Toplantı başına %73 daha düşük maliyet · 7 günde yayında · 5 pazarda 50+ şirket Ücretsiz GTM analizini al →
← Tüm oyunlar
GDPRDeliverability

GDPR Kapsamında Cold Email Yasal mı? 2026 Operatör Rehberi

15 Haziran 2026 · 6 dk okuma · yazan Ahmet Faruk Yilmaz, Asphia Kurucusu

GDPR Kapsamında Cold Email Yasal mı? 2026 Operatör Rehberi

Özet

Evet. İlgili business rolleri hedefler, legitimate interest'e dayanır ve gerçek bir opt-out sunarsan B2B cold email GDPR kapsamında yasaldır. Asıl mesele doğru targeting, suppression ve bunları kanıtlayan kayıtlardır.

Evet, cold email GDPR kapsamında yasaldır. Doğru rolleri hedefleyen ve gerçek bir opt-out sunan B2B outbound, consent yerine legitimate interest’e dayanır. Zor kısım hukuki dayanak değil. Kimi neden hedeflediğini, opt-out taleplerine uyduğunu ve kayıt tuttuğunu kanıtlamaktır. Avrupa’daki müşterilerimiz için kullandığımız çerçeve bu.

GDPR kişisel veri işlemek için 6 hukuki dayanak verir. B2B cold email için önemli olan legitimate interest’tir (Article 6(1)(f) of the GDPR regulation).

İlgili bir iş problemi hakkında doğru decision-maker’a e-posta atmak için önceden consent alman gerekmez. Savunabileceğin bir neden, minimum veri ve kolay bir çıkış yeterlidir.

Legitimate interest’i ayakta tutan 3 koşul:

  • Purpose: Bu kişiye ulaşmak için gerçek bir ticari nedenin vardır.
  • Necessity: Bu kişiye doğrudan ulaşmak, amacın için makul bir yöntemdir.
  • Balance: Ticari çıkarın, alıcının haklarından ve makul beklentilerinden daha ağır basmaz.

Bir founder’ın CFO’ya satış kapanış süresini kısaltan bir araç sunması bu çerçeveye uyar. 50,000 kişisel Gmail adresine crypto mesajı göndermek uymaz. Sınırı hacim değil, relevance belirler.

Her teklif için bir kez Legitimate Interest Assessment, yani LIA, hazırla. Kimi neden hedeflediğini ve olası zararı nasıl sınırladığını yaz. Bir sayfa yeter. Regülatör sorarsa sunarsın. Çoğu ekip bu adımı atlıyor. Oysa maliyeti en düşük önlemlerden biri.

Roll Safe memi: meşru menfaatini belgelersen GDPR soğuk mail cezasına takılmazsın LIA bir sayfa. Onu atlamanın bedeli bir sayfadan çok daha fazla.

GDPR ve ePrivacy Directive: Tek Kanun Değil, İki Kanun

“Cold email legal mi?” sorusundaki karışıklığın çoğu, iki farklı kuralı birbirine karıştırmaktan gelir.

GDPR, kişisel verileri nasıl işlediğini düzenler. ePrivacy Directive ise elektronik pazarlama mesajlarını kapsar ve her AB ülkesi tarafından farklı uygulanır. Cold email her iki düzenlemeye de tabidir.

BoyutGDPRePrivacy (ulusal hukuk)
Ne kapsarKişisel veri işlemeMarketing mesajları gönderimi
B2B email varsayılanıLegitimate interest izinliÇoğu yerde izinli, ülkeye göre değişir
B2C email varsayılanıDaha sıkı, consent’e yaslanConsent genelde gerekir
Detayı kim belirlerAB çapında regülasyonHer üye ülke
Opt-out kuralıİtiraz hakkıUnsubscribe’a uyulmalı

Pratikte GDPR, AB genelinde büyük ölçüde tutarlıdır. ePrivacy uygulaması ise ülkeye göre değişir. Hukuki dayanağın sağlam olsa bile her ülkenin gönderim kurallarını ayrıca kontrol etmelisin.

Oyunu Değiştiren Ülke Kuralları

Beş dilde gönderim yapıyoruz: English, Dutch, German, Arabic ve Turkish. Kurallar her pazarda aynı değil. Dikkat edilmesi gereken ülkeler şunlar:

  • Germany (UWG): Bizim için en sıkı pazar. Alman mahkemeleri, istenmeyen B2B e-postaları önceden consent veya çok dar kapsamlı bir existing interest gerekçesi arayacak şekilde yorumlamıştır. Bu pazarda targeting’i daraltır, warm signal’lara ağırlık veririz. Almanya’yı Netherlands gibi ele alma.
  • Netherlands: B2B iletişime daha açık. Doğru targeting ve net bir opt-out ile legitimate interest iyi çalışır. Deliverability’nin en yüksek olduğu pazarlarımızdan biridir.
  • France (CNIL): Mesaj alıcının mesleğiyle ilgiliyse B2B cold email göndermek mümkündür. Role relevance testi açık olduğu için toplu ve alakasız gönderimler cezalandırılır.
  • Austria: Almanya’ya yakındır. Consent’e daha yakın bir pazar gibi davran.
  • UK (UK GDPR plus PECR): Brexit sonrasında da pratik büyük ölçüde benzer. Corporate subscribers, yani şirketler ve LLP’ler, legitimate interest kapsamında e-posta alabilir. Sole trader ve partnership’ler B2C benzeri korumaya tabidir.

Genel tablo net. Kuzey ve Batı Avrupa’daki B2B pazarları legitimate interest’i kabul eder. Almanca konuşulan pazarlar daha güçlü kanıt ve daha sıkı relevance ister. Bu farkı e-postanın altındaki disclaimer’a değil, segmentation’a yansıt.

”Compliant Cold Email” Gerçekte Ne Gerektirir?

Hukuki dayanak şartlardan yalnızca biri. Aşağıdakiler de her kampanyada uygulanır.

Savunabileceğin Targeting

  • ICP’ne uyan şirketlerde, teklifinle doğrudan ilgili rollere e-posta at.
  • Scrape edilmiş kişisel adresler yerine business email kullan. 200 kişilik bir firmadaki CFO’ya ulaşabilirsin. Kişisel Gmail adresine ulaşma.
  • Relevance ilk satırdan belli olsun. Neden özellikle bu kişiye yazdığını açıklayamıyorsan gönderme.

Kimlik ve Şeffaflık

  • Gerçek bir domain, isim ve signature kullan. Spoofing ve sahte alias kullanma.
  • Kim olduğunu ve neden ulaştığını açıkla. Tek cümle yeter.
  • Veriyi nereden aldığını ve legitimate interest dayanağını açıklayan bir privacy notice’a link ver.

Opt-out ve Suppression

  • Her e-postada açık ve çalışan bir opt-out bulunsun. Düz bir cümle, 6 piksellik “unsubscribe” butonundan iyidir.
  • İtirazları hemen ve kalıcı olarak uygula. Tüm tool ve inbox’lar tek bir global suppression listesi kullansın.
  • Smartlead’deki bir opt-out, Heyreach’te de o kişiyi bloklamalı. Silolar complaint üretir.

Data Minimization ve Retention

  • Yalnızca gereken verileri tut: isim, rol, şirket, business email ve personalizasyon sinyali.
  • Veri biriktirme. Hiç engagement göstermeyen kişileri ve opt-out veren herkesi sil. Opt-out kayıtlarını yalnızca do-not-contact işareti olarak sakla.
  • Access ve deletion taleplerini karşılayabilmelisin. Yapamıyorsan compliant değil, yalnızca şanslısın.

Asphia’da GDPR-Native Outbound Nasıl Çalışıyor?

Compliance, en sonda işaretlediğimiz bir checkbox değil. Sistemin içine kurduğumuz bir katman. Kullandığımız stack ve akış şöyle:

  1. Source and enrich işlemlerini Clay ve Apollo’da yapıyoruz. Rol, şirket ve personalizasyon sinyalini alıyoruz. Kişisel adresleri scrape etmiyoruz.
  2. Country bazında segment ediyoruz. Bunu ilk e-posta çıkmadan önce yapıyoruz. Germany ve Austria için daha sıkı kurallar ve daha sıcak sinyaller kullanıyoruz. Netherlands ve France ise standart legitimate interest ile ilerliyor.
  3. Send sürecinde e-posta için Sendkit ve Manyreach, rotation ve warmup için Smartlead ve Instantly kullanıyoruz. LinkedIn tarafı GetSales ve Heyreach üzerinden ilerliyor.
  4. Globally suppress ediyoruz. Tek opt-out listesi tüm tool’lara aktarılıyor. Bir kez itiraz eden kişi her kanaldan çıkarılıyor.
  5. Her şeyi logluyoruz: veri kaynağı, hukuki dayanak, gönderim zamanları ve opt-out event’leri. Bir DPA sorarsa dakikalar içinde kayıtları sunabiliyoruz.

Gerçek client campaign’lerinde “blast and pray” yaklaşımını tight targeting ile karşılaştırdık. Tight targeting hem reply rate’te hem complaint rate’te daha iyi sonuç verdi. Compliance ile performance arasında tradeoff yok. Daha az complaint, daha iyi deliverability ve daha fazla booked meeting getiriyor.

Bir de iş modelinin etkisi var. Client’larımız activity için değil, booked meeting için ödeme yapıyor. Bu model, incentive ile compliance’ı aynı yönde tutuyor. Spam, ciddi buyer’lardan meeting getirmez. Domain’e ve brand’e zarar verir. Yalnızca outcome üzerinden ücret aldığında hedefi daraltırsın. GDPR’ın istediği de budur. Süreci uçtan uca yönetmek isteyen ekipler, GDPR-compliant cold email agency modelinde bu şartları nasıl operasyona çevirdiğimizi görebilir.

Seni Gerçekten Sıkıntıya Sokacak 5 Hata

Sender reputation’ı düşüren ve complaint üreten beş hata var.

  • AB’nin tamamını tek pazar sanmak. Germany, Netherlands değildir. Segment et ya da bedelini öde.
  • Tek tool suppression. Birisi e-postadan çıkar ama sonra LinkedIn request alır. Bu doğrudan complaint üretir.
  • Kağıt izi olmaması. Hukuki dayanağını ve data source’unu gösteremiyorsan, “bana güven” savunma değildir.
  • Kişisel inbox’lar ve alakasız kontaklar. Scrape edilmiş Gmail listeleri regülatör dikkatini çekmenin en kısa yoludur.
  • Gizli veya bozuk opt-out. Tek tık yap. Hemen uymak, her türlü cezadan ucuzdur.

GDPR kapsamında cold email göndermek için ilgili business rolleri legitimate interest ile hedefle, country bazında segment et, global suppression uygula ve kayıt tut. Böylece hem compliant kalır hem de daha sağlam bir outbound sistemi işletirsin. B2B cold email agency in the UK ve Netherlands ekiplerimiz de bu çerçevede çalışır.

Ücretsiz kaynak

Sinyal sıralaması mailine gelsin.

Kime soğuk email atacağımıza karar vermek için sinyalleri S'den D'ye sıralıyoruz. Listeyi bir kez gönderiyoruz. Sonrasında başka mail yok.

Sık sorulan sorular

GDPR altında cold email yasak mı?

Hayır. Teklifinle ilgili rolleri hedefliyor ve her mesajda açık bir opt-out sunuyorsan B2B cold email GDPR kapsamında yasaldır.

Avrupa'da cold email göndermeden önce consent gerekir mi?

Çoğu B2B e-posta için gerekmez. GDPR, legitimate interest'i hukuki dayanak olarak kabul eder. Consent daha çok B2C iletişimde ve Almanya ile Avusturya gibi daha sıkı ülkelerde gerekir.

Name@company.com gibi kişisel görünen bir iş adresine cold email atabilir miyim?

Evet. Adres şirketteki belirli bir role aitse ve teklifin o rolle ilgiliyse gönderebilirsin. Ücretsiz kişisel adreslere ve daha önce opt-out vermiş kişilere gönderme.

Legitimate Interest Assessment nedir ve cold email için gerçekten gerekir mi?

Legitimate Interest Assessment, yani LIA, kimi neden hedeflediğini ve olası zararı nasıl sınırladığını açıklayan kısa bir kayıttır. Belirli bir template kullanmak zorunda değilsin. Ancak bir regülatör veya alıcı itiraz ederse elindeki en güçlü savunma budur. Bir sayfa yeter.

GDPR altında cold email prospecting verisini ne kadar tutabilirim?

GDPR, data minimization ve storage limitation ister. Lead kayıtlarını yalnızca geçerli bir ticari neden bulunduğu sürece tut. Çoğu uygulayıcı, 12 ila 24 ay boyunca engagement göstermeyen kayıtları kullanımdan kaldırır. Opt-out kayıtlarını kalıcı olarak suppression listesinde tut. Böylece veri yenilense bile aynı kişiye tekrar ulaşmazsın.

GDPR cold email compliance küçük işletmeler ve enterprise için farklı mı?

Kurallar şirket büyüklüğüne göre değişmez. Değişen, denetim riskidir. Yüksek gönderim hacmi daha fazla dikkat çeker. Doğru targeting, düşük complaint rate ve suppression listesiyle çalışan küçük göndericiler regülatörlerin dikkatini nadiren çeker. LIA, opt-out ve şeffaflık şartları her ölçekte geçerlidir.

Ahmet Faruk Yilmaz, Asphia kurucusu

Ahmet Faruk Yilmaz

Asphia kurucusu. Küçük ekipler için sinyal bazlı B2B outbound motorları kurar ve çalıştırır, beş pazardaki şirketlerle toplantı ayarladı. Soğuk e-posta, Clay, teslim edilebilirlik ve GTM mühendisliği üzerine yazıyor.

Bunu senin için çalıştıralım mı?

Ücretsiz GTM analizini al. Kuracağımız motoru tam olarak gösteririz.

Ücretsiz GTM analizini al →