Live Direct Marketing
דף הביתבלוגמשפט וציות

כללי GDPR לשליחת מיילים בתפוצה רחבה ללידים באירופה

12 ביולי 2026 · 9 דקות קריאה · מדריך: משפט וציות

חברת B2B ישראלית שמתחילה שליחת מיילים בתפוצה רחבה ללידים בגרמניה, צרפת או הולנד לא פועלת רק תחת תיקון 40 הישראלי - היא נכנסת גם לתחום ה-GDPR האירופי, גם בלי משרד או עובד באיחוד. מי שמכיר רק את הכללים הישראליים עלול לגלות שהרשימה שבנה, הניסוח שהוא משתמש בו וזמן השמירה של הלידים - כל אלה טעונים בדיקה מחדש. המדריך הזה מפרק את שני המשטרים זה מזה ומראה איך להריץ קמפיין קר אחד שעומד בשניהם.

בקצרה
  • תיקון 40 ו-GDPR הם שני משטרים נפרדים שחלים במקביל על אותה שליחת מיילים בתפוצה רחבה ללידים באירופה
  • GDPR חל גם בלי נוכחות באיחוד - מספיק שהליד הוא אדם באירופה כדי שהמידע עליו יהיה מוגן
  • הבסיס המשפטי הנפוץ לקמפיין B2B תקין הוא אינטרס לגיטימי, לא הסכמה מראש - אבל הוא דורש רלוונטיות ותיעוד
  • הדרישות משתנות ממדינה למדינה באיחוד - מה שמותר בהולנד לא בהכרח מותר בגרמניה
  • רשימה ממוקדת וקטנה, עם הסרה מיידית ותיעוד מקור, מגינה עליכם משני הכיוונים בו-זמנית

שני משטרים משפטיים, קמפיין אחד

נניח שחברת תוכנה ישראלית מוכרת פתרון לוגיסטי ל-B2B ומחליטה להרחיב שליחת מיילים בתפוצה רחבה למנהלי רכש בגרמניה ובצרפת. הצוות כבר מכיר את תיקון 40 לחוק התקשורת: הודעת פרסומת דורשת הסכמה מראש, סימון ״פרסומת״ בכותרת, ואפשרות הסרה נגישה. הם בטוחים שאם עמדו בזה - הם מכוסים. הבעיה: תיקון 40 חל על שליחה מישראל או אל נמען בישראל, וברגע שהנמען הוא אדם באירופה נכנס לתמונה משטר משפטי שני ונפרד - ה-GDPR - עם דרישות שונות לגמרי לגבי מה מותר לאסוף, לשמור ולשלוח.

ה-GDPR לא מדבר על ׳הודעת פרסומת׳ אלא על ׳עיבוד מידע אישי׳ - וכתובת דוא״ל עסקית בפורמט שם.שם@חברה, יחד עם תפקיד ושם מלא, נחשבת מידע אישי לכל דבר, גם כשמדובר בהקשר עסקי לגמרי. זה שוני מהותי מהאינטואיציה הישראלית, שבה B2B נתפס כפחות רגיש. חברה שמריצה קמפיין קר אחד לשתי אוכלוסיות - לידים בישראל ולידים באירופה - צריכה בפועל שני מסלולי ציות, לא אחד.

GDPR חל גם בלי משרד באירופה

הטריטוריאליות של GDPR רחבה מכפי שנדמה. התקנה חלה על עיבוד מידע אישי של אנשים הנמצאים באיחוד האירופי, ללא קשר למיקום החברה המעבדת - כולל חברה ישראלית ללא נוכחות פיזית, משרד או עובד באירופה. ברגע שברשימת התפוצה שלכם מופיע ליד עם כתובת דוא״ל וכתובת פיזית באיחוד, אתם בגדר עיבוד מידע שכפוף ל-GDPR, גם אם כל שרתי הדוא״ל והצוות יושבים בתל אביב.

יש כאן בלבול נפוץ: לישראל יש החלטת נאותות (adequacy decision) מטעם הנציבות האירופית, שמאפשרת זרימה חופשית יחסית של מידע מחברות באיחוד לחברות בישראל. זה עוזר, אבל זה לא פותר את שאלת הבסיס המשפטי לשליחת המייל הראשוני. החלטת הנאותות מקלה על העברת מידע בין הצדדים - היא לא תחליף לכך שתצטרכו בסיס משפטי תקף כדי לפנות ללידים באירופה מלכתחילה.

הבסיס המשפטי: אינטרס לגיטימי, לא הסכמה

בניגוד לשיווק B2C, שכלפיו GDPR נוטה לדרוש הסכמה מפורשת, קמפיין B2B ממוקד יכול להסתמך על ׳אינטרס לגיטימי׳ (סעיף 6(1)(ו) ל-GDPR) כבסיס משפטי - בלי לבקש אופט-אין מראש. התנאי: הפנייה צריכה להיות רלוונטית לתפקיד הנמען, המידע שנאסף מינימלי (שם, תפקיד, חברה, דוא״ל עסקי - לא יותר), ולנמען יש בכל רגע זכות התנגדות (right to object) פשוטה. חברות רבות בונות על הבסיס הזה בלי לתעד אותו כראוי - וזו הטעות הנפוצה ביותר.

מעבר לכך, לכל מדינה באיחוד יש חוק לאומי משלה ליישום הדירקטיבת ה-ePrivacy, שמסדירה תקשורת אלקטרונית לא מבוקשת - וכאן ההבדלים בין מדינות משמעותיים. גרמניה ואוסטריה נוטות לפרש את החוק המקומי בצורה מחמירה שמתקרבת בפועל לדרישת הסכמה גם ב-B2B. מדינות כמו אירלנד והולנד מכירות בחריג B2B גמיש יותר, בתנאי שהפנייה רלוונטית לתפקיד הנמען. משמעות מעשית: קמפיין שמותר בהולנד עלול להיות בעייתי בגרמניה באותו זמן בדיוק - אין ׳כלל אירופי אחיד׳ שאפשר לבדוק מולו.

תיקון 40 מול GDPR: מה זהה ומה שונה

שני המשטרים חולקים רעיון בסיסי אחד - שקיפות והרשאה לנמען לצאת מהרשימה - אבל בונים אותו אחרת לגמרי. תיקון 40 דורש ברירת מחדל של הסכמה מראש (אופט-אין) לכל ׳דבר פרסומת׳ הנשלח לכתובת דוא״ל, עם חריג צר ללקוח קיים שמקבל הצעה לשירות דומה. GDPR, לעומת זאת, מאפשר במקרים רבים לפנות בלי הסכמה מוקדמת על בסיס אינטרס לגיטימי, אבל מטיל דרישות תיעוד, מינימיזציה וזכות התנגדות שאין להן מקבילה ישירה בחוק הישראלי.

רשימת בדיקה מעשית לפני קמפיין קר לאירופה

לפני שמריצים שליחת מיילים לרשימת תפוצה שכוללת לידים אירופיים, שווה לעבור על רשימה קצרה שמכסה את שני המשטרים בבת אחת - במקום לגלות פערים אחרי הקמפיין.

טעויות נפוצות שעולות ביוקר

הטעות הנפוצה ביותר היא להתייחס לרשימת לידים אירופית בדיוק כמו לרשימה ישראלית - להעתיק את אותה תבנית מייל, אותה תדירות שליחה ואותה בדיקת ציות. טעות שנייה: לרכוש או לגרד (scrape) רשימת דוא״ל אירופית בכמות גדולה בלי לתעד מקור ורלוונטיות - זה בדיוק המצב שבו טענת ׳אינטרס לגיטימי׳ קורסת, כי אין קשר בין הפנייה לתפקיד הנמען.

טעות שלישית ונפוצה: קמפיין המוני שמפוזר לרשימה רחבה ולא ממוקדת. ככל שהרשימה גדולה ופחות מסוננת, כך קשה יותר להוכיח שהפנייה הייתה רלוונטית לכל נמען בנפרד - וזה בדיוק מה שמוליד תלונות ובקשות הסרה. קמפיין ממוקד וקטן, לעומת זאת, נוטה להראות תגובה בריאה ותלונות מעטות - וזה גם מה שמגן עליכם מבחינה משפטית וגם מה שמניב תוצאות.

איך LDM עוזר לרוץ נכון משני הכיוונים

בפלטפורמת LDM קמפיין קר בנוי מלכתחילה סביב שליחה ממוקדת בנפחים יומיים קטנים, ולא סביב שליחת מיילים בתפוצה רחבה בלי הבחנה - וזו לא רק החלטת דליברביליטי, זו גם הגנה משפטית. כל ליד נשמר עם מקור מתועד, כל הסרה נאכפת אוטומטית וללא אפשרות לשלוח שוב באותה רשימה או ברשימה אחרת, וניתן להפריד בקלות בין פלחי לידים ישראליים לאירופיים כדי להריץ מדיניות שונה לכל אחד.

הצוות המשפטי או ה-DPO שלכם עדיין צריך לאשר את הבסיס המשפטי הספציפי לכל שוק - LDM לא מחליף ייעוץ משפטי - אבל התשתית שמונעת שליחה חוזרת ללידים שהוסרו, מתעדת מקור לידים ומאפשרת מחיקה מהירה לפי בקשה, היא בדיוק מה שנדרש כדי לעמוד גם בתיקון 40 וגם ב-GDPR באותו קמפיין.

שאלות נפוצות

האם GDPR חל עלינו אם אנחנו שולחים מייל מישראל בלבד, בלי סניף באירופה?

כן. GDPR חל לפי מיקום הנמען ולא לפי מיקום השולח - ברגע שאתם מעבדים מידע אישי של אדם הנמצא באיחוד האירופי, אתם בגדר התקנה, גם בלי משרד, שרת או עובד באירופה.

מה זה בדיוק ׳אינטרס לגיטימי׳ ולמה זה מספיק לקמפיין B2B בלי הסכמה מראש?

אינטרס לגיטימי הוא בסיס משפטי לפי GDPR שמאפשר לעבד מידע אישי בלי הסכמה מוקדמת, כאשר הפנייה העסקית רלוונטית לתפקיד הנמען, המידע הנאסף מינימלי, ולנמען יש זכות התנגדות פשוטה בכל שלב. הוא דורש תיעוד ומבחן איזון - הוא לא ׳פטור׳ אוטומטי.

החלטת הנאותות שיש לישראל מול האיחוד האירופי פוטרת אותנו מ-GDPR?

לא. החלטת הנאותות מקלה על העברת מידע אישי מחברות באיחוד לחברות בישראל בלי מנגנוני הגנה נוספים, אבל היא לא נוגעת לשאלה אם יש לכם בסיס משפטי לפנות ללידים אירופיים מלכתחילה - זו שאלה נפרדת שממשיכה לחול במלואה.

מה ההבדל בין חובת ההסרה בתיקון 40 לבין GDPR?

שני המשטרים דורשים מנגנון הסרה חינמי ומיידי, אבל תיקון 40 מוסיף דרישת סימון ׳פרסומת׳ בכותרת ההודעה שאין ל-GDPR מקבילה לה, ואילו GDPR מרחיב את הזכות למחיקה מלאה של המידע האישי מהמערכת, לא רק להפסקת שליחה.

כמה זמן מותר לשמור רשימת לידים אירופיים שלא הגיבו לשום מייל?

GDPR דורש שמירת מידע רק כל עוד יש מטרה עסקית פעילה - אין מספר ימים אחיד בחוק, אבל מקובל להגדיר מדיניות שמירה פנימית (למשל מחיקה או רענון הרשימה לאחר תקופה ללא כל תגובה) ולתעד אותה, במקום להחזיק רשימות ישנות ללא הגבלת זמן.

מה הסיכון הכספי בפועל לחברה קטנה שמפרה את הכללים?

בישראל, תיקון 40 מאפשר לנמען בודד לתבוע פיצוי סטטוטורי בבית משפט לתביעות קטנות ללא הוכחת נזק, וזה מצטבר מהר אם ההפרה חוזרת על עצמה. באירופה הסיכון המעשי לחברה קטנה הוא בעיקר תלונה לרשות הגנת מידע לאומית שמובילה לחקירה - קנסות מלאים נדירים בהיקף כזה, אבל עלות הטיפול והפגיעה במוניטין משמעותית.

חשוב: זה לא דיוור המוני ולא ספאם. אנחנו עובדים ממוקד: כל הודעה נשלחת לאיש קשר מסוים בחברה מסוימת, מסיבה עסקית לגיטימית, בנפחים יומיים קטנים ומותאמת לנמען. בכל מייל מזוהה השולח וישנה הסרה בקליק אחד; הסרות ורשימות חסימה חלות על כל הקמפיינים הבאים ללא יוצא מן הכלל.

רוצים ליישם את זה באאוטריץ׳ שלכם?

נראה לכם איך זה עובד על הסגמנט והמוצר שלכם — לפני שמתחילים.

דברו איתנו