GDPR and Email Marketing

GDPR (General Data Protection Regulation) is the EU regulation on personal data protection, enforceable since 25 May 2018. It applies to any organization that processes data of EU residents, regardless of where the organization is based. An email address qualifies as personal data under GDPR because it can identify a natural person directly or indirectly. Every operation with email addresses — collection, storage, segmentation, sending — falls under the regulation.

Legal Bases for Email Sending

GDPR defines six legal bases for data processing. Two are relevant for email marketing: consent and legitimate interest.

Consent must be freely given, specific, informed, and unambiguous. A pre-ticked checkbox does not count. Bundling consent with a purchase or service agreement does not count either — subscribing to a newsletter and buying a product are separate actions requiring separate opt-ins.

Legitimate interest allows limited marketing to existing customers — for example, emailing a buyer about similar products. However, the controller must perform a balancing test documenting that the business interest does not override the individual’s rights. Cold outreach to purchased lists does not survive this test.

Consent Collection Requirements

The subscriber must take an affirmative action: tick an unchecked box, click a subscribe button, type their address into a clearly labeled form. Silence, inactivity, or navigating to another page cannot constitute consent.

You must store proof: the date and time of consent, the IP address, the exact text of the form at the moment of subscription, and the version of your privacy policy. If a supervisory authority asks, you must be able to demonstrate that consent was obtained correctly.

Double opt-in is not explicitly mandated by GDPR, but data protection authorities in Germany and Austria treat it as the de facto standard. The confirmation click proves that the address owner actually initiated the subscription. Without it, anyone can subscribe someone else’s address.

Subscriber Rights

Right to withdraw consent. Unsubscribing must be as easy as subscribing. If a one-click form was enough to opt in, a five-step process to opt out violates the regulation. Every marketing email must contain a working unsubscribe link.

Right of access. Upon request, you must provide the person with all data you hold: email, subscription date, mailing history, segments. Response deadline: 30 days.

Right to erasure. The person can request deletion of all their data. In practice, the address should be moved to a suppression list rather than deleted entirely. Otherwise, it can re-enter the database through a new import, and you end up mailing someone who explicitly asked you to stop.

Right to data portability. The individual can request their data in a machine-readable format (CSV, JSON) for transfer to another service.

Penalties

Two tiers. For procedural violations (inadequate record-keeping, missing data processing agreements): up to 10 million EUR or 2% of global annual turnover, whichever is higher. For substantive violations (sending without consent, refusing erasure requests): up to 20 million EUR or 4% of turnover.

Enforcement varies by country. The Irish DPC, which oversees many tech companies, issued a 1.2 billion EUR fine to Meta in 2023. Smaller companies typically receive warnings or fines in the tens of thousands, but even a 50,000 EUR penalty can threaten a small business.

GDPR and Email Verification

Sending email verification requests to a third-party service involves transferring personal data to a data processor. Under Article 28, a Data Processing Agreement (DPA) must be in place. The processor must not retain addresses beyond what is needed for the verification task and must implement appropriate technical safeguards.

Cleaning an email list is itself a GDPR-aligned activity. Removing invalid addresses reduces the risk of mailing people who never consented. Suppression list management, bounce handling, and deduplication all contribute to minimizing unnecessary data processing — a core GDPR principle.

GDPR и email-маркетинг

GDPR (General Data Protection Regulation) — регламент Европейского союза о защите персональных данных, действующий с 25 мая 2018 года. Распространяется на любую организацию, обрабатывающую данные резидентов ЕС, вне зависимости от юрисдикции самой организации. Email-адрес признаётся персональными данными: он позволяет идентифицировать человека напрямую или косвенно. Сбор, хранение, сегментация и отправка писем — всё это обработка персональных данных.

Правовые основания для рассылок

Из шести правовых оснований GDPR для email-маркетинга применимы два: согласие и законный интерес.

Согласие должно быть свободным, конкретным, информированным и однозначным. Предзаполненный чекбокс — не согласие. Связка «нажимая Купить, вы соглашаетесь на рассылку» — тоже нет. Покупка и подписка — разные действия, каждое требует отдельного волеизъявления.

Законный интерес допускает ограниченный маркетинг существующим клиентам: например, предложение сопутствующих товаров покупателю. Требуется балансировочный тест, документально подтверждающий, что интерес компании не перевешивает права субъекта. Холодные рассылки по купленным базам этот тест не проходят.

Требования к сбору согласий

Подписчик должен совершить активное действие: поставить галочку, нажать кнопку, ввести адрес в явно обозначенную форму. Молчание, бездействие или переход на другую страницу согласием не являются.

Обязательно хранить доказательства: дату и время, IP-адрес, текст формы на момент подписки, версию политики конфиденциальности. По запросу регулятора вы должны продемонстрировать корректность получения согласия.

Double opt-in формально не требуется GDPR, но надзорные органы Германии и Австрии рассматривают его как стандарт. Клик подтверждения доказывает, что владелец ящика действительно инициировал подписку. Без него любой может подписать чужой адрес.

Права подписчиков

Отзыв согласия. Отписка должна быть не сложнее подписки. Если для подписки хватило одного клика, отписка не может требовать пять шагов. Ссылка на отписку обязательна в каждом маркетинговом письме.

Доступ к данным. По запросу необходимо предоставить все хранимые данные: email, дату подписки, историю рассылок, принадлежность к сегментам. Срок ответа — 30 дней.

Удаление данных. По запросу все данные должны быть удалены. На практике адрес переносится в suppression list, а не удаляется полностью. Иначе при следующем импорте он попадёт в базу заново, и вы отправите письмо человеку, который просил этого не делать.

Переносимость данных. Субъект может запросить свои данные в машиночитаемом формате (CSV, JSON) для передачи другому сервису.

Штрафы

Два уровня. Процедурные нарушения (недостаточное документирование, отсутствие DPA): до 10 млн EUR или 2% мирового годового оборота. Существенные нарушения (рассылка без согласия, отказ в удалении данных): до 20 млн EUR или 4% оборота.

Практика различается по странам. Ирландская DPC оштрафовала Meta на 1,2 млрд EUR в 2023 году. Небольшие компании чаще получают предписания или штрафы в десятки тысяч евро, но даже 50 000 EUR ощутимы для малого бизнеса.

GDPR и верификация email

Передача адресов стороннему сервису валидации — это передача персональных данных процессору. По статье 28 GDPR необходимо заключить Data Processing Agreement (DPA). Процессор не вправе хранить адреса дольше, чем требуется для выполнения проверки, и обязан обеспечить соответствующие технические меры защиты.

Очистка базы сама по себе соответствует принципам GDPR. Удаление невалидных адресов снижает риск рассылки людям, не дававшим согласия. Управление suppression-листом, обработка bounce-адресов, дедупликация — всё это минимизирует избыточную обработку данных, что является одним из ключевых требований регламента.