Какво трябва да знае онлайн магазинът за GDPR, преди да прати първия маркетингов имейл
Всеки онлайн магазин, който изпраща маркетингови или B2B имейли, рано или късно се сблъсква с въпроса какво точно изисква GDPR на сайт и в CRM системата. Проблемът рядко е cookie banner-ът — той е видимата част; истинският риск е скрит в начина, по който се събира съгласие, пази се записът за него и се управляват отказите. Тази статия обяснява какво реално означава gdpr compliance за онлайн търговец, изпращащ и B2C, и B2B имейли.
- GDPR за онлайн магазин не се изчерпва с cookie banner — основният риск е при събирането и записа на съгласие за имейл маркетинг.
- За B2C маркетинг е нужно изрично, не предварително отметнато съгласие; за B2B студени имейли до служебни адреси може да се ползва легитимен интерес.
- Всяко съгласие трябва да се логва с дата, IP и текста, който клиентът е видял — иначе не може да се докаже при проверка.
- Лесен, еднокликов unsubscribe намалява оплакванията за спам и е задължителен елемент от gdpr compliance.
- GDPR на сайт означава и ясна политика за поверителност, достъпна отвсякъде, не само линк в футъра.
GDPR какво е за собственик на онлайн магазин (не юридическа теория)
GDPR (Регламент (ЕС) 2016/679) важи за всеки онлайн магазин, който обработва данни на клиенти в ЕС — независимо къде е регистрирана фирмата и къде се хостват сървърите. За български търговци надзорен орган е Комисията за защита на личните данни (КЗЛД), а санкциите при системно нарушение могат да достигнат няколко процента от годишния оборот. На практика обаче повечето проверки тръгват не заради хакерска атака, а заради жалба на клиент, получил маркетингов имейл, за който не е дал ясно съгласие.
Когато собственик на магазин пита gdpr какво е, обикновено търси къс отговор — но реалният обхват е три неща: правно основание за обработка на всеки тип данни, прозрачност за клиента (какво се събира и защо) и възможност той да упражни правата си (достъп, изтриване, оттегляне на съгласие). Cookie banner-ът покрива само проследяването в браузъра; имейл маркетингът е отделен процес с отделно правно основание.
Важна разлика, която много магазини пропускат: маркетинг към частни клиенти (B2C) изисква съгласие, докато писане до конкретен служебен адрес на компания с B2B оферта може законно да се базира на легитимен интерес — стига да е адресирано, релевантно и с лесен отказ. Точно тази разлика е в основата на модела, по който работи LDM при таргетирани B2B кампании.
GDPR на сайт: минимумът, без който не тръгвате
Преди да съберете и един имейл адрес, сайтът трябва да покрива няколко базови изисквания на GDPR. Липсата им е първото нещо, което юрист или проверяващ орган ще провери, и е лесно поправимо, за разлика от процесите за събиране на съгласие.
- Политика за поверителност, достъпна от всяка страница, не само от футъра при checkout
- Cookie banner с реален избор — „Приемам всички“ и „Само необходими“, не само една активна опция
- Отделен, не предварително отметнат checkbox за маркетингови имейли при регистрация и поръчка
- Ясно посочен администратор на лични данни (фирма, адрес, имейл за контакт по GDPR въпроси)
- Информация за срока на съхранение на данните и как се изтрива акаунт
Как да съберете съгласие законно за имейл маркетинг
Съгласието за маркетинг трябва да е отделно действие, не скрито в общите условия. Клиентът трябва да разбере точно какво приема — вида съобщения, честотата и как да се откаже — преди да натисне „потвърди“.
Двойното потвърждение (double opt-in) — имейл с линк за потвърждение след записване — не е задължително по закон, но е най-сигурният начин да докажете, че адресът наистина принадлежи на човека, дал съгласие, и осезаемо намалява оплакванията за спам.
Всяко съгласие трябва да остане в лог: timestamp, IP адрес, точния текст на чекбокса, версията на политиката, която клиентът е видял. Без този запис gdpr compliance е само на думи — при проверка се доказва не намерение, а документиран факт.
Стойностите са индикативни, от практика при таргетирани B2B и B2C кампании — реалните числа зависят от бранша и качеството на списъка.
Пример за текст под чекбокса при поръчка: „Искам да получавам новини за промоции и нови продукти по имейл, максимум 2 пъти месечно. Мога да се откажа по всяко време чрез линка в писмото.“ Това е достатъчно ясно, конкретно и отделено от съгласието за общите условия.
B2B студени имейли: легитимен интерес вместо съгласие
Когато онлайн магазинът пише не до частен клиент, а до доставчик, партньор или потенциален B2B купувач — например до имейл на снабдител или мениджър продажби в друга компания — GDPR допуска обработка на база легитимен интерес, а не изрично съгласие. Това е основата, на която работят разумните cold email практики.
Легитимният интерес обаче не е бланкетно оправдание за масова разсилка. За да издържи проверка, писмото трябва да е насочено към конкретна роля, релевантно за бизнеса на получателя, изпратено в разумен обем на ден и с ясен, работещ начин за отказ. Точно затова таргетираните кампании с малки дневни лимити и персонализация не само работят по-добре — те са и по-защитими юридически от масовите разсилки.
- Идентифицируем подател — реално име, длъжност, компания в подписа
- Работещ reply-to адрес, не no-reply
- Съдържание, релевантно за длъжността на получателя, не генерична оферта
- Лесен еднокликов отказ, обработен веднага, не след седмици
- Разумен дневен обем на изпращане, не хиляди писма наведнъж от нов адрес
Чести грешки, които коства глоби и репутация
При одит на онлайн магазини едни и същи пропуски се повтарят системно — и почти никога не са свързани с технологията, а с процеса на събиране и управление на съгласието.
- Предварително отметнат чекбокс за маркетинг (директно нарушение)
- Съгласието за маркетинг е смесено с приемане на общите условия
- Купени или скрейпнати списъци с имейли без никаква проверка на релевантност
- Липсва лог кой, кога и с какъв текст е дал съгласие
- Unsubscribe линкът не работи или отказът не се обработва веднага
Данните са ориентировъчни, базирани на практически прегледи на кампании и сайтове — не са резултат от официално проучване.
GDPR compliance чеклист и как LDM подхожда към него
Практическото прилагане на GDPR не изисква юридически отдел — изисква дисциплина в процеса на изпращане. За екипите, които работят с LDM, това означава верифицирани адреси, малки дневни лимити, коректно конфигурирани SPF, DKIM и DMARC записи, и автоматично зачитане на всеки отказ в CRM, без ръчна намеса.
Чеклистът по-долу покрива минимума за онлайн магазин, който изпраща и маркетингови, и B2B имейли.
- Политика за поверителност и ясен администратор на данни на сайта
- Отделен, не предварително отметнат чекбокс за маркетингово съгласие
- Лог на съгласието с дата, IP и текст
- Еднокликов unsubscribe, обработен автоматично
- За B2B: идентифицируем подател, релевантно съдържание, разумен обем
- Периодично изчистване на неактивни и невалидни адреси от списъка
Често задавани въпроси
GDPR какво е и важи ли за малък онлайн магазин с няколко продукта?
Важи независимо от размера на бизнеса — регламентът се отнася за всяка обработка на лични данни на физически лица в ЕС, включително имейл адрес и име при поръчка. Малкият обем не намалява задълженията, но прави процеса лесен за въвеждане ръчно, без специален софтуер.
Трябва ли изрично съгласие за B2B студени имейли?
Не задължително — за писане до служебен имейл на конкретна роля в компания GDPR допуска легитимен интерес като правно основание, стига писмото да е релевантно и да предлага лесен отказ. За масов B2C маркетинг обаче съгласието остава задължително.
Колко дълго трябва да пазя записа за дадено съгласие?
Добра практика е да го пазите докато трае маркетинговата комуникация плюс разумен период след последния контакт или отказ, за да можете да докажете кога и как е дадено, ако бъде оспорено. Конкретен срок не е фиксиран в регламента — важно е да имате документирана вътрешна политика.
Cookie banner на сайта достатъчен ли е за gdpr compliance?
Не — cookie banner покрива само проследяването в браузъра. Имейл маркетингът, обработката на поръчки и CRM записите изискват отделни правни основания и собствена документация, независимо от настройките на banner-а.
Какво се случва при жалба от получател на маркетингов имейл?
КЗЛД може да поиска доказателство за правното основание — лог на съгласието или обосновка за легитимен интерес. Ако такъв липсва, следва предупреждение или санкция; при повторни нарушения глобата расте. Бърз, документиран отговор на отказ обикновено предотвратява ескалацията.
Оттеглям съгласие на клиент по имейл — какво трябва да направя веднага?
Спрете изпращането към този адрес незабавно и отбележете отказа в CRM или платформата за разсилки, за да не бъде добавен отново при бъдещ импорт на списък. Добра практика е потвърждение до клиента, че отказът е обработен.
Искате да приложите това във вашия outreach?
Ще ви покажем как работи за вашия сегмент и продукт — преди началото на работата.
Да поговорим