Обсудить задачу

Email-маркетинг с нуля под GDPR: что нужно знать

База email-подписчиков - owned asset: канал, который принадлежит вам, а не алгоритму соцсети. Если вы только запускаете email-маркетинг для EU-рынка, у вас есть шанс сделать всё правильно с первого письма - а не переделывать базу через полгода, когда придёт жалоба от надзорного органа. Сбор базы под GDPR и построение email-маркетинга - одно решение, а не два отдельных проекта: разделить их во времени почти всегда дороже.

Ключевое требование - explicit opt-in

GDPR требует явного, информированного согласия до того, как адрес человека попадёт в вашу базу для маркетинговых рассылок. Это юридическое основание, на котором держится вся последующая коммуникация.

На практике это значит:

  • Согласие - активное действие: отдельный чекбокс, который человек ставит сам. Предзаполненные чекбоксы не считаются валидным согласием.
  • Формулировки вроде «используя сайт, вы соглашаетесь на рассылку» не работают: согласие на маркетинг отделено от согласия на условия использования сервиса.
  • Человек должен понимать, что вы будете присылать и как часто, хотя бы в общих чертах.

Double opt-in - подтверждение адреса переходом по ссылке в письме - стал практическим стандартом не потому, что GDPR прямо требует именно эту схему, а потому что это лучший способ доказать: согласие дал сам владелец адреса. Single opt-in при проверке или споре защитить сложнее.

Что обязательно в каждом письме

  • Понятная идентификация отправителя. Имя компании и реальный обратный адрес - не безликий no-reply.
  • Простой механизм отписки. Ссылка «отписаться» работает в один клик, без входа в аккаунт и вопросов «почему вы уходите». Чем больше трения, тем выше юридический и репутационный риск.
  • Запись о согласии. Дата, время, источник и формулировка чекбокса на момент подписки. Без неё доказать легитимность базы при проверке почти невозможно.

Как собирать базу правильно

Лид-магниты работают, если формулировка согласия честная и конкретная - не «получить материал», а «получить материал и подписаться на рассылку по теме X примерно раз в неделю». Чем точнее ожидание, тем ниже отписки и жалобы на спам в дальнейшем.

Длинные формы регистрации снижают конверсию и создают соблазн собрать лишние данные. Progressive profiling - минимум полей на первом контакте, остальное добирается на последующих касаниях - обычно лучше и для конверсии, и для принципа минимизации данных GDPR.

Покупка или аренда готовых баз для холодных рассылок физлицам - вне закона в логике GDPR: нет основания писать людям, которые не давали согласия именно вам. Для B2B-аутрича логика отдельная (см. ниже), но для потребительских баз правило жёсткое.

Что работает, когда согласие уже получено

Compliance - фундамент, но не гарантия открываемости. Как только адрес легально в базе, встаёт вопрос вовлечённости - и здесь помогают проверенные поведенческие триггеры, а не креативность ради креативности. По данным Worldata (2021):

  • Формулировка «только для подписчиков email» повышает open rate на 14% - подписчик чувствует доступ к тому, чего нет у остальной аудитории.
  • Персонализация вроде «специально для вас» / «Just for [имя]» даёт +17% к open rate.
  • Countdown clock в теле письма даёт +22% к CTR, а часовые эмодзи (⏰, ⌛) в теме - +22-24% к open rate.

Оговорка из того же источника: срочность и эксклюзивность работают, только если они реальны. Повторяясь в каждом письме без разбора, приём считывается как манипуляция и оборачивается ростом отписок, что для GDPR-базы бьёт по репутации отправителя. Уместны такие триггеры в письме о реальном дедлайне, а не как постоянный шаблон темы - и надстраивать их стоит только на честной базе из раздела про opt-in выше.

B2B-нюанс - легитимный интерес

Для холодного B2B-контакта GDPR допускает отдельное основание - легитимный интерес (legitimate interest) - вместо явного согласия. Работает оно гораздо уже, чем принято думать.

Как правило, легитимный интерес применим, если контакт релевантен роли получателя, отказаться от контакта просто уже в первом письме, и вы можете обосновать баланс интересов.

Важная оговорка: несколько стран EU вводят более строгие национальные правила поверх общего GDPR. Германия - характерный пример: холодный email и телефонный контакт с юрлицами там, как правило, требуют более строгого подхода, чем в среднем по EU. Перед запуском аутрича в конкретную страну сверьтесь с локальной практикой. Подробнее - в статье про холодный email и LinkedIn-аутрич в EU.

Инструменты и хранение данных

Любой ESP, обрабатывающий данные подписчиков, по GDPR - обработчик данных (data processor), и с ним нужен договор об обработке данных (DPA). Если такого документа нет на сайте ESP - красный флаг.

Хостинг внутри EU, как правило, комфортнее с точки зрения data residency и снимает вопросы о трансграничной передаче данных, хотя это не единственный законный вариант.

Отдельно документируйте правовое основание для каждого сегмента базы: «подписчики newsletter» - на согласии, «B2B-контакты для холодного аутрича» - на легитимном интересе.

Это общее описание практики, а не юридическая консультация. Пороги ответственности и трактовку легитимного интереса в вашей юрисдикции стоит проверять с юристом, специализирующимся на GDPR.

С чего начать на практике

  1. Определите правовое основание для каждого сегмента базы ещё до первой отправки - согласие для маркетинговых рассылок, легитимный интерес для точечного B2B-аутрича с опцией отказа.
  2. Настройте double opt-in на всех формах подписки - не обязательное по букве требование, но самая надёжная защита с точки зрения доказуемости согласия.
  3. Постройте audit trail согласий - дата, время, источник и формулировка согласия для каждого адреса в CRM/ESP.
  4. Проверьте DPA вашего ESP - убедитесь, что документ существует и покрывает те данные, которые вы реально собираете.
  5. Только после этого добавляйте персонализацию и urgency-триггеры в темы писем - на базе, где основание согласия уже зафиксировано.

Похожий вопрос - что делать, если база уже собрана без всего этого - разбираем в статье про email-маркетинг для B2B в EU. А если письма технически не доходят до inbox даже при чистой базе - смотрите разбор email deliverability в B2B EU.