Live Direct Marketing
ГлавнаяБлогПраво и комплаенс

Роскомнадзор и персональные данные: что учесть при сборе B2B-баз

7 июля 2026 · 8 мин чтения · Гайд: Право и комплаенс

База контактов для B2B-рассылки — это не только название компании и общий email вида info@, но чаще всего ФИО, должность и рабочая почта конкретного человека. А это уже персональные данные в смысле закона, даже если человек выступает как представитель юрлица. Разберём, где проходит грань, что требует регулятор от тех, кто такие данные собирает и обрабатывает, и как выстроить процесс, чтобы не получить закономерные проблемы.

Коротко
  • ФИО, должность и рабочий email конкретного человека — персональные данные независимо от того, что контакт собран в B2B-контексте
  • Обработка чужих персональных данных требует уведомления Роскомнадзора о начале обработки, если компания не подпадает под исключения
  • Публично доступный контакт на сайте компании не равен согласию на использование в рассылках — это разные основания обработки
  • Политика обработки персональных данных и публичная оферта на сайте — не формальность, а обязательный элемент, если ведётся холодный аутрич
  • Право на отказ от дальнейших писем должно быть реализуемо технически, а не только продекларировано в тексте

Почему B2B-контакт — тоже персональные данные

Распространённое заблуждение: раз письмо адресовано компании, а не физлицу, закон о персональных данных не при чём. На практике 152-ФЗ определяет персональные данные как любую информацию, относящуюся к конкретному физическому лицу — а ФИО и рабочая почта директора по закупкам однозначно относятся к конкретному человеку, даже если он упоминается в контексте своей должности.

Разница с B2C в другом — правовом основании обработки. У сотрудника компании есть законный интерес получать деловую почту по роду деятельности, и это часто позволяет строить работу без индивидуального письменного согласия на каждый контакт. Но это не отменяет остальные требования закона: уведомление регулятора, политику обработки, право на отказ.

Практический вывод для тех, кто строит базы для аутрича: любая таблица с ФИО и почтой ЛПР — это база персональных данных, и к ней применяются требования по хранению, доступу и обработке, а не только этические соображения о «неспаме». Это касается и внутренних Excel-файлов, и CRM, и любых промежуточных выгрузок, которые команда использует при подготовке кампании.

Что формально требует регулятор

Компания, которая собирает и обрабатывает персональные данные — в том числе контакты ЛПР для рассылок, — по общему правилу обязана подать уведомление о начале обработки в Роскомнадзор и попасть в реестр операторов. Есть исключения, когда уведомление не требуется, но большинство сценариев B2B-рассылки под них не подпадает, потому что данные обрабатываются не только для исполнения договора с самим субъектом данных.

Дальше — обязанность иметь опубликованную политику обработки персональных данных, доступную любому посетителю сайта, и назначить ответственного за обработку внутри компании. Формально это касается любой организации, которая собирает email и ФИО через сайт, CRM или сторонние источники для последующей коммуникации.

Откуда берутся данные и какое основание у каждого источника

Не все источники контактов одинаковы с точки зрения права на обработку. Контакт, оставленный человеком добровольно через форму на сайте с явным согласием, — самое чистое основание. Контакт, найденный на публичной странице компании или в открытых реестрах, — более спорная зона: данные публично доступны, но это не равно согласию на использование именно для рассылок, поэтому такой сбор стоит обосновывать законным интересом и деловым характером контакта.

Контакты, купленные готовыми списками у сторонних поставщиков без понятного происхождения, — зона повышенного риска: невозможно подтвердить основание обработки и происхождение данных, и в случае жалобы отвечать перед регулятором придётся тому, кто их использовал, а не тому, кто продал. Отдельная категория — данные, полученные через парсинг сайтов и агрегаторов: формально технически это тоже сбор из публичного источника, но массовый автоматизированный сбор без разбора конкретных страниц юридически рискованнее точечного ручного поиска контакта под конкретную кампанию.

Пример

Разумный подход: собирать контакты через собственный сбор с сайтов компаний и деловых профилей, документировать источник каждой записи в CRM и избегать анонимных купленных баз без прослеживаемого происхождения.

Роль трансграничной передачи данных, если инфраструктура за рубежом

Отдельный слой требований возникает, если CRM, сервис рассылки или инструмент обогащения баз, которым пользуется компания, хранит данные на серверах за пределами России. Трансграничная передача персональных данных регулируется отдельно от базовой обработки, и по общему правилу требует либо уведомления регулятора о таком трансфере, либо попадания страны получателя в перечень стран с адекватным уровнем защиты данных.

На практике это означает, что выбор CRM или сервиса для холодного аутрича — не только вопрос функциональности, но и вопрос комплаенса: стоит заранее выяснить, где физически хранятся данные о контактах, есть ли у поставщика позиция по трансграничной передаче и что произойдёт с данными при удалении аккаунта. Это особенно актуально для компаний, работающих с зарубежными SaaS-инструментами лидогенерации и обогащения баз.

Как это применимо к холодной рассылке на практике

Для адресного B2B-аутрича — точечных писем конкретным ЛПР по релевантному поводу — риски ниже, чем для массовой рассылки по купленной базе: письма отправляются по деловому вопросу, персонализированы, а объёмы на порядок меньше. Это не освобождает от требований закона, но снижает вероятность жалобы и упрощает объяснение законного интереса, если вопрос всё же возникнет.

Практический чек-лист для тех, кто строит базу под аутрич: фиксировать источник каждого контакта, не хранить лишние персональные данные сверх необходимого для коммуникации, обеспечить лёгкую отписку в один клик, и иметь опубликованную политику обработки на сайте компании, от имени которой идёт рассылка.

Частые ошибки и как их избежать

Большинство проблем с регулятором возникает не из-за злого умысла, а из-за того, что процесс сбора данных выстраивался без оглядки на требования закона с самого начала.

Что сделать до старта новой кампании

Перед запуском рассылки по новой базе стоит пройти короткую проверку: есть ли политика обработки данных на сайте, зафиксирован ли источник контактов, работает ли механизм отписки технически, а не только в тексте письма. Отдельно стоит проверить, не подавалось ли уведомление в Роскомнадзор — если компания давно ведёт коммуникацию с клиентами и партнёрами через email, уведомление, скорее всего, требуется, даже если раньше о нём не задумывались.

Это не разовая настройка, а процесс: каждый новый источник данных, новый инструмент обогащения баз или смена модели рассылки — повод свериться, не изменилось ли основание обработки и не нужно ли обновить политику. Дешевле выстроить этот процесс на старте, чем разбирать его постфактум после жалобы получателя.

Полезно назначить внутри команды одного ответственного, который ведёт этот процесс постоянно, а не распределять его между разными людьми от случая к случаю. На практике комплаенс по персональным данным лучше всего держится там, где есть конкретный человек с этой зоной ответственности в должностных обязанностях, а не общее «все понемногу следят».

Вопросы и ответы

Нужно ли согласие каждого ЛПР перед отправкой первого письма

Не всегда в форме отдельного письменного согласия — деловая коммуникация с представителем юрлица по вопросу, связанному с его должностными обязанностями, чаще опирается на законный интерес. Но это не отменяет обязанность иметь политику обработки данных и обеспечить право на отказ.

Обязательно ли подавать уведомление в Роскомнадзор для небольшой компании

Размер компании сам по себе не освобождает от обязанности — значение имеет характер обработки. Если данные обрабатываются не только для исполнения договора с самим субъектом данных, уведомление, как правило, требуется независимо от масштаба бизнеса.

Можно ли использовать контакты, найденные в открытых источниках, без риска

Публичная доступность контакта не равна согласию на использование в рассылках. Риск ниже, чем при работе с анонимными купленными базами, но всё равно стоит документировать источник и обеспечивать простую отписку.

Что делать, если получатель попросил удалить его данные

Запрос нужно исполнить в разумный срок — удалить контакт из активных списков рассылки и, по возможности, из базы целиком. Формальный отказ или затягивание — самый частый повод для жалобы в Роскомнадзор.

Отличаются ли требования для B2B-рассылки и для рассылки физлицам

Базовые требования закона одинаковы, но основание обработки и восприятие риска разные: у представителя юрлица есть деловой интерес получать релевантную почту по роду деятельности, что упрощает объяснение законного интереса по сравнению с рассылкой частным лицам.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу