GDPR och cold email: vad B2B-företag faktiskt får skicka
Sökningar på gdpr mail och gdpr mejl ger sällan ett rakt svar, för frågan blandar ihop två olika regelverk. Den här artikeln går igenom vilken laglig grund som gäller när du maila personuppgifter till ett företag, vad som är tillåtet att samla in och skicka till en gdpr mailadress, och var gränsen går mot regelrätt spam. Målet är att du ska kunna köra riktad B2B-utskick utan att ligga i gråzonen.
- Berättigat intresse (Art. 6.1.f GDPR) är den vanligaste lagliga grunden för B2B cold email, inte samtycke
- Jobbmail kopplad till en roll (namn@företag.se) är personuppgifter och omfattas fullt av GDPR
- Du måste informera mottagaren om vem du är och varifrån uppgifterna kommer redan i första mailet
- Avregistrering ska vara enkel och respekteras omedelbart — det är en absolut rättighet enligt Art. 21
- Marknadsföringslagen och LEK reglerar själva utskicket parallellt med GDPR — båda måste följas
GDPR och mail: två regelverk som blandas ihop
Den som söker på gdpr mail eller gdpr mejl vill oftast ha ett enkelt ja eller nej. Verkligheten är att två separata regelverk styr B2B-utskick samtidigt, och de svarar på olika frågor.
GDPR (dataskyddsförordningen) reglerar behandlingen av personuppgifter — att du sparar ett namn, en titel och en gdpr mailadress i ett CRM kräver en laglig grund, oavsett om du någonsin skickar ett mail. Marknadsföringslagen och lagen om elektronisk kommunikation (LEK), som är Sveriges implementering av EU:s e-privacy-direktiv, reglerar istället själva utskicket: får du kontakta den här personen med kommersiellt innehåll överhuvudtaget.
Skillnaden är viktig eftersom LEK är betydligt strängare mot privatpersoner än mot företag. Riktad marknadsföring till en namngiven yrkesroll hos ett företag, i ärenden som rör den personens arbete, hamnar i en mer tillåtande kategori än masskampanjer till privata konsumentadresser. Det är därför B2B cold email fortfarande är lagligt i Sverige och EU, förutsatt att du hanterar GDPR-delen korrekt.
Vilken laglig grund gäller när du maila personuppgifter i B2B?
För att lagligt maila personuppgifter, det vill säga behandla namn, titel och kontaktuppgifter i en kampanj, behöver du en av GDPR:s lagliga grunder. I B2B-sammanhang är berättigat intresse (Art. 6.1.f) den grund som faktiskt används i praktiken — inte samtycke, som ofta antas felaktigt.
Berättigat intresse kräver en trestegsbedömning: att du har ett legitimt affärsintresse (att sälja B2B till relevanta beslutsfattare räknas), att behandlingen är nödvändig för det syftet, och att en intresseavvägning mot mottagarens rättigheter faller ut till din fördel. En yrkesmail kopplad till en professionell roll, med relevant affärsinnehåll för den rollen, väger normalt lättare än ett privat sammanhang eftersom personen agerar i tjänsten.
Två skyldigheter följer med grunden. Enligt Art. 14 måste du informera mottagaren — redan i första mailet — om vem du är, varifrån uppgifterna kommer och att de har rätt att invända. Enligt Art. 21 har mottagaren en absolut rätt att invända mot direktmarknadsföring när som helst, och du måste sluta behandla uppgifterna för det syftet så fort invändningen kommer in.
Vad får du samla in och skicka till en jobbmail?
Dataminimering är kärnan i GDPR: samla bara in det som faktiskt behövs för utskicket. För en typisk B2B-kampanj räcker det med namn, titel, företag och gdpr mailadress kopplad till rollen.
- Tillåtet: namn, jobbtitel, företagsnamn, arbetsmail, offentligt tillgänglig LinkedIn-information kopplad till yrkesrollen
- Tillåtet med försiktighet: direktnummer till kontoret, om det är publicerat i ett affärssammanhang
- Inte tillåtet utan separat grund: personnummer, privat mailadress, privat mobilnummer inhämtat via köpta listor utan känd källa
- Aldrig: känsliga personuppgifter (hälsa, facklig tillhörighet, politisk uppfattning) — dessa har inget med B2B-outreach att göra och saknar laglig grund helt
- Undvik listor från oklara datamäklare där du inte kan redogöra för ursprunget om mottagaren frågar
Så ser siffrorna ut i en GDPR-anpassad B2B-kampanj
En kampanj som sköts enligt reglerna ovan syns i statistiken — inte bara i juridiken. Avregistreringar hanteras direkt, klagomål är sällsynta och svarsfrekvensen håller sig på normala B2B-nivåer eftersom mottagarna faktiskt är relevanta för erbjudandet.
Siffrorna är indikativa och baserade på praxis från riktade B2B-kampanjer, inte en formell studie.
Vanliga misstag som gör ett B2B-mail till ett GDPR-problem
De flesta GDPR-problem i cold email uppstår inte av att man mailar företag, utan av hur listan byggdes och hur mailet är utformat.
- Köpa oidentifierade adresslistor utan att kunna redogöra för källan — du kan inte göra en intresseavvägning på data du inte vet ursprunget till
- Ingen avregistreringslänk eller ett svar som ignoreras — bryter direkt mot Art. 21
- Inget om vem avsändaren är eller varifrån mottagarens gdpr mailadress kommer — bryter mot informationsplikten i Art. 14
- Spara kontaktdata på obestämd tid efter att kampanjen avslutats, utan gallringsrutin
- Behandla privata mailadresser (gmail, hotmail) som var de arbetsmail, bara för att personen råkar jobba på ett relevant företag
- Blanda ihop B2C-taktik (samtyckesbanners, opt-in-formulär) med B2B-outreach där berättigat intresse är den faktiska grunden
Checklista: så jobbar LDM med GDPR i cold email
På plattformsnivå går GDPR in i hur kampanjer faktiskt byggs, inte bara i en policy-text. Så här ser en rimlig arbetsordning ut för den som vill maila personuppgifter tryggt i B2B.
- Bygg listan från källor du kan redogöra för — bolagsregister, publik yrkesinformation, egen research, inte oidentifierade databroker-listor
- Ha en avsändaridentitet, fysisk adress och tydlig avregistreringslänk i varje mail
- Logga invändningar och avregistreringar i CRM så att personen aldrig kontaktas igen för samma syfte
- Sätt en gallringsrutin — radera eller anonymisera kontakter som inte konverterat efter en definierad period
- Undvik personnummer och privata kontaktvägar helt i B2B-listor
- Låt intresseavvägningen vara dokumenterad, inte bara underförstådd, så att den håller om en mottagare eller IMY frågar
Vanliga frågor
Behöver jag samtycke för att skicka cold email till företag i Sverige?
Nej, inte som huvudregel. B2B-mail till en yrkesroll baseras normalt på berättigat intresse (Art. 6.1.f GDPR), inte samtycke. Samtycke krävs i praktiken bara vid konsumentmarknadsföring eller när avvägningen faller ut till mottagarens fördel.
Får jag skicka till generella adresser som info@ eller sales@?
Ja, generiska funktionsadresser räknas ofta inte som personuppgifter alls eftersom de inte pekar ut en identifierad individ. De är ändå sämre för svarsfrekvens än ett namngivet mail till rätt beslutsfattare.
Hur länge får jag spara kontaktuppgifter jag hittat på LinkedIn?
Så länge det finns ett aktivt, dokumenterat syfte — normalt kampanjens längd plus en rimlig uppföljningsperiod. Utan gallringsrutin och utan att personen svarat eller konverterat blir lagringen svår att motivera efter några månader.
Vad händer om mottagaren svarar avregistrera mig?
Du måste sluta behandla uppgifterna för marknadsföringssyftet omedelbart, enligt Art. 21. Bäst praxis är att logga det i CRM så att kontakten aldrig läggs till i en ny kampanj av misstag.
Gäller GDPR även om jag mailar svenska företag från ett annat land?
Ja. GDPR gäller så fort personuppgifter om personer i EU behandlas, oavsett var avsändaren är etablerad. Skickar du till en gdpr mailadress hos ett svenskt bolag från exempelvis USA eller Storbritannien gäller samma regler som för en avsändare inom EU.
Räcker det med en avregistreringslänk för att vara GDPR-compliant?
Nej, det är en nödvändig men inte tillräcklig del. Du behöver också laglig grund för behandlingen, information om avsändare och datakälla, samt en gallringsrutin — avregistreringslänken hanterar bara rätten att invända.
Vill du använda det här i din outreach?
Vi visar hur det fungerar för ditt segment och din produkt — innan arbetet börjar.
Prata med oss