База email-подписчиков - owned asset: канал, который принадлежит вам, а не алгоритму соцсети. Если вы только запускаете email-маркетинг для EU-рынка, у вас есть шанс сделать всё правильно с первого письма - а не переделывать базу через полгода, когда придёт жалоба от надзорного органа. Сбор базы под GDPR и построение email-маркетинга - одно решение, а не два отдельных проекта: разделить их во времени почти всегда дороже.
Ключевое требование - explicit opt-in
GDPR требует явного, информированного согласия до того, как адрес человека попадёт в вашу базу для маркетинговых рассылок. Это юридическое основание, на котором держится вся последующая коммуникация.
На практике это значит:
- Согласие - активное действие: отдельный чекбокс, который человек ставит сам. Предзаполненные чекбоксы не считаются валидным согласием.
- Формулировки вроде «используя сайт, вы соглашаетесь на рассылку» не работают: согласие на маркетинг отделено от согласия на условия использования сервиса.
- Человек должен понимать, что вы будете присылать и как часто, хотя бы в общих чертах.
Double opt-in - подтверждение адреса переходом по ссылке в письме - стал практическим стандартом не потому, что GDPR прямо требует именно эту схему, а потому что это лучший способ доказать: согласие дал сам владелец адреса. Single opt-in при проверке или споре защитить сложнее.
Что обязательно в каждом письме
- Понятная идентификация отправителя. Имя компании и реальный обратный адрес - не безликий no-reply.
- Простой механизм отписки. Ссылка «отписаться» работает в один клик, без входа в аккаунт и вопросов «почему вы уходите». Чем больше трения, тем выше юридический и репутационный риск.
- Запись о согласии. Дата, время, источник и формулировка чекбокса на момент подписки. Без неё доказать легитимность базы при проверке почти невозможно.
Как собирать базу правильно
Лид-магниты работают, если формулировка согласия честная и конкретная - не «получить материал», а «получить материал и подписаться на рассылку по теме X примерно раз в неделю». Чем точнее ожидание, тем ниже отписки и жалобы на спам в дальнейшем.
Длинные формы регистрации снижают конверсию и создают соблазн собрать лишние данные. Progressive profiling - минимум полей на первом контакте, остальное добирается на последующих касаниях - обычно лучше и для конверсии, и для принципа минимизации данных GDPR.
Покупка или аренда готовых баз для холодных рассылок физлицам - вне закона в логике GDPR: нет основания писать людям, которые не давали согласия именно вам. Для B2B-аутрича логика отдельная (см. ниже), но для потребительских баз правило жёсткое.
Что работает, когда согласие уже получено
Compliance - фундамент, но не гарантия открываемости. Как только адрес легально в базе, встаёт вопрос вовлечённости - и здесь помогают проверенные поведенческие триггеры, а не креативность ради креативности. По данным Worldata (2021):
- Формулировка «только для подписчиков email» повышает open rate на 14% - подписчик чувствует доступ к тому, чего нет у остальной аудитории.
- Персонализация вроде «специально для вас» / «Just for [имя]» даёт +17% к open rate.
- Countdown clock в теле письма даёт +22% к CTR, а часовые эмодзи (⏰, ⌛) в теме - +22-24% к open rate.
Оговорка из того же источника: срочность и эксклюзивность работают, только если они реальны. Повторяясь в каждом письме без разбора, приём считывается как манипуляция и оборачивается ростом отписок, что для GDPR-базы бьёт по репутации отправителя. Уместны такие триггеры в письме о реальном дедлайне, а не как постоянный шаблон темы - и надстраивать их стоит только на честной базе из раздела про opt-in выше.
B2B-нюанс - легитимный интерес
Для холодного B2B-контакта GDPR допускает отдельное основание - легитимный интерес (legitimate interest) - вместо явного согласия. Работает оно гораздо уже, чем принято думать.
Как правило, легитимный интерес применим, если контакт релевантен роли получателя, отказаться от контакта просто уже в первом письме, и вы можете обосновать баланс интересов.
Важная оговорка: несколько стран EU вводят более строгие национальные правила поверх общего GDPR. Германия - характерный пример: холодный email и телефонный контакт с юрлицами там, как правило, требуют более строгого подхода, чем в среднем по EU. Перед запуском аутрича в конкретную страну сверьтесь с локальной практикой. Подробнее - в статье про холодный email и LinkedIn-аутрич в EU.
Инструменты и хранение данных
Любой ESP, обрабатывающий данные подписчиков, по GDPR - обработчик данных (data processor), и с ним нужен договор об обработке данных (DPA). Если такого документа нет на сайте ESP - красный флаг.
Хостинг внутри EU, как правило, комфортнее с точки зрения data residency и снимает вопросы о трансграничной передаче данных, хотя это не единственный законный вариант.
Отдельно документируйте правовое основание для каждого сегмента базы: «подписчики newsletter» - на согласии, «B2B-контакты для холодного аутрича» - на легитимном интересе.
Это общее описание практики, а не юридическая консультация. Пороги ответственности и трактовку легитимного интереса в вашей юрисдикции стоит проверять с юристом, специализирующимся на GDPR.
С чего начать на практике
- Определите правовое основание для каждого сегмента базы ещё до первой отправки - согласие для маркетинговых рассылок, легитимный интерес для точечного B2B-аутрича с опцией отказа.
- Настройте double opt-in на всех формах подписки - не обязательное по букве требование, но самая надёжная защита с точки зрения доказуемости согласия.
- Постройте audit trail согласий - дата, время, источник и формулировка согласия для каждого адреса в CRM/ESP.
- Проверьте DPA вашего ESP - убедитесь, что документ существует и покрывает те данные, которые вы реально собираете.
- Только после этого добавляйте персонализацию и urgency-триггеры в темы писем - на базе, где основание согласия уже зафиксировано.
Похожий вопрос - что делать, если база уже собрана без всего этого - разбираем в статье про email-маркетинг для B2B в EU. А если письма технически не доходят до inbox даже при чистой базе - смотрите разбор email deliverability в B2B EU.