск при работе с B2B-базой без лишней бюрократии
Достаточно опубликованной политики обработки данных, зафиксированного основания обработки, хранения данных на серверах в России, работающего механизма отписки в письмах и процедуры удаления данных по запросу — это закрывает основные риски без избыточных процедур.
Отличаются ли требования закона для холодного аутрича и обычной email-рассылки по подписчикам
Базовое определение персональных данных и требования к локализации одинаковы для обоих случаев. Разница в основании обработки: у подписчиков обычно есть явное согласие через подписку, а в холодном B2B-аутриче основанием чаще выступает законный интерес оператора в деловой коммуникации.
Хотите применить это в своём аутриче?
Расскажем, как это работает на вашем сегменте и продукте — до старта работ.
Обсудить задачу