Live Direct Marketing
ГлавнаяБлогПраво и комплаенс

Сбор B2B-баз и персональные данные: что нужно оформить, чтобы работать легально

7 июля 2026 · 9 мин чтения · Гайд: Право и комплаенс

Контакт ЛПР в базе для рассылки — это не абстрактная «B2B-информация», а персональные данные конкретного человека, и на их обработку распространяется тот же ФЗ-152, что и на данные физлиц-потребителей. Разница в том, что для рабочего email и должности есть свои практические основания обработки, отличные от согласия на маркетинг у частного лица. Разберём, что нужно оформить компании, которая собирает и использует B2B-базы для аутрича, без выдумывания несуществующих норм и с опорой на практический здравый смысл.

Коротко
  • Рабочий email и должность ЛПР — тоже персональные данные, даже если формально контакт «привязан» к юрлицу, а не к частному лицу
  • Источник данных имеет значение: открытые источники, визитки с добровольной передачей и покупные базы требуют разного обоснования законности
  • Компании нужна опубликованная политика обработки персональных данных и понимание, кто в организации выступает оператором
  • Право на отписку и удаление данных по запросу — не формальность, а рабочий процесс, который должен быть реально исполним
  • При покупке готовой базы ответственность за законность её происхождения частично переходит и на покупателя, поэтому стоит запрашивать у поставщика подтверждение оснований сбора

Почему B2B-контакт — тоже персональные данные

Частое заблуждение аутрич-команд: если письмо адресовано «в компанию», а не частному лицу, персональные данные тут ни при чём. Это не так. Рабочий email вида имя.фамилия@компания.ру, имя, должность и телефон конкретного сотрудника — это данные, которые идентифицируют физическое лицо, и с точки зрения ФЗ-152 они подпадают под определение персональных данных независимо от того, что контакт связан с рабочим контекстом.

Разница с обработкой данных потребителей в другом: для B2B-контакта, полученного в рамках деловой активности, существуют практические основания обработки, отличные от прямого согласия на маркетинговые рассылки, которое обязательно для физлиц-потребителей. Но это не значит, что для B2B данные вообще выведены из-под регулирования — просто основание обработки другое.

Игнорирование этого различия — частый источник проблем не столько юридических, сколько репутационных: получатель, который считает себя не «представителем компании», а конкретным человеком, чьи данные использовали без объяснений, реагирует жалобой, а не тихим игнором письма.

Источники данных и их правовой статус

Практика сбора B2B-баз обычно опирается на три типа источников, и у каждого свой практический статус с точки зрения законности обработки. Первый — открытые источники: сайт компании, публичные профили в деловых соцсетях, реестры юрлиц, отраслевые каталоги. Данные, размещённые публично самим человеком или компанией в деловых целях, считаются доступными для обработки в рамках деятельности, для которой были опубликованы — то есть для установления делового контакта, но не для любых целей без ограничений.

Второй источник — визитки и контакты, переданные лично на выставках, конференциях, деловых встречах. Здесь основание обработки — фактическое действие человека, добровольно передавшего контакт для последующей деловой связи. Это довольно надёжное основание, но оно подразумевает контекст: контакт передан для конкретного вида дальнейшего общения, и разумно ожидать, что коммуникация будет соответствовать этому контексту, а не превратится в массовую подписку на несвязанные рассылки.

Третий источник — покупные базы у сторонних поставщиков. Здесь риск для покупателя выше всего: даже если продавец утверждает, что данные собраны законно, ответственность за то, как база используется дальше, во многом лежит и на покупателе как на новом операторе обработки. Разумная практика — запрашивать у поставщика письменное подтверждение источников и оснований сбора базы, а не полагаться на устные заверения.

Минимальный набор документов у компании

Компании, которая ведёт B2B-аутрич, для базовой законности процесса нужен небольшой, но конкретный набор документов и внутренних процедур. Прежде всего — опубликованная политика обработки персональных данных на сайте компании, доступная любому получателю письма: что за данные обрабатываются, с какой целью, кто оператор, как связаться по вопросам данных.

Второе — понимание внутри компании, кто именно выступает оператором персональных данных: юридическое лицо, ведущее базу и рассылку, должно быть определено конкретно, а не размыто между агентством, заказчиком и субподрядчиками без ясного распределения ответственности.

Третье — рабочий, реально исполнимый механизм отписки и удаления данных по запросу: ссылка отписки в каждом письме, канал для обращений по вопросам обработки данных, внутренний регламент, кто и в какой срок обрабатывает такие запросы. Формальное упоминание права на отписку без реального механизма её реализации не защищает компанию, если получатель решит обратиться с жалобой.

Пример

Минимальный набор для небольшой аутрич-команды: политика обработки персональных данных на сайте, ссылка на отписку в шаблоне письма, ответственный сотрудник или отдел за обработку запросов на удаление данных, зафиксированный список источников, из которых пополняется база.

Как оформить отношения с поставщиком готовой базы

Если компания покупает готовую B2B-базу у стороннего поставщика, разумная практика — не просто получить файл с контактами, но запросить у поставщика письменное подтверждение того, из каких источников собрана база и на каком основании эти данные могут передаваться третьим лицам для маркетинговых целей.

Договор или хотя бы переписка с поставщиком, где зафиксированы источники сбора и заявленные основания законности, — это не бюрократическая формальность, а практическая страховка: при возникновении вопросов у покупателя базы есть документальное подтверждение добросовестности при выборе поставщика, а не голословное «мы думали, что всё законно».

Отдельно стоит проверять свежесть и качество данных перед использованием: устаревшая база с контактами уволенных сотрудников или закрытых компаний не только даёт плохую доставляемость, но и повышает риск обращений от людей, которые давно не имеют отношения к указанной компании и не понимают, почему получают письмо.

Как реагировать на запросы об удалении данных

Право человека попросить удалить его данные из базы — рабочий процесс, который должен исполняться быстро и без лишних требований подтверждений. Затягивание ответа на такой запрос или требование от человека доказать, что это действительно он, для простого удаления контакта из рассылочной базы, создаёт больше репутационных рисков, чем само наличие его данных в базе изначально.

Практический процесс: запрос на удаление фиксируется, контакт помечается как исключённый из всех текущих и будущих кампаний, и что важно — исключение должно применяться не только к текущей рассылочной платформе, но и к любым копиям базы, которые используются в компании параллельно.

Полезно вести отдельный список исключённых по запросу контактов независимо от общей базы — это исключает риск, что контакт случайно снова попадёт в рассылку при следующей загрузке обновлённой базы или смене инструмента.

Такой список стоит синхронизировать между всеми инструментами, где может оказаться пересекающаяся база — CRM, платформа рассылки, инструменты для мультиканального аутрича в мессенджерах. Если исключение применяется только в одной системе, а остальные продолжают работать с прежней копией данных, формально запрос выполнен, а на практике человек снова получит письмо через несколько месяцев из другого канала.

Частые ошибки при сборе B2B-баз

Большинство проблем возникает не из злого умысла, а из недооценки того, что B2B-контакт — это данные конкретного человека, а не абстрактная информация о компании.

Вопросы и ответы

Нужно ли согласие ЛПР на обработку данных для B2B-рассылки

Прямое согласие в том виде, в каком оно требуется для маркетинга физлицам-потребителям, для B2B-контактов в деловом контексте обычно не требуется, но это не значит, что данные выведены из-под регулирования вовсе. Компании нужны прозрачная политика обработки данных, понятное основание сбора и реально работающий механизм отписки.

Можно ли парсить контакты с открытых сайтов и деловых соцсетей

Данные, опубликованные компанией или человеком публично в деловых целях, можно использовать для установления делового контакта в рамках той же цели. Это не даёт неограниченного права на любое использование — коммуникация должна соответствовать деловому контексту, для которого данные были опубликованы.

Что проверять при покупке готовой B2B-базы у поставщика

Запросите у поставщика подтверждение источников сбора данных и оснований на их передачу третьим лицам. Ответственность за использование базы частично переходит на покупателя как на нового оператора, поэтому одного файла с контактами недостаточно — нужна документальная страховка о происхождении.

Что делать, если ЛПР попросил удалить его данные

Исполнить запрос быстро, без требования лишних подтверждений личности для простого удаления из рассылочной базы, и исключить контакт не только из текущей платформы рассылки, но из всех копий базы, используемых в компании.

Кто в компании считается оператором персональных данных при аутриче

Юридическое лицо, которое ведёт базу контактов и организует рассылку — будь то сама компания или агентство, работающее по договору. Важно заранее и явно определить это внутри компании и в договорах с подрядчиками, чтобы ответственность не оказалась размытой между несколькими сторонами.

Достаточно ли ссылки отписки в письме для соблюдения требований по данным

Ссылка — необходимый, но не единственный элемент. Нужен ещё и реально работающий внутренний процесс: кто обрабатывает запросы на отписку и удаление, в какой срок и как это применяется ко всем копиям базы, а не только к активной рассылочной платформе.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу