Live Direct Marketing
PočetnaBlogPravo i usklađenost

Kako zaštititi B2B kontakt bazu i ispuniti GDPR obveze bez straha od kazni

12. srpnja 2026. · 9 min čitanja · Vodič: Pravo i usklađenost

Mnoge tvrtke pretpostavljaju da GDPR vrijedi samo za potrošače, pa gdpr mail obveze za B2B cold email jednostavno zanemaruju - dok baza s poslovnim imenima i mailovima jest osobni podatak s istim zahtjevima za sigurnost i consent GDPR kao i svaka druga. Ovaj članak donosi minimalne sigurnosne mjere za čuvanje baze, pravnu osnovu za slanje bez privole te konkretne korake za prijavu povrede podataka u roku od 72 sata.

Ukratko
  • Poslovni email s imenom i prezimenom jest osobni podatak i podliježe GDPR-u, čak i u B2B kontekstu.
  • Legitimni interes je zakonita osnova za B2B cold email, ali zahtijeva relevantnost i jasan opt-out.
  • Minimalna sigurnost baze: enkripcija, kontrola pristupa po ulogama, evidencija izvoza, definiran rok čuvanja.
  • Povredu podataka treba prijaviti AZOP-u u roku od 72 sata od saznanja, ako postoji rizik za prava pojedinaca.
  • Kupljena baza bez provjere porijekla i pravne osnove najčešći je uzrok GDPR problema u praksi.

Zašto je B2B kontakt baza osjetljiva pod GDPR-om

Cold email na poslovni mail često se smatra izvan dosega regulative, jer se radi o tvrtki, a ne o potrošaču. To je pogrešno - čim baza sadrži ime, prezime, funkciju i poslovnu email adresu konkretne osobe, riječ je o osobnim podacima bez obzira na to što je kontekst poslovni. Generičke adrese poput info@ ili sales@ nisu osobni podatak, ali adresa u obliku ime.prezime@tvrtka.hr jest, jer identificira pojedinca.

Za tvrtku koja se bavi gdpr u marketingu - bilo B2B ili B2C - pravilo je isto: čim baza sadrži identifikacijske podatke pojedinca, primjenjuju se ista pravila zaštite i čuvanja. To znači da svaka baza od nekoliko tisuća poslovnih kontakata mora imati definiranu pravnu osnovu, rok čuvanja i sigurnosne mjere - jednako kao i baza pretplatnika newslettera.

Pravna osnova za cold email B2B kampanje: legitimni interes umjesto privole

Za razliku od B2C marketinga gdje je gotovo uvijek potrebna privola, B2B cold email se u praksi najčešće oslanja na legitimni interes kao pravnu osnovu obrade - pod uvjetom da je poruka relevantna za primateljevu profesionalnu ulogu, da postoji jasan opt-out i da obrada ne prevladava nad pravima pojedinca (test ravnoteže interesa).

Legitimni interes nije slobodna karta za masovno slanje. Mora postojati poslovna logika zašto baš ta osoba prima poruku - njena funkcija, djelatnost tvrtke, veličina poslovanja. Masovna kupljena baza bez segmentacije po ulozi teško prolazi test ravnoteže i povećava rizik pritužbe, dok istovremeno slabi i deliverability jer primatelji koji ne prepoznaju relevantnost prijavljuju poruku kao spam.

Primjer

Primjer footera u cold email poruci: 'Ovu poruku šaljemo na temelju legitimnog poslovnog interesa. Ako ne želite dalje primati poruke od nas, odgovorite s riječju odjava ili kliknite poveznicu za odjavu - obradit ćemo zahtjev odmah.'

Minimalne sigurnosne mjere za čuvanje baze podataka

GDPR ne propisuje točan tehnički standard, ali zahtijeva odgovarajuće tehničke i organizacijske mjere razmjerne riziku. Za B2B kontakt bazu to u praksi znači sljedeće minimalne korake, neovisno o tome koristi li tvrtka vlastiti CRM ili vanjski alat za gdpr email slanje.

Odakle dolaze sigurnosni incidenti s B2B bazama

Iz prakse rada s B2B kontakt bazama, incidenti rijetko dolaze od sofisticiranih hakerskih napada - većina je posljedica ljudske pogreške ili slabe higijene pristupa.

Zato prve dvije mjere s najvećim učinkom nisu skupi alati za enkripciju, nego disciplina pristupa: gašenje računa odmah po odlasku zaposlenika i zabrana neograničenog izvoza baze bez odobrenja.

Obveza prijave povrede podataka: rok od 72 sata

Ako dođe do povrede - neovlašteni pristup, gubitak uređaja s bazom, slučajno slanje baze pogrešnom primatelju - GDPR zahtijeva prijavu nadležnom nadzornom tijelu u roku od 72 sata od saznanja, osim ako je vjerojatnost rizika za prava pojedinaca zanemariva. U Hrvatskoj je to Agencija za zaštitu osobnih podataka (AZOP).

Ako je rizik za pojedince visok - primjerice, baza je sadržavala osjetljive podatke o poslovnim odlukama ili je objavljena javno - potrebno je obavijestiti i same osobe čiji su podaci ugroženi, ne samo AZOP.

GDPR prava primatelja u praksi cold email kampanje

Osim sigurnosti same baze, tvrtka koja šalje gdpr mail kampanje mora znati odgovoriti na zahtjeve primatelja koji koriste svoja GDPR prava - pravo na prigovor i pravo na brisanje. U ciljanim B2B kampanjama takvi zahtjevi su rijetki, ali moraju se rješavati odmah, ne nakon sljedeće kampanje.

Kontakt koji je zatražio brisanje, a nastavi primati poruke, gotovo sigurno podnosi pritužbu AZOP-u - to je jedan od najskupljih propusta jer se lako izbjegava jednostavnim procesom.

Najčešće greške i checklist za sigurnu B2B bazu

Najveći problemi rijetko su tehnički - najčešće su organizacijski: kupnja baze bez provjere porijekla, dijeljenje cijele baze s vanjskom SDR agencijom bez ugovora o obradi podataka, ili baza koja se čuva zauvijek bez ikakvog čišćenja neaktivnih zapisa.

U LDM-u svaka B2B baza koju koristimo za ciljane kampanje ima definiranu pravnu osnovu po segmentu, ograničen pristup po ulogama i rok čuvanja koji se primjenjuje automatski - princip je isti kao i za sigurnost same platforme: manje ljudi s pristupom širim od potrebnog znači manje prilika za pogrešku, a svaka poruka nosi jasan opt-out koji se izvršava odmah.

Česta pitanja

Treba li privola (consent) za B2B cold email po GDPR-u?

Ne nužno - za B2B cold email najčešće se koristi legitimni interes kao pravna osnova, pod uvjetom da je poruka relevantna za primateljevu ulogu i da postoji jasan opt-out. Consent GDPR postaje obavezan tek kod masovnog marketinga potrošačima ili kad se koriste alati za praćenje izvan okvira legitimnog interesa.

Tko je AZOP i kada ga treba obavijestiti?

AZOP (Agencija za zaštitu osobnih podataka) je hrvatsko nadzorno tijelo za GDPR. Treba ga obavijestiti u roku od 72 sata od saznanja za povredu podataka koja predstavlja rizik za prava pojedinaca, osim ako je taj rizik zanemariv.

Koliko dugo smijemo čuvati B2B kontakte?

GDPR ne propisuje fiksan rok, nego zahtijeva da se podaci čuvaju samo dok postoji svrha. U praksi to znači brisanje ili anonimizaciju kontakata bez interakcije dulje od otprilike godinu do dvije, ovisno o ciklusu prodaje.

Što ako primatelj zatraži brisanje podataka?

Zahtjev za brisanje treba izvršiti bez nepotrebnog odgađanja, idealno odmah, a najkasnije u roku od mjesec dana. Kontakt treba ukloniti iz svih aktivnih lista i alata za slanje, ne samo označiti kao neaktivan.

Je li kupljena baza kontakata GDPR usklađena?

Sama kupnja nije problem, ali odgovornost za pravnu osnovu i porijeklo podataka prelazi na tvrtku koja bazu koristi. Prije korištenja treba provjeriti kako je baza prikupljena, radi li se o javno dostupnoj poslovnoj informaciji te primijeniti isti opt-out i sigurnosne mjere kao na vlastitu bazu.

Kako LDM pristupa sigurnosti baze podataka?

LDM ograničava pristup bazi po ulogama, primjenjuje definirane rokove čuvanja i osigurava jasan opt-out u svakoj kampanji, tako da se GDPR obveze ispunjavaju kao dio standardnog procesa, a ne kao naknadna zakrpa.

Važno: ovo nije masovno slanje niti spam. Radimo ciljano: svaka poruka upućena je određenom predstavniku određene tvrtke iz legitimnog poslovnog razloga, šalje se u malim dnevnim količinama i personalizirana je za primatelja. Svaki email navodi pošiljatelja i sadrži odjavu jednim klikom; odjave i stop-liste vrijede za sve buduće kampanje bez iznimke.

Želite li ovo primijeniti u svom outreachu?

Pokazat ćemo vam kako to funkcionira na vašem segmentu i proizvodu — prije početka rada.

Razgovarajmo