skip to Main Content

Németország: a GDPR miatt nem használható a Mailchimp

A Bajor Adatvédelmi Hatóság (DPA) 2021. március 15-én kiadott döntésében szabálytalannak nevezte a Mailchimp platform használatát. A Mailchimp az egyik legszélesebb körben használt, amerikai email marketing platform, mely segítségével a felhasználók gyakorlatilag korlátlan marketing emailt küldhetnek naponta, azonban ezzel párhuzamosan is kötelesek betartani a GDPR rendelkezéseit. A platformon keresztül küldött e-mailek kapcsán az adatkezelők a sima e-mail-nél több információt kapnak vissza, így például, hogy ki nyitotta meg, mire klikkel stb.

Természetesen, bár ebbe nincs beleszólása a platformnak, de elvárják a felhasználóiktól, hogy kizárólag jogszerűen, tehát a reklámtevékenységre és a személyes adatok kezelésére vonatkozó szabályok betartása mellett folytassák az e-mail marketing tevékenységüket.

Egy német állampolgár tett bejelentést a hatóságnak, mivel egy meg nem nevezett cég a Mailchimp szolgáltatását használva küldött neki hírlevelet. Panaszában kifejtette, hogy a szolgáltatás használatával a hírlevelek címzettjeninek e-mail címei a Mailchimp kezelésébe és így amerikai joghatóság alá kerültek. A harmadik országba történő adattovábbítás során a Mailchimp az SCC-re (általános szerződési feltételek) hivatkozik, azonban az SCC önmagában nem oldja fel az amerikai jogrendszer nemzetbiztonsági szabályai miatt az Európai Unió Bírósága által azonosított kockázatokat.

Vizsgálata során a DPA megállapította, hogy a megvalósult adatkezelés jogalapja az SCC, tehát általános szerződéses feltételek voltak, melyek használhatósága jogalapként többek között a fent írtak miatt erősen vitatott. Szintén megállapította, hogy az amerikai jogszabályok értelmében a Mailchimp „elektronikus hírközlési szolgáltatónak” minősül, így igény esetén az amerikai titkosszolgálatok hozzáférhetnek az általuk kezelt adatokhoz (részletesen a kapcsolódó jogszabályokról itt).

A bejelentő és a Schrems II döntés szerint a cégnek extra biztonsági intézkedéseket kellett volna hoznia, hogy az általa kezelt adatok védve legyenek külföldi hírszerzési szolgálatok hozzáféréseitől, azonban ennek a pontos módjára vonatkozóan még nincsen tökéletes megoldás. A vizsgálat lezárását követően a cég azonban haladéktalanul felhagyott a Mailchimp használatával és megjegyezte, hogy egyébként korábban is csak alkalmanként vette igénybe.

Érdekesség még az ügyben, hogy az érintett kifejezetten kérte a Hatóságot bírság kiszabására, amelyet az megtagadott. Válaszában kifejtette, hogy a platform alkalmankénti használata és a használat azonnali felfüggesztése miatt nem látta indokoltnak bírság kiszabását.

Egyúttal felhívta az érintett figyelmét, hogy adatvédelmi ügyekben az érintettnek nincs jogi lehetősége bírság kiszabását kérni, mivel ez kizárólag a Hatóság döntésétől függ. A Hatóság a GDPR 58. és 83. cikke alapján jogosult bírságot kiszabni, azonban ezt nem az érintett jogainak védelmében, hanem a közérdek javát szolgáló jogszabályok betartatása keretében teszi.

A DPA a GDPR 83. cikkét figyelembe véve döntött úgy, hogy ebben a konkrét esetben nem bírságol. Ezt többek között azzal indokolta, hogy olyan kevésbé érzékeny adatokat érint csak az eset, mint az email címek. A cég elfogadta a hatóság döntését.

Back To Top