Mailchimp og GDPR

Af Sascha Hegner Specht

Mailchimp har hovedsæde udenfor EU og du overfører derfor data til et tredjeland. Mailchimp er dog EU-U.S. privacy Shield certificeret (betyder at de anses for at ligge i et såkaldt ”sikkert tredjeland”).

Du kan altså roligt stadig bruge Mailchimp og være “compliant”. Der er blot følgende ting du skal være opmærksom på. Læs denne artikel, så er du godt på vej!

Databehandleraftale

Du skal huske at der skal være en databehandleraftale med udbyderen. Udbyderen skal altså figurere i din oversigt over jeres databehandlere.
Hos Mailchimp kan du finde den her (kræver login).

Samtykke

De personer du har registreret i systemet skal være klar over at de er registreret. Og i øvrigt at oplysningerne er delt med en tredjepart (Mailchimp). Det er ikke nok at indsætte afmeldingslink i bunden af sine mails – de skal give samtykke.

Mailchimp har tilføjet særlige felter der tager hensyn til GDPR. Det betyder at de ved tilmelding giver samtykke til registreringen.
Vi anbefaler iøvrigt ”dobbelt-opt-in- metoden”. Det indebærer, at den registrerede modtager en mail ved tilmelding om at bekræfte sin tilmelding.

Unødvendige oplysninger

Har I bedt om flere oplysninger end nødvendigt? Det er ikke i orden at spørge til f.eks. hvilket køn den registrerede er, hvis ikke det er nødvendigt for at levere den service du yder via systemet (f.eks. at sende nyhedsbreve ud). Så sørg for at alle unødvendige oplysninger ikke bliver registreret.  

Man kommer længst med ærlighed

Det er vigtigt at du ikke bruger registreredes oplysninger til andet end hvad du har ”aftalt” med dem (og de har godkendt ved tilmelding). Det vil sige at du ikke kan sende dem informationer om kommende events i markedsføringsøjemed, hvis de kun har givet samtykke til at stå på en ”invitationsliste”. Sørg derfor for at du har den samtykke du skal bruge – men sørg for at det kun er nødvendige oplysninger.

Retten til at blive glemt

I skal sikre jer at den registrerede kan blive slettet fra jeres lister – og at det er nemt for den registrerede at ”blive glemt”. Sørg derfor altid for at der er ”unsuscribe” mulighed i bunden af dine nyhedsmail.

Mailchimp fungerer i individuelle “lister”. Har man oprettet samme person på flere lister, skal man ind i hver enkelt liste og slette den registreredes oplysninger på hver enkelt liste.

Reglerne er ikke nye

Der er egentlig ikke noget nyt i alt dette. Det har længe været sådan, at man ikke må sende til personer, der ikke har givet samtykke. GDPR har ‘bare’ skærpet konsekvenserne hvis man ikke overholder reglerne.

GDPR kan derfor have ret hårde konsekvenser for marketing, men man kan vælge at se det, som at man får en opdateret og ‘aktiv’ liste. Det er jo ligegyldigt at sende 60.000 mails afsted, hvis kun 5.000 læser dem alligevel.

Nye regler på vej

Det forventes i øvrigt at de nuværende regler vil blive erstattet af det nye ePrivacy Regulativ (ePR), som vil lægge i tråd med GDPR – det vil dog ”trumfe” GDPR og vil derfor i nogle tilfælde betyde at det ikke er nok at være GDPR-compliant.  Det forventes dog ikke at blive implementeret før tidligst 2022.

De nye regler kommer overordnet set til at handle om al elektronisk kommunikation (e-mail, chats, online-telefoni og cookie-regler).
Det er endnu uvist i hvor høj grad der vil blive ændret på det nuværende samtykkekrav vedr. cookies, men der er i EU fokus på at de nuværende samtykke-erklæringer vi bruger p.t., ikke er den optimale løsning.

Kilder og links