Må man stadig bruge MailChimp efter 25. maj 2018?

Et af formålene med GDPR, er faktisk at gøre det lettere for virksomheder at udveksle informationer med hinanden inden for EU (og EØS samarbejdet), da alle lande jo er underlagt GDPR og de registrerede dermed kan være sikre på, at deres personoplysninger behandles korrekt i henhold til GDPR, uanset i hvilket EU (og EØS) land deres oplysninger ligger. Men hvad så når data overføres til eks. USA?

Når personoplysninger videregives til tredjelande som USA, så gælder der nogle ekstra strikse regler, da man så som dataansvarlig, skal sikre sig, at tredjeparten som minimum kan leve op til samme krav som i GDPR, så GDPR ikke undermineres. I visse tilfælde kan EU Kommissionen dog gå ind og lave en særlig aftale, såfremt et land eller en sektor i et land kan garantere et tilstrækkeligt beskyttelsesniveau. Da samhandelen mellem USA og EU er vigtig og essentiel for mange virksomheder, er der derfor lavet en særlig aftale med USA kaldet ”Privacy Shield”. Under denne aftale kan EU virksomheder og organisationer overføre personoplysninger til et amerikansk selskab, såfremt dette er godkendt under Privacy Shield ordningen.

Vil man gerne vide om et firma er underlagt Privacy Shield, så kan man på siden https://www.privacyshield.gov/ slå amerikanske virksomheder op og se, om de er med i aftalen eller ej. Slår man MailChimp op vil man se, at de er med i Privacy Shield.

Så når vi nu har fastlagt, at vi gerne må overføre personoplysninger til MailChimp, så skal vi stadig huske, at MailChimp er vores databehandler, så derfor skal vi have en databehandleraftale med dem. Heldigvis har MailChimp udformet en standard databehandleraftale, som man kan underskrive online på siden https://mailchimp.com/legal/forms/data-processing-agreement/

Så i relation til USA som et tredjeland uden for EU og i relation til MailChimp som et amerikansk firma underlagt Privacy Shield, så er svaret på, om vi fortsat må benytte MailChimp efter 25. maj 2018, JA, det må vi gerne.

Du skal dog huske, at det for dig som dataansvarlig ikke er nok blot at underskrive deres databehandleraftale. Du skal bl.a. stadig huske, at du også skal oplyse de registrerede (jf. artikel 13, stk 1 litra f i GDPR), at du agter at overføre deres personoplysninger til et tredjeland.

Vi bruger selv MailChimp, så hvis du vil se hvordan vi overholder oplysningspligten, så kan du tilmelde dig vores nyhedsbrev her.

Denne artikel blev oprindeligt posted på LinkedIn 22. januar 2018 - Se artiklen her 

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet.