Oikeus: Mailchimpiä ei saa käyttää sähköpostien lähetykseen EU:ssa
Maailman suosituin sähköpostiin lähetettävien uutiskirjeiden palvelu on amerikkalainen Mailchimp, joka on perustettu jo vuonna 2001. Palvelua käyttävät Suomessakin lukuisat verkkosivustot, yhtiöt ja organisaatiot. Nyt tuomioistuin on linjannut selkeästi sen, että palvelua ei nykymuodossaan saa käyttää Euroopassa.
Taustalla on vuoden 2020 merkittävä oikeuden päätös, jossa yritysten tietojen siirto EU-alueelta Yhdysvaltoihin katsottiin laittomaksi EU:n korkeimman oikeuden päätöksessä. Syynä tähän on se, että Yhdysvaltain oma lainsäädäntö sallii sikäläisille viranomaisille pääsyn käyttäjätietoihin. Ja luonnollisesti se, että vaikkapa FBI tai Homeland Security pääsee käsiksi EU-kansalaisten henkilötietoihin, rikkoo EU:n henkilötietoasetuksia vastaan.
Nyt syntyneestä uudesta tilanteesta on annettu ensimmäinen merkittävä ennakkopäätös Saksassa. Siellä paikallinen verkkojulkaisu joutui oikeuteen lähetettyään kaksi uutiskirjettä Mailchimpin kautta - ja hävisi oikeusjuttunsa.
Perusteluna tuomiolle oikeus katsoi, että verkkosivusto ei ollut varmistanut sitä, noudattaako uutiskirjealusta - eli Mailchimp - EU:n lainsäädäntöä henkilötietojen käsittelystä. Oikeuden mukaan nimenomaan uutiskirjeen lähettävä taho - ei siis Mailchimp - on velvollinen huolehtimaan siitä, että sen asiakastiedot käsitellään EU:n lainsäädännön mukaisesti.
Koska verkkosivusto ei luonnollisestikaan voi tarkalleen tietää sitä, noudattaako Mailchimp EU:n GDPR-asetusta, katsoi oikeus verkkojulkaisijan menetelleen tilanteessa väärin. Sinänsä kysymys on ollut ainoastaan sähköpostiosoitteita ja nimiä sisältävästä listasta, ei sen syvällisemmästä henkilötiedosta, mutta sinänsä tietojen "herkkyydellä" ei ole merkitystä GDPR:n kannalta.
Oikeuden päätöstä analysoinut Lexology tulkitsee päätöstä laajemmin. Sivuston mukaan jatkossa EU:ssa toimivien palveluiden - pienten verkkosivujenkin - pitää tehdä jatkossa kirjallinen dokumentti siitä, että ne ovat analysoineet tarkasti käyttämänsä (yleensä amerikkalaisen) palveluntarjoajan tietosuojakäytännöt ja niiden yhteensopivuuden GDPR-lainsäädännön kanssa. Monellako pienellä yrityksellä on valmiuksia tai resursseja tällaiseen selvitystyöhön, onkin sitten aivan eri asia.
Mailchimp itse lupaa viime syksynä julkaistussa ohjeessaan yhtiön olevan yhteensopiva EU:n lainsäädännön kanssa, huolimatta Yhdysvaltain ja Euroopan Unionin tietovaihtosopimuksen kaatumisesta. Saksalainen oikeusistuin oli lausunnossaan tästä eri mieltä, eli kuluttaja ei ollut antanut selkeää lupaa tietojen käsittelylle EU:n ulkopuolella, eikä Mailchimp voinut taata sitä, etteikä siirrettyihin tietoihin päästäisi käsiksi Yhdysvaltain viranomaisten taholta.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT