Onko kylmäsähköposti laillista Suomessa B2B-yritysten välillä?

Kyllä, jos lähetät relevantille B2B-vastaanottajalle, ilmoitat lähettäjäsi rehellisesti, tarjoat yksinkertaisen tavan kieltäytyä, ja sinulla on oikeutettu intressi yhteydenottoon. Kuluttajille (B2C) säännöt ovat tiukemmat ja vaativat etukäteissuostumusta.

Mistä saa kerätä yhteystietoja kylmäsähköpostiin?

Julkisista lähteistä joissa tietoa on tarkoitettu B2B-yhteydenottoon: yrityksen verkkosivulta, LinkedInistä, kaupparekisteristä, B2B-tietokannoista kuten Asiakastieto tai Vainu. Sähköpostin pitää olla yrityksen yleinen tai roolikohtainen (info@, myynti@) tai julkisesti henkilökohtaisena ilmoitettu päättäjän osoite.

Miten paljon voi lähettää kylmäsähköpostia päivässä?

Tekninen raja per postilaatikko on 30-50 viestiä päivässä deliverabilityn säilyttämiseksi. Skaalaa lähettämällä useammasta lämmitetystä postilaatikosta. Laillinen raja ei ole määrällinen vaan laadullinen: jokaisen viestin pitää olla relevantti, henkilökohtainen ja kunnioittaa kieltäytymisoikeutta.

Kylmäsähköposti Suomessa: Mitä laki sallii, mitä GDPR vaatii (2026)

Q: Mitä GDPR vaatii kylmäsähköpostista?

GDPR vaatii oikeutetun perusteen henkilötietojen käsittelyyn (yleensä oikeutettu intressi 6(1)(f)), läpinäkyvän tiedon mistä yhteystieto on saatu, tietosuojaselosteen helposti löydettävissä, ja vastaanottajan oikeuden vastustaa käsittelyä. Lisäksi sähköpostiosoite, nimi ja yritystiedot ovat kaikki henkilötietoa, vaikka tieto olisi julkista.

Tämä on kysymys jonka kuulen joka viikko: saako Suomessa lähettää kylmäsähköpostia toisille yrityksille? Lyhyt vastaus on kyllä, kun teet sen oikein. Pitkä vastaus on tämä artikkeli.

Käyn läpi mitä Suomen laki sanoo, mitä GDPR vaatii, mitkä ovat oikeasti riskit, ja miten Wicflow rakentaa B2B-kylmäsähköpostijärjestelmiä jotka kestävät tarkastelun. Tämä ei ole juridista neuvontaa. Jos liikkeelle on isoja rahoja, kysy juristilta. Mutta tämä on se mitä jokainen suomalainen B2B-tiimi tarvitsee tietää ennen kuin lähettää ensimmäistäkään viestiä.

Yhden virkkeen vastaus

Kylmäsähköposti B2B-yritysten välillä on Suomessa laillista, jos lähetät relevantille vastaanottajalle, ilmoitat lähettäjäsi avoimesti, tarjoat helpon tavan kieltäytyä, ja käsittelet henkilötietoja GDPR:n oikeutetun intressin perusteella. B2C eli kuluttajille kylmäsähköposti vaatii käytännössä etukäteissuostumuksen ja on kapeampaa.

Mitkä lait koskevat kylmäsähköpostia Suomessa?

Kolme lainsäädäntöä, joista jokainen pitää ymmärtää:

Tietoyhteiskuntakaari (917/2014, nykyisin osa Sähköisen viestinnän palveluista annettua lakia). Suomen kansallinen toteutus EU:n ePrivacy-direktiivistä. Säätelee suoramarkkinointia sähköisin viestintävälinein.
Yleinen tietosuoja-asetus (GDPR), EU 2016/679. Säätelee henkilötietojen käsittelyä. Sähköpostiosoite on henkilötieto, joten GDPR koskee aina.
Kuluttajansuojalaki ja markkinointisäännökset. Koskee myös B2B-tilanteita kun viestissäsi on harhaanjohtavaa väitteitä tai et noudata hyvää liiketapaa.

B2B vs B2C: olennainen ero

Suomen laki tekee selvän eron yritysasiakkaiden ja kuluttajien välillä. Tietoyhteiskuntakaaren mukaan yrityksille saa tehdä suoramarkkinointia sähköpostilla ilman etukäteissuostumusta jos:

vastaanottaja on yritys tai ammatinharjoittaja, ei kuluttaja
viesti on rehellinen ja tunnistettavissa markkinoinniksi
vastaanottaja voi helposti kieltää lisäviestit
tarjoamasi tuote tai palvelu on relevantti vastaanottajan toiminnalle

Kuluttajille (B2C) tarvitset käytännössä aina etukäteissuostumuksen. Tämä on iso ero, ja se on syy miksi suurin osa kylmäsähköpostista Suomessa on B2B.

Mitä GDPR vaatii kylmäsähköpostista?

Tämä on osa jonka useimmat tiimit jättävät huomioimatta ja se on osa joka aiheuttaa rapsujen riskin Tietosuojavaltuutetulta. Käydään läpi.

Henkilötietojen käsittelyperuste

GDPR vaatii että kaiken henkilötietojen käsittelyn pitää nojautua johonkin kuudesta perusteesta artiklan 6 mukaan. Kylmäsähköpostissa käytetään yleensä oikeutettua intressiä (6(1)(f)).

Oikeutettu intressi tarkoittaa että:

Sinulla on aito liiketoiminnallinen tarve (myynti, B2B-yhteydenotto)
Käsittely on välttämätöntä tämän intressin saavuttamiseksi
Sinun intressisi ei syrjäytä rekisteröidyn perusoikeuksia

Käytännössä tämä tarkoittaa että kerää vain mitä oikeasti tarvitset (nimi, sähköposti, yritys, rooli) ja kunnioita kieltäytymisoikeutta välittömästi.

Mistä yhteystiedot saa kerätä?

Tämä on toinen yleinen kysymys. Vastaus on selvä: lähteen pitää olla julkinen tai sellainen jossa tieto on tarkoitettu B2B-yhteydenottoon. Hyväksyttäviä lähteitä:

Yrityksen verkkosivu (info@, myynti@, henkilön julkinen rooliosoite)
LinkedIn (julkiset profiilitiedot)
Kaupparekisteri ja PRH:n tiedot
B2B-tietokannat: Asiakastieto, Vainu, Finder
Konferenssien ja messujen julkiset osallistujalistat (vain B2B-konteksti)
Pörssiyhtiöiden vuosikertomukset ja IR-tiedot

Mitä ei saa tehdä:

Ostaa "miljoona suomalaista sähköpostia"-listoja epäselvästä lähteestä
Scrapata kuluttajafoorumeita
Käyttää rekisterilähteitä joissa tarkoitus oli muu kuin B2B-markkinointi

Tietosuojaseloste ja informointi

GDPR vaatii että rekisteröity (eli vastaanottajasi) saa tietää mistä tieto on saatu, mihin sitä käytetään, ja kuka rekisterinpitäjä on. Käytännössä:

Verkkosivuiltasi pitää löytyä selkeä tietosuojaseloste, joka sisältää kohdan kylmäsähköpostista
Jokaisessa kylmäsähköpostissa pitää olla linkki tietosuojaselosteeseen tai mainita "lisätiedot tietosuojasta osoitteesta yritys.fi/tietosuoja"
Kun joku vastaa ja kysyy mistä sait yhteystiedon, vastaa rehellisesti (LinkedIn, yrityksen verkkosivu, jne.)

Käytännön sääntökirja kylmäsähköpostille Suomessa

Pelkistettynä ne säännöt joiden mukaan Wicflow rakentaa asiakkailleen järjestelmiä:

Asia	Mitä se tarkoittaa
Vain B2B	Vastaanottaja on yritys tai ammatinharjoittaja. Ei kuluttajia.
Relevantti	Tarjouksesi liittyy aidosti vastaanottajan liiketoimintaan.
Tunnistettava lähettäjä	Oikea nimi, oikea yritys, oikea Y-tunnus löydettävissä.
Helppo kieltäytyminen	Selkeä unsubscribe-linkki tai pyyntö viestin lopussa.
Tietosuojaseloste	Linkki tai maininta jokaisessa viestissä.
Kunnioita kieltoa	Kun joku pyytää lopettamaan, lopeta heti ja pidä tieto rekisterissä.
EU-data	Säilytä lista, työkalut ja arkisto EU-infrastruktuurissa.

Mitkä ovat oikeasti riskit?

Tämä on osa josta kuulee paljon FUDia. Olen seurannut Tietosuojavaltuutetun toiminnan päätöksiä ja keskustellut juristien kanssa. Tässä realistinen kuva:

Mikä laukaisee tutkinnan

Tietosuojavaltuutettu ei aktiivisesti scrapaa kylmäsähköposteja netistä. Tutkinnat lähtevät:

Vastaanottajan kantelusta
Useammasta valituksesta saman lähettäjän osalta
Massiiviset roskapostikampanjat jotka osuvat valvontaan
Kuluttajille kohdistunut kylmäsähköposti

Mitkä ovat sanktiot

GDPR-rikkomuksesta voi saada sakon korkeintaan 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta, kumpi suurempi. Käytännössä Tietosuojavaltuutetun antamat sakot Suomessa B2B-suoramarkkinoinnista ovat olleet huomattavasti pienempiä, tyypillisesti tuhansista kymmeniin tuhansiin euroihin tai pelkkä huomautus.

Mutta sanktiot eivät ole oikea mittari. Oikea mittari on: haluatko että yrityksesi nimi mainitaan Tietosuojavaltuutetun ratkaisutekstissä? Vastaus on aina ei. Tämä on miksi noudatamme sääntöjä.

Mitä tehdä jos saat kantelun

Lopeta välittömästi yhteydenpidot kanteluun liittyen
Poista vastaanottaja listalta ja lisää estolistalle
Vastaa kanteluun ammattimaisesti ja dokumentoidusti
Tarkasta järjestelmäsi: onko opt-out toiminut, onko tieto kerätty oikeasta lähteestä
Jos saat Tietosuojavaltuutetulta kyselyn, vastaa määräajassa ja tarkasti

Miten Wicflow rakentaa kylmäsähköpostijärjestelmiä

Tässä on rakenne jota käytämme jokaisen suomalaisen B2B-asiakkaan kohdalla:

Liidihaku. ICP määritellään tarkasti (toimiala, koko, rooli, vaihe). Tieto kerätään julkisista lähteistä: PRH, LinkedIn, Asiakastieto, asiakkaan verkkosivu, alan tietokanta.
Henkilötietojen käsittelyperuste. Kirjataan ylös: oikeutettu intressi 6(1)(f), tarkoitus on B2B-myynti, käsittelyaika rajataan, oikeudet kunnioitetaan.
Tietosuojaseloste. Päivitetään asiakkaan verkkosivulle kappale kylmäsähköpostista. Linkki näkyy jokaisessa viestissä.
Lähettäjäidentiteetti. Lähetetään oikealta yrityksen domeenilta, oikealla nimellä, oikeasta SPF/DKIM/DMARC-konfiguraatiosta. Ei piiloutua.
Kohdistus. Jokainen viesti on henkilökohtainen. Ei "Hei [etunimi]" massapostauksia. Wicflow käyttää AI:ta luodakseen kontekstuaalisia avauksia jokaiselle vastaanottajalle.
Kieltäytymisoikeus. Yhden klikkauksen unsubscribe + manuaalinen vastauspyyntöhuomio. Jokainen kieltäytyminen tallentuu ja estää tulevat viestit.
EU-infrastruktuuri. Lähettävä työkalu (Instantly), liidilista (Twenty CRM Hostingerin EU-VPS:llä), arkisto. Kaikki EU:n sisällä.
Seuranta ja optimointi. Avausprosentit, vastausprosentit, kieltäytymisprosentit. Jos jokin malli kerää valituksia, muutamme sitä saman tien.

Yhteenveto

B2B-kylmäsähköposti on Suomessa laillista. Mutta se ei tarkoita että kaikki kylmäsähköposti on laillista. Säännöt ovat selkeät ja niitä noudattamalla teet työtä joka tuottaa varauksia, ei kanteluja.

Kolme asiaa joiden ympärille rakennat:

Relevanssi. Lähetät vain niille joille viestisi on aidosti hyödyllinen.
Läpinäkyvyys. Lähettäjä, lähde ja tarkoitus selvät jokaiselle.
Kunnioitus. Kun joku ei halua kuulla sinusta, lopetat saman tien.

Jos tarvitset järjestelmän joka noudattaa nämä säännöt automaattisesti, me rakennamme sellaisen. Hinta alkaen 1 500 eur per kuukausi. Käytössä 14 päivässä.