Tidskrifter tvingas lämna populär nyhetsbrevsleverantör

Nyhetsbrevet 22 april
Tidskrifter tvingas lämna populär nyhetsbrevsleverantör
Flera svenska tidskrifter har tvingats byta nyhetsbrevsleverantör till följd av EU-domstolens beslut gällande GDPR. Den populära tjänsten Mailchimp, som är baserad i USA, har till exempel förlorat både Journalisten och Elinstallatören som kunder.

Text: Matilda Nilsson

Tidskrifter som skickar nyhetsbrev via amerikanska leverantörer riskerar att bryta mot personuppgiftsförordningen GDPR. Efter en EU-dom från i somras har tidskrifterna Journalisten och Elinstallatören valt att lämna amerikanska tjänsten Mailchimp.

Helena Giertta– Främsta skälet var att vi haft den amerikanska leverantören Mailchimp och det funkar inte med GDPR. Det som skickas från USA har amerikanska staten någon form av möjlighet att ta del av, säger Helena Giertta, chefredaktör för Journalisten. (Läs mer om hur Journalisten resonerat).

För att skydda läsarnas integritet bytte Journalisten till svenska distributören Ungapped. Elinstallatören valde litauiska Mailerlite.

Henrik Sannesson– Jag gillade Mailchimp mycket. Det var ett smidigt verktyg. Jag har inte hittat något som fungerar lika bra. Men vår jurist sade i höstas att vi inte fick använda dem, säger Henrik Sannesson, digitalredaktör för Elinstallatören. (Läs mer om hur Elinstallatören jobbar med nyhetsbrev.)

Huvudpoängen med bytet av nyhetsbrevsleverantör var att ha kvar personuppgifterna (mejllistorna) inom EU, där dataskyddsförordningen GDPR gäller. Efter EU-domstolens beslut i Schrems II-målet från i somras står det klart att EU-medborgares personuppgifter inte är tillräckligt skyddade när de hanteras av amerikanska företag. Amerikansk lagstiftning går före GDPR. Och USA:s underrättelsetjänst har långtgående rättigheter att ta del av personuppgifter (även om de gäller EU-medborgare).

Schrems II-målet är fortfarande nytt och innebörden av den för nyhetsutskick från företag inom EU prövades nyligen för första gången. BayLDA, en tysk dataskyddsmyndighet som på engelska kallas Bavarian DPA (Data Protection Authority), har beslutat att nyhetsbrev som tyska tidskriften FOGS Magazin skickade via amerikanska Mailchimp var olagligt. Eller närmare bestämt det är själva den elektroniska överföringen av mailadresser som dataskyddsmyndigheten vände sig emot.

– Den tyska myndigheten ansåg att det fanns en risk för att amerikansk underrättelsetjänst skulle kunna få tillgång till personuppgifterna som ligger hos kommunikationsbolaget Mailchimp med hänsyn till amerikansk nationell säkerhet, säger juristen Caroline Olstedt Carlström, Sveriges Tidskrifters GDPR-expert. Att endast skydda personuppgifterna med hjälp av de så kallade standardavtalsklausulerna ansågs inte tillräckligt.

Sanktionsavgiften för företag som bryter mot dataskyddsförordningen GDPR är som mest på 20 miljoner euro (!) eller fyra procent av ett bolags globala årsomsättning.
Den tyska myndigheten ansåg dock att FOGS Magazins överträdelse av GDPR var mindre, eftersom tidskriften bytt till en annan nyhetsbrevsleverantör.

– Så det blev inga sanktioner i det fallet. Men det betyder alltså att om de hade varit kvar hos Mailchimp hade de riskerat sanktioner, säger Caroline Olstedt Carlström.

Mailchimps pressavdelning har fått följande frågor av oss på mejl apropå Bavarian DPA:s beslut:

  1. Uppfyller Mailchimp GDPR?
  2. Är personlig information från EU-medborgare säker om jag skickar mitt nyhetsbrev med Mailchimp?
  3. Hur? FISA och CloudAct ger amerikanska myndigheter tillstånd att få till och med personlig information om EU-medborgare.
  4. Flera tidningar i Sverige har bytt nyhetsbrevdistributör från Mailchimp till distributörer placerade i EU sedan Shrems II. Vad gör Mailchimp för att behålla EU-företag som kunder?

Mailchimp svarar inte på frågorna, utan skickar en kommentar om Bavarian DPA:s beslut. Företaget skriver att de först och främst vill försäkra sina kunder om att de kan fortsätta att använda Mailchimp för att hosta och dela innehåll med kontakter inom EU.

”DPA:n fastställde endast att en specifik Mailchimp-kund hade misslyckats med att vidta vissa åtgärder för att uppfylla kraven på dataöverföring enligt GDPR”, skriver Mailchimp om den tyska myndighetens beslut. ”DPA fattade sitt beslut utan input eller deltagande från Mailchimp.”

Mailchimp kommenterar att deras kunder är skyldiga att göra riskbedömningar innan de överför personuppgifter från EU till USA. Till exempel ska kunderna bedöma om det finns risk för att personuppgifter om EU-medborgare kan omfattas av utländsk övervakningslagstiftning. Mailchimp menar att dataskyddsmyndigheten ansåg att Mailchimps kunds överföring var olaglig eftersom de (FOGS Magazin) inte hade genomfört en riskbedömning. Dataskyddsmyndighetens beslut gällde inte hur väl Mailchimp följer GDPR.

”Mailchimp tar globala sekretessproblem på största allvar, och vi strävar efter att hjälpa våra kunder” kommenterar Mailchimp. Nyhetsbrevsleverantören menar att man tillhandahåller en mängd olika avtalsmässiga, policy- och tekniska åtgärder för att skydda mot obehörig åtkomst av användares data. På hemsidan skriver Mailchimp om GDPR Complience (GDPR följsamhet).

Kan man då skicka nyhetsbrev med Mailchimp? I intervjun vi tidigare gjorde med Caroline Olstedt Carlström vill hon inte säga att det absolut inte går att använda just Mailchimp för nyhetsbrevutskick.

– Mailchimp kanske har blivit bättre och nu gjort justeringar. Men själv är jag inte bekväm med dem, säger hon.

Problemet med amerikanska företag är att de i första hand lyder under amerikansk lagstiftning. Men även EU-baserade företag som använder dataservrar i USA berörs av lagar om nationell säkerhet i USA. Det gäller alla företag som gör elektroniska dataöverföringar via USA. Vidare spelar det roll var till exempel dotterbolag, support och underleverantörer har sin hemvist.

– Om en nyhetsbrevstjänst till exempel har någon som sitter i Kalifornien och ger support och loggar in utifrån i systemet via remote access så räcker det för att det ska ses som en elektronisk överföring till USA, säger Caroline Olstedt Carlström.

När det gäller personuppgifter som ditt företag hanterar så har man enligt GDPR ett långtgående ansvar att säkerställa att de är skyddade.

– Man behöver vara mycket bevandrad tekniskt, man måste ställa många frågor. Man har ett långtgående ansvar för att utreda alla led. Det här är svårt för en liten redaktion. Det vore enklare om man hanterade det här branschvis. Det gäller att skapa press på leverantörerna att faktiskt iaktta de europeiska kraven och möjliggöra för kunder inom EU att göra rätt, säger Caroline Olstedt Carlström.

Liten GDPR-ordlista

GDPR (The General Data Protection Regulation): Dataskyddsförordning som har som syfte att skapa ett enhetlig skydd av personuppgifter inom EU. EU-förordningen GDPR ersatte den svenska personuppgiftslagen (PUL) 2018. Att bryta mot GDPR kan bli rejält dyrt. Sanktionsavgiften är som mest på 20 miljoner euro (!) eller fyra procent av ett bolags globala årsomsättning, beroende på vilket belopp som är högst.

Personuppgift: All slags information som kan knytas till en person, till exempel namn, adress och personnummer.

Personuppgiftsansvarig: Den som är ålagd att se till att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningens samtliga bestämmelser.

Personuppgiftsbiträde: Den som behandlar personuppgifter för en personuppgiftsansvarigs räkning.

Källa: Integritetsskyddsmyndigheten (IMY)

Checklista

Så bör du hantera personuppgifter i nyhetsbrev.

 

  • Börja med att ta reda på vem som är personuppgiftsansvarig? Det vill säga vem/vilken organisation ska se till att dataskyddsförordningens bestämmelser följs. Det kan till exempel vara en redaktion eller ett fackförbund. Vem ansvarar för mejllistorna i dag? Är det facket som till exempel tillhandahåller medlemslistor till redaktionen (som gör själva utskicket) ska det finnas ett personuppgiftsbiträdesavtal mellan facket (personuppgiftsansvarig) och redaktionen (personuppgiftsbiträde).
  • Ha en gallringspolicy för personuppgifter på plats och en process för att ta bort gamla mejladresser och andra personuppgifter. Arbetsprocessen behöver överensstämma med gallringspolicyn.
  • Ha noggrann kontroll över vilka leverantörer som du kommer använda vid utskicket.
  • Säkerställ att det finns så bra avtal som möjligt med alla leverantörer. Utgå ifrån att det inte räcker med ett serviceavtal eller ett tjänsteavtal. I tillägg bör man ha ett personuppgiftsbiträdesavtal (PUB-avtal), på engelska: data processing agreement (DPA Agreement). Observera att personuppgiftsansvarig ska säkerställa att det finns bra avtal och god informationssäkerhet även hos alla underleverantörer. Man kan inte nöjdförklara sig. Ansvaret täcker all verksamhet som du utför och även det som du outsourcat.
  • Kontrollera om någon leverantör eller underleverantör gör överföringar utanför EU? Om ja, blir det ännu svårare att säkerställa att personuppgiftshanteringen är riskfri. Ta reda på i vilka länder servrarna finns, var supporten sitter och så vidare. Går överföringar via USA eller hanteras uppgifterna av amerikanska företag har amerikansk underrättelsetjänst enligt FISA (Foreign Intelligence Surveillance Act) långtgående möjligheter att kunna ta del av personuppgifterna (även gällande EU-medborgare). Lagen CloudAct innebär även att en del personuppgifter vid behov kan bli tillgänglig för åklagare och polis i USA. EU har en så kallad vitlista över länder utanför EU som kan vara okej. Använd den som vägledning, men själva bedömningen måste du stå för själv. Kan du hålla personuppgifterna inom EU är det att föredra.
  • Hur marknadsför sig leverantören själv? Uppger de att de är GDPR Compliant och har tydlig information om det till exempel? Det är inte lika med att de också följer GDPR, men det kan vara ett tecken på att du har hittat en seriös leverantör.
  • Det räcker inte att skriva på stora organisationers färdiga standardavtal. Det är den personuppgiftansvariges ansvar att se till att avtalen är tillräckligt bra och verkligen täcker allt som behövs.
  • Förutom att ta redan på hur väl organisationen klarar av att hantera personuppgifter, behöver du även vara tekniskt bevandrad och kunna säkerställa att tekniken är så stabil att personuppgifter inte röjs.
  • Nyhetsbrevet ska ha ett integritetsmeddelande som talar om hur personuppgifter hanteras och i fall personuppgifter hanteras utanför EU.
  • Om du eller din leverantör tillämpar cookies eller liknande teknik ska det finnas ett cookiemeddelande till nyhetsbrevet. Detsamma om du eller din leverantör trackar mottagaren via till exempel Pixel i bilder.
  • Det måste vara lätt att avregistrera sig från nyhetsbrevet. Alla seriösa aktörer har en enkel avregistreringsmöjlighet i slutet av mejlutskicket. I annat fall framstår du inte som särskilt trovärdig.

Källa: Caroline Olstedt Carlström, Sveriges Tidskrifters GDPR-expert

Samhällsbärande
Bland tidskriftsbranschens över 4000 olika titlar ryms en mängd aktörer med en samhällsbärande roll, både som kulturbärare och som en stark del av den svenska demokratin.
Fyra tidskrifter som gör skillnad

Prenumerera på Sveriges Tidskrifters nyhetsbrev

    Lyssna på Tidskriftspodden

    Lyssna här