Як зберігати й використовувати B2B-контакти без порушення GDPR
GDPR не забороняє B2B cold email, але вимагає юридичної підстави, мінімізації даних і чіткого opt-out. Компанії, що ведуть таргетовані розсилки в ЄС чи Британії, часто губляться між gdpr rules eu та gdpr rules uk, хоча базові принципи однакові. Ця стаття — практичний розбір: яку правову підставу використовувати, скільки зберігати контакти й де можна помилитися.
- Legitimate interest (ст. 6(1)(f) GDPR) — основна підстава для B2B cold email в ЄС, за умови balancing test і легкого opt-out.
- У Британії корпоративні скриньки (info@, sales@) частково виведені з-під PECR, але GDPR все одно застосовується, щойно лист адресований конкретній людині.
- gdpr rules for storing data вимагають мінімізації: ім'я, посада, робоча email-адреса, компанія — без зайвих полів.
- Холодний контакт без реакції зберігають орієнтовно 6–12 місяців, далі — валідація або видалення.
- Одноклікове відписування і синхронний suppression list — мінімальна вимога, а не бажана опція.
Чому GDPR стосується навіть таргетованих B2B-розсилок
Робоча email-адреса конкретної людини — це персональні дані, навіть якщо вона виглядає як ім'я.прізвище@компанія.com. GDPR не робить винятку для B2B: якщо лист адресований конкретній людині, а не загальній скриньці на кшталт info@, до цього контакту застосовуються ті самі принципи захисту даних, що й до споживчих розсилок. Різниця — не в тому, чи діє регулювання, а в тому, яку правову підставу можна використати.
Для маркетологів, які звикли працювати з масовими B2C-розсилками, це часто стає несподіванкою: холодний лист співробітнику відділу закупівель компанії підпадає під ті ж gdpr rules for storing data, що й email-розсилка приватним особам. Різниця в тому, що для B2B outreach є законна підстава, якої немає у масового спаму, — legitimate interest, за умови, що бізнес дотримується меж пропорційності та прозорості.
Яка правова підстава для cold email — gdpr rules eu проти gdpr rules uk
У більшості юрисдикцій ЄС основною правовою підставою для B2B cold email є legitimate interest (ст. 6(1)(f) GDPR) — законний інтерес бізнесу зв'язатися з представником компанії, чий продукт чи послуга релевантні його ролі. Ця підстава працює, якщо пройдено баланс-тест: інтерес компанії-відправника не переважає над правами й очікуваннями отримувача, дані зібрані з публічних чи professional-джерел (сайт компанії, LinkedIn, реєстр), а отримувач може будь-коли заперечити проти обробки — це право закріплене окремо і має виконуватися без питань «чому».
Британія після Brexit живе за UK GDPR, який майже дослівно копіює європейський текст, але додає нюанс через PECR (Privacy and Electronic Communications Regulations): для email на «корпоративну» скриньку типу sales@ чи info@ згода на маркетингову розсилку не потрібна навіть за PECR, а gdpr rules uk у частині захисту персональних даних все одно застосовуються, щойно лист адресований конкретній іменованій людині. Це джерело плутанини — компанії часто думають, що B2B-розсилка в Британії взагалі поза регулюванням, хоча це стосується лише вузького шару правил про unsolicited marketing, а не GDPR загалом.
цифри індикативні, з практики таргетованих B2B-кампаній, не юридична статистика
Практичні gdpr rules for storing data: що і скільки зберігати
Принцип мінімізації даних означає, що для B2B outreach достатньо зберігати ім'я, посаду, назву компанії, робочу email-адресу і, за потреби, джерело контакту (звідки взято дані). Телефон, домашня адреса, дата народження чи активність у соцмережах — це вже надлишкові дані, які збільшують юридичний ризик без користі для кампанії.
Строк зберігання прив'язаний до статусу контакту, а не до бажання «тримати про запас». Активний лід, з яким триває листування, можна зберігати доти, доки триває комунікація. Холодний контакт без жодної реакції на кілька follow-up повинен або переходити в архів з обмеженим доступом, або видалятися.
- Зберігайте лише поля, потрібні для персоналізації та follow-up — не всю CRM-картку контакту.
- Ведіть окремий suppression list, синхронізований з усіма інструментами розсилки в реальному часі.
- Фіксуйте джерело даних (сайт компанії, LinkedIn, офіційний реєстр) — знадобиться, якщо контакт запитає, звідки у вас його email.
- Видаляйте bounced і невалідні адреси одразу, а не після наступної кампанії.
діапазони індикативні, з практики таргетованих B2B-кампаній
Приклад: лист, що відповідає gdpr rules in europe
GDPR-сумісний cold email не потребує згадки закону в кожному рядку — досить, щоб структура листа відповідала принципам прозорості й пропорційності: зрозуміло, хто пише, навіщо, і як відмовитися.
Якщо для розсилки використовується сторонній сервіс (CRM, sending-платформа), варто мати з ним підписаний data processing agreement (DPA) — це стандартна вимога, а не бюрократична формальність: постачальник технічно теж обробляє персональні дані ваших контактів.
Тема: Питання щодо складської логістики для ТОВ «Балтік Фрейт». Доброго дня, Олено, пишу з LDM — ми допомагаємо логістичним операторам скорочувати час обробки замовлень на складі. Побачив на сайті «Балтік Фрейт», що ви відповідаєте за операційні процеси, тож вирішив написати напряму. Якщо тема нецікава — дайте знати одним словом «ні», і я більше не писатиму. Ваш email використовується лише для цього листа й не передається третім сторонам.
Типові помилки бізнесів у GDPR-комплаєнсі B2B-розсилок
Найчастіші порушення трапляються не через злий умисел, а через звичку працювати з базами так, ніби це B2C-розсилка.
- Купівля «збагаченої» бази контактів без перевірки джерела й дати останнього оновлення — за GDPR це не знімає відповідальності з покупця.
- Відсутність єдиного suppression list: контакт відписався в одній кампанії, але отримав лист із іншої.
- Збір зайвих полів «про запас» — телефон, дата народження, геолокація — без чіткої мети використання.
- Ігнорування різниці між gdpr rules uk (вузький виняток PECR для корпоративних скриньок) і суворішими підходами деяких країн ЄС, де legitimate interest трактують вужче.
- Відсутність документованого balancing test — якщо регулятор запитає, чому legitimate interest застосовний саме тут, «просто здавалося логічним» не є відповіддю.
Чек-лист GDPR-комплаєнсу і як це влаштовано в LDM
У LDM кожна таргетована кампанія прив'язана до задокументованої правової підстави (типово — legitimate interest), а не до купленого списку без походження. Це не бюрократія заради галочки: коли отримувач заперечує чи запитує, звідки email, у команди є готова відповідь.
- Джерело кожного контакту зафіксоване (сайт, LinkedIn, офіційний реєстр).
- Suppression list синхронізований по всіх кампаніях і робочих просторах у реальному часі.
- Retention-політика автоматично архівує або видаляє неактивні контакти за розкладом.
- З постачальниками розсилки й CRM підписані DPA.
- Кожен лист містить однокрокову можливість відмовитися.
- Balancing test для legitimate interest задокументований на рівні кампанії, а не «в голові» менеджера.
Питання й відповіді
gdpr compliance что это простими словами?
Це відповідність процесів компанії вимогам GDPR — регламенту ЄС про захист персональних даних: законна підстава для обробки, мінімізація даних, прозорість щодо цілей і можливість людини заперечити чи видалити свої дані. Для B2B-розсилок це означає документовану підставу (найчастіше legitimate interest) і робочий opt-out, а не формальну плашку на сайті.
Чи потрібна згода (consent) для B2B cold email в ЄС?
У більшості випадків ні, якщо є legitimate interest і лист релевантний ролі отримувача. Consent стає обов'язковим, якщо в конкретній країні діє суворіший національний підхід або кампанія виходить за межі суто ділового контексту.
Чим gdpr rules uk відрізняються від gdpr rules eu для B2B-розсилок?
Базовий текст регуляції майже ідентичний, але у Британії PECR додає виняток для листів на корпоративні скриньки без імені конкретної людини. Це не звільняє від GDPR у частині захисту персональних даних, якщо лист адресований конкретному співробітнику.
Скільки можна зберігати email-адресу контакту без взаємодії?
Орієнтовно 6–12 місяців для холодного контакту без жодної відповіді — далі варто повторно валідувати адресу або видалити її. Активні ліди в перемовинах можна зберігати, доки триває комунікація.
Що робити, якщо контакт просить видалити дані (right to erasure)?
Видалити контакт з усіх систем — CRM, sending-платформи, звичайні списки — і додати його до suppression list, щоб не написати повторно. Виконання запиту зазвичай підтверджують у розумний строк, до місяця.
Чи можна купувати бази email для B2B outreach і залишатися в межах GDPR?
Формально так, але відповідальність за законність джерела лежить на покупцеві, тож потрібно перевірити, звідки й коли зібрані контакти. Таргетовані кампанії з даними, зібраними самостійно з публічних бізнес-джерел, мають набагато менший юридичний ризик, ніж куплені масові бази.
Хочете застосувати це у своєму аутрічі?
Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.
Обговорити задачу