Live Direct Marketing
ГоловнаБлогПраво і комплаєнс

Cold email без opt-in і GDPR compliance: це законно, якщо є legitimate interest

12 липня 2026 · 8 хв читання · Гайд: Право і комплаєнс

Питання «gdpr compliance це заборона холодних листів чи ні» зринає в кожній команді, яка виходить на європейський B2B-ринок. Відповідь не бінарна: регламент не вимагає opt-in для будь-якої обробки даних, а дає шість правових підстав, і для таргетованого outreach часто підходить legitimate interest — законний інтерес. Ця стаття показує, за яких умов холодний лист лишається законним outreach, а не масовою розсилкою чи спам-листом.

Коротко
  • GDPR не забороняє cold email як формат — забороняє обробку даних без правової підстави, і opt-in лише одна з шести
  • Legitimate interest (ст. 6(1)(f)) працює для B2B, якщо пройдено purpose, necessity і balancing тест
  • ePrivacy Directive в кожній країні ЄС імплементована по-різному — Німеччина суворіша за Нідерланди чи Ірландію
  • Мінімальний, релевантний, документований обсяг даних відрізняє legitimate interest від масової розсилки
  • Робоче посилання відмовитись і облік заперечень у CRM — не формальність, а частина правової підстави

Чому холодний B2B email не завжди потребує згоди

Коли фахівці з outreach гуглять «gdpr compliance це», вони зазвичай шукають відповідь на одне практичне питання: чи можна написати першим представнику компанії, з якою раніше не було контакту. GDPR не забороняє холодні листи як такі — регламент вимагає правової підстави для обробки персональних даних, а згода (opt-in) є лише однією з шести підстав, перелічених у статті 6.

Ключова відмінність — між масовою розсилкою по купленій базі приватних осіб і таргетованим B2B-листом конкретному співробітнику на його робочу адресу. Друге правомірно спирається на legitimate interest, якщо дотримано низку умов, розібраних нижче.

Додає складності ePrivacy Directive — окремий регламент ЄС про електронні маркетингові комунікації, який кожна країна-член імплементує по-своєму. Німеччина (через UWG) традиційно трактує правила суворіше за Нідерланди чи Ірландію, тому універсального «можна всюди однаково» немає — юрисдикцію отримувача перевіряють окремо.

Legitimate interest за статтею 6(1)(f): правова основа для cold email

Recital 47 GDPR прямо називає прямий маркетинг прикладом законного інтересу. Але посилання на нього не автоматичне — потрібно пройти триетапний тест і мати змогу показати його наглядовому органу або самому отримувачу на запит.

Практично це означає, що перед запуском кампанії команда фіксує мету, перевіряє необхідність саме цих даних і зважує інтерес компанії проти очікувань конкретної людини на посаді. Це і є legitimate interest assessment (LIA) — короткий документ, а не формальність для аудиту.

Критерії, які тримають кампанію в межах закону

На практиці legitimate interest витримує перевірку, якщо лист відповідає ролі людини, компанія-адресат підходить під ideal customer profile, а обсяг зібраних даних мінімальний.

Приклад

Компанія «Промінь Індастріз» (Харків, виробництво промислового кріплення) пише директору із закупівель Bauer Maschinenbau GmbH: «Пані Шмідт, бачу, що Bauer Maschinenbau розширює лінію верстатів для важкого машинобудування — ми постачаємо кріплення класу 10.9 для аналогічних виробників у Центральній Європі з терміном поставки 3 тижні. Якщо тема нерелевантна для вашої ролі, дайте знати одним словом — і я більше не турбуватиму». Лист адресний, стосується посади, містить робоче посилання-заперечення в підписі.

Які дані можна законно зберігати й звідки їх брати

gdpr rules for storing data для legitimate interest прості за суттю: мінімум необхідного, чітке джерело і обмежений термін. Достатньо робочої пошти, посади, назви компанії та публічно доступного контексту (галузь, розмір, новина про розширення) — цього вистачає для persoналізації без порушення принципу мінімізації даних.

Джерело даних має бути документованим: корпоративний сайт, LinkedIn-профіль, державний реєстр юросіб, галузева виставка. Персональні дані, отримані зі скрапінгу приватних акаунтів, витоків баз чи посередників без прозорого походження, під legitimate interest не підпадають — ризик balancing test занадто високий.

Помилки, які перетворюють legitimate interest на масову розсилку

Найчастіша причина, чому кампанія втрачає правову підставу, — підміна таргетованого outreach масовою розсилкою: той самий лист іде тисячам контактів без урахування ролі, галузі чи розміру компанії. Balancing test такого не витримує, і скарги ростуть пропорційно нерелевантності.

Як LDM вибудовує compliance у таргетованих B2B-кампаніях

У платформі LDM legitimate interest assessment — не окремий юридичний документ «десь у папці», а частина налаштування кампанії: команда фіксує ICP, джерело контактів і мету листа до запуску, тож у разі запиту наглядового органу чи самого отримувача підстава вже задокументована.

Технічно це підкріплено обмеженням денного обсягу на домен, обов’язковим полем відписки в кожному шаблоні та автоматичним записом заперечень у CRM — контакт, який один раз відмовився, більше не потрапляє в жодну наступну кампанію. Це водночас юридичний захист і практика доставки: список, очищений від незацікавлених контактів, менше конвертується у спам-лист і краще проходить через SPF, DKIM, DMARC фільтри поштових провайдерів.

Питання й відповіді

Чи законні холодні B2B-листи без згоди отримувача за GDPR?

Так, якщо компанія спирається на legitimate interest замість opt-in і може показати, що пройшла purpose, necessity та balancing тест. Це не привід не піклуватись про compliance — це інша, документована правова підстава.

Чим B2B відрізняється від B2C у контексті GDPR і ePrivacy?

ePrivacy Directive у більшості країн ЄС фокусується на захисті приватних осіб-споживачів, тоді як робоча пошта співробітника в контексті його професійних обов’язків частіше підпадає під легший режим legitimate interest. Але деякі юрисдикції, як Німеччина, поширюють суворіші вимоги і на B2B-контакти.

Що таке legitimate interest assessment (LIA) і чи обов’язково його документувати?

LIA — це короткий запис мети кампанії, необхідності даних і результату balancing test. Формально документ не завжди обов’язковий, але практично він єдиний доказ compliance у разі скарги чи запиту наглядового органу.

Які дані можна збирати про контакти без згоди?

Робочу пошту, посаду, назву компанії та публічно доступний галузевий контекст із документованого джерела — сайту компанії, LinkedIn, офіційного реєстру. Дані з витоків чи непрозорих брокерів під legitimate interest не підпадають.

Що робити, якщо отримувач вимагає видалити дані (право на заперечення)?

Контакт видаляється з активної бази й позначається як такий, що заперечив, — повторне звернення до нього в будь-якій наступній кампанії вже порушує GDPR, навіть якщо початкова підстава була законною.

Чи діють ці правила для українських компаній, які не працюють з ЄС?

GDPR застосовується, якщо отримувач листа перебуває в ЄС, незалежно від локації відправника. Для суто внутрішнього українського ринку діє власний Закон «Про захист персональних даних», принципи якого — мінімізація даних і законна підстава обробки — по суті збігаються з GDPR.

Важливо: це не масова розсилка і не спам. Ми працюємо адресно: кожне повідомлення надсилається конкретному представнику конкретної компанії з легітимного ділового приводу, невеликими щоденними обсягами та з персоналізацією під отримувача. У кожному листі вказано відправника і працює відписка в один клік; відписки та стоп-листи застосовуються до всіх наступних кампаній без винятків.

Хочете застосувати це у своєму аутрічі?

Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.

Обговорити задачу