B2B-контакты, корпоративная почта и визитки: когда это персональные данные, а когда нет

Полное руководство для бизнеса по 152-ФЗ с учётом изменений 2025–2026 годов

Почему вопрос актуален именно сейчас

Представьте типичный рабочий день менеджера по продажам. Он получает визитку на выставке, вносит контакт в CRM, отправляет письмо с корпоративной почты, получает ответ от Ивана Петрова — коммерческого директора компании-партнёра. Потом передаёт контакт коллеге. Потом данные попадают в рассылочный список.

Сколько раз в этой цепочке были обработаны персональные данные? Ответ неочевиден даже для юристов. Но именно на этот вопрос от правильного ответа теперь зависит, получит ли компания штраф до 20 миллионов рублей или нет.

С 30 мая 2025 года вступили в силу масштабные изменения в 152-ФЗ. <a href="https://b-152.ru/zakon-o-personalnyh-dannyh-2025">Штрафы за утечку персональных данных выросли до 15–20 млн рублей за один инцидент</a>, а повторные нарушения грозят оборотными санкциями — от 1% до 3% годовой выручки [1]. Параллельно в Уголовный кодекс добавили ст. 272.1 с максимальным наказанием до 10 лет лишения свободы за незаконный оборот ПДн [2].

На этом фоне вопрос «а являются ли данные из этой визитки персональными данными?» перестал быть академическим. Это вопрос финансовой безопасности компании и личной ответственности сотрудников.

Эта статья объяснит, где проходит граница между B2B-контактами как обычными деловыми реквизитами и персональными данными, которые требуют соблюдения 152-ФЗ.

Часть 1. Что такое персональные данные: критерий идентификации

Базовое определение закона

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ, персональные данные — это <a href="https://www.consultant.ru/document/consdocLAW_61801/">"любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)"</a> [3].

Ключевое слово здесь — "физическому". Закон защищает людей, а не организации. Реквизиты ООО "Ромашка" — ИНН, адрес, расчётный счёт — не являются персональными данными, даже если они хранятся в вашей CRM [4].

Критерий идентификации: можно ли установить конкретного человека?

Закон не даёт закрытого перечня того, что является ПДн. Это намеренно: <a href="https://www.garant.ru/consult/civil_law/1622422/">152-ФЗ определяет персональные данные достаточно широко, поэтому какого-либо перечня сведений, относящихся к персональным данным субъекта, не существует</a> [5].

На практике применяется "тест идентификации": может ли информация сама по себе или в совокупности с другими данными однозначно указать на конкретного человека? Если да — это ПДн.

Именно поэтому один и тот же элемент данных может быть персональными данными в одном контексте и не быть им в другом:

1. ivanov@company.ru — идентифицирует конкретного Иванова → ПДн
2. info@company.ru — не привязан к конкретному человеку → не ПДн
3. Телефон +7 (495) 123-45-67 в подписи конкретного сотрудника → ПДн
4. Тот же телефон как общий номер отдела → не ПДн
5. Должность "директор по продажам" без имени → не ПДн
6. Должность "директор по продажам Иванов А.В." → ПДн

Часть 2. Корпоративная почта: три сценария

Сценарий 1: Email содержит имя/фамилию сотрудника

Адрес вида ivan.petrov@company.ru или i.petrov@company.ru — <a href="https://ic-tech.ru/blog/faq/questions-152fz/yavlyayutsya-li-sluzhebnye-e-mail-sotrudnikov-personalnymi-dannymi/">однозначно привязан к конкретному физическому лицу и является персональными данными</a> [6]. Это подтверждает и позиция Роскомнадзора: при проверке ведомство указывало, что surname@company.ru — ПДн, которые должны быть включены в перечень обрабатываемых данных в локальных актах [6].

Сценарий 2: Email обезличен (роль/функция/отдел)

Адреса вида info@company.ru, sales@company.ru, support@company.ru — <a href="https://gsl-news.org/548047-zashhita-personalnyh-dannyh-elektron/">"электронный адрес компании-клиента info.company@company.ru не относится к персональным данным, поскольку реквизиты юридического лица, в том числе и электронный адрес, не являются персональными данными"</a> [7]. Такой адрес функционален и не идентифицирует физическое лицо.

Сценарий 3: Спорная зона — позиция Верховного суда

В 2023 году Верховный суд РФ <a href="https://www.akm.ru/press/verkhovnyysudrfnepriznaladreselektronnoypochtypersonalnymi_dannymi/">поддержал позицию нижестоящих судов относительно того, что адрес электронной почты не является персональными данными</a> (определение № 305-ЭС23-12160 от 21 июля 2023 года по делу № А40-139096/2022) [8].

Суть дела: Роскомнадзор потребовал признать неправомерной форму страховой компании, которая запрашивала только email без согласия на обработку ПДн. Компания победила. Аргументы судов:

1. Без дополнительных идентификаторов по адресу email невозможно однозначно определить конкретное физическое лицо.
2. <a href="https://shewzov.ru/articles/phone-and-email-is-personal-data/">Адрес электронной почты не обладает свойством абсолютной неизменности — после расторжения пользовательского соглашения он может быть зарегистрирован на другое лицо</a> [9].

Однако большинство экспертов рекомендует занимать консервативную позицию по следующим причинам:

1. Решение касалось абстрактного email-поля в форме, а не конкретного адреса a.petrov@company.ru.
2. <a href="https://www.law.ru/question/156230-yavlyaetsya-li-korporativnaya-elektronnaya-pochta-personalnymi-dannymi-rabotnika/">Верховный суд считает адрес электронной почты персональными данными только в том случае, если по нему без дополнительных идентификаторов возможно определить конкретного гражданина</a> — а именной корпоративный email как раз позволяет это сделать [10].
3. При проверках Роскомнадзор на практике квалифицирует именные корпоративные адреса как ПДн.

Вывод: email вида i.petrov@company.ru следует рассматривать как ПДн и обрабатывать соответственно. Email вида info@company.ru — нет.

Что делать работодателю

<a href="https://ic-tech.ru/blog/faq/questions-152fz/yavlyayutsya-li-sluzhebnye-e-mail-sotrudnikov-personalnymi-dannymi/">Служебные email следует включить в перечень обрабатываемых персональных данных, прописать порядок их использования и защиты в локальных актах, обеспечить ограничение доступа и вести журналы учёта действий в корпоративной почте</a> [6]. Это необходимо даже в ситуациях, когда сотрудник сам отправляет письма с корпоративного адреса контрагентам — правовым основанием здесь выступает трудовой договор (ст. 86–90 ТК РФ), а не отдельное согласие [6].

Часть 3. Визитки и B2B-контакты: правовая квалификация

Что обычно написано на визитке

Стандартная корпоративная визитка содержит: ФИО, должность, компанию, телефон, email, иногда адрес офиса. Первые два элемента в сочетании однозначно идентифицируют физическое лицо. Значит, <a href="https://spectrumdata.ru/blog/proverka-soiskatelya/personalnye-dannye-v-hr-kak-rabotat-s-dannymi-kandidatov-i-sotrudnikov-po-152-fz/">рабочий e-mail в подписи писем и имя и должность на сайте компании — это общедоступные данные</a> [11], но при их систематической обработке и хранении в CRM они становятся объектом регулирования 152-ФЗ.

Ключевое отличие: когда человек лично передаёт вам свою визитку, он сам раскрывает свои данные. Когда вы вносите их в базу и начинаете использовать — вы уже оператор персональных данных.

Является ли получение визитки согласием на обработку ПДн?

Это один из самых частых вопросов в корпоративной среде. Ответ: формально — нет. Закон требует, чтобы согласие на обработку ПДн было конкретным, информированным и отдельно оформленным. <a href="https://empldocs.ru/novye-pravila-obrabotki-pdn-2025">С 1 сентября 2025 года введено правило, что согласие на обработку персональных данных оформляется в виде отдельного документа — нельзя включать его в договор, анкету, оферту</a> [12].

Вручение визитки — не согласие на обработку в смысле 152-ФЗ. Однако закон предусматривает и другие правовые основания для обработки ПДн помимо согласия. Их 12 (ст. 6 152-ФЗ), и для B2B-контактов самые релевантные:

1. Исполнение договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6).
2. Законные интересы оператора (п. 7 ч. 1 ст. 6) — аналог GDPR-концепции legitimate interest, хотя в российском праве этот механизм менее формализован.

Данные представителей контрагентов: специфика B2B

<a href="https://www.buhsoft.ru/article/4248-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh">Компании получают данные представителей контрагентов для ведения переписки, оформления пропусков для въезда на территорию и т.д. — всё это обработка ПДн</a>, требующая уведомления Роскомнадзора [13].

Важно понимать разницу между данными о юридическом лице и данными его представителей:

1. ИНН компании, юридический адрес ООО, реквизиты — не ПДн.
2. ФИО директора, его паспортные данные, подпись — ПДн, даже если он выступает от имени юрлица.
3. Контактный телефон и email конкретного менеджера — ПДн.
4. Общий телефон приёмной — не ПДн.

Часть 4. CRM и базы B2B-контактов: где скрывается риск

Анатомия типичной проблемы

В типичной корпоративной CRM хранятся: имена контактных лиц, их должности, email, телефоны, иногда адреса, история переписки, заметки о переговорах. <a href="https://www.klerk.ru/blogs/data-sec/680480/">Если компания ведёт клиентскую базу, использует CRM, сайт, мессенджеры, e-mail, хранит контакты клиентов и историю заказов — она уже работает с персональными данными и обязана соблюдать требования закона № 152-ФЗ</a> [14].

Проблема не в том, что данные хранятся. Проблема в том, что:

1. Никто не оценивал правовые основания для обработки каждого типа данных.
2. Данные накапливаются годами — в том числе данные бывших контрагентов.
3. Доступ к CRM имеют десятки сотрудников без разграничения прав.
4. Данные экспортируются в Excel, пересылаются по почте, передаются подрядчикам.
5. Нет регламента уничтожения данных по истечении срока хранения.

Каждый из этих сценариев — потенциальное нарушение 152-ФЗ.

Правовые основания для хранения B2B-контактов в CRM

Практика показывает следующую градацию оснований:

1. Действующий договор. Контакты менеджера со стороны контрагента, прямо вовлечённого в исполнение договора, — это необходимые рабочие реквизиты. Основание: п. 5 ч. 1 ст. 6 152-ФЗ (исполнение договора). Согласие не требуется.
2. Потенциальный клиент (лид). Контакт, полученный на выставке или через сайт. Основание: согласие субъекта (если заполнил форму) или законный интерес в рамках маркетинговой деятельности. Здесь ситуация сложнее.
3. Бывший контрагент. Договор расторгнут, но данные в CRM остались. Правового основания для хранения, как правило, нет — данные подлежат уничтожению или обезличиванию [15].
4. Купленная база B2B-контактов. Один из наиболее рискованных сценариев. После введения ст. 272.1 УК РФ покупка и использование баз без надлежащих согласий стало потенциально уголовно наказуемым [2].

Часть 5. Сравнение с GDPR: международный контекст

Для компаний с международными операциями или партнёрами из ЕС важно понимать различия подходов.

Принципиальное сходство

Оба регулятора — и российский 152-ФЗ, и европейский GDPR — применяют один и тот же базовый принцип: <a href="https://www.itgovernance.eu/blog/en/what-does-the-gdpr-mean-for-b2b-marketing">"Business email addresses and phone numbers do count as personal data if they are owned and operated by a single person"</a> [16]. Корпоративный email конкретного сотрудника — это персональные данные в обеих системах.

Концепция "законного интереса" (Legitimate Interest)

GDPR в отличие от 152-ФЗ более детально регулирует основание "законного интереса" для B2B-маркетинга. <a href="https://www.marketone.com/articles/legitimate-interest-b2b-marketing">В B2B-контексте коммерческий интерес (намерение продать продукт или услугу) считается допустимым законным интересом по GDPR</a> [17]. Это означает, что B2B-компании могут отправлять маркетинговые коммуникации корпоративным контактам без отдельного согласия, если соблюдаются условия: контакт работает в зарегистрированной компании, коммуникация релевантна его деятельности, предусмотрена возможность отказа [17].

В российском праве аналогичный механизм существует (п. 7 ч. 1 ст. 6 152-ФЗ), но значительно менее разработан практикой и разъяснениями регулятора. Российские компании, как правило, используют основание "исполнение договора" или получают согласие, избегая рисков, связанных с неопределённостью "законного интереса".

Важное различие: корпоративные vs. личные подписчики

GDPR разграничивает "корпоративных подписчиков" (сотрудники ООО, АО, государственных органов) и "индивидуальных подписчиков" (ИП, самозанятые, сотрудники некоммерческих организаций). <a href="https://www.marketone.com/articles/legitimate-interest-b2b-marketing">Законный интерес не применяется к индивидуальным подписчикам — сотрудникам единоличных предпринимателей и некоммерческих партнёрств</a> [17].

В российском праве это разграничение также есть: <a href="https://www.klerk.ru/blogs/roskom24/674017/">ИП приравниваются к юридическим лицам в определённых частях КоАП РФ</a> [18], но ИП — это всё же физическое лицо, и его данные (телефон, email) однозначно являются ПДн.

Часть 6. Практические сценарии и их правовая квалификация

Сценарий 1: Добавление контакта в CRM после встречи

Человек вручил визитку, вы вносите данные в CRM.

Правовая оценка: вы начинаете обработку ПДн. Правовое основание зависит от цели: если готовится сделка — это может быть исполнение договора (на преддоговорной стадии, п. 5 ч. 1 ст. 6 152-ФЗ). Если это просто "на будущее" — нужно либо согласие, либо обоснование законного интереса.

Минимально необходимые действия: зафиксировать правовое основание обработки, определить срок хранения, обеспечить возможность для субъекта запросить удаление данных.

Сценарий 2: Рассылка по базе B2B-контактов

У вас есть база из 5 000 контактов менеджеров и директоров. Вы планируете email-рассылку.

Правовая оценка: это обработка ПДн в целях прямого маркетинга. Необходимо правовое основание. <a href="https://altcraft.com/ru/blog/shtraf-za-narushenie-zakona-o-personalnyh-dannyh">Требования закона распространяются на всех, кто использует формы сбора данных, настраивает рекламу, занимается аналитикой или управляет подписками</a> [19].

Если база куплена или собрана без согласий — высокий риск нарушения, вплоть до уголовного (ст. 272.1 УК РФ с декабря 2024 года) [2].

Сценарий 3: Передача контактной базы подрядчику

Вы передаёте список контактов агентству для организации мероприятия или колл-центру для обзвона.

Правовая оценка: это передача ПДн третьему лицу — "поручение обработки". <a href="https://empldocs.ru/obrabotka-personalnyh-dannyh-sotrudnikov">Требуется отдельное письменное согласие, в котором обязательно должны быть указаны цель передачи данных, точный перечень организаций-получателей и срок действия разрешения</a> [20].

С 1 сентября 2025 года это требование стало ещё строже: согласие не может быть вшито в общий договор с агентством.

Сценарий 4: Сотрудник ведёт переписку с корпоративного адреса

Менеджер Иванов пишет письма с адреса a.ivanov@company.ru клиентам и партнёрам.

Правовая оценка: <a href="https://www.law.ru/question/156230-yavlyaetsya-li-korporativnaya-elektronnaya-pochta-personalnymi-dannymi-rabotnika/">именно работник, а не работодатель, направляет письма с корпоративной почты — сотрудник сам предоставляет собственные персональные данные контрагентам</a> [10]. Работодатель — оператор этих данных в отношении своей ИТ-инфраструктуры, но не несёт ответственности за то, что сотрудник сам раскрыл свои данные третьим лицам.

Важно: обработка служебных email сотрудников самим работодателем (хранение в почтовом архиве, контроль переписки) требует правового основания — трудового договора и локального нормативного акта (ст. 86–90 ТК РФ) [6].

Часть 7. Обязательные требования к операторам ПДн в 2025–2026 годах

Уведомление Роскомнадзора

С 30 мая 2025 года уведомление Роскомнадзора о намерении осуществлять обработку персональных данных стало обязательным для практически всех организаций. <a href="https://www.buhsoft.ru/article/4248-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh">Уведомление обязаны подавать все юридические лица, ИП и самозанятые, которые обрабатывают данные сотрудников, клиентов, контрагентов</a> [13]. Штраф за неуведомление — от 100 000 до 300 000 рублей для организаций [2].

Важно: в уведомлении нужно указывать в том числе и обработку данных контрагентов (ФИО, контакты представителей) [13].

Документальное оформление

Как минимум, компании нужны:

1. Политика обработки персональных данных — публичный документ с описанием целей, категорий ПДн и сроков хранения.
2. Перечень обрабатываемых ПДн с указанием правовых оснований.
3. Положение о хранении и использовании ПДн работников (ст. 87 ТК РФ).
4. Приказ о назначении ответственного за организацию обработки ПДн.
5. Соглашения о неразглашении с сотрудниками, имеющими доступ к ПДн [21].

Права субъектов и порядок реагирования

С учётом обновлённых требований 152-ФЗ субъект персональных данных вправе запросить:

1. Информацию о том, какие его данные обрабатываются.
2. Исправление неточных данных.
3. Удаление данных при отсутствии правовых оснований для хранения.
4. Ограничение обработки.

Компания обязана ответить на такой запрос в установленные сроки. Отсутствие процедуры обработки подобных запросов — самостоятельный риск при проверке.

Сроки хранения данных

Данные не должны храниться дольше, чем необходимо для достижения целей обработки. Практические ориентиры для B2B:

1. Данные контрагента по действующему договору — на срок договора плюс срок исковой давности (3 года).
2. Данные потенциального клиента без договора — на срок согласия или пока есть обоснованный деловой интерес.
3. Данные бывшего сотрудника — в соответствии с Трудовым кодексом, до 75 лет для отдельных кадровых документов.

Часть 8. Чек-лист для B2B-компании

Аудит текущего состояния

1. Инвентаризация: где и какие данные физических лиц (сотрудников, контрагентов, клиентов) хранятся в компании — в CRM, ERP, почтовых серверах, Excel-файлах, мессенджерах, AD/LDAP?
2. Классификация: какие из этих данных являются ПДн, а какие — реквизитами юрлиц?
3. Правовые основания: для каждой категории ПДн определено ли правовое основание обработки?
4. Сроки: определён ли срок хранения каждой категории данных?
5. Доступ: ограничен ли доступ к ПДн принципом минимальной необходимости?

Документальный минимум

1. Подано ли уведомление в Роскомнадзор (с 30 мая 2025 года — обязательно)?
2. Актуальна ли политика обработки ПДн (с учётом изменений с 1 сентября 2025 года)?
3. Оформлены ли согласия отдельными документами (с 1 сентября 2025 года нельзя вшивать в другие документы)?
4. Есть ли договоры поручения обработки с подрядчиками (агентства, колл-центры, облачные CRM)?
5. Назначен ли ответственный за организацию обработки ПДн?

Операционные практики

1. Есть ли регламент по работе с B2B-контактами (как вносить, как хранить, как удалять)?
2. Обучены ли сотрудники, работающие с ПДн (особенно менеджеры по продажам и HR)?
3. Есть ли процедура реагирования на запросы субъектов ПДн?
4. Есть ли план действий при инциденте утечки (уведомление РКН в течение 24 часов)?
5. Проверяется ли соответствие требованиям хотя бы раз в год?

Часть 9. Типичные ошибки и как их избежать

Ошибка 1: "Это B2B, значит, ПДн нет"

Многие компании ошибочно полагают, что если они работают с юридическими лицами, то персональных данных у них нет. Это неверно: за каждым юрлицом стоят конкретные люди — директора, менеджеры, бухгалтеры, чьи данные попадают к вам в рамках сотрудничества.

Ошибка 2: Визитка = согласие на обработку ПДн

Передача визитки — это передача контактных данных для конкретной деловой цели. Это не универсальное согласие на любую обработку, включая маркетинговые рассылки, передачу третьим лицам и хранение бессрочно.

Ошибка 3: Купленные базы B2B-контактов

После ужесточения законодательства в 2024–2025 годах использование купленных баз без документального подтверждения законности их сбора — высокий риск. С декабря 2024 года это потенциально уголовно наказуемо [2].

Ошибка 4: Данные в Excel на личном компьютере менеджера

Персональные данные должны обрабатываться в контролируемых условиях. Таблица контактов на личном ноутбуке сотрудника — это нарушение, поскольку компания не может обеспечить защиту этих данных.

Ошибка 5: Нет процедуры удаления данных бывших контрагентов

Когда сотрудничество завершилось, правовое основание для хранения ПДн представителей контрагента, как правило, исчезает. Данные должны быть уничтожены или обезличены по истечении срока хранения.

Ошибка 6: Игнорирование запросов на удаление

Если представитель контрагента прислал запрос об удалении его данных из вашей CRM, игнорировать его нельзя. Это не просто этическая норма — это юридическое требование с конкретными санкциями.

Часть 10. Тренды и чего ожидать

Автоматизированные проверки Роскомнадзора

<a href="https://www.klerk.ru/blogs/roskom24/674017/">В 2025 году роботизированные проверки РКН срабатывали 24/7: выявлено порядка 84% нарушений во время автоматического мониторинга</a> [18]. Это означает, что эпоха "нас не заметят" закончилась. Публичные сайты, формы регистрации, политики конфиденциальности — всё это проверяется непрерывно.

Расширение уголовной ответственности

Введение ст. 272.1 УК РФ в декабре 2024 года — сигнал о намерении государства ужесточить ответственность за незаконный оборот ПДн. Следует ожидать формирования судебной практики по новой статье в 2025–2026 годах, что повысит риски для компаний, работающих с чужими данными без надлежащих оснований.

Усиление требований к обезличиванию

<a href="https://sec.ussc.ru/152fz-changes">Федеральным законом от 08.08.2024 № 233-ФЗ введена ст. 13.1 152-ФЗ, регламентирующая особенности обработки обезличенных ПДн при формировании составов данных</a> [22]. Это создаёт основу для легального использования агрегированных данных — в том числе в B2B-аналитике — без нарушения требований о защите ПДн.

Технологическая независимость и локализация

<a href="https://sec.ussc.ru/152fz-changes">Не допускается обработка и хранение ПДн граждан РФ с использованием баз данных, размещённых за пределами РФ</a> (изменения вступили в силу 1 июля 2025 года) [22]. Для B2B-компаний, использующих иностранные CRM или облачные сервисы для хранения клиентских данных, это требование создаёт серьёзные операционные задачи.

Заключение

Вопрос о том, являются ли B2B-контакты персональными данными, не имеет единственного ответа — он зависит от конкретного набора данных и контекста их использования.

Практическая рекомендация проста: если данные привязаны к конкретному физическому лицу и позволяют его идентифицировать — обращайтесь с ними как с ПДн. Это касается именных корпоративных email, мобильных телефонов конкретных сотрудников, их ФИО и должностей.

Если данные описывают юридическое лицо — ИНН, юридический адрес, общий телефон, общий email — они, как правило, ПДн не являются.

Главная проблема большинства российских компаний сегодня — не в незнании закона, а в отсутствии систематического контроля за тем, где и какие ПДн реально хранятся. CRM обновляется, добавляются новые интеграции, менеджеры создают локальные базы контактов. В каждом таком изменении может появиться новый источник риска — и выявить его вручную практически невозможно.

Следующие шаги

1. Проведите инвентаризацию источников ПДн в компании.
2. Подайте уведомление в Роскомнадзор, если ещё не сделали это.
3. Обновите политику обработки ПДн с учётом изменений 2025 года.
4. Проверьте все согласия — с 1 сентября 2025 года они должны быть отдельными документами.
5. Внедрите регламент работы с B2B-контактами для менеджеров по продажам.

О платформе "Пятый фактор"

Описанные в этой статье проблемы — непрозрачность данных, невозможность быстро понять, где и какие ПДн хранятся, запоздалое обнаружение нарушений — решаются с помощью автоматизации.

Платформа Пятый фактор создана именно для этого. Это on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах — базах данных, хранилищах, корпоративной почте, AD/LDAP, CRM, 1С, API.

Ключевое преимущество: платформа работает только с метаданными, структурой и агрегатами, не передавая и не храня "сырые" ПДн. Это означает, что само решение не становится новым источником риска. При этом компания получает живую "карту ПДн" — где и какие данные есть, кто владелец, что изменилось.

Особенно актуально для описанного выше сценария с B2B-контактами: новые поля в CRM, новые интеграции с почтой, добавление новых источников данных — всё это автоматически обнаруживается и отображается на карте, пока риск не превратился в инцидент или штраф.

Источники

[1] Закон о персональных данных: что изменилось в 2025–2026 годах — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[2] 152-ФЗ о персональных данных: требования закона для бизнеса в 2026 году — https://www.klerk.ru/blogs/roskom24/674017/

[3] Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ (последняя редакция) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[4] Защита персональных данных: является ли электронный адрес почты таковыми? — https://gsl-news.org/548047-zashhita-personalnyh-dannyh-elektron/

[5] Что относится к персональным данным? — https://www.garant.ru/consult/civil_law/1622422/

[6] Являются ли служебные e-mail сотрудников персональными данными? — https://ic-tech.ru/blog/faq/questions-152fz/yavlyayutsya-li-sluzhebnye-e-mail-sotrudnikov-personalnymi-dannymi/

[7] Защита персональных данных: является ли электронный адрес почты таковыми? — https://gsl-news.org/548047-zashhita-personalnyh-dannyh-elektron/

[8] Верховный суд РФ не признал адрес электронной почты персональными данными — https://www.akm.ru/press/verkhovnyy_sud_rf_ne_priznal_adres_elektronnoy_pochty_personalnymi_dannymi/

[9] Телефон и е-mail — персональные данные или нет? — https://shewzov.ru/articles/phone-and-email-is-personal-data/

[10] Является ли корпоративная электронная почта персональными данными работника? — https://www.law.ru/question/156230-yavlyaetsya-li-korporativnaya-elektronnaya-pochta-personalnymi-dannymi-rabotnika

[11] Персональные данные в HR: 152-ФЗ — https://spectrumdata.ru/blog/proverka-soiskatelya/personalnye-dannye-v-hr-kak-rabotat-s-dannymi-kandidatov-i-sotrudnikov-po-152-fz/

[12] Изменения в обработке персональных данных с 1 сентября 2025 — https://empldocs.ru/novye-pravila-obrabotki-pdn-2025

[13] Уведомление в Роскомнадзор об обработке персональных данных — https://www.buhsoft.ru/article/4248-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh

[14] Как бизнесу работать с персональными данными клиентов — 2026 — https://www.klerk.ru/blogs/data-sec/680480/

[15] Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ, ст. 5 — https://git76.rostrud.gov.ru/normativno_pravovaya_informatsiya/93004.html

[16] What does the GDPR mean for B2B marketing — https://www.itgovernance.eu/blog/en/what-does-the-gdpr-mean-for-b2b-marketing

[17] Legitimate interest: a 'get out of jail free' card for B2B marketers? — https://www.marketone.com/articles/legitimate-interest-b2b-marketing

[18] 152-ФЗ о персональных данных: требования закона для бизнеса в 2026 году — https://www.klerk.ru/blogs/roskom24/674017/

[19] Как работать с персональными данными в 2025: что изменилось — https://altcraft.com/ru/blog/shtraf-za-narushenie-zakona-o-personalnyh-dannyh

[20] Как работать с персональными данными сотрудников в 2026 году — https://empldocs.ru/obrabotka-personalnyh-dannyh-sotrudnikov

[21] Персональные данные в HR: 152-ФЗ — Potok — https://potok.io/blog/hr-review/152-fz/

[22] Планируемые изменения Федерального закона № 152-ФЗ — https://sec.ussc.ru/152fz-changes