Kalla mejl: den kompletta guiden för att följa regler och bästa praxis (och få resultat!)

Är kalla mejl och e-postmarknadsföring lagligt?

Finns det skillnader mellan olika länder?

Detta är bara några av de frågor vi kommer att besvara i den här artikeln, med två huvudmål: för det första att hjälpa dig att till fullo förstå de gällande reglerna, och för det andra att vägleda dig i exakt vad du ska göra om du skickar kommersiella mejl.

Lagligheten kring kalla mejl och aktuella regler

Är kalla mejl lagliga i alla länder?

Ja, i de flesta länder är kalla mejl tillåtna under specifika förhållanden.

Men… (vi vet att du inte gillar när det finns ett “men”!) Vissa länder, som Kanada och Danmark, har extremt stränga regler gällande kalla mejl.

Dessutom är det avgörande att skilja på mejl som skickas till B2C-mottagare, vilket nästan alltid kräver uttryckligt samtycke (opt-in), och de som skickas till B2B-mottagare, vilket kan vara tillåtet under vissa förhållanden beroende på lokal lagstiftning.

Är det fortfarande oklart? Oroa dig inte, vi kommer att bryta ner allt med omfattande checklistor för att säkerställa att du är fullt förberedd.

Vilka är de viktigaste reglerna?

Utskick av kommersiella mejl styrs av flera regler runt om i världen. Beroende på vilket land du riktar dig till kan reglerna variera från att vara mer till mindre strikta. Här är en översikt över de viktigaste lagarna som gäller just nu:

• GDPR (Europeiska unionen)

• CAN-SPAM Act (USA)

• CASL (Kanada)

• PECR (Storbritannien)

• Spam Act (Australien)

De följer alla samma grundläggande principer:

1. De gäller meddelanden med ett kommersiellt eller marknadsföringsmässigt syfte (försäljning av produkter, tjänster, partnerskap).

2. De omfattar olika kommunikationskanaler, såsom mejl, SMS, snabbmeddelanden, telefonsamtal och meddelanden i sociala medier.

3. De gäller individer eller företag som skickar meddelanden till invånare i ett visst land, oavsett avsändarens ursprung.

⚠️ Men var försiktig, olika regler kan överlappa varandra! Om ett amerikanskt företag skickar kommersiella mejl till mottagare i länder med strängare lagar, kan dessa strängare lagar också gälla.

Exempel

• Ett franskt företag skickar mejl till prospekt i USA → CAN-SPAM Act är tillämplig.

• Ett amerikanskt företag skickar mejl till prospekt i Frankrike → CAN-SPAM Act och GDPR är tillämpliga.

CAN-SPAM Act (USA)

Vad är CAN-SPAM Act?

Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM) ställer flera krav. Här är de viktigaste:

• Avsändaren måste vara tydligt identifierad i fälten “Från”, “Till”, “Svarsadress”, och mejlets rubriker får inte vara vilseledande.

• Ämnesraden i mejlet måste korrekt återspegla dess innehåll.

• Avsändaren måste vara transparent med meddelandets kommersiella natur. Det är dock inte obligatoriskt att uttryckligen ange att mejlet är en annons, så länge innehållet inte är vilseledande.

• Varje mejl måste innehålla postadressen till det sändande företaget (huvudkontor, kontor eller registrerad postbox).

• Mejlet måste innehålla en lättanvänd avregistreringslänk. Avsändaren har 10 dagar på sig att behandla avregistreringsförfrågningar. Alternativet att avregistrera sig måste vara gratis och får inte kräva någon annan information än en mejladress. Avsändaren kan till exempel inte kräva att mottagaren loggar in på ett konto eller fyller i ett formulär för att avregistrera sig.

• När en person har avregistrerat sig får de inte längre ta emot kommersiella mejl från den avsändaren.

Vilka är påföljderna för bristande efterlevnad?

Den främsta påföljden är att företag kan möta böter på upp till 51 744 USD per överträdande mejl. Dessutom kan företagsledare och ansvariga hållas personligt ansvariga. Bedrägliga eller vilseledande mejl kan även behandlas som brottsliga handlingar.

Checklista för bästa praxis för kalla mejl för att följa CAN-SPAM Act

1️⃣ Identifiera avsändaren korrekt

• Använd ett tydligt och verifierbart namn och mejladress i fälten “Från”, “Till” och “Svarsadress”.

• Maskera eller förfalska inte avsändarens identitet.

• Ange en giltig fysisk adress där företaget kan kontaktas (kontor, huvudkontor eller registrerad postbox i USA).

2️⃣ Skapa ett CAN-SPAM-kompatibelt mejl

• Ämnesraden måste vara ärlig och korrekt återspegla meddelandets innehåll (inga vilseledande titlar).

• Om mejlet är en annons eller kampanj bör det vara tydligt identifierbart som sådant. CAN-SPAM Act kräver inte en explicit etikett för “Annons”, men alla former av bedrägeri är förbjudna i presentationen av meddelandet.

• Undvik att använda falsk information eller vilseledande rubriker i mejlet.

3️⃣ Inkludera ett tydligt och enkelt alternativ för avregistrering

• Lägg till en synlig och användarvänlig avregistreringslänk.

• Kräv inte att mottagaren loggar in på ett konto eller tillhandahåller ytterligare information för att avregistrera sig, och säkerställ att förfrågan behandlas inom 10 dagar.

4️⃣ Säkerställ god leveransbarhet och undvik att markeras som skräppost

• Använd en professionell mejladress och undvik generiska adresser (t.ex. no-reply@, info@).

• Konfigurera DKIM-, SPF- och DMARC-inställningar korrekt.

• Undvik att skicka stora volymer mejl på en gång; välj istället gradvisa och riktade utskick.

5️⃣ Hantera svar och spåra skickade mejl

• Se till att “Svarsadressen” är fungerande och övervakas (mottagare ska kunna svara på ditt mejl).

• För ett register över avregistrerade kontakter och säkerställ att de inte längre tar emot kommersiella meddelanden.

Exempel på ett CAN-SPAM-kompatibelt kommersiellt mejl

Innan vi tittar på ett bra exempel, låt oss granska ett motexempel.

❌ Varför är detta mejl olagligt?

• Det påstår falskt att användarens konto har stängts av när det i själva verket är ett marknadsföringsmejl.

• Mejlet låtsas komma från Amazon, trots att det inte gör det.

• Det skapar intrycket av en säkerhetsvarning snarare än ett kampanjmeddelande.

• Det saknas fysisk adress eller alternativ för avregistrering.

Här är nu ett exempel att följa.

✅ Varför är detta mejl kompatibelt?

• Ämnesraden återspeglar korrekt meddelandets innehåll.

• Avsändaren är tydligt identifierad (namn och professionell mejladress).

• Mejlet anger tydligt att det är ett kommersiellt erbjudande.

• Det inkluderar en fysisk adress för kontaktändamål.

• Alternativet för avregistrering är tydligt och fungerande.

GDPR (Europeiska unionen)

Vad är GDPR?

General Data Protection Regulation (GDPR), som trädde i kraft 2018, syftar till att skydda personuppgifter för europeiska medborgare genom att ställa strikta krav på företag och organisationer som samlar in och behandlar dem.

📌 Till skillnad från CAN-SPAM Act, som endast reglerar utskick av kommersiella mejl, gäller GDPR alla former av behandling av personuppgifter.

GDPR bygger på två huvudprinciper:

1. Uttryckligt samtycke (Opt-In): Krävs generellt för insamling och användning av personuppgifter, särskilt för utskick av marknadsföringsmejl. I vissa fall kan ett företag åberopa en annan rättslig grund, såsom “berättigat intresse”, särskilt för B2B-kommunikation.

2. Rätten till radering (“Rätten att bli glömd”): Varje individ kan begära radering av sina personuppgifter, såvida inte lagring är nödvändig (t.ex. rättsliga förpliktelser, pågående kontrakt, allmänt intresse).

💡Användbar definition: GDPR definierar personuppgifter som all information som direkt eller indirekt identifierar en fysisk person:

• Direkta identifierare: Namn, förnamn, mejl, telefonnummer…

• Indirekta identifierare: IP-adress, cookies, geolokaliseringsdata…

• Känsliga uppgifter: Hälsoinformation, etniskt ursprung, politiska åsikter, sexuell läggning… (skyddas strängare).

Grundläggande principer som åläggs företag som hanterar personuppgifter:

• Uppgifter måste samlas in och behandlas lagligt och transparent (ingen dold eller vilseledande insamling).

• Uppgifter måste samlas in för ett specifikt, legitimt och tydligt definierat syfte (t.ex. prenumeration på nyhetsbrev).

• Endast strikt nödvändiga uppgifter bör samlas in (ingen överdriven datainsamling).

• Uppgifter bör inte sparas på obestämd tid, endast under den tid som behövs för att uppnå det ursprungliga syftet.

• Företag måste skydda uppgifter mot obehörig åtkomst, förlust och dataintrång.

Påföljder för bristande efterlevnad av GDPR

Företag som inte följer GDPR kan drabbas av kännbara böter: upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst.

Exempel:

Meta/Facebook (2023): 1,2 miljarder euro i böter för olaglig överföring av data till USA.

Checklista för bästa praxis för kalla mejl för att följa GDPR

1️⃣ Opt-in eller inte?

• Förhandssamtycke (“Opt-In”) krävs för B2C: Skaffa uttryckligt samtycke innan du skickar marknadsföringsmejl till privatpersoner (B2C).

• Ingen obligatorisk opt-in för B2B: Säkerställ dock att det finns ett berättigat intresse och se till att meddelandet är relevant för mottagarens yrkesroll.

2️⃣ Vilken mejladress ska användas?

• För mottagaren: kontakta inte yrkesverksamma via deras privata mejladress (t.ex. Gmail, Yahoo). Använd alltid en professionell mejladress (t.ex. [email protected]).

• För avsändaren: använd en professionell mejladress och undvik generiska adresser (t.ex. no-reply@, info@).

3️⃣ Skriva ett GDPR-kompatibelt mejl

• Ange tydligt avsändarens identitet: Inkludera avsändarens namn och företag.

• Förklara orsaken till kontakten: Förtydliga den legitima professionella kopplingen.

• Lägg till ett transparensmeddelande: Förklara var kontaktuppgifterna kom ifrån (t.ex. “Vi hittade din kontakt på [LinkedIn / officiell webbplats]”).

• Ingen vilseledande ämnesrad: ämnet måste korrekt återspegla mejlets innehåll.

• Inkludera en länk till integritetspolicyn: förklara tydligt hur personuppgifter hanteras.

• Tillhandahåll ett tydligt alternativ för avregistrering. Till exempel: “Om du inte längre vill ta emot mejl från oss, klicka här.”

4️⃣ Säkerställ god leveransbarhet och rykte

• Konfigurera DKIM, SPF och DMARC korrekt för att undvika att flaggas som skräppost.

• Prioritera individualiserade utskick: Undvik massutskick för att bibehålla ett gott rykte.

• Anpassa varje mejl: Inkludera mottagarens för- och efternamn för att öka engagemanget.

5️⃣ Hantera mottagarnas rättigheter

• Behandla avregistreringsförfrågningar omedelbart: Senast 30 dagar efter förfrågan.

• Kontakta inte individer som begärt radering igen: När någon har begärt radering av data, respektera deras begäran permanent.

• Spara register över avregistreringar: Behåll bevis på avregistreringar för att kunna visa efterlevnad vid en inspektion.

6️⃣ Hantera och skydda insamlad data

• Lagra endast data så länge det är nödvändigt: Undvik att behålla föråldrade eller onödiga mejl.

• Skydda data korrekt: Implementera kryptering och begränsad åtkomst för att skydda data från obehörig användning.

• Etablera en rutin för GDPR-förfrågningar: Säkerställ efterlevnad genom att sätta upp processer för förfrågningar om åtkomst, ändring och radering av data.

PECR (Storbritannien)

PECR och UK GDPR är oskiljaktiga när det gäller kalla mejl i Storbritannien. Och nu kanske du tänker: va? Två regler? 🫨

Oroa dig inte! PECR reglerar marknadsföringsmejl, medan UK GDPR reglerar hanteringen av personuppgifter som används i dessa mejl. När det gäller dataskydd är UK GDPR lika strikt som EU:s GDPR. Så om du har bemästrat GDPR-efterlevnad finns det ingen skillnad här. När det gäller PECR är det mer tillåtande inom B2B, men lika strikt inom B2C som GDPR.

👉 Sammanfattningsvis: Om du till fullo följer GDPR är du automatiskt kompatibel med PECR och överträffar till och med vissa av dess krav.

Den största skillnaden mot GDPR: Utskick av B2B-marknadsföringsmejl

• Generiska adresser (t.ex. [email protected]): PECR tillåter utskick utan föregående samtycke.

• Personliga adresser (t.ex. [email protected]): Berättigat intresse är vanligtvis tillräckligt, så länge meddelandet är relevant för mottagarens roll.

CASL (Kanada)

Om du trodde att GDPR var strikt, förbered dig: Kanada tar kalla mejl på allvar!

Vad är CASL?

Canadian Anti-Spam Legislation (CASL), som antogs 2014, är en av världens striktaste lagar när det gäller kommersiella mejl. Till skillnad från CAN-SPAM Act och GDPR kräver CASL uttryckligt samtycke (opt-in), med få specifika undantag.

Grundprincip: OBLIGATORISK OPT-IN. Till skillnad från CAN-SPAM Act (där en enkel opt-out är tillräcklig), kräver CASL förhandssamtycke (opt-in) i nästan alla fall. Underförstått samtycke är mycket snävt reglerat.

💡 Bra att veta: Ett underförstått samtycke upphör att gälla efter 6 till 24 månader om mottagaren inte har någon ytterligare interaktion med företaget.

Påföljder för bristande efterlevnad av CASL

Böterna är särskilt kännbara: Upp till 10 miljoner CAD för ett företag. Upp till 1 miljon CAD för en individ. Dessutom kan civilrättsliga stämningar väckas.

Checklista för bästa praxis för kalla mejl för att följa CASL

För att vara mer effektiv rekommenderar vi att du använder den GDPR-specifika checklistan som beskrevs tidigare. Här är de punkter som skiljer sig från GDPR för att säkerställa CASL-efterlevnad:

1️⃣ Opt-In

Opt-in krävs för både B2C och de flesta B2B-kommunikationer.

Exempel:

Ett formulär där personen kryssar i en tom ruta för att godkänna att ta emot mejl.

En frivillig prenumeration på ett nyhetsbrev.

En dubbel opt-in (bekräftelsemejl efter registrering).

2️⃣ Underförstått samtycke är undantagsvis och strikt begränsat:

• Befintlig affärsrelation: Till exempel har mottagaren köpt en produkt eller tjänst under de senaste 24 månaderna.

• Förfrågan från prospekt: Till exempel har en person fyllt i ett kontaktformulär på din webbplats under de senaste 6 månaderna.

• Relation mellan ideella organisationer eller medlemmar i samma förening.

3️⃣ Avregistreringsförfrågan måste behandlas inom högst 10 dagar (istället för 30 dagar som krävs enligt GDPR).

Spam Act (Australien)

Vad är Spam Act?

Spam Act (2003) gäller alla individer eller organisationer som skickar elektroniska meddelanden till mottagare i Australien, oavsett avsändarens ursprungsland. Denna lag liknar CASL (Kanada) mycket.

Checklista för bästa praxis för kalla mejl för att följa Spam Act

Vi rekommenderar att du följer den CASL-specifika checklistan som beskrevs tidigare. Två huvudpunkter skiljer sig dock:

För det första tillåter Spam Act antaget samtycke i B2B-situationer om en befintlig affärsrelation har etablerats (t.ex. ett köp som gjorts under de senaste 24 månaderna).

💡 Användbar definition: Antaget samtycke är en rimlig tolkning av att mottagaren accepterar att ta emot mejl, baserat på en befintlig affärsrelation eller en nyligen gjord förfrågan (vanligtvis inom de senaste 6 månaderna). Lagen specificerar att det måste baseras på en tidigare kommersiell relation eller en nyligen gjord informationsförfrågan.

Sedan måste avregistreringsförfrågningar behandlas inom 5 arbetsdagar istället för 10 dagar som krävs enligt CASL.

Expertinsikt: använd bästa praxis för kalla mejl med Mail Merge for Gmail

Tillhandahåll en enkel och synlig avregistreringslänk

Att låta mottagare enkelt avregistrera sig är inte bara ett lagkrav utan också ett tecken på respekt.

Dessutom erbjuder Mail Merge for Gmail två metoder för detta. Den första består av att infoga en fullständig, standardiserad avregistreringssidfot. Den andra består av att infoga en anpassad avregistreringslänk.

💡 Vi förklarar allt i en dedikerad dokumentation.

Hantera avregistreringar effektivt

Kontakta aldrig någon som har avregistrerat sig. Det är viktigt att förbli kompatibel. Manuell hantering är riskabel och benägen för fel.

Med Mail Merge for Gmail behöver du inte skapa ett extra dokument: Hantera allt direkt från ditt Google Sheet genom att skapa en specifik kolumn för avregistreringar.

Försumma inte säkerheten

Säkerhet är en avgörande fråga vid kalla mejl. Du måste säkerställa att din prospektdata är skyddad mot obehörig åtkomst, inklusive både personlig information och interaktioner med mejlkampanjer.

Med Mail Merge for Gmail:

• Din data förblir säker på Googles servrar.
• Avancerade säkerhetsprotokoll för att kryptera data under transport och vid lagring (AES 256-bit).
• Autentisering via Google Sign-In med 2FA.
• Inga personuppgifter delas med tredje part.
• Mail Merge har ingen åtkomst till dina mejl.
• ISO 27001-certifiering.
• CASA Tier 3-certifiering.

💡 Vi testade 20 verktyg för kalla mejl bland de mest rekommenderade. 7 stack ut, utvärderade utifrån 8 kriterier.

Sammanfattningsvis hoppas vi att du nu har en tydlig förståelse för de olika reglerna och bästa praxis! Varför inte prova Mail Merge for Gmail, det bästa verktyget för att möta efterlevnadskrav?