Live Direct Marketing
НачалоБлогПраво и съответствие

Служебен имейл адрес по GDPR: кога е лични данни и кога не

12 юли 2026 г. · 8 мин четене · Ръководство: Право и съответствие

Всеки B2B SDR екип, който строи списък с контакти за студени имейли, рано или късно се сблъсква с въпроса дали служебен имейл адрес е лични данни по GDPR. Отговорът не е еднозначно да или не — зависи от формата на адреса и от контекста, в който се използва. Тази статия дава ясни критерии, с които да прецените риска и да изградите compliant база, без да спирате кампанията.

Накратко
  • GDPR обхваща служебните имейл адреси, когато съдържат идентифицируемо физическо лице (име.фамилия@компания).
  • Генеричните адреси (info@, sales@) обикновено не са лични данни сами по себе си, но комбинирани с други данни могат да станат.
  • Легитимният интерес (Съображение 47 от GDPR) е стандартното правно основание за B2B директен маркетинг в ЕС, не съгласие.
  • Прозрачност и лесен opt-out намаляват правния риск повече от самия избор на основание.
  • Документирането на източника на всеки контакт е задължителна част от compliant процеса.

Защо въпросът не е теоретичен за студените имейли

Когато SDR екип съставя лист с двеста контакта за нова B2B кампания, рядко някой спира да провери дали GDPR обхваща служебните имейл адреси, преди да натисне „изпрати“. А трябва — защото грешната класификация на данните определя какво правно основание, каква документация и какъв процес за жалби са нужни. Въпросът дали служебен имейл адрес е лични данни по GDPR не е академичен спор между юристи, а практически филтър, който решава дали кампанията е защитима при проверка.

Разликата е реална: имейл във формат ivan.petrov@fabrika.bg почти винаги идентифицира физическо лице и попада под GDPR лични данни, докато info@fabrika.bg сам по себе си рядко го прави. Но повечето реални B2B бази съдържат и двата типа адреси — и именно смесването им без ясни правила е откъде идва рискът.

GDPR обхваща ли служебните имейл адреси: правният отговор

Регламент (ЕС) 2016/679 определя лични данни като всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. Форматът на служебния адрес е решаващ: ivan.petrov@fabrika.bg или m.ivanova@stroykompania.bg директно сочи към конкретен човек — неговото име, фамилия и работодател — и следователно е лични данни, дори когато се използва изцяло в служебен контекст. GDPR не прави изключение за „бизнес“ данни — критерият е идентифицируемост, не собственост върху акаунта.

Генеричните адреси — info@, sales@, office@, contact@ — обикновено не сочат към конкретен човек и сами по себе си не са лични данни. Но комбинирани с друга информация (например „отговорено от Мария Иванова, търговски директор“ в подпис или CRM бележка), те бързо стават свързани с физическо лице и попадат обратно под режима на GDPR. Затова коректният отговор на въпроса дали служебен имейл адрес е лични данни по GDPR е: зависи от адреса и контекста, не от факта, че е служебен.

За България практическото тълкуване следва насоките на Комисията за защита на личните данни (КЗЛД) и общата линия на Европейския комитет по защита на данните: обработването на лично идентифицируем служебен имейл за целите на директен B2B маркетинг е допустимо на основание легитимен интерес (Съображение 47 от GDPR), без да е нужно предварително съгласие — стига да е направен и документиран баланс между интереса на компанията и правата на лицето.

Как да изградите compliant B2B база стъпка по стъпка

Легитимният интерес не е бланкетно разрешение — той изисква тест, който показва, че сте обмислили въздействието върху получателя, преди да добавите контакта в списъка.

Пример

Кратък ред в края на имейл, който покрива прозрачността по GDPR: „Пишем Ви като на служебен контакт от публичния сайт на Строймаш ЕООД. Ако не желаете да получавате подобни писма, отговорете с „спри“ и ще Ви премахнем от списъка веднага.“

Практически ориентири от GDPR-съобразени B2B кампании

Когато легитимният интерес е обоснован правилно и имейлите са персонализирани към конкретна роля, а не изпращани в маса, реакцията на получателите остава здравословна — ниски нива на оплаквания и opt-out заявки, приемлив reply rate. Ето ориентировъчни диапазони от практиката при таргетирани кампании с малки дневни обеми:

Най-честите грешки при третиране на служебни имейли

По-голямата част от проблемите не идват от липса на правно основание, а от процеса около него.

Чеклист и как LDM подхожда към GDPR compliance

Платформа за таргетиран B2B outreach трябва да прави правилното поведение лесно по подразбиране, не да разчита SDR екипите да помнят всяко правило. В LDM всеки контакт носи полета за източник и дата на добавяне, всяка кампания логва кой е получил opt-out и блокира повторно добавяне на същия адрес, а обемите на изпращане остават малки и разпределени във времето — точно каквото очаква и балансовият тест за легитимен интерес.

Често задавани въпроси

Трябва ли съгласие (consent), за да пиша студен имейл на служебен адрес в ЕС?

Не задължително — за B2B директен маркетинг стандартното основание е легитимен интерес по Съображение 47 от GDPR, не съгласие. Съгласие се изисква по-скоро при директен маркетинг към физически лица като потребители, а не към служебна роля в компания.

Генеричен адрес като info@kompania.bg проблем ли е по GDPR?

Обикновено не — сам по себе си той не сочи към конкретен човек и не е лични данни. Все пак остава обект на общите правила за електронна търговска комуникация, включително изискването за ясна идентификация на подателя и opt-out.

Какво точно е balancing test за легитимен интерес?

Тристепенна проверка: каква е целта на обработването, необходим ли е точно този контакт за нея, и надделява ли интересът на компанията над очакванията и правата на физическото лице. Резултатът се документира в кратък LIA документ, който може да се покаже при проверка.

Как трябва да изглежда opt-out механизмът в студен имейл?

Ясен линк или инструкция за отговор (например „спри“), обработена веднага и без допълнителни стъпки от получателя. Контактът трябва да отпадне трайно от бъдещи кампании, не само от текущата.

Мога ли просто да купя готова база с фирмени имейли?

Рисково е, ако не можете да проверите произхода и правното основание, на което е събрана. При проверка отговорността за законосъобразността остава у изпращача, затова е по-безопасно да изградите базата сами от публични служебни източници.

Какво прави КЗЛД, ако получи жалба срещу студен B2B имейл?

Комисията за защита на личните данни разглежда дали има документирано правно основание, дали е спазена прозрачността и дали opt-out е бил реално работещ. При липса на документация или игнориран opt-out последствията варират от предписание до санкция.

Важно: това не е масово разпращане и не е спам. Работим таргетирано: всяко съобщение отива до конкретен представител на конкретна компания по легитимен бизнес повод, в малки дневни обеми и персонализирано за получателя. Всеки имейл посочва подателя и включва отписване с един клик; отписванията и стоп-списъците важат за всички следващи кампании без изключение.

Искате да приложите това във вашия outreach?

Ще ви покажем как работи за вашия сегмент и продукт — преди началото на работата.

Да поговорим