Служебен имейл адрес по GDPR: кога е лични данни и кога не
Всеки B2B SDR екип, който строи списък с контакти за студени имейли, рано или късно се сблъсква с въпроса дали служебен имейл адрес е лични данни по GDPR. Отговорът не е еднозначно да или не — зависи от формата на адреса и от контекста, в който се използва. Тази статия дава ясни критерии, с които да прецените риска и да изградите compliant база, без да спирате кампанията.
- GDPR обхваща служебните имейл адреси, когато съдържат идентифицируемо физическо лице (име.фамилия@компания).
- Генеричните адреси (info@, sales@) обикновено не са лични данни сами по себе си, но комбинирани с други данни могат да станат.
- Легитимният интерес (Съображение 47 от GDPR) е стандартното правно основание за B2B директен маркетинг в ЕС, не съгласие.
- Прозрачност и лесен opt-out намаляват правния риск повече от самия избор на основание.
- Документирането на източника на всеки контакт е задължителна част от compliant процеса.
Защо въпросът не е теоретичен за студените имейли
Когато SDR екип съставя лист с двеста контакта за нова B2B кампания, рядко някой спира да провери дали GDPR обхваща служебните имейл адреси, преди да натисне „изпрати“. А трябва — защото грешната класификация на данните определя какво правно основание, каква документация и какъв процес за жалби са нужни. Въпросът дали служебен имейл адрес е лични данни по GDPR не е академичен спор между юристи, а практически филтър, който решава дали кампанията е защитима при проверка.
Разликата е реална: имейл във формат ivan.petrov@fabrika.bg почти винаги идентифицира физическо лице и попада под GDPR лични данни, докато info@fabrika.bg сам по себе си рядко го прави. Но повечето реални B2B бази съдържат и двата типа адреси — и именно смесването им без ясни правила е откъде идва рискът.
GDPR обхваща ли служебните имейл адреси: правният отговор
Регламент (ЕС) 2016/679 определя лични данни като всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. Форматът на служебния адрес е решаващ: ivan.petrov@fabrika.bg или m.ivanova@stroykompania.bg директно сочи към конкретен човек — неговото име, фамилия и работодател — и следователно е лични данни, дори когато се използва изцяло в служебен контекст. GDPR не прави изключение за „бизнес“ данни — критерият е идентифицируемост, не собственост върху акаунта.
Генеричните адреси — info@, sales@, office@, contact@ — обикновено не сочат към конкретен човек и сами по себе си не са лични данни. Но комбинирани с друга информация (например „отговорено от Мария Иванова, търговски директор“ в подпис или CRM бележка), те бързо стават свързани с физическо лице и попадат обратно под режима на GDPR. Затова коректният отговор на въпроса дали служебен имейл адрес е лични данни по GDPR е: зависи от адреса и контекста, не от факта, че е служебен.
За България практическото тълкуване следва насоките на Комисията за защита на личните данни (КЗЛД) и общата линия на Европейския комитет по защита на данните: обработването на лично идентифицируем служебен имейл за целите на директен B2B маркетинг е допустимо на основание легитимен интерес (Съображение 47 от GDPR), без да е нужно предварително съгласие — стига да е направен и документиран баланс между интереса на компанията и правата на лицето.
Как да изградите compliant B2B база стъпка по стъпка
Легитимният интерес не е бланкетно разрешение — той изисква тест, който показва, че сте обмислили въздействието върху получателя, преди да добавите контакта в списъка.
- Направете Legitimate Interest Assessment (LIA): цел на изпращането, необходимост от точно този контакт, баланс срещу очакванията на лицето.
- Събирайте адреса само от публично достъпни служебни източници — уебсайт на компанията, LinkedIn профил, търговски регистър.
- Документирайте източника и датата на всеки контакт в CRM, за да можете да отговорите на запитване за произход.
- Ограничете данните до необходимото — име, длъжност, служебен имейл; не добавяйте лична информация без връзка с кампанията.
- Включвайте ясна информация за подателя и правото на възражение (opt-out) във всеки имейл, не само в първия.
- Обработвайте opt-out заявките веднага и премахвайте контакта трайно, не само от текущата кампания.
Кратък ред в края на имейл, който покрива прозрачността по GDPR: „Пишем Ви като на служебен контакт от публичния сайт на Строймаш ЕООД. Ако не желаете да получавате подобни писма, отговорете с „спри“ и ще Ви премахнем от списъка веднага.“
Практически ориентири от GDPR-съобразени B2B кампании
Когато легитимният интерес е обоснован правилно и имейлите са персонализирани към конкретна роля, а не изпращани в маса, реакцията на получателите остава здравословна — ниски нива на оплаквания и opt-out заявки, приемлив reply rate. Ето ориентировъчни диапазони от практиката при таргетирани кампании с малки дневни обеми:
Стойностите са ориентировъчни, изведени от практиката при таргетирани B2B кампании с малки дневни обеми.
Най-честите грешки при третиране на служебни имейли
По-голямата част от проблемите не идват от липса на правно основание, а от процеса около него.
- Купуване на готова база с фирмени контакти без проверка на нейния произход и правно основание — рискът се наследява от купувача.
- Липса на видим и работещ opt-out линк или игнориране на отговори тип „спри“.
- Смесване на генерични и лично идентифицируеми адреси в един сегмент без отделна оценка на легитимния интерес.
- Съхранение на контакти безсрочно, без период за преразглеждане или изтриване след дълга неактивност.
- Персонализация с данни извън служебния контекст (лични снимки, семейно положение, хобита), която излиза извън обхвата на легитимния интерес за B2B outreach.
Чеклист и как LDM подхожда към GDPR compliance
Платформа за таргетиран B2B outreach трябва да прави правилното поведение лесно по подразбиране, не да разчита SDR екипите да помнят всяко правило. В LDM всеки контакт носи полета за източник и дата на добавяне, всяка кампания логва кой е получил opt-out и блокира повторно добавяне на същия адрес, а обемите на изпращане остават малки и разпределени във времето — точно каквото очаква и балансовият тест за легитимен интерес.
- Проверете формата на всеки адрес — личен формат изисква LIA, генеричен формат изисква само добра практика.
- Дръжте LIA документа актуален и достъпен при поискване от КЗЛД.
- Автоматизирайте обработката на opt-out заявки, не разчитайте на ръчно филтриране.
- Пазете лог на източника за всеки контакт в базата.
- Ревизирайте базата на 6–12 месеца и трийте неактивните контакти.
Често задавани въпроси
Трябва ли съгласие (consent), за да пиша студен имейл на служебен адрес в ЕС?
Не задължително — за B2B директен маркетинг стандартното основание е легитимен интерес по Съображение 47 от GDPR, не съгласие. Съгласие се изисква по-скоро при директен маркетинг към физически лица като потребители, а не към служебна роля в компания.
Генеричен адрес като info@kompania.bg проблем ли е по GDPR?
Обикновено не — сам по себе си той не сочи към конкретен човек и не е лични данни. Все пак остава обект на общите правила за електронна търговска комуникация, включително изискването за ясна идентификация на подателя и opt-out.
Какво точно е balancing test за легитимен интерес?
Тристепенна проверка: каква е целта на обработването, необходим ли е точно този контакт за нея, и надделява ли интересът на компанията над очакванията и правата на физическото лице. Резултатът се документира в кратък LIA документ, който може да се покаже при проверка.
Как трябва да изглежда opt-out механизмът в студен имейл?
Ясен линк или инструкция за отговор (например „спри“), обработена веднага и без допълнителни стъпки от получателя. Контактът трябва да отпадне трайно от бъдещи кампании, не само от текущата.
Мога ли просто да купя готова база с фирмени имейли?
Рисково е, ако не можете да проверите произхода и правното основание, на което е събрана. При проверка отговорността за законосъобразността остава у изпращача, затова е по-безопасно да изградите базата сами от публични служебни източници.
Какво прави КЗЛД, ако получи жалба срещу студен B2B имейл?
Комисията за защита на личните данни разглежда дали има документирано правно основание, дали е спазена прозрачността и дали opt-out е бил реално работещ. При липса на документация или игнориран opt-out последствията варират от предписание до санкция.
Искате да приложите това във вашия outreach?
Ще ви покажем как работи за вашия сегмент и продукт — преди началото на работата.
Да поговорим