Je li vaš cold email spreman za GDPR? Checklist za B2B timove
GDPR ne zabranjuje cold email B2B kampanje, ali jasno definira uvjete pod kojima su zakonite. Tim koji šalje hladne e-mailove poslovnim kontaktima bez provjerene pravne osnove i evidencije riskira prijavu AZOP-u ili ozbiljno narušen ugled pošiljateljske domene. Ovaj checklist prolazi kroz sve točke koje B2B prodajni ili marketing tim treba provjeriti prije nego pritisne 'Send'.
- Legitimni interes je uobičajena pravna osnova za B2B cold email, ne consent GDPR, ali zahtijeva dokumentiran balancing test.
- Svaki gdpr mail mora imati jasnu opciju odjave i podatke o pošiljatelju u potpisu.
- Izvor kontakta (LinkedIn, web stranica, poslovni registar) treba biti zabilježen i datiran.
- Zahtjevi za odjavu ili brisanje moraju se obraditi brzo, ne odgađati mjesecima.
- Vanjski alati za slanje pošte trebaju ugovor o obradi podataka (DPA) prije prve kampanje.
Zašto GDPR vrijedi i za B2B cold email
GDPR - Opća uredba o zaštiti podataka (Uredba (EU) 2016/679) - primjenjuje se izravno u Hrvatskoj, a nadzor provodi Agencija za zaštitu osobnih podataka (AZOP). Mnogi B2B timovi pogrešno misle da se pravila odnose samo na potrošačke newslettere, pa cold email prema poslovnim kontaktima tretiraju kao sivu zonu. Adresa oblika ime.prezime@tvrtka.hr ipak je osobni podatak - identificira konkretnu fizičku osobu vezanu uz poslovnu ulogu - pa gdpr email pravila vrijede jednako kao i za bilo koji drugi kontakt fizičke osobe.
Uz GDPR, na e-mail marketing prema fizičkim osobama nadovezuje se i Zakon o elektroničkim komunikacijama, koji regulira nepozvane poruke i pravo na prigovor. Za B2B cold email to znači dvostruku provjeru: prvo je li obrada podataka zakonita prema GDPR-u, drugo je li sama poruka usklađena s pravilima o izravnom marketingu. Tim koji ignorira jedno ili drugo izlaže tvrtku riziku prijave, a domenu pošiljatelja riziku da završi na listama za spam prije nego stigne bilo koji odgovor.
Pravna osnova: legitimni interes ili consent GDPR
Za razliku od B2C marketinga, gdje je consent GDPR gotovo uvijek nužan, B2B cold email prema poslovnom kontaktu obično se oslanja na legitimni interes (članak 6. stavak 1. točka (f) GDPR-a). Uvjet je da je ponuda relevantna za ulogu primatelja - prodajete li rješenje za nabavu voditelju nabave, interes je razumljiv; šaljete li istu poruku računovođi u istoj tvrtki bez ikakve veze s njegovim poslom, teže je obraniti.
Legitimni interes nije univerzalna isprika - zahtijeva dokumentiran test u tri koraka: koja je svrha obrade, je li obrada nužna za tu svrhu, i preteže li interes tvrtke nad pravima primatelja. Taj zapis (legitimate interest assessment, LIA) ne mora biti opsežan, ali mora postojati prije prve kampanje, ne naknadno kad stigne prigovor.
Podaci su okvirni, iz prakse vođenja B2B cold email kampanja, ne iz formalnog istraživanja.
Checklist prije slanja kampanje
Prije prve poruke u kampanji vrijedi proći kroz kratak, ali konkretan popis provjera - ne kao formalnost, nego kao zaštitu i tvrtke i primatelja.
- Izvor kontakta je zabilježen i datiran (web stranica tvrtke, poslovni registar, LinkedIn profil, prethodni sajam ili konferencija)
- LIA dokument postoji i objašnjava zašto je baš ta osoba relevantan primatelj
- Potpis sadrži naziv tvrtke, adresu sjedišta i jasan način kontaktiranja pošiljatelja
- Svaka poruka ima vidljivu i funkcionalnu opciju odjave, ne skrivenu u sitnom tisku
- SPF, DKIM i DMARC su ispravno konfigurirani za domenu s koje se šalje
- Postoji ugovor o obradi podataka (DPA) s alatom ili platformom koja šalje poštu
- Definiran je rok i proces za obradu zahtjeva za odjavu ili brisanje podataka
- Baza kontakata redovito se čisti od odjavljenih i neaktivnih adresa
Primjer usklađenog GDPR e-maila
Usklađen gdpr e mail ne mora izgledati kao pravni dokument - dovoljno je da bude kratak, konkretan i transparentan o tome tko piše i zašto baš toj osobi.
Naslov: Pitanje o procesu nabave ambalaže u [Tvrtka] / Poštovana Ana, primijetio sam da [Tvrtka] uvozi ambalažu iz tri različita dobavljača - rado bih vam pokazao kako slični proizvođači u regiji smanjuju taj broj na jednog uz kraće rokove isporuke. Ako vam ovo nije relevantno ili ne želite dalje primati poruke od mene, dovoljno je odgovoriti 'odjava' i uklonit ću vas s liste. Srdačan pozdrav, Ivan Kovač, [Tvrtka pošiljatelja], [adresa sjedišta], [telefon].
Najčešće greške B2B timova
Većina prekršaja ne dolazi iz zle namjere, nego iz žurbe ili nepoznavanja razlike između B2C i B2B pravila.
- Kupnja iznajmljenih baza bez provjerenog podrijetla podataka
- Nedostatak opcije odjave ili odjava koja stvarno ne radi
- Ignoriranje prigovora primatelja umjesto brzog uklanjanja iz kampanje
- Kopiranje B2C consent formulacija u B2B poruke, iako pravna osnova nije ista
- Slanje s domene bez SPF/DKIM/DMARC zapisa, što povećava šansu da poruka završi u spamu prije nego što itko odluči je li usklađena
- Zadržavanje podataka bez roka, 'za svaki slučaj', umjesto po jasnoj retencijskoj politici
Procjena je indikativna, temeljena na iskustvu iz ciljanih B2B kampanja, ne na formalnoj studiji.
Kako LDM pristupa GDPR usklađenosti
LDM pristupa GDPR usklađenosti kao dijelu radnog procesa, ne kao naknadnoj provjeri. Svaki kontakt koji uđe u bazu nosi zabilježen izvor i datum prikupljanja, a predlošci poruka uvijek uključuju vidljivu opciju odjave.
Dnevni volumeni po pošiljatelju drže se namjerno niskima, a poruke su personalizirane prema stvarnoj ulozi primatelja - što ne samo da poboljšava odgovore, nego i smanjuje rizik da kampanja uopće djeluje kao masovni marketing na koji se GDPR gleda strože. Zahtjevi za odjavu ili brisanje bilježe se u CRM-u i obrađuju odmah, a za klijente koji rade s vanjskim alatima dostupan je i predložak ugovora o obradi podataka.
Česta pitanja
Treba li mi consent GDPR za B2B cold email u Hrvatskoj?
U pravilu ne - ako je primatelj poslovni kontakt i ponuda je relevantna za njegovu ulogu, legitimni interes je uobičajena pravna osnova. Consent GDPR postaje nužan tek kad šaljete generičke marketinške poruke bez jasne poslovne veze s ulogom primatelja, ili kad ciljate osobne, a ne poslovne adrese.
Što je LIA i mora li biti u pisanom obliku?
Legitimate interest assessment je kratak test svrhe, nužnosti i ravnoteže interesa koji opravdava korištenje legitimnog interesa kao pravne osnove. Ne mora biti opsežan dokument, ali mora postojati prije kampanje - u slučaju prigovora ili nadzora, usmeno objašnjenje nije dovoljno.
Koliko brzo moram obraditi zahtjev za odjavu?
Praksa je da se odjava obradi odmah, po mogućnosti automatski, a svakako unutar nekoliko dana. Ako sustav zahtijeva ručnu obradu, razuman rok je unutar mjesec dana, no što je proces brži, manji je rizik prigovora.
Mogu li koristiti kontakte prikupljene s LinkedIna za cold email?
Da, javno dostupni profesionalni podaci mogu biti izvor kontakata, uz uvjet da je obrada dokumentirana kroz LIA i da poruka ostaje relevantna za poslovnu ulogu osobe. Podatke treba redovito osvježavati jer se profili i uloge mijenjaju.
Treba li ugovor o obradi podataka s alatom za slanje cold emailova?
Da, ako vanjski alat ili platforma u vaše ime obrađuje osobne podatke primatelja - DPA treba biti sklopljen prije prve kampanje, a ne naknadno.
Što ako primatelj podnese pritužbu AZOP-u?
Ako imate zabilježen izvor podataka, LIA dokument i dokaz da je odjava bila dostupna i funkcionalna, situacija je lako obranjiva. Problem nastaje kad ništa od toga nije zapisano - tada je teško dokazati da je obrada uopće bila zakonita.
Želite li ovo primijeniti u svom outreachu?
Pokazat ćemo vam kako to funkcionira na vašem segmentu i proizvodu — prije početka rada.
Razgovarajmo