GDPR och leadslistor från LinkedIn: vad du faktiskt får göra
Många säljteam bygger leadslistor genom att kopiera namn, titel och företag från LinkedIn-profiler och sedan hitta eller gissa fram e-postadresser. Frågan om det här faktiskt är lagligt enligt GDPR dyker upp varje gång, särskilt när listan ska användas för cold email. Den här artikeln går igenom vad berättigat intresse kräver i praktiken och var gränsen går mellan tillåten B2B-prospektering och riskabel datainsamling.
- Berättigat intresse (artikel 6.1.f GDPR) är den normala rättsliga grunden för B2B cold email, inte samtycke.
- LinkedIns användarvillkor och GDPR är två separata regelverk — att följa det ena räcker inte för det andra.
- Rollbaserade uppgifter (namn, titel, företag) till relevanta mottagare innebär lägre risk än privata e-postadresser.
- Gratis b2b leads free-listor saknar ofta dokumenterad källa och grund, vilket är den vanligaste bristen vid en granskning.
- Tydlig avsändare, angivet syfte och en enkel avregistrering är minimikrav, inte tillval.
Varför LinkedIn-leads är en GDPR-gråzon i praktiken
Ett namn, en titel och ett företagsnamn räknas som personuppgifter så fort de kan kopplas till en identifierbar person — även när informationen är offentligt synlig på LinkedIn. Det är ett vanligt missförstånd att offentlig data automatiskt är fri att använda för valfritt syfte. Källan spelar mindre roll än vad man faktiskt gör med uppgifterna efteråt.
I praktiken samlar säljteam in leads b2b linkedin på tre sätt: manuellt genom att bläddra i profiler, med automatiserade scraping-verktyg, eller genom att köpa färdiga listor, ibland marknadsförda som b2b leads free. Alla tre metoderna kan vara GDPR-mässigt godtagbara eller problematiska beroende på hur uppgifterna hanteras därefter, inte bara på hur de samlades in.
Sverige har inget separat undantag för B2B jämfört med B2C i GDPR-texten. Det som gör B2B-utskick enklare i praktiken är att syftet (affärskontakt mellan företag) lättare uppfyller kraven för berättigat intresse, och att Integritetsskyddsmyndigheten (IMY) historiskt bedömt relevant affärskommunikation till yrkesroller mildare än masspåringar till privatpersoner.
Berättigat intresse: den rättsliga grunden för B2B cold email
GDPR artikel 6.1.f tillåter behandling av personuppgifter, inklusive att mejla dem, om ett berättigat intresse föreligger och inte överskuggas av mottagarens rättigheter. Skäl 47 i förordningen nämner direktmarknadsföring uttryckligen som ett exempel på ett legitimt intresse. Det innebär inte att allt är tillåtet — det innebär att grunden måste kunna motiveras och dokumenteras, en så kallad LIA (Legitimate Interest Assessment).
En LIA består av tre test. Syftestestet: finns ett konkret, verkligt affärssyfte, till exempel att erbjuda en relevant tjänst till någon i en roll som rimligen har mandat att bedöma den? Nödvändighetstestet: går syftet att uppnå utan att mejla just den personen, eller är kontakten den minst ingripande vägen? Balanstestet: väger företagets intresse tyngre än den enskildes rätt till integritet, med hänsyn till förväntningar och möjlig skada?
Utöver LIA gäller informationsplikten enligt artikel 13/14 — första mejlet ska tydligt ange vem som skickar, varför, och hur mottagaren kan invända. Rätten att invända (artikel 21) måste vara enkel att utöva, en synlig avregistreringslänk eller ett tydligt svarsalternativ räcker långt.
- Syftestest: finns ett konkret affärsskäl kopplat till mottagarens yrkesroll?
- Nödvändighetstest: är e-post den minst ingripande vägen till kontakt?
- Balanstest: väger nyttan tyngre än integritetsrisken för mottagaren?
- Informationsplikt: avsändare, syfte och avregistrering ska framgå redan i första mejlet.
Så bygger du en leadslista från LinkedIn steg för steg
Lead generation b2b linkedin fungerar bäst när insamlingen redan från början är avgränsad till det som faktiskt behövs. Börja med att definiera exakt vilken roll erbjudandet riktar sig till, till exempel inköpschefer eller CFO:er i ett specifikt segment, snarare än att skrapa breda listor och filtrera i efterhand.
Samla endast professionell information: namn, titel, företag och om möjligt en verifierad företagsdomän för e-post. Undvik att gissa fram privata Gmail- eller Hotmail-adresser kopplade till en person, det ökar både bounce-risken och den juridiska exponeringen eftersom kopplingen till en yrkesroll försvagas.
Verifiera e-postadresser separat innan utskick, dokumentera varför just detta segment kontaktas (spara LIA-anteckningen internt), och håll volymen per avsändardomän låg och personaliserad snarare än massutskick i ett svep.
Siffrorna är indikativa uppskattningar från praktisk granskning av leadslistor inför riktade B2B-kampanjer, inte en formell studie.
Benchmark: vad en laglig, väl riktad kampanj ger för resultat
En leadslista byggd enligt principerna ovan presterar oftast bättre än en bred, köpt lista, eftersom relevans och GDPR-efterlevnad hänger ihop. Träffsäker rollmatchning ger färre klagomål och lägre avregistreringsfrekvens, vilket i sin tur skyddar avsändardomänens rykte hos mottagande mejlservrar.
Riktade kampanjer mot verifierade b2b-leads brukar ligga i intervallet 3–8 procent i reply rate, medan breda listor från gratiskällor eller okontrollerad skrapning ofta hamnar under 1 procent och samtidigt genererar fler spam-klagomål.
Intervallen är indikativa och bygger på praxis från riktade B2B cold email-kampanjer, inte en garanterad prognos för alla branscher.
Vanliga misstag som gör en leadslista till en GDPR-risk
De flesta problem uppstår inte vid själva insamlingen från LinkedIn, utan i hur listan hanteras efteråt: ingen dokumentation, ingen avgränsning, och ingen enkel väg ut för mottagaren.
- Skrapa hela profiler automatiserat i strid med LinkedIns användarvillkor — ett kontraktsbrott separat från GDPR, men som ökar den samlade risken.
- Köpa eller ladda ner b2b leads free-listor utan att veta hur och när uppgifterna samlades in.
- Mejla privatpersoner eller egenföretagare som om de vore anonyma företagsroller, utan koppling till en yrkesrelevant kontext.
- Utelämna avsändarens identitet, syfte eller avregistreringsmöjlighet i första kontakten.
- Behålla leads på obestämd tid utan att rensa personer som inte svarat eller som bytt roll/företag.
Checklista: så arbetar LDM med leadslistor från LinkedIn
I riktade B2B-kampanjer utgår LDM alltid från en snäv, dokumenterad målgrupp snarare än en bred, köpt massalista. Varje segment kopplas till ett konkret syfte som håller för ett balanstest, och kontakten sker i låg volym med personalisering per mottagare, inte massutskick från en enda domän.
Praktiskt innebär det verifierade företagsmejl istället för gissade privata adresser, en tydlig avsändaridentitet och företagsuppgift i varje mejl, en enkel avregistrering redan i första kontakten, och löpande rensning av listan när personer bytt roll eller uttryckligen tackat nej.
- Definiera målgrupp per roll och syfte innan insamling påbörjas.
- Samla endast professionell info: namn, titel, företag, verifierad företagsdomän.
- Dokumentera LIA internt för varje kampanj/segment.
- Ange avsändare, syfte och avregistrering i första mejlet.
- Håll volym per domän låg och personalisera varje utskick.
Vanliga frågor
Är det lagligt att skrapa e-postadresser från LinkedIn?
Automatiserad, storskalig skrapning bryter oftast mot LinkedIns användarvillkor, vilket är en separat fråga från GDPR. Manuell eller begränsad insamling av professionell information för ett dokumenterat affärssyfte är den lägre risk-vägen.
Behöver jag samtycke för att maila B2B-kontakter?
Nej, i de flesta fall räcker berättigat intresse enligt artikel 6.1.f som rättslig grund för relevant B2B cold email. Samtycke krävs typiskt vid marknadsföring till privatpersoner eller vid känsligare kategorier av data.
Vad är berättigat intresse i praktiken?
Det är en avvägning i tre steg: att syftet är konkret, att kontakten är nödvändig för att uppnå syftet, och att nyttan för avsändaren väger tyngre än integritetsrisken för mottagaren. Avvägningen bör dokumenteras internt som en LIA.
Får jag använda gratis b2b leads free-listor?
Tekniskt går det, men risken är hög eftersom källan och insamlingsgrunden sällan går att verifiera. Om listan inte kan kopplas till ett dokumenterat syfte och en lagenlig grund bär avsändaren ansvaret vid en eventuell granskning.
Vad händer om mottagaren klagar eller begär radering?
Personen ska tas bort från listan skyndsamt, i praktiken inom några dagar, och begäran ska dokumenteras. Att ha en tydlig process för det här är en del av att kunna visa efterlevnad om IMY frågar.
Gäller GDPR även om jag mejlar internationella kontakter från Sverige?
Ja, GDPR gäller för behandlingen som sker hos avsändaren oavsett var mottagaren befinner sig, och mottagarens lokala dataskyddslag kan tillkomma som ytterligare krav, särskilt utanför EU/EES.
Vill du använda det här i din outreach?
Vi visar hur det fungerar för ditt segment och din produkt — innan arbetet börjar.
Prata med oss