Live Direct Marketing
ГлавнаяБлогПраво и комплаенс

Что нужно знать про трансграничную передачу данных, если инструменты рассылки — зарубежные

7 июля 2026 · 10 мин чтения · Гайд: Право и комплаенс

Российское законодательство о персональных данных требует отдельного основания и часто — уведомления регулятора всякий раз, когда данные человека физически попадают на сервер за пределами страны. Для B2B-аутрич-команды это не абстрактная тема: рабочий email конкретного сотрудника — тоже персональные данные, а зарубежных сервисов в типичном стеке рассылки — CRM, платформа отправки, AI для персонализации, верификация — обычно несколько. Разбираем, когда трансграничная передача реально возникает и что с ней делать, не останавливая рассылки.

Коротко
  • Рабочий email сотрудника с именем и должностью — персональные данные, и статус «B2B» не выводит их из-под действия закона.
  • Трансграничная передача возникает, как только данные контакта физически попадают на сервер зарубежного сервиса — CRM, email-платформы, AI-провайдера, верификатора.
  • Закон требует первичного хранения персональных данных граждан РФ на российских серверах и отдельного основания для передачи туда, где нет статуса «достаточного уровня защиты».
  • Чем меньше разрозненных внешних сервисов трогают базу контактов, тем проще держать процесс под контролем и проходить аудит.
  • Юридическая оценка конкретной цепочки инструментов — это работа для юриста, а не для маркетолога, который выбирал SaaS по фичам.

Когда в адресной рассылке вообще возникает трансграничная передача

Рабочий email сотрудника компании — тоже персональные данные, и это первое, что стоит уяснить, прежде чем спорить, применяется ли к B2B-аутричу вообще законодательство о персональных данных. Адрес вида i.petrov@company.ru вместе с именем, должностью и телефоном из подписи однозначно идентифицирует конкретного человека — а значит, подпадает под определение персональных данных независимо от того, что переписка деловая, а не личная. Обезличенный ящик info@ или sales@ под это определение обычно не подпадает, но большая часть базы для персонализированного аутрича — это именно именные адреса конкретных ЛПР.

Трансграничная передача возникает не тогда, когда вы физически летите с ноутбуком за границу, а когда данные ваших контактов физически попадают на сервер, который находится вне России — или обрабатываются компанией, зарегистрированной за рубежом, даже если у неё есть российское юрлицо-прокладка. Практически это происходит куда чаще, чем кажется на старте: CRM на зарубежном хостинге, платформа для отправки писем с дата-центром в Европе или США, сервис верификации email, обогащения контактов данными о компании, генерации текста через зарубежный AI-провайдер — каждый такой сервис, куда улетает строка «имя + email + компания», технически создаёт трансграничную передачу.

Отдельно стоит сервис хранения самой базы: если таблица с контактами лежит в облачном диске или таск-трекере с серверами за пределами РФ, это тоже передача персональных данных за рубеж, даже если вы никогда не думали об этом инструменте как о «канале рассылки».

Что закон требует при передаче данных за рубеж

Логика закона о персональных данных для трансграничной передачи выстроена в два слоя. Первый — общее требование по локализации: при первичном сборе персональных данных граждан России оператор обязан обеспечить запись, систематизацию и хранение этих данных с использованием баз данных, физически находящихся на территории РФ. То есть прежде чем данные вообще попадают за рубеж, они по общему правилу должны быть сначала собраны и сохранены на российском сервере — и уже оттуда, при необходимости, передаваться дальше.

Второй слой — собственно правила трансграничной передачи. Закон делит страны на тех, кто обеспечивает «достаточный уровень защиты» персональных данных по перечню, который ведёт регулятор, и всех остальных — логика отдалённо похожа на европейский GDPR с его делением стран на обеспечивающие и не обеспечивающие «adequate protection», хотя механизмы не идентичны. Если передача идёт в страну из «хорошего» перечня, требования мягче; если в страну вне перечня — нужно отдельное правовое основание, например согласие субъекта на трансграничную передачу либо иные допустимые законом основания. Дополнительно оператор обязан заранее уведомить регулятора о своём намерении осуществлять трансграничную передачу — это отдельная процедура, которую нужно пройти до, а не после того как данные полетели за границу.

Из этого следует практический вывод для аутрич-команды: выбор зарубежного SaaS-инструмента для CRM, рассылки или AI-персонализации — это не только вопрос функциональности и цены, но и юридического основания для передачи данных туда. Если такое основание не оформлено, компания находится в зоне риска вне зависимости от того, знал об этом маркетолог, выбиравший инструмент, или нет.

Какие инструменты аутрича чаще всего создают трансграничный риск

Не все зарубежные сервисы одинаково рискованны — риск зависит от того, какой объём персональных данных через них проходит и насколько прозрачна цепочка субобработчиков. Платформа отправки, которая только рендерит и шлёт письма, но не хранит базу постоянно, отличается от CRM, где вся контактная база живёт годами.

Важен ещё один параметр — глубина субобработки. Зарубежный сервис редко хранит данные только у себя: он может использовать свой собственный облачный хостинг, платёжного провайдера, аналитическую платформу и резервное копирование у сторонних компаний, каждая из которых физически находится в своей стране. Формально ваша компания отвечает за всю эту цепочку, даже если сама выбирала только верхний уровень — конкретный SaaS-продукт. Поэтому при оценке риска стоит смотреть не только на витрину сервиса, но и на его политику конфиденциальности в разделе про субобработчиков.

Практический ориентир: если сервис хотя бы временно хранит связку «email + имя + компания» и у него нет дата-центра в РФ — считайте, что трансграничная передача есть, и разбирайтесь с основанием, а не надейтесь, что закон формально не про вас.

Пример

Типичная скрытая цепочка: зарубежная email-платформа хранит базу у себя в облаке, использует стороннюю аналитику для дашбордов и внешний сервис для транскрипции звонков с лидами — три разных субобработчика вместо одного, о котором думал маркетолог при выборе инструмента.

Частые ошибки команд, которые ведут B2B-аутрич

Самая распространённая ошибка — считать, что раз данные деловые, а не «личные», требования о персональных данных вообще не применяются. Закон не делает такого исключения: статус данных как персональных зависит от того, идентифицируют ли они физическое лицо, а не от цели их использования.

Вторая по частоте ошибка ближе к организационной: ответственность за выбор инструмента размыта между отделом маркетинга, который подписывает договор на SaaS, и юридическим или IT-отделом, который в теории должен оценивать такие риски, но узнаёт о новом сервисе постфактум. В результате трансграничные основания оформляются не до, а после того как через инструмент уже прошли тысячи контактов.

Чек-лист и как строить процесс, чтобы не тушить пожар постфактум

Прежде чем спорить о деталях конкретной ситуации — а в трансграничной передаче деталей много, от страны хостинга до типа субобработчика — стоит признать: это тема, где самостоятельная трактовка закона обходится дорого, и для конкретной конфигурации инструментов лучше свериться с юристом, а не с блог-постом. Но выстроить процесс, который снижает риск, можно и до этой консультации.

Практический подход, который используют зрелые аутрич-команды — сокращать число точек, где данные вообще покидают контролируемый контур, а не пытаться закрыть трансграничные основания для каждого отдельного сервиса. Например, если персонализация писем идёт через единый управляемый шлюз к AI-провайдеру, а не через россыпь личных подключений разных сотрудников к разным чат-ботам, у вас один канал для проверки и согласования вместо десяти. В LDM AI-генерация писем и обработка контактной базы идут через собственный контролируемый контур платформы, а не через произвольный набор внешних инструментов, которые каждый сотрудник подключает сам себе — это не отменяет необходимость юридической оценки конкретной интеграции, но заметно упрощает аудит: видно, куда именно и через какой единственный канал уходят данные.

Вопросы и ответы

Рабочий email сотрудника компании — это персональные данные или нет?

Да, если по адресу можно установить конкретного человека — например, i.ivanov@company.ru вместе с именем и должностью из подписи. Обезличенные ящики вида info@ или sales@ под это определение обычно не подпадают, потому что не идентифицируют физическое лицо.

Если наша CRM российская, но email-платформа для отправки — зарубежная, трансграничная передача есть?

Да, потому что контакты физически попадают на серверы платформы отправки. Российское юрлицо CRM не защищает от требований к передаче данных другим обработчикам в цепочке — оценивать нужно каждый сервис, через который проходит база.

Нужно ли уведомлять регулятора при каждой рассылке через зарубежный сервис?

Уведомление о трансграничной передаче — это разовая процедура на уровне компании и конкретного основания передачи, а не действие на каждую кампанию. Но если компания раньше не уведомляла регулятора о работе с конкретным зарубежным сервисом, это стоит проверить и закрыть до масштабирования рассылок через него.

Что если AI-сервис для персонализации писем не хранит данные, а только обрабатывает запрос и выбрасывает его?

Даже кратковременная обработка на зарубежном сервере формально является трансграничной передачей — критерий не «хранятся ли данные постоянно», а «попадают ли они физически за пределы РФ». На практике риск ниже, чем у постоянного хранения, но основание для передачи всё равно нужно оценивать.

С чего начать, если мы никогда не анализировали этот вопрос, а рассылки уже идут?

Составьте список всех сервисов в цепочке обработки контактов и страну размещения их серверов — это займёт день-два и сразу покажет масштаб. Дальше по каждому пункту с реальным риском стоит проконсультироваться с юристом, который специализируется на персональных данных, потому что универсального решения на все конфигурации инструментов не существует.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу