← КПилот
Блог
05.07.2026 · 8 мин чтения

152-ФЗ и коммерческое предложение: данные клиента под контролем

Коммерческое предложение — это работа с персональными данными: ФИО контакта, иногда должность, телефон, email. С 152-ФЗ «просто отправить КП через зарубежный сервис» может оказаться нарушением. Разберём, что закон требует от B2B-продаж, где проходит граница «можно/нельзя», и как выстроить процесс так, чтобы не думать о риске.

Какие данные в КП попадают под 152-ФЗ

152-ФЗ регулирует обработку персональных данных — любой информации, относящейся к определённому физическому лицу. В контексте коммерческого предложения это: ФИО контактного лица (даже в формате «Иван Иванович»), рабочий email, рабочий телефон, иногда должность. Юридические данные компании (ИНН, название ООО) — это не персональные данные, их обработка свободнее.

Важно: закон различает публичные и непубличные персональные данные. Деловые контакты, которые клиент сам оставил для связи по работе, обычно относятся к обработке в служебных целях — это упрощает, но не отменяет требований. Согласие на обработку, хранение на территории РФ, уведомление Роскомнадзора — эти обязанности зависят от объёма и характера данных.

Где проходит граница «можно/нельзя»

  • Хранить данные на серверах в РФ — безопасно по умолчанию, закон это поощряет.
  • Передавать персональные данные за рубеж (в зарубежные CRM, генераторы документов, облачные сервисы) — требует отдельных оснований и часто — предварительного согласия субъекта.
  • Использовать зарубежные ИИ-сервисы (ChatGPT, Claude) для обработки данных клиента — передача за границу, формально требующая согласия и оценки рисков.
  • Ведёт ли ваш инструмент журнал доступа (кто из сотрудников видел данные) — часть требований безопасности.
  • Удаление данных по запросу клиента или по истечении цели — обязательное условие, а не жест доброй воли.

Чем грозят зарубежные сервисы

Самая частая скрытая проблема: команда использует зарубежный SaaS для КП (генератор на GPT, конструктор документов в облаке США, CRM с дата-центром в ЕС), и персональные данные клиентов уходят за пределы РФ. Формально это трансграничная передача, и без должного оформления — нарушение.

При этом полностью отказаться от ИИ в КП сегодня — значит проиграть скорость конкурентам. Решение не «убрать ИИ», а «использовать резидентный». В РФ есть сертифицированные модели (например, GigaChat от Сбера), которые работают на территории страны и подпадают под 152-ФЗ как локальная обработка. Текст КП пишет ИИ, но данные не покидают юрисдикцию — это снимает основной риск.

Практические шаги для соответствия

  • Выберите инструмент, данные которого хранятся на серверах в РФ (это явно указано, а не «где-то в облаке»).
  • Если используете ИИ для генерации — проверьте, что модель резидентная (работает в РФ), а не зарубежная.
  • Опишите в политике конфиденциальности, какие данные вы собираете и зачем — это обязательный документ на сайте.
  • Не храните данные дольше, чем нужно для цели: закрыли сделку или клиент отказался — удалите или обезличьте.
  • Ограничьте доступ сотрудников к данным по ролям: не каждый менеджер должен видеть все КП всех клиентов.

Как это устроено в практике

Соответствие 152-ФЗ — это не разовая бумажка, а набор решений на уровне инструмента. Когда генератор КП работает на российских серверах, использует резидентную модель и хранит данные в РФ — большая часть требований закрывается архитектурой, а не юридическими ухищрениями. Команде остаётся соблюдать базовую гигиену: согласия, удаление по запросу, ограничение доступа.

В КПилоте этот принцип заложен изначально: данные на серверах в РФ, генерация через GigaChat (резидентная модель Сбера), никакие персональные данные не передаются в зарубежные сервисы. Это не маркетинговое преимущество, а базовое соответствие закону для тех, кто работает с российскими клиентами.

Частые вопросы

Нужно ли согласие на обработку данных для отправки КП?

Для деловых контактов в B2B обычно достаточно обработки в служебных целях, но точный ответ зависит от объёма и характера данных. Безопасный минимум — политика конфиденциальности на сайте и фиксация цели обработки. Для чувствительных данных (здоровье, финансы) — согласие обязательно.

Можно ли использовать ChatGPT для генерации КП?

Формально это передача персональных данных за рубеж, требующая оснований. На практике безопаснее использовать резидентные модели (GigaChat, YandexGPT), которые работают в РФ — тогда данные не покидают юрисдикцию и риск снят. Зарубежные модели можно использовать, если из запроса убраны персональные данные.

Где должны храниться данные клиентов по 152-ФЗ?

Закон прямо поощряет хранение на территории РФ. Для большинства B2B-задач этого достаточно: выбирайте инструменты с серверами в РФ, и основное требование закрывается. Трансграничная передача возможна, но требует оформления и часто — согласия субъекта.

Что грозит за нарушение 152-ФЗ?

Штрафы за административные нарушения (ст. 13.11 КоАП) — от десятков до сотен тысяч рублей за каждое. Для малого бизнеса это редко фатально, но репутационные риски и претензии от крупных клиентов (особенно госсектора и банков) могут стоить дороже штрафа. Поэтому соответствие — это про доверие, а не только про штрафы.

Читайте также

Программа для создания коммерческих предложений: как выбратьЯвляется ли коммерческое предложение офертой: юридический разборКоммерческое предложение из CRM: amoCRM и Битрикс24 без ручного копирования
Соберите такое КП за минутыЦены — из вашего прайса, без выдумок ИИ. Бесплатно на старте.
Создать КППосмотреть пример
← Все статьи