Live Direct Marketing
ГоловнаБлогПраво і комплаєнс

Як зберігати й використовувати B2B-контакти без порушення GDPR

12 липня 2026 · 8 хв читання · Гайд: Право і комплаєнс

GDPR не забороняє B2B cold email, але вимагає юридичної підстави, мінімізації даних і чіткого opt-out. Компанії, що ведуть таргетовані розсилки в ЄС чи Британії, часто губляться між gdpr rules eu та gdpr rules uk, хоча базові принципи однакові. Ця стаття — практичний розбір: яку правову підставу використовувати, скільки зберігати контакти й де можна помилитися.

Коротко
  • Legitimate interest (ст. 6(1)(f) GDPR) — основна підстава для B2B cold email в ЄС, за умови balancing test і легкого opt-out.
  • У Британії корпоративні скриньки (info@, sales@) частково виведені з-під PECR, але GDPR все одно застосовується, щойно лист адресований конкретній людині.
  • gdpr rules for storing data вимагають мінімізації: ім'я, посада, робоча email-адреса, компанія — без зайвих полів.
  • Холодний контакт без реакції зберігають орієнтовно 6–12 місяців, далі — валідація або видалення.
  • Одноклікове відписування і синхронний suppression list — мінімальна вимога, а не бажана опція.

Чому GDPR стосується навіть таргетованих B2B-розсилок

Робоча email-адреса конкретної людини — це персональні дані, навіть якщо вона виглядає як ім'я.прізвище@компанія.com. GDPR не робить винятку для B2B: якщо лист адресований конкретній людині, а не загальній скриньці на кшталт info@, до цього контакту застосовуються ті самі принципи захисту даних, що й до споживчих розсилок. Різниця — не в тому, чи діє регулювання, а в тому, яку правову підставу можна використати.

Для маркетологів, які звикли працювати з масовими B2C-розсилками, це часто стає несподіванкою: холодний лист співробітнику відділу закупівель компанії підпадає під ті ж gdpr rules for storing data, що й email-розсилка приватним особам. Різниця в тому, що для B2B outreach є законна підстава, якої немає у масового спаму, — legitimate interest, за умови, що бізнес дотримується меж пропорційності та прозорості.

Яка правова підстава для cold email — gdpr rules eu проти gdpr rules uk

У більшості юрисдикцій ЄС основною правовою підставою для B2B cold email є legitimate interest (ст. 6(1)(f) GDPR) — законний інтерес бізнесу зв'язатися з представником компанії, чий продукт чи послуга релевантні його ролі. Ця підстава працює, якщо пройдено баланс-тест: інтерес компанії-відправника не переважає над правами й очікуваннями отримувача, дані зібрані з публічних чи professional-джерел (сайт компанії, LinkedIn, реєстр), а отримувач може будь-коли заперечити проти обробки — це право закріплене окремо і має виконуватися без питань «чому».

Британія після Brexit живе за UK GDPR, який майже дослівно копіює європейський текст, але додає нюанс через PECR (Privacy and Electronic Communications Regulations): для email на «корпоративну» скриньку типу sales@ чи info@ згода на маркетингову розсилку не потрібна навіть за PECR, а gdpr rules uk у частині захисту персональних даних все одно застосовуються, щойно лист адресований конкретній іменованій людині. Це джерело плутанини — компанії часто думають, що B2B-розсилка в Британії взагалі поза регулюванням, хоча це стосується лише вузького шару правил про unsolicited marketing, а не GDPR загалом.

Практичні gdpr rules for storing data: що і скільки зберігати

Принцип мінімізації даних означає, що для B2B outreach достатньо зберігати ім'я, посаду, назву компанії, робочу email-адресу і, за потреби, джерело контакту (звідки взято дані). Телефон, домашня адреса, дата народження чи активність у соцмережах — це вже надлишкові дані, які збільшують юридичний ризик без користі для кампанії.

Строк зберігання прив'язаний до статусу контакту, а не до бажання «тримати про запас». Активний лід, з яким триває листування, можна зберігати доти, доки триває комунікація. Холодний контакт без жодної реакції на кілька follow-up повинен або переходити в архів з обмеженим доступом, або видалятися.

Приклад: лист, що відповідає gdpr rules in europe

GDPR-сумісний cold email не потребує згадки закону в кожному рядку — досить, щоб структура листа відповідала принципам прозорості й пропорційності: зрозуміло, хто пише, навіщо, і як відмовитися.

Якщо для розсилки використовується сторонній сервіс (CRM, sending-платформа), варто мати з ним підписаний data processing agreement (DPA) — це стандартна вимога, а не бюрократична формальність: постачальник технічно теж обробляє персональні дані ваших контактів.

Приклад

Тема: Питання щодо складської логістики для ТОВ «Балтік Фрейт». Доброго дня, Олено, пишу з LDM — ми допомагаємо логістичним операторам скорочувати час обробки замовлень на складі. Побачив на сайті «Балтік Фрейт», що ви відповідаєте за операційні процеси, тож вирішив написати напряму. Якщо тема нецікава — дайте знати одним словом «ні», і я більше не писатиму. Ваш email використовується лише для цього листа й не передається третім сторонам.

Типові помилки бізнесів у GDPR-комплаєнсі B2B-розсилок

Найчастіші порушення трапляються не через злий умисел, а через звичку працювати з базами так, ніби це B2C-розсилка.

Чек-лист GDPR-комплаєнсу і як це влаштовано в LDM

У LDM кожна таргетована кампанія прив'язана до задокументованої правової підстави (типово — legitimate interest), а не до купленого списку без походження. Це не бюрократія заради галочки: коли отримувач заперечує чи запитує, звідки email, у команди є готова відповідь.

Питання й відповіді

gdpr compliance что это простими словами?

Це відповідність процесів компанії вимогам GDPR — регламенту ЄС про захист персональних даних: законна підстава для обробки, мінімізація даних, прозорість щодо цілей і можливість людини заперечити чи видалити свої дані. Для B2B-розсилок це означає документовану підставу (найчастіше legitimate interest) і робочий opt-out, а не формальну плашку на сайті.

Чи потрібна згода (consent) для B2B cold email в ЄС?

У більшості випадків ні, якщо є legitimate interest і лист релевантний ролі отримувача. Consent стає обов'язковим, якщо в конкретній країні діє суворіший національний підхід або кампанія виходить за межі суто ділового контексту.

Чим gdpr rules uk відрізняються від gdpr rules eu для B2B-розсилок?

Базовий текст регуляції майже ідентичний, але у Британії PECR додає виняток для листів на корпоративні скриньки без імені конкретної людини. Це не звільняє від GDPR у частині захисту персональних даних, якщо лист адресований конкретному співробітнику.

Скільки можна зберігати email-адресу контакту без взаємодії?

Орієнтовно 6–12 місяців для холодного контакту без жодної відповіді — далі варто повторно валідувати адресу або видалити її. Активні ліди в перемовинах можна зберігати, доки триває комунікація.

Що робити, якщо контакт просить видалити дані (right to erasure)?

Видалити контакт з усіх систем — CRM, sending-платформи, звичайні списки — і додати його до suppression list, щоб не написати повторно. Виконання запиту зазвичай підтверджують у розумний строк, до місяця.

Чи можна купувати бази email для B2B outreach і залишатися в межах GDPR?

Формально так, але відповідальність за законність джерела лежить на покупцеві, тож потрібно перевірити, звідки й коли зібрані контакти. Таргетовані кампанії з даними, зібраними самостійно з публічних бізнес-джерел, мають набагато менший юридичний ризик, ніж куплені масові бази.

Важливо: це не масова розсилка і не спам. Ми працюємо адресно: кожне повідомлення надсилається конкретному представнику конкретної компанії з легітимного ділового приводу, невеликими щоденними обсягами та з персоналізацією під отримувача. У кожному листі вказано відправника і працює відписка в один клік; відписки та стоп-листи застосовуються до всіх наступних кампаній без винятків.

Хочете застосувати це у своєму аутрічі?

Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.

Обговорити задачу