Live Direct Marketing
НачалоБлогПраво и съответствие

Какво трябва да знае онлайн магазинът за GDPR, преди да прати първия маркетингов имейл

12 юли 2026 г. · 9 мин четене · Ръководство: Право и съответствие

Всеки онлайн магазин, който изпраща маркетингови или B2B имейли, рано или късно се сблъсква с въпроса какво точно изисква GDPR на сайт и в CRM системата. Проблемът рядко е cookie banner-ът — той е видимата част; истинският риск е скрит в начина, по който се събира съгласие, пази се записът за него и се управляват отказите. Тази статия обяснява какво реално означава gdpr compliance за онлайн търговец, изпращащ и B2C, и B2B имейли.

Накратко
  • GDPR за онлайн магазин не се изчерпва с cookie banner — основният риск е при събирането и записа на съгласие за имейл маркетинг.
  • За B2C маркетинг е нужно изрично, не предварително отметнато съгласие; за B2B студени имейли до служебни адреси може да се ползва легитимен интерес.
  • Всяко съгласие трябва да се логва с дата, IP и текста, който клиентът е видял — иначе не може да се докаже при проверка.
  • Лесен, еднокликов unsubscribe намалява оплакванията за спам и е задължителен елемент от gdpr compliance.
  • GDPR на сайт означава и ясна политика за поверителност, достъпна отвсякъде, не само линк в футъра.

GDPR какво е за собственик на онлайн магазин (не юридическа теория)

GDPR (Регламент (ЕС) 2016/679) важи за всеки онлайн магазин, който обработва данни на клиенти в ЕС — независимо къде е регистрирана фирмата и къде се хостват сървърите. За български търговци надзорен орган е Комисията за защита на личните данни (КЗЛД), а санкциите при системно нарушение могат да достигнат няколко процента от годишния оборот. На практика обаче повечето проверки тръгват не заради хакерска атака, а заради жалба на клиент, получил маркетингов имейл, за който не е дал ясно съгласие.

Когато собственик на магазин пита gdpr какво е, обикновено търси къс отговор — но реалният обхват е три неща: правно основание за обработка на всеки тип данни, прозрачност за клиента (какво се събира и защо) и възможност той да упражни правата си (достъп, изтриване, оттегляне на съгласие). Cookie banner-ът покрива само проследяването в браузъра; имейл маркетингът е отделен процес с отделно правно основание.

Важна разлика, която много магазини пропускат: маркетинг към частни клиенти (B2C) изисква съгласие, докато писане до конкретен служебен адрес на компания с B2B оферта може законно да се базира на легитимен интерес — стига да е адресирано, релевантно и с лесен отказ. Точно тази разлика е в основата на модела, по който работи LDM при таргетирани B2B кампании.

GDPR на сайт: минимумът, без който не тръгвате

Преди да съберете и един имейл адрес, сайтът трябва да покрива няколко базови изисквания на GDPR. Липсата им е първото нещо, което юрист или проверяващ орган ще провери, и е лесно поправимо, за разлика от процесите за събиране на съгласие.

Как да съберете съгласие законно за имейл маркетинг

Съгласието за маркетинг трябва да е отделно действие, не скрито в общите условия. Клиентът трябва да разбере точно какво приема — вида съобщения, честотата и как да се откаже — преди да натисне „потвърди“.

Двойното потвърждение (double opt-in) — имейл с линк за потвърждение след записване — не е задължително по закон, но е най-сигурният начин да докажете, че адресът наистина принадлежи на човека, дал съгласие, и осезаемо намалява оплакванията за спам.

Всяко съгласие трябва да остане в лог: timestamp, IP адрес, точния текст на чекбокса, версията на политиката, която клиентът е видял. Без този запис gdpr compliance е само на думи — при проверка се доказва не намерение, а документиран факт.

Пример

Пример за текст под чекбокса при поръчка: „Искам да получавам новини за промоции и нови продукти по имейл, максимум 2 пъти месечно. Мога да се откажа по всяко време чрез линка в писмото.“ Това е достатъчно ясно, конкретно и отделено от съгласието за общите условия.

B2B студени имейли: легитимен интерес вместо съгласие

Когато онлайн магазинът пише не до частен клиент, а до доставчик, партньор или потенциален B2B купувач — например до имейл на снабдител или мениджър продажби в друга компания — GDPR допуска обработка на база легитимен интерес, а не изрично съгласие. Това е основата, на която работят разумните cold email практики.

Легитимният интерес обаче не е бланкетно оправдание за масова разсилка. За да издържи проверка, писмото трябва да е насочено към конкретна роля, релевантно за бизнеса на получателя, изпратено в разумен обем на ден и с ясен, работещ начин за отказ. Точно затова таргетираните кампании с малки дневни лимити и персонализация не само работят по-добре — те са и по-защитими юридически от масовите разсилки.

Чести грешки, които коства глоби и репутация

При одит на онлайн магазини едни и същи пропуски се повтарят системно — и почти никога не са свързани с технологията, а с процеса на събиране и управление на съгласието.

GDPR compliance чеклист и как LDM подхожда към него

Практическото прилагане на GDPR не изисква юридически отдел — изисква дисциплина в процеса на изпращане. За екипите, които работят с LDM, това означава верифицирани адреси, малки дневни лимити, коректно конфигурирани SPF, DKIM и DMARC записи, и автоматично зачитане на всеки отказ в CRM, без ръчна намеса.

Чеклистът по-долу покрива минимума за онлайн магазин, който изпраща и маркетингови, и B2B имейли.

Често задавани въпроси

GDPR какво е и важи ли за малък онлайн магазин с няколко продукта?

Важи независимо от размера на бизнеса — регламентът се отнася за всяка обработка на лични данни на физически лица в ЕС, включително имейл адрес и име при поръчка. Малкият обем не намалява задълженията, но прави процеса лесен за въвеждане ръчно, без специален софтуер.

Трябва ли изрично съгласие за B2B студени имейли?

Не задължително — за писане до служебен имейл на конкретна роля в компания GDPR допуска легитимен интерес като правно основание, стига писмото да е релевантно и да предлага лесен отказ. За масов B2C маркетинг обаче съгласието остава задължително.

Колко дълго трябва да пазя записа за дадено съгласие?

Добра практика е да го пазите докато трае маркетинговата комуникация плюс разумен период след последния контакт или отказ, за да можете да докажете кога и как е дадено, ако бъде оспорено. Конкретен срок не е фиксиран в регламента — важно е да имате документирана вътрешна политика.

Cookie banner на сайта достатъчен ли е за gdpr compliance?

Не — cookie banner покрива само проследяването в браузъра. Имейл маркетингът, обработката на поръчки и CRM записите изискват отделни правни основания и собствена документация, независимо от настройките на banner-а.

Какво се случва при жалба от получател на маркетингов имейл?

КЗЛД може да поиска доказателство за правното основание — лог на съгласието или обосновка за легитимен интерес. Ако такъв липсва, следва предупреждение или санкция; при повторни нарушения глобата расте. Бърз, документиран отговор на отказ обикновено предотвратява ескалацията.

Оттеглям съгласие на клиент по имейл — какво трябва да направя веднага?

Спрете изпращането към този адрес незабавно и отбележете отказа в CRM или платформата за разсилки, за да не бъде добавен отново при бъдещ импорт на списък. Добра практика е потвърждение до клиента, че отказът е обработен.

Важно: това не е масово разпращане и не е спам. Работим таргетирано: всяко съобщение отива до конкретен представител на конкретна компания по легитимен бизнес повод, в малки дневни обеми и персонализирано за получателя. Всеки имейл посочва подателя и включва отписване с един клик; отписванията и стоп-списъците важат за всички следващи кампании без изключение.

Искате да приложите това във вашия outreach?

Ще ви покажем как работи за вашия сегмент и продукт — преди началото на работата.

Да поговорим