Nej, GDPR förbjuder inte e-postmarknadsföring – it-juristen reder ut missförståndet

Efter lite drygt 24 månaders förberedelsetid så har GDPR, EU:s dataskyddsförordning, nu börjat gälla och personuppgiftslagen har gått i graven. Arbetet hos många företag och organisationer – och deras rådgivare – har varit minst sagt frenetiskt och de senaste månaderna mer eller mindre hysteriskt. Den 25 maj smäller det och då går jorden under om vi inte är klara verkar ha varit en allmänt spridd uppfattning.

Läs också: I dag smäller det – GDPR börjar gälla. Så vad händer nu?

Med den allmänna stressen har inte helt förvånande ett antal missuppfattningar fått fäste. En av dessa missuppfattningar som jag har stött på – inte minst från orolig marknadsföringspersonal och reklambyråer – är att det nu skulle vara slut med möjligheterna till e-postmarknadsföring. Åtminstone så länge man inte har samtycke till den. Här tänkte jag i korthet reda ut missförstånden.

• Det är inte ett utan två regelverk som reglerar marknadsföring via e-post: GDPR och den svenska marknadsföringslagen. När EPR, e-privacy regulation, väl har förhandlats klart och börjar gälla kommer den förordningen sannolikt att ersätta marknadsföringslagen i den här delen, men än så länge så är det marknadsföringslagen som gäller.
• Enligt GDPR så måste man ha en laglig grund för att behandla personuppgifter. Marknadsföring erkänns som ett legitimt ändamål inom EU och mycket marknadsföring kan ske på basis av en så kallad intresseavvägning. Inom ramen för vissa lojalitetsprogram kan marknadsföring ske för att uppfylla ett avtal. Marknadsföring som sker på basis av en ingående profilering kan kräva samtycke. Men det vanligaste är att intresseavvägningen utgör den lagliga grunden.
• Enligt GDPR ska man ha rätt att invända mot marknadsföringen, och då ska man upphöra med det.
• Enligt marknadsföringslagen är det inte tillåtet att skicka obeställd e-postreklam till privatpersoner utan att dom har samtyckt i förväg. Undantag finns dock, se nästa punkt.
• Om man har fått del av en privatpersons e-postadress i samband med försäljning av en produkt till personen så är det okej att via e-post marknadsföra företagets egna liknande produkter om (och endast om) personen ifråga…:
  • har fått möjlighet att invända mot fortsatt marknadsföring via e-post (så kallad soft opt-in), och...
  • inte har invänt mot fortsatta marknadsföringsmejl.
• Enligt marknadsföringslagen är det än så länge helt okej att utan samtycke rikta e-postmarknadsföring till representanter för företag, vilket dock kräver att det man marknadsför är relevant för mottagaren. Varsamhet vid massmejl till alla på ett företag påbjuds således. Även här måste man ge personen ifråga möjlighet att säga nej till fortsatt marknadsföring.
   

Läs också: Håll ögonen på EPR – nästa EU-smocka efter GDPR

Goda nyheter alltså, åtminstone i stort sett. Både GDPR och marknadsföringslagen tillåter mycket e-postmarknadsföring utan samtycke. Men det finns saker som man faktiskt inte får göra utan samtycke. Det är exempelvis inte okej att marknadsföra andras produkter och tjänster till privatpersoner utan samtycke. När det gäller privatpersoner krävs enligt marknadsföringslagen att det rör sig om det egna företagets likartade produkter.

Det som sägs ovan ska inte förväxlas med marknadsföring i sociala medier med mera. Det är i viss mån en annan historia, som får berättas vid annat tillfälle.