Elido
Blog
12 min czytaniaZgodność
Kluczowa

Rezydencja danych UE dla narzędzi marketingowych: co naprawdę pyta twój IOD

Co oznacza 'rezydencja danych UE' w świetle art. 3 RODO + Schrems II - gdzie narzędzia marketingowe tracą dane, jak to naprawić po stronie serwera i lista kontrolna do zamówień publicznych

Sasha Ehrlich
Compliance · EU residency
EU border with data-flow arrows staying inside versus crossing to US-hosted marketing tools, with seven leak points highlighted

Przejrzałem wiele kwestionariuszy bezpieczeństwa otwierających się tym samym polem wyboru: „Czy dane klientów są hostowane w UE? Tak / Nie." Dostawca zaznacza Tak. IOD podpisuje przegląd. Sześć miesięcy później ten sam IOD zauważa, że każde zdarzenie kliknięcia przechodzi przez Meta Pixel hostowany w USA i instancję HubSpot z siedzibą w Kalifornii, oba uruchamiające się w przeglądarce użytkownika, zanim europejski edge Elido w ogóle zobaczy żądanie.

Pole wyboru było uczciwe. Odpowiedź była też niepełna. „Hostowane w UE" na stronie głównej dostawcy opisuje, gdzie stoją własne serwery platformy. Nie mówi nic o tym, co warstwa marketingowa podłączona do tej platformy robi z danymi, dokąd trafiają ani jaką podstawą prawną jest objęty transfer. To są pytania, które naprawdę zadaje IOD, który czyta art. 3 RODO i Schrems II.

Ten post to wersja rozmowy marketingowiec-spotyka-IOD. Gdzie zaczyna się i kończy rezydencja danych w UE, gdy prowadzisz śledzenie linków i przekazywanie konwersji? Co zmienia się prawnie, gdy przechodzisz z pikseli po stronie klienta na serwisowe API konwersji? I co powinna naprawdę zawierać lista kontrolna zakupowa?

Post uzupełniający - GDPR for URL shorteners - omawia obowiązki na poziomie artykułów w całości. Będę się do niego odwoływać w odpowiednich miejscach, zamiast powtarzać.

TL;DR#

  • „Hostowane w UE" obejmuje warstwę danych twojego dostawcy. Nie obejmuje skryptów marketingowych po stronie klienta uruchamiających się w przeglądarkach użytkowników przed przekierowaniem.
  • Schrems II i art. 44–49 RODO nakładają realne wymagania na dane przepływające do platform reklamowych i analitycznych hostowanych w USA. Serwerowe przekazywanie konwersji przenosi transfer na warstwę serwer-serwer, ale nie eliminuje obowiązku transferowego.
  • Art. 28 ust. 2 wymaga pisemnej listy podprzetwarzających. Pięciu podprzetwarzających z nazwanymi regionami jest audytowalnych; czterdziestu z niejasną treścią to odpowiedzialność prawna.
  • Poniższa lista kontrolna zakupowa zamyka większość pytań IOD w jednej rozmowie wyjaśniającej.

Stos prawny w prostym języku#

Cztery przepisy robią tu większość roboty. Możesz się na nie powoływać bez wykształcenia prawniczego; numery artykułów są krótkie.

Art. 3 RODO - zakres terytorialny. Art. 3 ust. 2 stosuje RODO do każdego przetwarzania danych osób z UE przez administratora lub podmiot przetwarzający z siedzibą poza UE, gdy przetwarzanie dotyczy oferowania towarów lub usług osobom z UE lub monitorowania ich zachowania. „Monitorowanie zachowania" to śledzenie kliknięć. Dostawca analityki hostowany w USA bez podmiotu unijnego przetwarza dane osobowe osób z UE za każdym razem, gdy twój link uruchamia ich piksel. Art. 3 mówi, że RODO stosuje się do tego dostawcy niezależnie od miejsca jego siedziby. Pytanie o rezydencję dotyczy tego, dokąd trafiają dane po tym, jak obowiązek przetwarzania już powstał.

Art. 28 RODO - obowiązki podmiotów przetwarzających. Art. 28 reguluje umowę między administratorem a każdym podmiotem przetwarzającym w łańcuchu. Twoja platforma do skracania linków, twoje narzędzie analityczne, twój dostawca poczty - każdy musi podpisać DPA obejmującą osiem obowiązków (a)–(h). Dostawca, który nie chce dostarczyć pre-podpisanego DPA, prosi cię o przejęcie jego ryzyka compliance. Ustęp 2 konkretnie wymaga, by podmiot przetwarzający uzyskał autoryzację administratora przed zaangażowaniem podprzetwarzających i nałożył na nich równoważne obowiązki kontraktem.

Art. 44–49 RODO - transfery do krajów trzecich. Rozdział V RODO zakazuje transferu danych osobowych do kraju trzeciego, chyba że zastosowanie ma jeden z wymienionych mechanizmów: decyzja stwierdzająca odpowiedni stopień ochrony, Standardowe Klauzule Umowne, Wiążące Reguły Korporacyjne lub wyjątki z art. 49. Dla transferów do platform hostowanych w USA domyślnym mechanizmem od czasu przyjęcia EU-US DPF w 2023 roku są SKU uzupełnione certyfikacją DPF - lub sam EU-US Data Privacy Framework tam, gdzie odbiorca w USA jest certyfikowany. Żaden mechanizm nie eliminuje obowiązku transferowego; opisują tylko, jak go spełnić.

Schrems II - TSUE C-311/18. Wyrok Schrems II unieważnił Tarczę Prywatności w lipcu 2020 roku i ustalił, że transfery oparte na SKU wymagają Oceny Wpływu Transferu oceniającej, czy prawo inwigilacyjne kraju docelowego pozbawiałoby osoby z UE skutecznych środków ochrony. Ciężar OWT jest realny i ciągły. EU-US Data Privacy Framework, przyjęty decyzją stwierdzającą odpowiedni stopień ochrony Komisji w 2023 roku, zapewnia aktualny mechanizm dla odbiorców certyfikowanych w ramach DPF w USA, ale jest przedmiotem toczącego się postępowania sądowego - NOYB sygnalizował zamiar zaskarżenia, a zalecenia EROD dotyczące środków uzupełniających (01/2020) pozostają istotną wskazówką dla zespołów pragnących mieć reżim transferów odporny na kolejny wyrok Schrems. Kupujący z regulowanych sektorów coraz częściej kontraktują przetwarzanie wyłącznie w UE jako strukturalne zabezpieczenie przed zmianą reżimu prawnego.

Gdzie narzędzia analityczne marketingowe typowo tracą rezydencję UE#

Luka między „nasz shortener jest hostowany w UE" a „nasze dane pozostają w UE" otwiera się w marketingowej warstwie po stronie klienta. Sześć typowych punktów wycieku.

Meta Pixel (po stronie klienta). Standardowa implementacja piksela wysyła żądanie GET z przeglądarki użytkownika do connect.facebook.net, punktu CDN obsługiwanego przez infrastrukturę Meta zlokalizowaną w USA. To żądanie zawiera pełny URL - w tym parametry UTM - plus IP użytkownika, identyfikatory cookie i fingerprint przeglądarki. Opuszcza terytorium UE w przeglądarce użytkownika, zanim twój serwer w ogóle przetworzy kliknięcie. Meta ma siedzibę w Irlandii dla celów UE i powołuje się na podstawę prawną transferu na mocy SKU. Twierdzenie to jest przedmiotem dwóch ważnych decyzji organu nadzorczego (orzeczenie irlandzkiego organu ochrony danych z 2022 roku dotyczące Facebook Ireland i nakaz egzekucji SKU z 2023 roku). Sam piksel nadal wysyła dane na serwery w USA; podstawa prawna jest kwestionowana.

Google Tag / GA4 (po stronie klienta). Fragment gtag.js uruchamia się z przeglądarki użytkownika do google-analytics.com i analytics.google.com, oba rozwiązujące się na serwery Google zlokalizowane w USA, chyba że skonfigurowałeś routing UE Google Analytics 4 z data_collection_endpoint wskazującym na region1.google-analytics.com. Nawet przy endpoincie UE Google dokumentuje, że część przetwarzania odbywa się w infrastrukturze USA. Domyślna implementacja jest jednoznaczna: przeglądarkowa, hostowana w USA.

Salesforce CRM. Rezydencja danych Salesforce Marketing Cloud zależy od tego, na którym podzie jest twój tenant. Klienci z UE na podach UE przetwarzają dane atrybucji zdarzeń kliknięć w UE - jeśli skonfigurowałeś to wyraźnie. Domyślny pod USA jest hostowany w USA. Większość zespołów, które widzę w segmencie MŚP i średniorynkowym, nie dokonała tej konfiguracji; mają instancję Salesforce sprovisionowaną przez administratora z USA na podzie USA, która od tamtej pory przesyła transatlantycko dane CRM osób z UE.

HubSpot. Piksele śledzenia poczty HubSpot są serwowane z infrastruktury HubSpot w USA. Rezydencja danych UE jest dostępna jako dodatek dla klientów Enterprise; nie jest domyślna. Piksel śledzący uruchamiający się, gdy kontakt otwiera e-mail marketingowy, w domyślnej konfiguracji wysyła identyfikator osoby z UE (adres e-mail zakodowany w URL piksela) do endpointu w USA.

Zewnętrzne śledzenie otwarć e-maili. Poza HubSpot - Mailchimp, Brevo, Customer.io, ActiveCampaign - obowiązuje ten sam schemat. URL pikseli śledzących są hostowane na CDN dostawcy; większość CDN domyślnie korzysta z PoP w USA dla ruchu origin; piksel uruchamiający się z klienta poczty użytkownika z UE jest routowany do infrastruktury w USA. Opcje regionu UE istnieją w niektórych planach; nie są domyślne.

Sam shortener jako transsit. Gdy shortener nie jest hostowany w UE, żądanie przekierowania przechodzi przez infrastrukturę spoza EOG. Zdarzenie kliknięcia jest logowane poza EOG. To jest warstwa rezydencji, którą pole wyboru „shortener hostowany w UE" faktycznie ma adresować - i jest to najmniejszy z sześciu wycieków, ponieważ przekierowanie to typowo zdarzenie trwające 2–5 ms, a log kliknięć to jedyne trwałe dane tworzone przez shortener.

Typowe narażenie dla zespołu marketingowego segmentu średniorynkowego uruchamiającego standardowe narzędzia: od trzech do pięciu powyższych scenariuszy aktywnych jednocześnie, bez żadnej Oceny Wpływu Transferu dla żadnego z nich, i wpis w Rejestrze Czynności Przetwarzania z art. 30 wymieniający „Google Analytics, Meta Pixel" bez dokumentowania, który mechanizm obejmuje transfer.

Serwerowa naprawa: co zmienia się prawnie, a co nie#

Serwerowe przekazywanie konwersji - gdzie europejski edge shortanera przekazuje zdarzenia kliknięć i konwersji do API po stronie serwera platformy reklamowej zamiast pozwalać przeglądarce użytkownika uruchomić piksel - to częściowa naprawa. Oto co zmienia i co pozostaje bez zmian.

Co się zmienia: Przeglądarka użytkownika nie wysyła już danych bezpośrednio do endpointu w USA. Ścieżka żądania to:

  1. Użytkownik klika krótki link
  2. Europejski edge Elido (region UE) odbiera żądanie, loguje zdarzenie kliknięcia lokalnie
  3. Europejski edge Elido przekazuje sygnał konwersji serwer-serwer do Meta CAPI / GA4 Measurement Protocol
  4. Platforma reklamowa odbiera zdarzenie na swoim serwerze w USA

Meta Conversions API to kanoniczne wdrożenie tego wzorca dla Meta. GA4 Measurement Protocol to odpowiednik Google. Przeglądarka użytkownika dotyka tylko europejskiego edge Elido; nigdy nie kontaktuje się bezpośrednio z endpointem analitycznym w USA.

Diagram sekwencji pokazujący: przeglądarka do europejskiego edge (Elido) do serwisowego API dostawcy. Przeglądarka nigdy bezpośrednio nie kontaktuje się z endpointem analitycznym w USA.

Co się nie zmienia: Dane są nadal transferowane do procesora hostowanego w USA. Europejski edge Elido inicjuje ten transfer. Obowiązek transferowy na mocy art. 44–49 nadal obowiązuje - nadal potrzebujesz SKU lub pokrycia DPF dla segmentu Meta lub Google w łańcuchu. To, co się zmienia, to praktyczna kontrola administratora nad tym transferem: odbywa się on na serwerze, który obsługujesz, przy użyciu poświadczeń, którymi zarządzasz, z hashowaniem identyfikatorów, które stosujesz (SHA-256 na adresach e-mail, zgodnie z wymaganiami Meta CAPI), a nie w skrypcie przeglądarki, który masz ograniczoną możliwość audytu lub kontroli.

To materialna poprawa z punktu widzenia minimalizacji danych i bezpieczeństwa. Nie jest to pełne zwolnienie z reżimu transferowego. Twój IOD musi mieć jasność co do tej różnicy przed podpisaniem przeglądu zakupowego.

Prawna konsekwencja serwerowego przekazywania: twój wpis w RCP z art. 30 dla „Meta CAPI" dokumentuje teraz transfer serwer-serwer pod twoją kontrolą, z identyfikatorami haszowanymi przed opuszczeniem infrastruktury UE. To znacznie czystszy wpis niż „Meta Pixel - po stronie klienta, inicjowany przez przeglądarkę, podstawa transferu do ustalenia." To nie jest transfer zerowy; to udokumentowany, kontrolowany transfer.

Art. 28 ust. 2: dlaczego liczba podprzetwarzających ma znaczenie#

Art. 28 ust. 2 wymaga od podmiotu przetwarzającego uzyskania uprzedniej autoryzacji administratora przed zaangażowaniem podprzetwarzających, albo szczegółowej (per dostawca) albo ogólnej (oparta na powiadomieniu z prawem do sprzeciwu). Każdy poważny kontrakt SaaS stosuje ogólną uprzednią autoryzację z 30-dniowym oknem powiadomień. Administrator podpisuje DPA; DPA zawiera listę podprzetwarzających; uzupełnienia listy wyzwalają powiadomienie i 30-dniowe okno sprzeciwu.

Lista podprzetwarzających to artefakt, który twój IOD faktycznie przeczyta. Co zawiera użyteczna lista:

  • Nazwa podprzetwarzającego
  • Lokalizacja przetwarzania danych (region dostawcy hyperscale, a nie tylko kraj)
  • Rola w łańcuchu przetwarzania
  • Kategorie udostępnianych danych osobowych
  • Podstawa prawna każdego transferu do kraju trzeciego
  • Data dodania
  • Kanał powiadomień o przyszłych uzupełnieniach

Lista jest też sygnałem o tym, jak dostawca myśli o rezydencji. Dostawca z pięcioma podprzetwarzającymi, których regiony możesz wymienić w jednym zdaniu, zaprojektował to z myślą o tym. Dostawca z czterdziestoma podprzetwarzającymi, których wpisy brzmią „różne globalne regiony", nie.

Lista podprzetwarzających Elido obejmuje pięciu dostawców - obejmujących obliczenia i infrastrukturę w UE, pocztę w UE, płatności oraz CDN - opublikowana na /legal/subprocessors. Ta liczba jest mała z zamierzenia. Każdy podprzetwarzający zwiększa powierzchnię programu prywatności administratora; każde uzupełnienie podprzetwarzających wyzwala cykl powiadomień i potencjalne okno sprzeciwu. Dostawca, który może uruchomić shortener klasy produkcyjnej na pięciu podprzetwarzających, dokonał wyraźnych wyborów co do tego, które zewnętrzne zależności są uzasadnione.

Porównaj to z platformą analityki marketingowej mającą 35–40 podprzetwarzających. Lista jest audytowalna w zasadzie; w praktyce oficer ds. prywatności administratora przegląda czterdzieści DPA i czterdzieści Ocen Wpływu Transferu, z których część będzie brakować. Liczba pięć nie jest twierdzeniem marketingowym. To operacyjny wybór z realnymi konsekwencjami dla twojego nakładu pracy na compliance.

Lista kontrolna zakupowa marketingowca#

Osiem pytań. Pisemne odpowiedzi. Jeśli dostawca może dostarczyć je na pierwszej rozmowie wyjaśniającej, cykl zakupowy skraca się o tygodnie. Jeśli nie może, to też coś mówi.

  1. Jaki jest konkretny region hostingu dla nowych danych klientów, wymieniony na poziomie regionu dostawcy hyperscale? (Oczekiwana odpowiedź: nazwany region UE - na przykład „AWS eu-central-1" lub równoważny region centrum danych w UE, a nie tylko „UE" jako nieobsługiwane twierdzenie.)
  2. Czy region hostingu UE jest zobowiązaniem kontraktowym w standardowej umowie klientowskiej, czy to praktyka operacyjna, którą dostawca może zmienić bez powiadomienia? (Oczekiwana odpowiedź: wiążące kontraktowo, konkretne dla standardowej umowy, bez wymaganego niestandardowego aneksu.)
  3. Czy standardowa umowa zawiera pre-podpisane DPA obejmujące obowiązki z art. 28 (a)–(h)? (Oczekiwana odpowiedź: tak, pre-podpisane, dostępne przed końcem rozmowy sprzedażowej.)
  4. Ilu podprzetwarzających jest w standardowym łańcuchu przetwarzania? Czy dostawca może wymienić wszystkich z regionami przetwarzania danych? (Oczekiwana odpowiedź: pełna lista, z nazwami, z regionami, publicznie dostępna pod URL, który możesz podlinkować w swoim RCP.)
  5. Czy dostawca używa serwerowego przekazywania konwersji do platform reklamowych, czy śledzenie konwersji odbywa się po stronie klienta w przeglądarce użytkownika? (Oczekiwana odpowiedź od dostawcy nastawionego na prywatność: po stronie serwera, z hashowaniem identyfikatorów przed opuszczeniem infrastruktury UE.)
  6. Jakie jest domyślne obcinanie IP przy logowaniu zdarzeń kliknięć? (Oczekiwana odpowiedź: obcinanie /24 dla IPv4, /48 dla IPv6, przed utrwaleniem - tj. pełne IP nie jest przechowywane.)
  7. Jaki jest SLA dla usunięcia danych osoby, której dane dotyczą, i czy jest osiągalny operacyjnie na sklepie zdarzeń kliknięć? (Oczekiwana odpowiedź: 30 dni lub mniej, propagowane do datastore analitycznego, potwierdzone webhookiem lub certyfikatem.)
  8. Jakie niezależne atestacje compliance posiada dostawca i kiedy zakończono ostatni audyt? (Oczekiwana odpowiedź: ISO 27001 aktualny; SOC 2 Type II ukończony lub w toku z datą docelową; dla wdrożeń powiązanych z ochroną zdrowia, dostępność BAA w odpowiednim planie.)

Te osiem pytań obejmuje główne obawy IOD bez wymagania przeglądu prawnego na etapie wyjaśniającym. Dostawca, który odpowiada na wszystkie osiem pisemnie w tym samym dniu, jest gotowy do zamówienia. Dostawca, który eskaluje do działu prawnego przed odpowiedzią na pytanie trzecie, nie jest.

Narzędzia w Elido#

Szczegóły, dla informacji.

Przypinanie regionu na poziomie workspace'u. Nowe workspace'y domyślnie korzystają z regionu UE. Workspace'y Business i Enterprise mogą być przypięte do USA Wschód lub Azji-Pacyfiku per workspace. Przypinanie jest egzekwowane na poziomie warstwy routingu - to nie jest preferencja dashboardu, którą można nadpisać zmianą konfiguracji bez zmiany umowy na poziomie workspace'u. Strona trust dokumentuje infrastrukturę.

Pre-podpisane DPA. DPA art. 28 jest włączone do standardowej umowy klientowskiej. Dla kupujących z UE potrzebujących standardowego pokrycia art. 28 nie są wymagane niestandardowe negocjacje. Kontrakty Enterprise z dodatkowymi prawami do audytu, oknami zatwierdzania podprzetwarzających lub niestandardowymi warunkami retencji są negocjowane osobno. Standardowe DPA jest dostępne pod adresem /legal/dpa.

Lista podprzetwarzających. Opublikowana pod adresem /legal/subprocessors. Pięciu dostawców. Uzupełnienia wyzwalają 30-dniową wcześniejszą wiadomość e-mail powiadamiającą plus kanał RSS do monitorowania narzędziowego. Prawo do sprzeciwu w ciągu 30 dni jest kontraktowe, a nie administracyjne.

Serwerowe przekazywanie konwersji. Poświadczenia dla Meta CAPI, GA4 Measurement Protocol i Mixpanel są rejestrowane raz na poziomie workspace'u. Elido obsługuje hashowanie SHA-256 identyfikatorów przed wychodzącym POST, deduplikację przez pole event_id i logikę ponowień przy przejściowych błędach upstream. Transfer jest serwer-serwer z infrastruktury UE; przeglądarka użytkownika nie kontaktuje się bezpośrednio z platformą reklamową.

ISO 27001. Certyfikowany. SOC 2 Type II w toku, cel H2 2026. BAA dostępne w planie Business dla wdrożeń powiązanych z ochroną zdrowia.

Dla pełnej postawy compliance, /solutions/compliance to podsumowanie skierowane do zespołów zakupowych.

Czego nie twierdzimy, że robimy#

Ta sekcja istnieje, bo „rezydencja danych UE" to fraza używana przez dostawców swobodnie, i my nie powinniśmy.

Elido to warstwa linków. Kliknięcie routowane przez europejski edge Elido pozostaje w infrastrukturze UE na poziomie warstwy Elido. Zdarzenie kliknięcia jest logowane w naszym magazynie analitycznym w regionie UE. Sygnał konwersji przekazywany serwerowo do Meta CAPI opuszcza infrastrukturę UE - ten transfer odbywa się w twoim imieniu, pod twoją odpowiedzialnością administratora, i musisz go udokumentować w swoim RCP oraz objąć odpowiednim mechanizmem transferowym.

Jeśli twoja organizacja wymaga, by absolutnie żadne dane osobowe osób z UE nie opuszczały EOG pod żadnymi okolicznościami - w tym segment atrybucji platform reklamowych - odpowiedzią nie jest inny shortener. Odpowiedzią jest w ogóle nie wysyłanie zdarzeń konwersji do platform reklamowych hostowanych w USA. To decyzja biznesowa i marketingowa, a nie technologiczna.

Co Elido ci daje: warstwę linków przetwarzającą dane kliknięć osób z UE w infrastrukturze UE domyślnie, z udokumentowanymi podprzetwarzającymi, pre-podpisanym DPA, obcinaniem IP, serwerowym przekazywaniem konwersji z hashowaniem identyfikatorów i liczbą podprzetwarzających wystarczająco małą, by audytować ją w ciągu popołudnia. To czysto pokrywa obowiązek rezydencji warstwy linków.

Twoja platforma e-mail marketingowego, twój CRM, twoje platformy reklamowe i twój magazyn analityczny mają każdy własną postawę rezydencji. Elido nie jest odpowiedzią na te; jesteśmy odpowiedzią na warstwę przekierowania i atrybucji kliknięć i nie będziemy zawyżać zakresu.

Cornerstone GDPR for URL shorteners omawia pełny obraz obowiązków przetwarzającego na poziomie artykułów, jeśli chcesz uzasadnienia compliance dla którejkolwiek z powyższych decyzji.

Czytaj klaster compliance#

Ten post jest cornerstonem ścieżki rezydencji klastra compliance. Siostrzane posty: GDPR for URL shorteners (obowiązki podmiotu przetwarzającego artykuł po artykule) i nadchodzący post o Schrems II i pikselach śledzących (praktyczne konsekwencje atrybucji w warstwie przeglądarki). Dla artefaktów strony trust i kontraktu: /trust, /legal/dpa, /legal/subprocessors. Dla podsumowania skierowanego do rozwiązań: /solutions/compliance.

Wypróbuj Elido

Wklej URL, otrzymaj krótki link

Bez rejestracji. Link działa 30 dni. Zarejestruj się, aby zachować go na zawsze.

Za darmo, bez rejestracji · 2 dziennie

Wypróbuj Elido

Skracarka URL hostowana w UE: własne domeny, głęboka analityka i otwarte API. Darmowy plan - bez karty kredytowej.

Wypróbuj Elido za darmoZobacz cennik
Tagi
eu data residency
eu hosted analytics
gdpr analytics
schrems ii
marketing compliance
data processing agreement

Czytaj dalej