Hoppa till innehåll

PUB-avtal med Mailchimp — e-postmarknadsföring och GDPR

Mailchimp är världens mest använda e-postmarknadsföringsplattform. Lär dig hur du hanterar GDPR-samtycke, aktiverar Mailchimps DPA och säkerställer laglig opt-in för svenska prenumeranter.

Mailchimp (numera del av Intuit Inc.) är den plattform som flest svenska småföretag och organisationer använder för nyhetsbrev och e-postmarknadsföring. Det är en tillgänglig, priseffektiv plattform — men den är också ett av de verktyg som orsakar flest GDPR-brister i praktiken, inte för att Mailchimp som plattform är bristfällig, utan för att många användare missförstår GDPR:s krav på e-postmarknadsföring.

Det grundläggande missförståndet: Mailchimp är ett verktyg för att skicka e-post. GDPR bestämmer vem du lagligt kan skicka till. Mailchimp gör inga egna GDPR-kontroller av dina prenumerantlistor — det är ditt ansvar som personuppgiftsansvarig att säkerställa att varje prenumerant antingen har gett ett giltigt samtycke eller omfattas av en annan laglig grund.

The Rocket Science Group LLC (Mailchimps juridiska moderbolag) är en amerikansk aktör med datalagring primärt i USA. Skyddsåtgärderna är SCC (EU-kommissionens Standardavtalsklausuler 2021) och DPF-certifiering. Mailchimps DPA finns tillgängligt på mailchimp.com/legal/data-processing-addendum.

En viktig förändring med GDPR och Mailchimp: importerade listor är ett av de vanligaste GDPR-brotten. Att exportera en kontaktlista från ett gammalt CRM-system, en mässdeltagarlista, eller ett Excel-ark med visitkortsdata och importera den till Mailchimp är ett GDPR-brott om kontakterna inte har gett ett giltigt samtycke till att ta emot marknadsföring via e-post från din organisation.

Detta gäller oavsett var listan ursprungligen kom ifrån. "Vi köpte listan lagligt" eller "De gav oss visitkortet på mässan" är inte giltiga grunder för e-postmarknadsföring utan ett aktivt opt-in per Lagen om elektronisk kommunikation.

→ Officiellt DPA-avtal från leverantören ↗

Kontrollera er compliance på några minuter

Generera ditt PUB-avtal med Mailchimp gratis — GDPR Art. 28-korrekt

Kör gratis skanning

Mailchimps DPA och aktivering

Mailchimps Data Processing Addendum (DPA) täcker behandlingen av prenumerantdata och aktiveras via din kontoinställning:

  1. Logga in på Mailchimp > Account > Legal
  2. Acceptera Data Processing Addendum
  3. Ladda ner bekräftelsedokumentet och arkivera med datum
  4. Inkludera Mailchimp (The Rocket Science Group LLC) som personuppgiftsbiträde i din Art. 30-förteckning

GDPR-krav för e-postmarknadsföring

E-postmarknadsföring till privatpersoner i Sverige regleras av Lagen om elektronisk kommunikation (LEK) som kompletterar GDPR. LEK kräver:

Uttryckligt förhandssamtycke: Mottagaren måste aktivt ha samtyckt till att ta emot marknadsföring via e-post från din specifika organisation. Samtycket ska vara fritt (inte villkorat av en tjänst), informerat (mottagaren förstår vad de samtyckt till), och otvetydigt (aktiv handling — ingen förbockad ruta).

Undantaget soft opt-in: Om personen är en befintlig kund som köpt liknande produkter eller tjänster, och du informerade dem om marknadsföring vid köptillfället, och de erbjuds enkel avregistrering vid varje utskick — kan du skicka marknadsföring utan separat samtycke. Men detta gäller bara befintliga kunder, inte prospekts.

Omarketing till B2B-kontakter: LEK:s krav på samtycke gäller kommunikation till privata e-postadresser. Kommunikation till generiska företagsadresser (info@foretag.se) är mer flexibel — men GDPR:s informationsplikt gäller fortfarande.

Mailchimp Signup Forms och dubbel opt-in

Mailchimp erbjuder inbyggt stöd för dubbel opt-in (confirmed opt-in): när en besökare fyller i ett signup-formulär skickas ett bekräftelsemail. Prenumerationen aktiveras inte förrän personen klickar på bekräftelselänken.

Dubbel opt-in rekommenderas starkt ur GDPR-perspektiv eftersom det: - Bekräftar att e-postadressen tillhör personen som anmält sig - Skapar ett tydligt bevis på samtycke med timestamp - Minskar risken för felaktiga adresser och spamfällor

Aktivera dubbel opt-in under Mailchimp > Audience > Signup Forms > General Forms > Response Email. Anpassa bekräftelseemailet med tydlig förklaring av vad prenumeranten samtycker till.

Hantering av befintliga listor

Om du har en befintlig e-postlista som du vill flytta till Mailchimp:

Steg 1: Verifiera att varje kontakt har ett dokumenterat samtycke för e-postmarknadsföring från din organisation.

Steg 2: Om samtycke saknas — skicka ett re-consent email via ditt nuvarande system (inte Mailchimp, eftersom kontakterna inte är i Mailchimp ännu) och importera enbart de som aktivt opt-inat.

Steg 3: Tagga importerade kontakter i Mailchimp med ursprungskälla och samtyckesdatum för dokumentation.

Steg 4: Radera kontakter från din lista som inte svarat på re-consent-utskicket inom en rimlig period (4–8 veckor).

Avregistrering och GDPR

GDPR Art. 7.3 ger rätten att återkalla samtycke. Mailchimp inkluderar automatiskt en avregistreringslänk (unsubscribe) i alla utskick — detta uppfyller kravet på enkel avregistrering. Vad du dessutom behöver:

  • Hontera avregistreringsrequests omedelbart (Mailchimp gör detta automatiskt)
  • Dokumentera avregistreringsrequests i din Art. 30-förteckning
  • Säkerställ att avregistrerade kontakter inte importeras igen från andra system
  • Hantera raderingsrequests (GDPR Art. 17): Mailchimp behåller avregistrerade kontakter i listan men markerar dem — om kontakten begär radering av all data ska du använda Mailchimps GDPR Delete-funktion

Lagringstid för prenumerantdata

Mailchimp lagrar prenumerantdata inklusive historik (skickade email, klick, öppningar) indefinitely som standard. Konfigurera:

  • Audience Cleanup: ta bort kontakter som aldrig öppnat ett mail och som prenumererat i mer än 2 år
  • Lagringstid: sätt en policy om att avregistrerade kontakter raderas från Mailchimp efter 3 år
  • Inaktiva kontakter: kontakter som inte interagerat med något mail på 12–24 månader bör antingen skickas ett re-engage-mail eller raderas

Mailchimp (nu del av Intuit) erbjuder GDPR-compliance-funktioner: consent checkboxes i formulär, unsubscribe-hantering och export av kontaktdata vid begäran. Aktivera dubbel opt-in för alla formulär för att dokumentera samtycket. Mailchimp lagrar data primärt i USA med SCC som överföringsmekanism – verifiera att ert Mailchimp-konto använder EU SCC (finns i Account > Settings > Legal).

Segments och audience-taggar i Mailchimp kan klassas som profilering om de används för automatiserade marknadsföringsbeslut. Dokumentera segmenteringslogiken och informera prenumeranter om profilering i integritetspolicyn. Mailchimp Transactional (Mandrill) är ett separat biträde med eget DPA om ni skickar transaktionella e-postmeddelanden.

IMY-precedent

IMY — böter för e-postmarknadsföring utan giltigt samtycke

IMY har i tillsynsärenden 2023–2025 utfärdat böter mot svenska bolag för e-postmarknadsföring utan giltigt samtycke. De vanligaste problemen: importerade listor utan dokumenterat opt-in, förbockade samtyckesrutor, och marknadsföring till listor köpta av tredje part. Böterna uppgår typiskt till 200 000–2 000 000 kronor beroende på volym och systematik i brottet.

Alla IMY-beslut

Cookie banner och GDPR-guide 2026

IMY:s fullständiga krav på cookie-samtycke och marknadsföringsssamtycke — relevant för alla som använder Mailchimp och tracking-verktyg.

Läs guiden

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →