Что нужно знать про трансграничную передачу данных, если инструменты рассылки — зарубежные
Российское законодательство о персональных данных требует отдельного основания и часто — уведомления регулятора всякий раз, когда данные человека физически попадают на сервер за пределами страны. Для B2B-аутрич-команды это не абстрактная тема: рабочий email конкретного сотрудника — тоже персональные данные, а зарубежных сервисов в типичном стеке рассылки — CRM, платформа отправки, AI для персонализации, верификация — обычно несколько. Разбираем, когда трансграничная передача реально возникает и что с ней делать, не останавливая рассылки.
- Рабочий email сотрудника с именем и должностью — персональные данные, и статус «B2B» не выводит их из-под действия закона.
- Трансграничная передача возникает, как только данные контакта физически попадают на сервер зарубежного сервиса — CRM, email-платформы, AI-провайдера, верификатора.
- Закон требует первичного хранения персональных данных граждан РФ на российских серверах и отдельного основания для передачи туда, где нет статуса «достаточного уровня защиты».
- Чем меньше разрозненных внешних сервисов трогают базу контактов, тем проще держать процесс под контролем и проходить аудит.
- Юридическая оценка конкретной цепочки инструментов — это работа для юриста, а не для маркетолога, который выбирал SaaS по фичам.
Когда в адресной рассылке вообще возникает трансграничная передача
Рабочий email сотрудника компании — тоже персональные данные, и это первое, что стоит уяснить, прежде чем спорить, применяется ли к B2B-аутричу вообще законодательство о персональных данных. Адрес вида i.petrov@company.ru вместе с именем, должностью и телефоном из подписи однозначно идентифицирует конкретного человека — а значит, подпадает под определение персональных данных независимо от того, что переписка деловая, а не личная. Обезличенный ящик info@ или sales@ под это определение обычно не подпадает, но большая часть базы для персонализированного аутрича — это именно именные адреса конкретных ЛПР.
Трансграничная передача возникает не тогда, когда вы физически летите с ноутбуком за границу, а когда данные ваших контактов физически попадают на сервер, который находится вне России — или обрабатываются компанией, зарегистрированной за рубежом, даже если у неё есть российское юрлицо-прокладка. Практически это происходит куда чаще, чем кажется на старте: CRM на зарубежном хостинге, платформа для отправки писем с дата-центром в Европе или США, сервис верификации email, обогащения контактов данными о компании, генерации текста через зарубежный AI-провайдер — каждый такой сервис, куда улетает строка «имя + email + компания», технически создаёт трансграничную передачу.
Отдельно стоит сервис хранения самой базы: если таблица с контактами лежит в облачном диске или таск-трекере с серверами за пределами РФ, это тоже передача персональных данных за рубеж, даже если вы никогда не думали об этом инструменте как о «канале рассылки».
Что закон требует при передаче данных за рубеж
Логика закона о персональных данных для трансграничной передачи выстроена в два слоя. Первый — общее требование по локализации: при первичном сборе персональных данных граждан России оператор обязан обеспечить запись, систематизацию и хранение этих данных с использованием баз данных, физически находящихся на территории РФ. То есть прежде чем данные вообще попадают за рубеж, они по общему правилу должны быть сначала собраны и сохранены на российском сервере — и уже оттуда, при необходимости, передаваться дальше.
Второй слой — собственно правила трансграничной передачи. Закон делит страны на тех, кто обеспечивает «достаточный уровень защиты» персональных данных по перечню, который ведёт регулятор, и всех остальных — логика отдалённо похожа на европейский GDPR с его делением стран на обеспечивающие и не обеспечивающие «adequate protection», хотя механизмы не идентичны. Если передача идёт в страну из «хорошего» перечня, требования мягче; если в страну вне перечня — нужно отдельное правовое основание, например согласие субъекта на трансграничную передачу либо иные допустимые законом основания. Дополнительно оператор обязан заранее уведомить регулятора о своём намерении осуществлять трансграничную передачу — это отдельная процедура, которую нужно пройти до, а не после того как данные полетели за границу.
Из этого следует практический вывод для аутрич-команды: выбор зарубежного SaaS-инструмента для CRM, рассылки или AI-персонализации — это не только вопрос функциональности и цены, но и юридического основания для передачи данных туда. Если такое основание не оформлено, компания находится в зоне риска вне зависимости от того, знал об этом маркетолог, выбиравший инструмент, или нет.
Какие инструменты аутрича чаще всего создают трансграничный риск
Не все зарубежные сервисы одинаково рискованны — риск зависит от того, какой объём персональных данных через них проходит и насколько прозрачна цепочка субобработчиков. Платформа отправки, которая только рендерит и шлёт письма, но не хранит базу постоянно, отличается от CRM, где вся контактная база живёт годами.
Важен ещё один параметр — глубина субобработки. Зарубежный сервис редко хранит данные только у себя: он может использовать свой собственный облачный хостинг, платёжного провайдера, аналитическую платформу и резервное копирование у сторонних компаний, каждая из которых физически находится в своей стране. Формально ваша компания отвечает за всю эту цепочку, даже если сама выбирала только верхний уровень — конкретный SaaS-продукт. Поэтому при оценке риска стоит смотреть не только на витрину сервиса, но и на его политику конфиденциальности в разделе про субобработчиков.
Практический ориентир: если сервис хотя бы временно хранит связку «email + имя + компания» и у него нет дата-центра в РФ — считайте, что трансграничная передача есть, и разбирайтесь с основанием, а не надейтесь, что закон формально не про вас.
- CRM и базы контактов на зарубежном хостинге — самый очевидный случай, база лежит там целиком.
- Зарубежные платформы для холодных рассылок — загружаете список контактов на их серверы.
- Сервисы верификации и обогащения email — им передаётся адрес и часто ФИО, компания, должность.
- AI-провайдеры для генерации персонализированных писем — если в запрос попадает имя, компания и контекст конкретного человека, это тоже передача.
- Облачные таск-трекеры и диски с исходными списками контактов и результатами кампаний.
- Аналитика и трекинг открытий и кликов у зарубежных провайдеров — в события попадает связка email и поведение.
Типичная скрытая цепочка: зарубежная email-платформа хранит базу у себя в облаке, использует стороннюю аналитику для дашбордов и внешний сервис для транскрипции звонков с лидами — три разных субобработчика вместо одного, о котором думал маркетолог при выборе инструмента.
Частые ошибки команд, которые ведут B2B-аутрич
Самая распространённая ошибка — считать, что раз данные деловые, а не «личные», требования о персональных данных вообще не применяются. Закон не делает такого исключения: статус данных как персональных зависит от того, идентифицируют ли они физическое лицо, а не от цели их использования.
Вторая по частоте ошибка ближе к организационной: ответственность за выбор инструмента размыта между отделом маркетинга, который подписывает договор на SaaS, и юридическим или IT-отделом, который в теории должен оценивать такие риски, но узнаёт о новом сервисе постфактум. В результате трансграничные основания оформляются не до, а после того как через инструмент уже прошли тысячи контактов.
- Игнорирование субобработчиков: сама CRM российская, но её резервное копирование или аналитика идут через зарубежный сервис — передача всё равно есть.
- Отсутствие уведомления регулятора о трансграничной передаче, когда компания уже фактически использует зарубежный SaaS.
- Смешение вопроса «нужно ли согласие получателя на письмо» с вопросом «есть ли основание передавать его данные за рубеж» — это разные основания и разные риски.
- Ручная выгрузка базы в зарубежный AI-чат для «доработать текст» без всякого контроля — точечный, но реальный канал утечки.
- Отсутствие внутреннего списка, какие сервисы вообще участвуют в цепочке обработки контактов.
Чек-лист и как строить процесс, чтобы не тушить пожар постфактум
Прежде чем спорить о деталях конкретной ситуации — а в трансграничной передаче деталей много, от страны хостинга до типа субобработчика — стоит признать: это тема, где самостоятельная трактовка закона обходится дорого, и для конкретной конфигурации инструментов лучше свериться с юристом, а не с блог-постом. Но выстроить процесс, который снижает риск, можно и до этой консультации.
Практический подход, который используют зрелые аутрич-команды — сокращать число точек, где данные вообще покидают контролируемый контур, а не пытаться закрыть трансграничные основания для каждого отдельного сервиса. Например, если персонализация писем идёт через единый управляемый шлюз к AI-провайдеру, а не через россыпь личных подключений разных сотрудников к разным чат-ботам, у вас один канал для проверки и согласования вместо десяти. В LDM AI-генерация писем и обработка контактной базы идут через собственный контролируемый контур платформы, а не через произвольный набор внешних инструментов, которые каждый сотрудник подключает сам себе — это не отменяет необходимость юридической оценки конкретной интеграции, но заметно упрощает аудит: видно, куда именно и через какой единственный канал уходят данные.
- Составьте список всех сервисов, через которые проходят контактные данные, включая субобработчиков.
- Для каждого сервиса выясните страну размещения серверов и наличие у страны статуса «достаточного уровня защиты».
- Проверьте, обеспечено ли первичное хранение персональных данных граждан РФ на российских серверах.
- Оформите необходимое основание для передачи туда, где основания ещё нет — согласие, уведомление регулятора или иной допустимый вариант.
- Сократите число разрозненных внешних инструментов, замените их управляемым контуром там, где это возможно.
- Зафиксируйте процесс письменно и назначьте ответственного, который следит за новыми интеграциями.
Вопросы и ответы
Рабочий email сотрудника компании — это персональные данные или нет?
Да, если по адресу можно установить конкретного человека — например, i.ivanov@company.ru вместе с именем и должностью из подписи. Обезличенные ящики вида info@ или sales@ под это определение обычно не подпадают, потому что не идентифицируют физическое лицо.
Если наша CRM российская, но email-платформа для отправки — зарубежная, трансграничная передача есть?
Да, потому что контакты физически попадают на серверы платформы отправки. Российское юрлицо CRM не защищает от требований к передаче данных другим обработчикам в цепочке — оценивать нужно каждый сервис, через который проходит база.
Нужно ли уведомлять регулятора при каждой рассылке через зарубежный сервис?
Уведомление о трансграничной передаче — это разовая процедура на уровне компании и конкретного основания передачи, а не действие на каждую кампанию. Но если компания раньше не уведомляла регулятора о работе с конкретным зарубежным сервисом, это стоит проверить и закрыть до масштабирования рассылок через него.
Что если AI-сервис для персонализации писем не хранит данные, а только обрабатывает запрос и выбрасывает его?
Даже кратковременная обработка на зарубежном сервере формально является трансграничной передачей — критерий не «хранятся ли данные постоянно», а «попадают ли они физически за пределы РФ». На практике риск ниже, чем у постоянного хранения, но основание для передачи всё равно нужно оценивать.
С чего начать, если мы никогда не анализировали этот вопрос, а рассылки уже идут?
Составьте список всех сервисов в цепочке обработки контактов и страну размещения их серверов — это займёт день-два и сразу покажет масштаб. Дальше по каждому пункту с реальным риском стоит проконсультироваться с юристом, который специализируется на персональных данных, потому что универсального решения на все конфигурации инструментов не существует.
Хотите применить это в своём аутриче?
Расскажем, как это работает на вашем сегменте и продукте — до старта работ.
Обсудить задачу