Mailchimp og GDPR

Af Sascha Hegner Specht

Mailchimp har hovedsæde udenfor EU/EØS og du overfører derfor data til et tredjeland. Mailchimp er dog EU-U.S. privacy Shield certificeret (betyder at de anses for at ligge i et såkaldt ”sikkert tredjeland”) (red. opdatering august 2020: En nylig EU-dom har erklæret EU-U.S. privacy Shield for ugyldig. læs mere her).

Denne artikel omtaler et par ting man bør være opmærksom på når man bruger Mailchimp.

Databehandleraftale

Når du tilmelder dig mailchimp, accepterer du automatisk de vilkår Mailchimp opererer under, herunder GDPR-forhold.

“Mailchimp’s Data Processing Addendum is incorporated directly into our Standard Terms of Use and does not require a signature. By using Mailchimp or signing up for an account, you’re agreeing to these Terms”.

Kilde: https://mailchimp.com/help/gdpr-faq/#Legal_requirements

Samtykke

De personer du har registreret i systemet skal være klar over at de er registreret. Og i øvrigt at oplysningerne er delt med en tredjepart (Mailchimp). Det er ikke nok at indsætte afmeldingslink i bunden af sine mails – de skal give samtykke.

Mailchimp har tilføjet særlige felter der tager hensyn til GDPR. Det betyder at de ved tilmelding giver samtykke til registreringen.
Vi anbefaler iøvrigt ”dobbelt-opt-in- metoden”. Det indebærer, at den registrerede modtager en mail ved tilmelding om at bekræfte sin tilmelding.
Husk endelig at oplyse om formål og vilkår i forbindelse med indhentelse af samtykket.

Nødvendige oplysninger

Har I bedt om flere oplysninger end nødvendigt? Det er ikke i orden at spørge til f.eks. hvilket køn den registrerede er, hvis ikke det er nødvendigt for at levere den service du yder via systemet (f.eks. at sende nyhedsbreve ud). Så sørg for at det kun er nødvendige oplysninger der bliver registreret.  

Man kommer længst med ærlighed

Det er vigtigt at du ikke bruger registreredes oplysninger til andet end hvad du har ”aftalt” med dem (og de har godkendt ved tilmelding). Det vil sige at du ikke kan sende dem informationer om kommende events i markedsføringsøjemed, hvis de kun har givet samtykke til at stå på en ”invitationsliste”. Sørg derfor for at du har den samtykke du skal bruge – men sørg for at det kun er nødvendige oplysninger.

Retten til at blive glemt

I skal sikre jer at den registrerede kan blive slettet fra jeres lister – og at det er nemt for den registrerede at ”blive glemt”. Sørg derfor altid for at der er ”unsuscribe” mulighed i bunden af dine nyhedsmail.

Mailchimp fungerer i individuelle “lister”. Har man oprettet samme person på flere lister, skal man ind i hver enkelt liste og slette den registreredes oplysninger på hver enkelt liste.

Reglerne er ikke nye

Der er egentlig ikke noget nyt i alt dette. Det har længe været sådan, at man ikke må sende til personer, der ikke har givet samtykke. GDPR har ‘bare’ skærpet konsekvenserne hvis man ikke overholder reglerne.

GDPR kan derfor have ret hårde konsekvenser for marketing, men man kan vælge at se det, som at man får en opdateret og ‘aktiv’ liste. Det er jo ligegyldigt at sende 60.000 mails afsted, hvis kun 5.000 læser dem alligevel.

Nye regler på vej

Det forventes i øvrigt at de nuværende regler vil blive erstattet af det nye ePrivacy Regulativ (ePR), som vil ligge i tråd med GDPR – det vil dog ”trumfe” GDPR og vil derfor i nogle tilfælde betyde at det ikke er nok at være GDPR-compliant.  Det forventes dog ikke at blive implementeret før tidligst 2022.

De nye regler kommer overordnet set til at handle om al elektronisk kommunikation (e-mail, chats, online-telefoni og cookie-regler).
Det er endnu uvist i hvor høj grad der vil blive ændret på det nuværende samtykkekrav vedr. cookies, men der er i EU fokus på at de nuværende samtykke-erklæringer vi bruger p.t., ikke er den optimale løsning.

Kilder og links