Mailchimp og GDPR – her er dine muligheder

En GDPR sag i Bayern har rystet brugere af Mailmarketing platformen Mailchimp i hele Europa. Se her hvad du kan gøre hvis du bruger Mailchimp.

OPDATERING August 2023
EU og USA har i sommeren 2023 indgået en aftale om beskyttelse af data som overføres til USA.
Den kan du læse mere om her.

Mailchimp (eller rettere Intuit, som ejer Mailchimp) har lavet en selvcertificering under Data Privacy Framework programmet. Det betyder at det ikke længere er et problem at Mailchimp opbevarer data i USA.

Ved brug af Mailchimp (eller en hvilket som helst andet platform), skal du dog stadig sikre dig at du overholder de øvrige GDPR regler, som fx at have en hjemmel til opbevaring af data (fx brugerens samtykke), have læst, vurderet og accepteret en databehandleraftale, have en slettepolitik og vurderet riskoen ved at lægge data ud til leverandøren.

 

Den oprindelige artikel:

En tysk virksomhed er blevet bedt om at holde op med at bruge Mailchimp af datatilsynet i Bayern. Hvad betyder det for jer der bruger mailchimp i dag, og hvad skal du gøre? Her er den korte guide.

Sagen kort

Databeskyttelsesaktivister i Tyskland indgav en klage til datatilsynet i Bayern, hvor de argumenterede for at en virksomheds overførsel af personlig data (e-mailadresser) til Mailchimp er ulovlig.
Datatilsynet gav klageren ret.
Virksomheden ophørte derefter med at bruge Mailchimp.

Hvad betyder det?

Det betyder kun at der er lavet en afgørelse i en enkelt ‘sag’. Men det betyder også at det er sandsynligt at andre datatilsyn vil komme til samme konklusion.

Det er dog vigtigt at forstå at sagen ikke kun handler om brugen af Mailchimp. Den handler i lige så høj grad om hvorvidt den tyske virksomhed havde lavet en grundig vurdering af risikoen ved at overføre data til Mailchimps servere i USA – før de gjorde det. Havde de lavet et bedre forarbejde havde udfaldet måske været anderledes.

Hvad skal du gøre?

Datatilsynet i Danmark svarer ikke på om bestemte produkter/platforme overholder GDPR reglerne. Det er din egen opgave at undersøge om din brug af Mailchimp er indenfor reglerne.

Hvis du bruger Mailchimp har du 2 muligheder:

  1. Hvis du ikke har noget imod at skifte til en anden udbyder, som kan garantere at din data bliver i EU, så kan du gøre det.
  2. Hvis du gerne vil blive ved med at bruge Mailchimp, så er det en rigtig god ide at få skrevet et dokument, hvor du vurderer brugen af mailchimp. Det dokument får du brug for, hvis en kunde klager til datatilsynet – eller datatilsynet vælger at se nærmere på din brug af mailchimp af egen drift.

Tjekliste til at lave en risikovurdering af Mailchimp

Lav et dokument, som indeholder svar på følgende:

  1. Er der nogle andre systemer, som kan det samme som Mailchimp, hvor du ikke behøver at flytte data ud af EU, som du kunne bruge i stedet? Beskriv hvorfor du har valgt at bruge Mailchimp og ikke et af de systemer.
  2. Beskriv hvilke typer af persondata der findes i Mailchimp? (Fx e-mailadresser)
  3. Hvor følsom er dataen. Fokuser på at det kun er almindelige mailadresser på voksne personer, som selv har tilmeldt sig et nyhedsbrev og ikke noget særlig personfølsom data (hvis det er tilfældet selvfølgelig)
  4. Hvilken konsekvens ville det have for de personer, som du har information om, hvis mailadresserne kom i amerikanske myndigheders hænder?
  5. Hvilken type information sender du til abonnenterne? Fokuserer på at det er almindelige nyhedsbreve, som ikke giver anledning til at kunne fastslå abonnenternes politiske standpunkt, sexuelle observans eller medicinske forhold.
  6. Beskriv hvordan Mailchimp beskytter dataen (se deres terms). Fokuser på hvordan de krypterer data, hvilke regler de ansatte skal overholde, hvordan de forholder sig hvis de modtager anmodning om udlevering af data fra amerikanske myndigheder. Mailchimp forholder sig til sagen her: https://mailchimp.com/help/mailchimp-european-data-transfers/

Med andre ord skal du lave et dokument der viser at:

  • Dataen, som overføres ikke er særlig personfølsomt.
  • Indholdet som sendes ud fra Mailchimp må ikke kan bruges til at fastslå modtagernes tilhørsforhold/observans.
  • Dataen er tilstrækkeligt beskyttet, selvom den er overført til USA.

Det er ikke sikkert at det er nok til at kunne fortsætte med brugen af mailchimp efter en klage, men det er langt bedre – på eget initiativ – at have lavet en risikovurdering end at vente til der kommer en klage.

Få mere viden af denne type

Vil du have mere info om hvad der rører sig i den digitale verden, så kan du modtage viden og tips ved at tilmelde dig her.

 

Bemærk: Oplysningerne i dette indlæg er ikke juridisk rådgivning, men generel information. KathArt kan ikke stilles til ansvar for fejl eller udeladelser.

Del via:

Andre artikler

Google introducerer nye regler for email-afsendere

Log ind i dit WordPress site uden at skulle huske på passwords

ActivityPub: En løsning på en af internettets største udfordringer?

WordPress website på flere sprog – her er mulighederne

Skal du have en whistleblowerordning?

Sådan tilføjer du 2 factor login til dit WordPress website

Nu må vi lege med USA igen

Sådan får du WordPress til at lave korrekt orddeling

GDPR venlige alternativer til Google Analytics

Datatilsynet: Google analytics er ulovligt – Hvad så nu?

Få indblik i dine brugeres adfærd med skærmoptagelser og heatmaps

Sådan ser du hvilke firmaer der besøger dit website

Privacy shield gælder ikke mere! Hvad nu?

Quick guide til GDPR

Hvordan clearer man sin cache?

Opfylder dit website reglerne om tilgængelighed?

SEO Quiz