Get a Newsletter

Skicka nyhetsbrev som levererar resultat

GDPR och Marknadsföringslagen För E-post: Regler För Personuppgifter Och E-postmarknadsföring 2026

·

Har du legat vaken någon natt och undrat om din e-postlista följer lagen?

Här är sanningen: De flesta småföretag i Sverige har ingen aning om de hanterar känsliga personuppgifter korrekt när de skickar nyhetsbrev. Och det är inte konstigt. GDPR och Marknadsföringslagen är fulla av juridiska termer som gör hanteringen av personuppgifter till ett huvudbry.

Men här är den goda nyheten: Efter 10 minuters läsning av den här guiden vet du exakt vad du får och inte får göra med e-postadresser. Inga gråzoner eller gissningar. Bara raka besked på ren svenska för dig som samlar in personuppgifter.

Vad du kommer att lära dig:

  • Exakt vad GDPR innebär för e-postmarknadsföring och hantering av personuppgifter
  • Hur Marknadsföringslagen skiljer mellan B2C och B2B när du skickar e-post
  • Konkreta exempel så du slipper gissa om du gör rätt
  • Vad som händer om du bryter mot reglerna (och hur du slipper böter från IMY)

Varför lita på den här guiden?

Vi har hjälpt över 10 000 svenska företag att skicka GDPR-säkra nyhetsbrev sedan införandet av GDPR den 25 maj 2018. Allt innehåll är baserat på gällande lagstiftning och uppdateras kontinuerligt när reglerna ändras.

Table Of Contents
show

Snabbsvar: Vad gäller när du skickar e-post i Sverige?

E-postmarknadsföring i Sverige regleras av två lagar: GDPR (dataskyddsförordningen) och Marknadsföringslagen (MFL). GDPR står för General Data Protection Regulation och handlar om hur du måste hantera personuppgifter i e-post, medan Marknadsföringslagen reglerar vem du får skicka till.

Här är de viktigaste reglerna:

  • B2C (privatpersoner): Du måste ha uttryckligt samtycke innan du skickar marknadsföring via e-post.
  • B2B (företag): Du får skicka e-postmarknadsföring utan samtycke om mailet är uppenbart relevant för mottagarens yrkesroll.
  • Alla mottagare: Måste enkelt kunna avprenumerera (opt-out) i varje utskick.
  • Alla e-postadresser: Klassas som personuppgifter enligt GDPR och måste behandlas med dokumenterat samtycke och tydlig information.

Den här guiden förklarar exakt vad du får och inte får göra, med konkreta exempel för svenska småföretag, föreningar och e-handlare.

Vad GDPR innebär för e-postmarknadsföring: Hur du måste hantera personuppgifter

GDPR-efterlevnad för e-postmarknadsföring

Varje gång du samlar in en e-postadress behandlar du personuppgifter enligt GDPR. En e-postadress är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter. Det betyder att din e-postlista räknas som ett personregister, och därav måste du följa reglerna i GDPR.

Förordningen gäller alla organisationer som hanterar personuppgifter, oavsett storlek. Även om du bara skickar ett månatligt nyhetsbrev till 50 personer måste du använda personuppgifter korrekt.

Tänk på GDPR som husregler för hur du bjuder in och tar hand om gäster. Du måste berätta vad du ska göra med deras information (syfte), bara samla det du behöver (dataminimering), och ge dem möjlighet att gå när de vill (opt-out).

GDPR ställer sex grundläggande krav när du behandlar personuppgifter i e-post:

De 6 regler GDPR ställer för hantering av e-postadresser

1. Informera tydligt vid insamling av personuppgifter

När någon registrerar sin e-post måste du informera om:

  • Vad syftet med insamlingen är (exempel: ”Vi använder din e-post för att skicka nyhetsbrev och erbjudanden”)
  • Hur personuppgifterna kommer att användas i behandlingen
  • Vem som är personuppgiftsansvarig i ditt företag
  • Hur man kontaktar den personuppgiftsansvarige
  • Vilken rättslig grund du har för att behandla uppgifterna

2. Samla in endast vad du behöver (dataminimering)

Begär endast e-postadresser och namn om det är vad du kommer att använda. Samla inte in personnummer, fullständiga adresser eller annan information som är irrelevant för din marknadsföring. Enligt GDPR så får du enbart behandla personuppgifter som är relevanta för ett tydligt syfte och en laglig grund för att behandla de.

Exempel på felaktig hantering: Ett gym samlar in födelsedatum, adress och hälsoinformation för ett nyhetsbrev, även fast de enbart behöver e-postadressen för att kunna skicka ut nyhetsbrevet.

3. Ge enkel opt-out i varje e-postmeddelande

Varje e-postutskick måste innehålla en tydlig avregistreringslänk som fungerar med ett enda klick. Du får alltså inte göra opt-out till en komplicerad process med formulär eller en process som kräver flera steg.

4. Dokumentera samtycket (bevara bevis)

Du måste kunna bevisa att mottagaren gav sitt samtycke. Företag och organisationer som skickar e-post måste spara:

  • Tidsstämpel för när samtycket gavs
  • IP-adress (valfritt men starkt rekommenderat)
  • Exakt formulärtext som visades
  • Bevis på att checkboxen inte var förbockad

Spara denna information så länge du använder samtycket för att kunna bevisa att det gavs lagligt.

5. Utse en personuppgiftsansvarig

Enligt GDPR måste någon i ditt företag måste vara ansvarig för hur personuppgifter hanteras. Det kan vara du själv, en medarbetare eller en extern konsult. Denna person behöver ta hand om inkommande frågor kring er process för att hantera och skydda personuppgifter, samt hur personuppgifter används. För mindre företag är det ofta grundaren eller VD:n. För större organisationer kan det vara en Data Protection Officer (DPO). 

6. Dela din integritetspolicy (transparens)

Mottagaren ska i samband med registreringen få tillgång till företagets integritetspolicy. Den ska förklara i klartext:

  • Vem som är personuppgiftsansvarig
  • Vilka personuppgifter som behandlas och hur länge de sparas
  • Syftet med behandlingen av personuppgifter i e-post
  • Vilka som tar del av uppgifterna
  • Om ni överför uppgifter till land utanför EU
  • Hur man begär tillgång till sina personuppgifter, samt hur man korrigerar eller raderar sina personuppgifter

Vad du INTE får göra enligt dataskyddsförordningen

Här kommer de vanligaste misstagen som kan leda till böter från IMY:

  • Lägga till personer utan samtycke (även om ni har en ”befintlig relation”)
  • Köpa e-postlistor och börja skicka utskick utan dokumenterat samtycke från varje person
  • Göra opt-out svårt (kräva inloggning, telefon eller e-post för att avregistrera sig)
  • Samla mer data än nödvändigt (exempel: personnummer för att skicka ett nyhetsbrev)
  • Använda förbockade checkboxar (samtycket måste vara aktivt, mottagaren måste själv bocka i rutan)
  • Flytta personuppgifter via oskyddad e-post till mottagare utanför EU utan tydlig information och laglig grund

Exempel från verkligheten:

När du samlar e-post vid kassan måste checkboxen för nyhetsbrev vara obockad, och texten måste säga ”Ja, jag vill ta emot erbjudanden från [Företagsnamn].”

Vill du veta mer om samtycke? Läs vår guide: Behöver du samtycke att skicka ut nyhetsbrev

Marknadsföringslagen: Vem får du skicka e-postmarknadsföring till?

Marknadsföringslagen styr vem du får skicka marknadsföring till, medan GDPR handlar om hur du måste behandla personuppgifter när du skickar.

E-postmarknadsföring

Enligt Marknadsföringslagen får du inte skicka e-post till personer utan samtycke om de är privatpersoner (B2C), men du får skicka e-postmarknadsföring till företag (B2B) utan samtycke om innehållet är uppenbart relevant för mottagarens yrkesroll.

Reglerna är helt olika beroende på om mottagaren är privatperson eller företag.

Får jag skicka mailutskick utan samtycke?

B2C: Privatpersoner och enskilda näringsidkare

Nej. Du måste ha uttryckligt samtycke (opt-in) innan du skickar marknadsföring via e-post till privatpersoner.

Detta gäller:

  • Konsumenter som handlar i din webbshop
  • Privatpersoner på din e-postlista
  • Enskilda näringsidkare (egenföretagare med personnummer)

Undantag: ”Soft opt-in” för befintliga kunder

Du får skicka e-post om personen redan är kund OCH mailet gäller liknande produkter eller tjänster. Mottagaren måste ha kunnat tacka nej vid köptillfället och kunna avprenumerera i varje e-postmeddelande.

Konkreta exempel:

Scenario 1 (Tillåtet): Din webbshop säljer löparskor. Kunden köpte ett par i januari. I mars får du skicka e-post om nya löparskor, förutsatt att kunden fick möjlighet att tacka nej vid köpet.

Scenario 2 (EJ tillåtet): Samma webbshop, samma kund. Du får INTE skicka e-post om träningskläder eller sportdrycker utan nytt samtycke. Det är inte ”liknande produkter.”

B2B: Aktiebolag, stiftelser, myndigheter

Ja, du får skicka utan samtycke enligt Marknadsföringslagen, om:

  1. E-postadressen går till personens yrkesroll (exempel: namn.efternamn@företag.se)
  2. Innehållet är uppenbart relevant för mottagarens arbetsuppgifter
  3. Du inkluderar en tydlig opt-out-länk i varje utskick

Vad betyder ”uppenbart relevant”?

Det måste finnas ett naturligt samband mellan vad du erbjuder och mottagarens jobb.

Exempel på uppenbart relevant B2B-marknadsföring:

  • Bokföringsprogram till ekonomichef (Ja, klart relevant)
  • Rekryteringsverktyg till HR-chef (Ja, direkt kopplat till jobbet)
  • CRM-system till säljchef (Ja, hjälper dem göra sitt jobb bättre)
  • Gymkort till HR-generalist (Nej, inte kopplat till jobbet)
  • Privatresor till VD (Nej, privat och inte yrkesrelaterat)

Får jag skicka till info@företag.se eller kontakt@företag.se?

Tekniskt sett ja för B2B, men generiska mailadresser läses ofta av flera personer. Din relevans måste vara extra tydlig, annars riskerar du att märkas som spam.

Bästa praxis för B2B: Använd opt-in ändå

Trots att lagen tillåter outreachmail till företag rekommenderar vi starkt att du använder opt-in även för B2B. Varför?

  1. Bättre öppningsfrekvens: Människor som valt att höra från dig öppnar och klickar betydligt mer (40-60% istället för 10-15%).
  2. Färre avregistreringar: Du slipper irritera mottagare som inte är intresserade.
  3. Starkare kundrelationer: Du bygger förtroende från dag ett.

Läs mer: Så förbättrar opt-in din öppningsfrekvens

Vill du optimera när och hur ofta du skickar e-post? Kolla in: Bästa tiden och frekvens att skicka nyhetsbrev

Opt-out: Gör det enkelt att avsluta prenumeration

Oavsett om du skickar e-post till B2C eller B2B måste varje utskick innehålla en länk som gör det möjligt för mottagaren att avprenumerera. Det är inte ett förslag, det är så lagen ser ut.

Vad krävs för en laglig opt-out?

  • En tydlig länk i varje mail (vanligtvis i sidfoten)
  • Ett enda klick (ingen inloggning, inga formulär, inget krångel)
  • Omedelbar verkan (personen ska tas bort från listan direkt eller inom 24 timmar)
  • Bekräftelse (visa en sida som säger ”Du är avregistrerad”)

Exempel på bra opt-out-texter:

  • ”Avsluta prenumeration”
  • ”Vill du inte längre få våra mail? Klicka här”
  • ”Avregistrera dig”
  • ”Hantera dina prenumerationer”

Tips: Använd en bekräftelsesida efter avregistrering där du eventuellt erbjuder alternativ (exempel: ”Få mail en gång i månaden istället för varje vecka?”). Vi har sett företag behålla 30% av sina avregistreringar genom att erbjuda lägre frekvens.

Vill du minska antalet som avregistrerar sig? Läs: 7 tips för att minska antalet som avslutar sin prenumeration

Kombinera e-post med andra kanaler: Sociala medier och nyhetsbrev: så fungerar de tillsammans

Kontaktuppgifter i varje mail

Om du inte redan har ett etablerat kundförhållande med mottagaren ska ditt e-postutskick innehålla företagets namn, fysiska adress och telefonnummer.

Exempel:

Get a Newsletter AB
Drottninggatan 1
111 51 Stockholm
08-123 456 78

Detta gäller särskilt vid ”cold outreach” (första kontakten med en person eller organisation).

Funderar du på att köpa en maillista? Läs först: Varför köpta e-postlistor skadar din verksamhet

Så följer du reglerna: 4 bästa praxis för efterlevnad av GDPR

1. Använd dubbel opt-in (bekräftelse via e-post)

Även om enkelt samtycke (single opt-in) är juridiskt tillräckligt, så rekommenderar vi starkt dubbel opt-in. Så här fungerar det:

  1. Personen registrerar sin e-post i ditt formulär
  2. De får omedelbart ett bekräftelsemail med en länk
  3. De klickar på länken för att bekräfta prenumerationen

Varför är detta bättre?

  • Starkare bevis på samtycke: Personen har bekräftat två gånger att de vill ha dina mail.
  • Bättre listkvalitet: Färre felstavade adresser, färre fake-registreringar, färre spam-traps.
  • Högre engagemang: Personer som tar sig tid att klicka på en bekräftelselänk är genuint intresserade.

Läs mer: Så skapar du effektiva bekräftelsemail

2. Skriv ett välkomstmail som bygger förtroende

Det första e-postmeddelandet efter någon registrerat sig är guld värt. Det ska tacka personen, berätta vad de kan förvänta sig (hur ofta, vilken typ av innehåll), och leverera värde direkt (rabattkod, guide eller tips). Vi förklarar detta mer djupgående i skriv ett välkomstmail som bygger förtroende.

3. Skapa innehåll som folk faktiskt vill läsa

Den bästa GDPR-strategin är att skicka e-post som är så bra att ingen vill avregistrera sig.

Fokusera på:

  • Värde först: Ge tips, guider, insikter, inte bara ”KÖP NU”-erbjudanden. Regeln är 80% värde, 20% försäljning.
  • Relevans: Segmentera din e-postlista så att folk får mail som passar dem.
  • Personlighet: Skriv som en människa, inte som en robot.

Läs mer: Skapa innehåll som prenumeranter vill läsa

4. Välj en e-postplattform med inbyggd GDPR-efterlevnad

Det verktyg du använder för att skicka e-post spelar enorm roll för hur lätt det är att följa GDPR.

Välj en e-postplattform som:

  • Lagrar personuppgifter via servrar inom EU
  • Dokumenterar samtycke automatiskt (IP-adress, tidsstämpel, formulärtext)
  • Har inbyggda opt-in/opt-out-funktioner
  • Låter dig exportera och radera användarnas personuppgifter enkelt
  • Använder lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast den avsedda mottagaren kan ta del av uppgifterna

Get a Newsletter är byggd specifikt för svenska företag som behöver följa både GDPR och Marknadsföringslagen:

  • GDPR-säkra prenumerationsformulär med automatisk samtyckesloggning (Läs mer)
  • Landningssidor med inbyggd GDPR-efterlevnad där all information som samlas in behandlas korrekt (Läs mer)
  • EU-baserad datalagring (servrar i Sverige och Tyskland för högsta skyddsnivå för personuppgifter)

Vill du komma igång snabbt? Använd våra GDPR-anpassade mallar. De har redan rätt opt-out-länkar och allt du måste informera om på plats.

Vanliga frågor om GDPR och e-postmarknadsföring

Vad händer om jag bryter mot GDPR?

IMY kan utfärda böter på upp till 4% av global årsomsättning eller 20 miljoner euro, beroende på vilket belopp som är högst. Mindre allvarliga överträdelser ger böter på upp till 2% av omsättningen eller 10 miljoner euro. Ett företag med 10 miljoner i omsättning riskerar 400 000 kr i böter vid allvarliga överträdelser. Bonnier AB fick 13 miljoner kr i böter 2023 för felaktig hantering av personuppgifter vid marknadsföring.

Hur länge får jag spara e-postadresser och andra personuppgifter?

Du får spara e-postadresser så länge prenumeranter aktivt vill ta emot mail från dig utan tidsgräns enligt GDPR. Efter avregistrering måste du radera uppgifterna eller flytta dem till en suppressionslista som förhindrar återläggning. Samtyckesloggar med tidsstämpel, IP-adress och formulärtext måste sparas så länge samtycket används för att bevisa laglig insamling om IMY skulle granska din verksamhet och dess behandling av personuppgifter.

Vad är skillnaden mellan GDPR och Marknadsföringslagen?

GDPR reglerar hur du behandlar personuppgifter genom regler för insamling, lagring, säkerhet och individers rättigheter till sina uppgifter. Marknadsföringslagen styr vem du får skicka marknadsföring till och skiljer mellan privatpersoner som kräver samtycke och företag där relevant innehåll tillåts utan samtycke. Båda lagarna måste följas samtidigt. GDPR handlar om hur du hanterar data medan Marknadsföringslagen bestämmer vem du får kontakta.

Behöver jag samtycke för transaktionsmail som orderbekräftelser?

Nej, transaktionsmail som orderbekräftelser, leveransuppdateringar, lösenordsåterställningar och kvitton kräver inget samtycke enligt GDPR eller Marknadsföringslagen. Dessa e-postmeddelanden har rättslig grund i fullgörelse av avtal med kunden. Du får dock inte lägga till marknadsföringsinnehåll i transaktionsmail utan separat samtycke. Håll orderbekräftelsen ren från kampanjer och erbjudanden om kunden inte aktivt accepterat marknadsföring.

Sammanfattning: Vad du behöver komma ihåg för att följa reglerna

För privatpersoner (B2C): Kräv alltid samtycke innan du skickar marknadsföring via e-post (undantag: soft opt-in för befintliga kunder med liknande produkter).

För företag (B2B): Du får skicka e-post utan samtycke om innehållet är uppenbart relevant för mottagarens jobb.

Opt-out: Varje e-postutskick måste ha en enkel avregistreringslänk som fungerar med ett klick.

Dokumentera samtycke: Spara tidsstämpel, formulärtext och IP-adress så länge du använder samtycket.

Börja skicka GDPR-säkra nyhetsbrev idag

Nu vet du mer om GDPR och Marknadsföringslagen än 90% av svenska småföretag. Inga fler sömnlösa nätter. Du har kunskapen, dags att använda den.

Get a Newsletter gör efterlevnad automatisk. Med inbyggda samtyckesformulär, automatisk opt-out och EU-baserad datalagring följer du reglerna utan ansträngning. Allt är redan konfigurerat enligt svenska regler för att hantera personuppgifter och skicka e-postmarknadsföring på rätt sätt.

Kom igång helt kostnadsfritt

Gratis upp till 1 000 kontakter. Inga betalkort krävs. Inga dolda avgifter.

Källor och ytterligare information:

Senaste nytt i din inkorg

Fyll i din e-postadress för att få tips och råd om hur ditt företag kan växa och sälja mer via nyhetsbrev.

Läsarkommentarer

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Kom igång kostnadsfritt

Utforska nyhetsbrev, landningssidor och enkäter. Marknadsför dina
tjänster och produkter. Öka din försäljning och kundlojalitet.

Starta gratis