Live Direct Marketing
ГлавнаяБлогПраво и комплаенс

Штрафы по 152-ФЗ и B2B-базы: что действительно грозит за холодную рассылку по рабочим адресам

7 июля 2026 · 9 мин чтения · Гайд: Право и комплаенс

Вопрос «а не оштрафуют ли нас за базу email-адресов» рано или поздно возникает у любой компании, которая всерьёз занимается холодным B2B-аутричем. Ответ не сводится к простому да или нет — многое зависит от того, что именно хранится в базе, как она собрана и что написано в письме. Разберём по существу: что в B2B-контакте является персональными данными, какая ответственность предусмотрена и что практически снижает риски, не отказываясь от канала.

Коротко
  • Рабочий email вида имя.фамилия@компания.ru в связке с должностью — это персональные данные, даже если адрес корпоративный, а не личный
  • Ответственность за нарушения при обработке персональных данных предусмотрена административным законодательством, и штрафы за повторные и злостные нарушения значительно выше, чем за разовое несоблюдение процедур
  • Ключевые практические риски — не сам факт письма, а отсутствие оснований для обработки данных, передача базы третьим лицам без согласия и игнорирование запроса на удаление
  • Деловая переписка с представителем юрлица по рабочему вопросу и прямая реклама физлицу — разные ситуации с точки зрения применимых норм, и это стоит учитывать при формулировке письма
  • Практические меры снижения риска — не хранить лишние данные, обеспечить простой отказ от переписки, вести учёт согласий и оснований обработки, не передавать базу подрядчикам без договорных гарантий

Является ли рабочий email персональными данными

Короткий ответ — да, в большинстве практических случаев. Персональные данные определяются как любая информация, относящаяся к определённому или определяемому физическому лицу. Адрес вида ivanov@company.ru содержит фамилию конкретного человека и однозначно идентифицирует его как сотрудника конкретной компании — этого достаточно, чтобы такой email подпадал под определение персональных данных, даже если формально это корпоративный, а не личный адрес.

Ситуация чуть менее однозначна с обезличенными корпоративными адресами вида info@company.ru или sales@company.ru — они сами по себе не идентифицируют конкретного человека и в чистом виде персональными данными не являются. Но как только в базе появляется связка этого адреса с именем, должностью или другой идентифицирующей информацией о конкретном сотруднике, который отвечает с этого ящика, вся связка целиком снова попадает под определение.

Практический вывод для B2B-баз: если в карточке контакта хранится не только email, но и ФИО, должность, телефон — а это стандартная практика для аутрич-баз, ориентированных на конкретных ЛПР, — вся эта карточка представляет собой персональные данные и требует соответствующего обращения независимо от того, что адрес рабочий, а не личный.

Чем отличается обработка данных ЛПР от обработки данных потребителя

Ключевое практическое различие — контекст и цель обработки. Когда компания собирает данные ЛПР для деловой переписки о сотрудничестве с его компанией, это происходит в рамках его должностных обязанностей — он представляет юрлицо, а не выступает как частное лицо, к которому обращаются с потребительской рекламой. Это не отменяет статус email как персональных данных, но влияет на то, какие основания обработки применимы и насколько строгими должны быть процедуры получения согласия.

Важно не путать это с полным освобождением от требований закона. Компания, обрабатывающая данные ЛПР для B2B-переписки, всё равно обязана иметь законное основание для обработки, обеспечивать безопасность хранения данных и реагировать на запросы об удалении или уточнении информации. Разница в том, что для законного делового интереса — установления и поддержания деловых контактов — основание обработки часто не требует отдельного письменного согласия в том виде, в котором оно нужно для прямой рекламы физлицу-потребителю, но сама обязанность соблюдать принципы обработки данных никуда не исчезает.

Какая ответственность предусмотрена за нарушения

Ответственность за нарушение требований к обработке персональных данных предусмотрена административным законодательством, и конкретный размер санкции зависит от характера нарушения — например, обработка данных без надлежащего основания, отказ предоставить субъекту данных информацию по его запросу или неисполнение требования об уничтожении данных наказываются по-разному. Отдельно ужесточена ответственность за повторные нарушения — штрафы за них заметно выше, чем за первичное несоблюдение процедур.

Здесь важно избегать соблазна назвать точные суммы или номера конкретных частей статей — законодательство меняется, штрафы периодически пересматриваются в сторону ужесточения, и любая точная цифра из статьи рискует устареть к моменту её прочтения. Практический вывод для бизнеса: относиться к вопросу не как к формальности с фиксированным и предсказуемым штрафом, а как к реальному операционному риску, тяжесть которого зависит от масштаба нарушения и от того, было ли оно системным или разовым.

На практике для B2B-аутрича реальный риск концентрируется не в самом факте отправки холодного письма, а в трёх зонах: отсутствие документированного основания для хранения базы, передача данных базы третьим лицам без правовых гарантий и игнорирование прямых обращений с просьбой прекратить обработку данных или удалить контакт.

Что реально снижает риск при работе с B2B-базой

Первая практическая мера — не собирать и не хранить больше данных, чем реально нужно для ведения переписки и квалификации лида. Избыточные поля в карточке контакта — личный мобильный, данные о семье, информация не по рабочему контексту — увеличивают объём персональных данных без операционной необходимости и, соответственно, увеличивают риск при любой проверке.

Вторая мера — простой и явный механизм отказа от переписки. Каждое письмо должно давать понятную возможность попросить прекратить получение писем, и такой запрос должен обрабатываться быстро и приводить к реальному прекращению отправки, а не формально игнорироваться. Это не только требование закона, но и прямой сигнал добросовестности отправителя для получателя.

Третья мера — учёт оснований обработки по каждому источнику данных: откуда взят контакт, на каком основании он обрабатывается, когда и как можно подтвердить законность его получения. Это особенно важно, если база собирается через несколько разных источников — сервисы поиска контактов, обогащение через открытые реестры, ручной сбор — у каждого из которых может быть своя специфика оснований.

Четвёртая мера — договорные гарантии при передаче базы подрядчикам, например агентствам, которые ведут кампанию от имени компании. Договор должен явно фиксировать, что подрядчик обрабатывает данные строго в рамках согласованной цели и не передаёт их дальше без разрешения.

Как формулировать письмо, чтобы не создавать лишних рисков

Помимо вопросов обработки данных, содержание письма само по себе может создавать риски по линии законодательства о рекламе, если по факту представляет собой рекламное предложение, оформленное как личная переписка. Граница между деловым предложением о сотрудничестве и прямой рекламой размыта и зависит от конкретных формулировок, но практический принцип простой: письмо должно читаться как персональное обращение к конкретному представителю компании по теме, релевантной его должностным обязанностям, а не как рекламный текст с прямым призывом купить, адресованный неопределённому кругу лиц под видом личного письма.

Указание реального отправителя, контактных данных компании и понятного способа связи снижает не только юридический, но и репутационный риск — анонимные или маскирующиеся под личную переписку письма чаще вызывают жалобы и провоцируют более пристальное внимание к легитимности всей кампании.

Откуда на практике возникают проверки и жалобы

Реальный триггер внимания к вопросам обработки данных в B2B-аутриче почти никогда не возникает из самого факта существования базы — он появляется из конкретной жалобы конкретного получателя, который счёл переписку навязчивой или не получил ответа на просьбу прекратить рассылку. Именно поэтому механизм отказа от переписки и скорость его исполнения важнее, чем абстрактная полнота документации на бумаге, хотя и то, и другое нужно.

Вторая типичная ситуация — претензии не от отдельного получателя, а со стороны его компании как юридического лица, если объём и настойчивость рассылки воспринимаются как недобросовестная практика в отношении сотрудников. Здесь работает та же логика, что и с доставляемостью: разумный объём, персонализация и явная возможность отказаться снижают вероятность подобной реакции сильнее, чем любые формальные оговорки в тексте письма.

Практический вывод — большая часть риска управляется не юридическим отделом отдельно от отдела продаж, а самой дисциплиной ведения кампании: аккуратная база, вежливый тон, работающий отказ от переписки и быстрая реакция на любые обращения снимают основную часть вопросов ещё до того, как они успевают перерасти в формальную жалобу или проверку.

Вопросы и ответы

Является ли рабочий корпоративный email сотрудника персональными данными

Да, если он содержит идентифицирующую информацию, например фамилию, или хранится в связке с ФИО и должностью — что стандартно для B2B-баз. Полностью обезличенные адреса вида info@company.ru сами по себе не идентифицируют человека, но становятся персональными данными в связке с именем контактного лица.

Нужно ли получать отдельное письменное согласие на холодную B2B-рассылку

Для деловой переписки с представителем юрлица по рабочему вопросу основанием обработки часто выступает законный интерес в установлении деловых контактов, а не обязательное письменное согласие в форме, характерной для прямой рекламы физлицам. Это не освобождает от обязанности иметь законное основание обработки и соблюдать остальные требования закона.

Что грозит компании за нарушение правил обработки персональных данных в B2B-базе

Предусмотрена административная ответственность, размер которой зависит от характера и повторности нарушения — за системные и повторные нарушения санкции значительно выше, чем за разовое несоблюдение процедур. Конкретные суммы лучше уточнять в актуальной редакции закона, поскольку они периодически пересматриваются.

Можно ли передавать базу контактов агентству, которое ведёт кампанию от имени компании

Можно, если это закреплено договором с чёткими обязательствами подрядчика по обработке данных строго в рамках согласованной цели и без передачи третьим лицам. Передача базы без таких гарантий — одна из зон реального риска при работе с B2B-контактами.

Что делать, если получатель холодного письма попросил удалить его данные

Обрабатывать такой запрос быстро и реально — удалить контакт из базы и прекратить дальнейшую отправку, а не игнорировать формально. Задержка или игнорирование подобных запросов — одна из главных практических зон риска при проверках.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу