152-ФЗ и коммерческое предложение: данные клиента под контролем
Коммерческое предложение — это работа с персональными данными: ФИО контакта, иногда должность, телефон, email. С 152-ФЗ «просто отправить КП через зарубежный сервис» может оказаться нарушением. Разберём, что закон требует от B2B-продаж, где проходит граница «можно/нельзя», и как выстроить процесс так, чтобы не думать о риске.
Какие данные в КП попадают под 152-ФЗ
152-ФЗ регулирует обработку персональных данных — любой информации, относящейся к определённому физическому лицу. В контексте коммерческого предложения это: ФИО контактного лица (даже в формате «Иван Иванович»), рабочий email, рабочий телефон, иногда должность. Юридические данные компании (ИНН, название ООО) — это не персональные данные, их обработка свободнее.
Важно: закон различает публичные и непубличные персональные данные. Деловые контакты, которые клиент сам оставил для связи по работе, обычно относятся к обработке в служебных целях — это упрощает, но не отменяет требований. Согласие на обработку, хранение на территории РФ, уведомление Роскомнадзора — эти обязанности зависят от объёма и характера данных.
Где проходит граница «можно/нельзя»
- Хранить данные на серверах в РФ — безопасно по умолчанию, закон это поощряет.
- Передавать персональные данные за рубеж (в зарубежные CRM, генераторы документов, облачные сервисы) — требует отдельных оснований и часто — предварительного согласия субъекта.
- Использовать зарубежные ИИ-сервисы (ChatGPT, Claude) для обработки данных клиента — передача за границу, формально требующая согласия и оценки рисков.
- Ведёт ли ваш инструмент журнал доступа (кто из сотрудников видел данные) — часть требований безопасности.
- Удаление данных по запросу клиента или по истечении цели — обязательное условие, а не жест доброй воли.
Чем грозят зарубежные сервисы
Самая частая скрытая проблема: команда использует зарубежный SaaS для КП (генератор на GPT, конструктор документов в облаке США, CRM с дата-центром в ЕС), и персональные данные клиентов уходят за пределы РФ. Формально это трансграничная передача, и без должного оформления — нарушение.
При этом полностью отказаться от ИИ в КП сегодня — значит проиграть скорость конкурентам. Решение не «убрать ИИ», а «использовать резидентный». В РФ есть сертифицированные модели (например, GigaChat от Сбера), которые работают на территории страны и подпадают под 152-ФЗ как локальная обработка. Текст КП пишет ИИ, но данные не покидают юрисдикцию — это снимает основной риск.
Практические шаги для соответствия
- Выберите инструмент, данные которого хранятся на серверах в РФ (это явно указано, а не «где-то в облаке»).
- Если используете ИИ для генерации — проверьте, что модель резидентная (работает в РФ), а не зарубежная.
- Опишите в политике конфиденциальности, какие данные вы собираете и зачем — это обязательный документ на сайте.
- Не храните данные дольше, чем нужно для цели: закрыли сделку или клиент отказался — удалите или обезличьте.
- Ограничьте доступ сотрудников к данным по ролям: не каждый менеджер должен видеть все КП всех клиентов.
Как это устроено в практике
Соответствие 152-ФЗ — это не разовая бумажка, а набор решений на уровне инструмента. Когда генератор КП работает на российских серверах, использует резидентную модель и хранит данные в РФ — большая часть требований закрывается архитектурой, а не юридическими ухищрениями. Команде остаётся соблюдать базовую гигиену: согласия, удаление по запросу, ограничение доступа.
В КПилоте этот принцип заложен изначально: данные на серверах в РФ, генерация через GigaChat (резидентная модель Сбера), никакие персональные данные не передаются в зарубежные сервисы. Это не маркетинговое преимущество, а базовое соответствие закону для тех, кто работает с российскими клиентами.
Частые вопросы
Нужно ли согласие на обработку данных для отправки КП?
Для деловых контактов в B2B обычно достаточно обработки в служебных целях, но точный ответ зависит от объёма и характера данных. Безопасный минимум — политика конфиденциальности на сайте и фиксация цели обработки. Для чувствительных данных (здоровье, финансы) — согласие обязательно.
Можно ли использовать ChatGPT для генерации КП?
Формально это передача персональных данных за рубеж, требующая оснований. На практике безопаснее использовать резидентные модели (GigaChat, YandexGPT), которые работают в РФ — тогда данные не покидают юрисдикцию и риск снят. Зарубежные модели можно использовать, если из запроса убраны персональные данные.
Где должны храниться данные клиентов по 152-ФЗ?
Закон прямо поощряет хранение на территории РФ. Для большинства B2B-задач этого достаточно: выбирайте инструменты с серверами в РФ, и основное требование закрывается. Трансграничная передача возможна, но требует оформления и часто — согласия субъекта.
Что грозит за нарушение 152-ФЗ?
Штрафы за административные нарушения (ст. 13.11 КоАП) — от десятков до сотен тысяч рублей за каждое. Для малого бизнеса это редко фатально, но репутационные риски и претензии от крупных клиентов (особенно госсектора и банков) могут стоить дороже штрафа. Поэтому соответствие — это про доверие, а не только про штрафы.