Live Direct Marketing
ГлавнаяБлогПраво и комплаенс

152-ФЗ и холодный B2B-аутрич: какие данные вы обрабатываете и как снизить риски

7 июля 2026 · 10 мин чтения · Гайд: Право и комплаенс

Команда собирает базу ЛПР для холодной кампании и в какой-то момент задаётся вопросом: «А это вообще законно — мы же обрабатываем чужие email без согласия?» Вопрос правильный, и ответ на него сложнее, чем «всё можно» или «всё нельзя». Разбираем, как 152-ФЗ смотрит на данные сотрудников юрлиц, где проходят границы и какие практики снижают риски до приемлемых. Это практический разбор, а не юридическая консультация — по спорным кейсам говорите с юристом.

Коротко
  • Email вида ivanov@company.ru в связке с именем и должностью — это персональные данные, и 152-ФЗ на них распространяется.
  • Согласие — не единственное законное основание обработки: закон допускает и другие, но применять их к аутричу нужно аккуратно.
  • Обезличенный info@ или sales@ сам по себе не персональные данные — но письмо туда всё равно должно соответствовать требованиям к рекламе (ФЗ-38).
  • Минимизация данных, прозрачность отправителя и немедленное исполнение отказа — три практики, которые снижают основную массу рисков.
  • Главный практический риск — не проверка Роскомнадзора, а жалоба получателя: стройте процесс так, чтобы жалоб не было.

Является ли рабочий email персональными данными

152-ФЗ определяет персональные данные широко: любая информация, относящаяся к прямо или косвенно определённому либо определяемому физическому лицу. Сотрудник юрлица — физическое лицо, и адрес вида i.petrov@zavod.ru вместе с именем, фамилией и должностью позволяет его определить. Поэтому рабочая связка «ФИО + должность + корпоративный email», которую собирает любая аутрич-команда, — это персональные данные, и рассуждения «это же данные компании, а не человека» не работают.

Есть нюанс с обезличенными адресами: info@, sales@, office@ не относятся к конкретному человеку и сами по себе персональными данными не являются. Отсюда популярная осторожная тактика — начинать контакт с общего адреса компании. Но как только вы узнали и записали, что за адресом отвечает конкретный Иван Петров, вы снова обрабатываете персональные данные.

Важно отделить вопрос «персональные ли это данные» от вопроса «можно ли с ними работать». Да, это персональные данные; нет, это не значит, что любой холодный контакт незаконен. Закон регулирует основания и порядок обработки — и вот тут начинается практическая часть.

Основания обработки: почему «нет согласия» не равно «нельзя»

Интуитивное представление «обрабатывать персональные данные можно только с согласия» неверно: согласие — лишь одно из законных оснований, перечисленных в 152-ФЗ. Среди других — обработка, необходимая для заключения договора по инициативе субъекта, для осуществления прав и законных интересов оператора или третьих лиц (если при этом не нарушаются права субъекта), обработка общедоступных данных, сделанных таковыми самим субъектом.

Для B2B-аутрича практический интерес представляют два сюжета. Первый — данные, которые человек сам сделал публичными в деловом контексте: указал рабочий email на сайте компании, в профиле профессиональной сети, на визитке, в материалах конференции. Публикация рабочего контакта для деловой связи — разумное основание полагать, что деловое обращение по этому контакту адресату ожидаемо. Второй — законный интерес: деловое предложение юрлицу через его уполномоченного сотрудника по профилю деятельности компании. Оба сюжета не индульгенция: они требуют, чтобы обработка была минимальной, целевой и не нарушала прав человека.

Отдельно от 152-ФЗ работает ФЗ-38 «О рекламе»: он требует согласия абонента на рекламные рассылки по сетям электросвязи. Практика применения к деловой B2B-переписке неоднородна, но ориентир такой: чем больше письмо похоже на массовую рекламу («акция», «скидка», шаблон на тысячи адресов), тем выше риски; чем больше — на индивидуальное деловое обращение по существу деятельности компании, тем ниже. Именно поэтому адресный аутрич с персонализацией юридически устойчивее массовых рассылок по купленным базам — не только эффективнее, но и безопаснее.

Что это значит для сбора базы

Источник данных определяет и качество, и риск. Самые устойчивые источники — те, где человек сам опубликовал контакт в деловом контексте: официальный сайт компании, ЕГРЮЛ и открытые реестры, профессиональные сети, материалы отраслевых мероприятий. Самые рискованные — «слитые» базы, парсинг закрытых ресурсов и покупка баз неизвестного происхождения: там и юридическая чистота нулевая, и качество адресов такое, что доставляемость умрёт раньше, чем придёт жалоба.

Применяйте принцип минимизации: собирайте только то, что нужно для цели делового контакта. Имя, должность, компания, рабочий email, деловой контекст — достаточно. Не нужно тащить в CRM личные телефоны, домашние адреса, дни рождения и семейное положение ЛПР: каждое лишнее поле — лишний риск без пользы для кампании.

Фиксируйте происхождение данных. Поле «источник контакта» в CRM — недооценённая страховка: если получатель спросит «откуда у вас мой адрес», ответ «вы указали его на сайте компании в разделе контактов» звучит корректно и проверяемо. Молчание или «нашли в интернете» — худшие варианты ответа на такой вопрос.

Требования к самому письму и процессу отправки

Прозрачность отправителя — базовое требование и закона, и здравого смысла. Из письма должно быть однозначно понятно, какая компания пишет, кто конкретно и как с отправителем связаться. Подмена имени отправителя, скрытые редиректы, отправка с доменов, не связанных с компанией, — всё это превращает деловое письмо в спам и в глазах получателя, и в глазах регулятора.

Возможность отказа — второе требование. В каждом письме должен быть простой способ сказать «больше не пишите»: строка «ответьте «не интересно» — больше не побеспокоим» или ссылка отказа. Полученный отказ исполняется немедленно и навсегда: адрес уходит в стоп-лист, который проверяется перед каждой кампанией. Продолжение отправки после отказа — самый верный способ превратить молчаливого получателя в автора жалобы в ФАС или Роскомнадзор.

Содержание письма держите в рамках делового обращения по существу: почему вы пишете этой компании, какую задачу предлагаете обсудить, какой следующий шаг. Чем меньше письмо похоже на «рекламную акцию» и чем больше — на письмо одного специалиста другому, тем ниже и юридические, и почтовые риски. Это тот редкий случай, когда требования права и требования конверсии совпадают полностью.

Пример

Строка отказа в конце письма: «Пишу вам, потому что ваш адрес указан на сайте компании как контакт отдела закупок. Если тема не по адресу — ответьте «не актуально», и я больше не побеспокою».

Обязанности оператора: что оформить внутри компании

Компания, которая систематически собирает и обрабатывает контакты ЛПР, является оператором персональных данных со всеми вытекающими обязанностями. Базовый набор: определить цели и правовые основания обработки, назначить ответственного за организацию обработки, принять политику в отношении персональных данных и опубликовать её на сайте, обеспечить защиту данных при хранении.

Уведомление Роскомнадзора об обработке персональных данных — обязанность оператора, о которой часто вспоминают поздно: с ужесточением практики последних лет подавать уведомление нужно большинству компаний, обрабатывающих чужие данные, — уточните текущие требования у юриста. Отдельная тема — локализация: базы с данными граждан РФ должны храниться на территории России; проверьте, где физически находятся серверы вашей CRM и платформы рассылок.

Штрафы за нарушения в области персональных данных в последние годы заметно выросли, включая оборотные штрафы за утечки, поэтому отношение «пока не прилетело — не оформляем» становится всё дороже. Хорошая новость: для аутрич-процесса набор документов и мер конечен и оформляется за пару недель работы с юристом.

Реальные риски и чек-лист снижения

Трезво о рисках: массовых проверок B2B-аутрича «по площадям» не происходит, регулятор реагирует на жалобы. Значит, главная стратегия снижения рисков — не давать поводов для жалоб: писать релевантным людям по делу, не маскироваться, мгновенно исполнять отказы. Компании, которые жгут тысячи писем по купленным базам, собирают жалобы и проблемы; команды адресного аутрича с малыми объёмами и персонализацией живут годами без единого инцидента.

Второй по значимости риск — репутационный: скриншот навязчивого письма в отраслевом чате бьёт по бренду сильнее штрафа. И третий — инфраструктурный: жалобы получателей это ещё и спам-репорты, убивающие доставляемость. Все три риска лечатся одним и тем же — качеством таргетинга и уважением к получателю. В LDM стоп-листы, строка отказа и контроль источников базы встроены в процесс кампании по умолчанию — но и при ручном процессе чек-лист ниже закрывает основное.

Вопросы и ответы

Рабочий email сотрудника — это персональные данные по 152-ФЗ?

Да, если адрес позволяет определить конкретного человека — например, i.petrov@company.ru в связке с именем и должностью. Обезличенные адреса вида info@ или sales@ сами по себе персональными данными не являются, пока вы не связали их с конкретным сотрудником.

Нужно ли согласие каждого ЛПР перед отправкой холодного письма?

Согласие — не единственное основание обработки по 152-ФЗ: есть и другие, включая обработку общедоступных данных и законный интерес. На практике деловое обращение по опубликованному рабочему контакту, по профилю деятельности компании, с прозрачным отправителем и возможностью отказа — устоявшийся низкорисковый формат. Массовая реклама по купленным базам — противоположный полюс.

Чем грозит нарушение при холодных рассылках?

Основные сценарии — административные штрафы по жалобе получателя (по линии рекламного законодательства или персональных данных) и предписания регулятора. Штрафы за нарушения в сфере персональных данных в последние годы выросли. Но самый частый реальный ущерб — репутационный и инфраструктурный: жалобы убивают доставляемость домена.

Можно ли покупать готовые базы email для B2B-рассылки?

Не стоит. У купленной базы неизвестное происхождение — вы не сможете подтвердить законность получения данных и ответить получателю, откуда у вас его адрес. Плюс такие базы технически грязные: высокий bounce и спам-ловушки сожгут домен быстрее, чем придёт первая жалоба. Собирайте базу из открытых деловых источников.

Что ответить получателю на вопрос «откуда у вас мой адрес»?

Правду, конкретно и сразу: «Ваш адрес указан на сайте компании в разделе контактов» или «Вы выступали на конференции X, контакт из материалов мероприятия». Для этого храните источник каждого контакта в CRM. Если человек просит удалить данные — удалите и подтвердите это письмом.

Распространяется ли ФЗ-38 «О рекламе» на холодные B2B-письма?

Может распространяться, если письмо квалифицируют как рекламу, распространяемую по сетям электросвязи — для неё требуется согласие получателя. Практика по деловой B2B-переписке неоднородна: индивидуальное деловое предложение по существу деятельности компании и массовая промо-рассылка оцениваются по-разному. Чем персональнее и предметнее письмо, тем ниже риск.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу