Cold email без opt-in і GDPR compliance: це законно, якщо є legitimate interest
Питання «gdpr compliance це заборона холодних листів чи ні» зринає в кожній команді, яка виходить на європейський B2B-ринок. Відповідь не бінарна: регламент не вимагає opt-in для будь-якої обробки даних, а дає шість правових підстав, і для таргетованого outreach часто підходить legitimate interest — законний інтерес. Ця стаття показує, за яких умов холодний лист лишається законним outreach, а не масовою розсилкою чи спам-листом.
- GDPR не забороняє cold email як формат — забороняє обробку даних без правової підстави, і opt-in лише одна з шести
- Legitimate interest (ст. 6(1)(f)) працює для B2B, якщо пройдено purpose, necessity і balancing тест
- ePrivacy Directive в кожній країні ЄС імплементована по-різному — Німеччина суворіша за Нідерланди чи Ірландію
- Мінімальний, релевантний, документований обсяг даних відрізняє legitimate interest від масової розсилки
- Робоче посилання відмовитись і облік заперечень у CRM — не формальність, а частина правової підстави
Чому холодний B2B email не завжди потребує згоди
Коли фахівці з outreach гуглять «gdpr compliance це», вони зазвичай шукають відповідь на одне практичне питання: чи можна написати першим представнику компанії, з якою раніше не було контакту. GDPR не забороняє холодні листи як такі — регламент вимагає правової підстави для обробки персональних даних, а згода (opt-in) є лише однією з шести підстав, перелічених у статті 6.
Ключова відмінність — між масовою розсилкою по купленій базі приватних осіб і таргетованим B2B-листом конкретному співробітнику на його робочу адресу. Друге правомірно спирається на legitimate interest, якщо дотримано низку умов, розібраних нижче.
Додає складності ePrivacy Directive — окремий регламент ЄС про електронні маркетингові комунікації, який кожна країна-член імплементує по-своєму. Німеччина (через UWG) традиційно трактує правила суворіше за Нідерланди чи Ірландію, тому універсального «можна всюди однаково» немає — юрисдикцію отримувача перевіряють окремо.
Legitimate interest за статтею 6(1)(f): правова основа для cold email
Recital 47 GDPR прямо називає прямий маркетинг прикладом законного інтересу. Але посилання на нього не автоматичне — потрібно пройти триетапний тест і мати змогу показати його наглядовому органу або самому отримувачу на запит.
Практично це означає, що перед запуском кампанії команда фіксує мету, перевіряє необхідність саме цих даних і зважує інтерес компанії проти очікувань конкретної людини на посаді. Це і є legitimate interest assessment (LIA) — короткий документ, а не формальність для аудиту.
- Purpose test — чітка, законна мета: пропозиція релевантного B2B-продукту чи послуги
- Necessity test — обробка саме цих даних (робоча пошта, посада, компанія) справді необхідна для мети
- Balancing test — інтерес компанії не переважає прав отримувача: людина на посаді «керівник відділу закупівель» очікує пропозицій за профілем
цифри орієнтовні, за практикою таргетованих B2B-кампаній
Критерії, які тримають кампанію в межах закону
На практиці legitimate interest витримує перевірку, якщо лист відповідає ролі людини, компанія-адресат підходить під ideal customer profile, а обсяг зібраних даних мінімальний.
- Лист адресовано конкретній посаді чи ролі, а не «всім підряд» у компанії
- Використовується лише робоча, публічно доступна контактна інформація
- Оффер прямо стосується професійних обов’язків отримувача
- Є явне, робоче посилання відмовитися від подальших листів
- Немає маніпулятивних формулювань чи прихованого автоматичного підписання на інші розсилки
Компанія «Промінь Індастріз» (Харків, виробництво промислового кріплення) пише директору із закупівель Bauer Maschinenbau GmbH: «Пані Шмідт, бачу, що Bauer Maschinenbau розширює лінію верстатів для важкого машинобудування — ми постачаємо кріплення класу 10.9 для аналогічних виробників у Центральній Європі з терміном поставки 3 тижні. Якщо тема нерелевантна для вашої ролі, дайте знати одним словом — і я більше не турбуватиму». Лист адресний, стосується посади, містить робоче посилання-заперечення в підписі.
Які дані можна законно зберігати й звідки їх брати
gdpr rules for storing data для legitimate interest прості за суттю: мінімум необхідного, чітке джерело і обмежений термін. Достатньо робочої пошти, посади, назви компанії та публічно доступного контексту (галузь, розмір, новина про розширення) — цього вистачає для persoналізації без порушення принципу мінімізації даних.
Джерело даних має бути документованим: корпоративний сайт, LinkedIn-профіль, державний реєстр юросіб, галузева виставка. Персональні дані, отримані зі скрапінгу приватних акаунтів, витоків баз чи посередників без прозорого походження, під legitimate interest не підпадають — ризик balancing test занадто високий.
- Дозволено: робоча пошта, посада, компанія, публічний галузевий контекст
- Дозволено: дані з корпоративного сайту, LinkedIn, офіційних реєстрів
- Заборонено: особисті (не робочі) адреси без окремої підстави
- Заборонено: дані з витоків, скрапінгу закритих профілів, непрозорих брокерів
- Термін зберігання обмежений метою — після відмови контакт видаляється з активної бази, а не «заморожується»
Помилки, які перетворюють legitimate interest на масову розсилку
Найчастіша причина, чому кампанія втрачає правову підставу, — підміна таргетованого outreach масовою розсилкою: той самий лист іде тисячам контактів без урахування ролі, галузі чи розміру компанії. Balancing test такого не витримує, і скарги ростуть пропорційно нерелевантності.
- Розсилка по всій базі контактів компанії без фільтра за посадою
- Відсутнє або нефункціональне посилання відмовитися
- Занадто високий обсяг листів з одного домену за короткий час
- Персоналізація лише по імені без зв’язку з реальним контекстом компанії
- Відсутність запису заперечень у CRM — той самий контакт отримує лист повторно
цифри орієнтовні, за практикою таргетованих B2B-кампаній
Як LDM вибудовує compliance у таргетованих B2B-кампаніях
У платформі LDM legitimate interest assessment — не окремий юридичний документ «десь у папці», а частина налаштування кампанії: команда фіксує ICP, джерело контактів і мету листа до запуску, тож у разі запиту наглядового органу чи самого отримувача підстава вже задокументована.
Технічно це підкріплено обмеженням денного обсягу на домен, обов’язковим полем відписки в кожному шаблоні та автоматичним записом заперечень у CRM — контакт, який один раз відмовився, більше не потрапляє в жодну наступну кампанію. Це водночас юридичний захист і практика доставки: список, очищений від незацікавлених контактів, менше конвертується у спам-лист і краще проходить через SPF, DKIM, DMARC фільтри поштових провайдерів.
Питання й відповіді
Чи законні холодні B2B-листи без згоди отримувача за GDPR?
Так, якщо компанія спирається на legitimate interest замість opt-in і може показати, що пройшла purpose, necessity та balancing тест. Це не привід не піклуватись про compliance — це інша, документована правова підстава.
Чим B2B відрізняється від B2C у контексті GDPR і ePrivacy?
ePrivacy Directive у більшості країн ЄС фокусується на захисті приватних осіб-споживачів, тоді як робоча пошта співробітника в контексті його професійних обов’язків частіше підпадає під легший режим legitimate interest. Але деякі юрисдикції, як Німеччина, поширюють суворіші вимоги і на B2B-контакти.
Що таке legitimate interest assessment (LIA) і чи обов’язково його документувати?
LIA — це короткий запис мети кампанії, необхідності даних і результату balancing test. Формально документ не завжди обов’язковий, але практично він єдиний доказ compliance у разі скарги чи запиту наглядового органу.
Які дані можна збирати про контакти без згоди?
Робочу пошту, посаду, назву компанії та публічно доступний галузевий контекст із документованого джерела — сайту компанії, LinkedIn, офіційного реєстру. Дані з витоків чи непрозорих брокерів під legitimate interest не підпадають.
Що робити, якщо отримувач вимагає видалити дані (право на заперечення)?
Контакт видаляється з активної бази й позначається як такий, що заперечив, — повторне звернення до нього в будь-якій наступній кампанії вже порушує GDPR, навіть якщо початкова підстава була законною.
Чи діють ці правила для українських компаній, які не працюють з ЄС?
GDPR застосовується, якщо отримувач листа перебуває в ЄС, незалежно від локації відправника. Для суто внутрішнього українського ринку діє власний Закон «Про захист персональних даних», принципи якого — мінімізація даних і законна підстава обробки — по суті збігаються з GDPR.
Хочете застосувати це у своєму аутрічі?
Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.
Обговорити задачу