Mailchimp og GDPR – her er dine muligheder

En tysk virksomhed er blevet bedt om at holde op med at bruge Mailchimp af datatilsynet i Bayern. Hvad betyder det for jer der bruger mailchimp i dag, og hvad skal du gøre? Her er den korte guide.

Sagen kort

Databeskyttelsesaktivister i Tyskland indgav en klage til datatilsynet i Bayern, hvor de argumenterede for at en virksomheds overførsel af personlig data (e-mailadresser) til Mailchimp er ulovlig.
Datatilsynet gav klageren ret.
Virksomheden ophørte derefter med at bruge Mailchimp.

Hvad betyder det?

Det betyder kun at der er lavet en afgørelse i en enkelt ‘sag’. Men det betyder også at det er sandsynligt at andre datatilsyn vil komme til samme konklusion.

Det er dog vigtigt at forstå at sagen ikke kun handler om brugen af Mailchimp. Den handler i lige så høj grad om hvorvidt den tyske virksomhed havde lavet en grundig vurdering af risikoen ved at overføre data til Mailchimps servere i USA – før de gjorde det. Havde de lavet et bedre forarbejde havde udfaldet måske været anderledes.

Hvad skal du gøre?

Datatilsynet i Danmark svarer ikke på om bestemte produkter/platforme overholder GDPR reglerne. Det er din egen opgave at undersøge om din brug af Mailchimp er indenfor reglerne.

Hvis du bruger Mailchimp har du 2 muligheder:

  1. Hvis du ikke har noget imod at skifte til en anden udbyder, som kan garantere at din data bliver i EU, så kan du gøre det.
  2. Hvis du gerne vil blive ved med at bruge Mailchimp, så er det en rigtig god ide at få skrevet et dokument, hvor du vurderer brugen af mailchimp. Det dokument får du brug for, hvis en kunde klager til datatilsynet – eller datatilsynet vælger at se nærmere på din brug af mailchimp af egen drift.

Tjekliste til at lave en risikovurdering af Mailchimp

Lav et dokument, som indeholder svar på følgende:

  1. Er der nogle andre systemer, som kan det samme som Mailchimp, hvor du ikke behøver at flytte data ud af EU, som du kunne bruge i stedet? Beskriv hvorfor du har valgt at bruge Mailchimp og ikke et af de systemer.
  2. Beskriv hvilke typer af persondata der findes i Mailchimp? (Fx e-mailadresser)
  3. Hvor følsom er dataen. Fokuser på at det kun er almindelige mailadresser på voksne personer, som selv har tilmeldt sig et nyhedsbrev og ikke noget særlig personfølsom data (hvis det er tilfældet selvfølgelig)
  4. Hvilken konsekvens ville det have for de personer, som du har information om, hvis mailadresserne kom i amerikanske myndigheders hænder?
  5. Hvilken type information sender du til abonnenterne? Fokuserer på at det er almindelige nyhedsbreve, som ikke giver anledning til at kunne fastslå abonnenternes politiske standpunkt, sexuelle observans eller medicinske forhold.
  6. Beskriv hvordan Mailchimp beskytter dataen (se deres terms). Fokuser på hvordan de krypterer data, hvilke regler de ansatte skal overholde, hvordan de forholder sig hvis de modtager anmodning om udlevering af data fra amerikanske myndigheder. Mailchimp forholder sig til sagen her: https://mailchimp.com/help/mailchimp-european-data-transfers/

Med andre ord skal du lave et dokument der viser at:

  • Dataen, som overføres ikke er særlig personfølsomt.
  • Indholdet som sendes ud fra Mailchimp må ikke kan bruges til at fastslå modtagernes tilhørsforhold/observans.
  • Dataen er tilstrækkeligt beskyttet, selvom den er overført til USA.

Det er ikke sikkert at det er nok til at kunne fortsætte med brugen af mailchimp efter en klage, men det er langt bedre – på eget initiativ – at have lavet en risikovurdering end at vente til der kommer en klage.

Få mere viden af denne type

Vil du have mere info om hvad der rører sig i den digitale verden, så kan du modtage viden og tips ved at tilmelde dig her.

 

Bemærk: Oplysningerne i dette indlæg er ikke juridisk rådgivning, men generel information. KathArt kan ikke stilles til ansvar for fejl eller udeladelser.