E-mail marketing og overførsel af personoplysninger til USA
Mange virksomheder anvender i dag e-mail marketing-platforme fra leverandører i USA. Det medfører i det fleste tilfælde, at personoplysninger fra e-mail marketing-platformen også overføres til USA.
Når du overfører persondata til et tredjeland uden for EU, som fx USA, kræves der et særligt overførselsgrundlag. Det har til formål at sikre, at tredjelandet lever op til de grundlæggende krav om persondatasikkerhed.
Tidligere har virksomheder kunne gøre brug af Privacy Shield-ordningen som grundlag for at overføre personoplysninger til USA, men i juli 2020 underkendte EU-domstolen ordningen i den såkaldte ”Schrems II”-sag. Det betyder, at virksomheder ikke fremadrettet må overføre personoplysninger fra EU til USA ved at bruge Privacy Shield som overførselsgrundlag. Det er derfor vigtigt, at du får tjekket op på, om din e-mail marketing platform hostes i USA, og om jeres overførselsgrundlag er baseret på Privacy Shield-ordningen.
Tilbage i juli 2020 afsagde EU-Domstolen en principiel dom i den såkaldte ”Schrems II”-sag. I samme ombæring erklærede de Privacy Shield-ordningen ugyldig, hvilket betyder, at virksomheder ikke fremadrettet må overføre personoplysninger fra EU til USA ved at bruge Privacy Shield som overførselsgrundlag. Det skyldes, at man i EU ikke anser den lovgivningsmæssige privatlivsbeskyttelse i USA for at være tilstrækkelig, blandt andet pga. den overvågning, der finder sted fra den amerikanske efterretningstjeneste.
Bør jeg stoppe udsendelsen af nyhedsmails?
Ja! Hvis din hosting-leverandør er placeret i USA, anbefaler vi klart, at du nøje overvejer den fremadrettede løsning til udsendelse af nyhedsmails til dine kunder. Hvis du får besøg af Datatilsynet, kan du få en bøde for ikke at overholde reglerne om persondatabeskyttelse.
Er du i tvivl om, hvorvidt din hosting-leverandør har adresse i USA, evt. via en af deres underleverandører, anbefaler vi dig at tjekke din databehandleraftale med leverandøren. Her skal det fremgå, hvor personoplysninger opbevares.
Kan Standard Contractual Clauses bruges som overførselsesgrundlag til USA?
I nogle tilfælde vil en databehandleraftale kombineret med de såkaldte Standard Contractual Clauses være tilstrækkelig til at danne lovligt grundlag for overførsel af personoplysninger til lande udenfor EU. Det gælder dog ikke, hvis din dataleverandør er i USA. Efter Schrems II-afgørelsen er det nemlig heller ikke muligt at anvende Standard Contractual Clauses som overførselsgrundlag, når der overføres persondataoplysninger til USA. EU anser simpelthen ikke den lovgivningsmæssige privatlivsbeskyttelse i USA for at være tilstrækkelig. Der kan i forbindelse med visse overførsler skabes et fornødent sikkerhedsniveau ved brug af såkaldte ”supplerende sikkerhedsforanstaltninger”, men det er p.t. uklart, hvad der kan accepteres fra EU’s side.
Husk på, at det sidste ende er dig som dataansvarlig, der har ansvaret for, at oplysningerne opbevares i overensstemmelse med persondatalovgivningen.
Har du brug for rådgivning, er du velkommen til at kontakte os.
Læs også: Nye regler for dataoverførsler til lande udenfor EU
Har du brug for rådgivning om e-mailmarkedsføring?
0 kommentar