Elido
Blog
12 min czytaniaZgodność
Kluczowa

RODO dla skracaczy URL: czego naprawdę chce Twój DPO

Analiza przepisów RODO mających zastosowanie do skracaczy URL przez pryzmat doradcy ds. zgodności z prawem UE — artykuły 3, 6, 28, 30, 32, 35, ujawnianie podprocesora i klauzule DPA, które naprawdę mają znaczenie

Sasha Ehrlich
Compliance · EU residency
GDPR article-by-article applicability map for URL shorteners: Articles 3, 6, 28, 30, 32, 35 with what each requires from the shortener and the customer

Spędziłam cztery lata przeglądając umowy o przetwarzaniu danych SaaS po stronie dostawcy i rok po stronie nabywcy w firmie fintech. Klauzule, których wszyscy się obawiają — szyfrowanie danych w spoczynku, okna retencji, SLA powiadamiania o naruszeniach — zazwyczaj są w porządku u poważnego skracacza. Klauzule, które naprawdę decydują o zamówieniu, są subtelniejsze. To te, które DPO przeczytał wystarczająco wiele razy, żeby mieć własną opinię, i te, których ogólna odznaka "zgodny z RODO" nie adresuje.

Ten post to lektura pracującego DPO na temat tego, czego RODO wymaga od skracacza URL przetwarzającego dane kliknięć podmiotów z UE, z powołanymi numerami artykułów, abyś mógł sprawdzić twierdzenia ze swoim własnym prawnikiem. Zaznaczę, gdzie postawa Elido jest konserwatywna, gdzie jest standardem branżowym i gdzie rozsądny nabywca powinien nadal prosić o aneks.

Odniesienia do artykułów dotyczą Rozporządzenia (UE) 2016/679 — skonsolidowanego tekstu RODO na EUR-Lex. Kiedy przytaczam wytyczne organu nadzorczego, podaję link do źródłowego orzeczenia. Kiedy przytaczam orzecznictwo, odwołanie jest do wyroku TSUE.

Dlaczego skracacz URL w ogóle podlega tym przepisom#

Skracacz URL jest procesorem w rozumieniu Art. 4 ust. 8, gdy przetwarza dane o kliknięciach zidentyfikowanych osób fizycznych na zlecenie klienta. Klient jest administratorem; decyduje, dlaczego dane są zbierane (atrybucja kampanii) i na jakiej podstawie (Art. 6 — zazwyczaj uzasadniony interes na podstawie 6 ust. 1 lit. f dla analityki na poziomie kliknięć, zgoda na podstawie 6 ust. 1 lit. a tam, gdzie dotyczy szczegółowego śledzenia). Skracacz jest procesorem; przetwarza te dane wyłącznie na podstawie udokumentowanych instrukcji administratora, co jest istotą Art. 28.

Dwa elementy danych czynią to oczywistym. Każde przekierowanie rejestruje adres IP; TSUE orzekł od sprawy Breyer (C-582/14, 2016), że dynamiczne adresy IP mogą stanowić dane osobowe w połączeniu z informacjami dostępnymi administratorowi. Każde przekierowanie rejestruje też user-agent, który w połączeniu z IP i znacznikiem czasu jest wystarczający do wyodrębnienia osób w wielu wzorcach ruchu o dużym natężeniu — EROD wskazał na to w Wytycznych 04/2020 w sprawie korzystania z danych lokalizacyjnych, a zasada ta ma zastosowanie ogólne.

Tak więc: skracacz URL przetwarza dane osobowe podmiotów z UE, nawet jeśli samo zdarzenie kliknięcia wygląda na anonimowe na pierwszy rzut oka. Pytania wynikają z tego.

Art. 3: zakres terytorialny#

Art. 3 to artykuł najczęściej błędnie odczytywany przez dostawców z USA sprzedających do UE.

Art. 3 ust. 1 obejmuje przetwarzanie w kontekście działalności siedziby UE. Art. 3 ust. 2 obejmuje przetwarzanie danych podmiotów z UE przez administratora lub procesora spoza UE, gdy przetwarzanie dotyczy (a) oferowania towarów lub usług podmiotom z UE lub (b) monitorowania ich zachowania w zakresie, w jakim ma ono miejsce w UE. Śledzenie kliknięć użytkowników z UE to monitorowanie; RODO ma zastosowanie bez względu na to, gdzie skracacz jest hostowany.

Wniosek jest taki, że "jesteśmy firmą z USA, RODO nie ma zastosowania" jest błędem. Każdy skracacz przetwarzający kliknięcia użytkowników z UE musi zachować zgodność. Istotne pytanie w zamówieniu nie brzmi, czy RODO ma zastosowanie — ma — ale jak dostawca demonstruje zgodność i jakie zobowiązania dotyczące rezydencji są kontraktowo wiążące.

Art. 6: podstawa prawna#

Śledzenie kliknięć przez skracacz zazwyczaj opiera się na jednej z trzech podstaw prawnych.

6 ust. 1 lit. a — zgoda. Administrator uzyskał zgodę osoby, której dane dotyczą, na przetwarzanie. W przypadku śledzenia kliknięć na poziomie skracacza, zgoda jest zazwyczaj włączona do banera cookie lub przepływu zgody marketingowej na stronie docelowej. Wytyczne EROD dotyczące zgody (Wytyczne 05/2020, wersja 1.1, 2020) wymagają dobrowolnej, szczegółowej, świadomej i jednoznacznej zgody.

6 ust. 1 lit. b — niezbędność do wykonania umowy. Samo przekierowanie — przyjęcie kliknięcia i przekierowanie do miejsca docelowego — jest konieczne do świadczenia usługi, o którą prosił użytkownik. Najczystsza linia jest taka, że routing to wykonanie umowy, podczas gdy warstwa analityczna (czy to kliknięcie jest rejestrowane do analizy retrospektywnej) to oddzielna operacja przetwarzania, która może wymagać innej podstawy.

6 ust. 1 lit. f — uzasadniony interes. Większość klientów B2B opiera analitykę na poziomie kampanii na uzasadnionym interesie po przeprowadzeniu Oceny Uzasadnionego Interesu (LIA). LIA waży interes administratora w pomiarze efektywności marketingowej względem interesów osoby, której dane dotyczą; dla zagregowanych liczników kliknięć i standardowej atrybucji bilans zazwyczaj przechyla się na korzyść administratora. W przypadku profilowania behawioralnego wysokiej rozdzielczości — fingerprintingu, śledzenia cross-site, retargetingu na poziomie użytkownika — LIA staje się trudniejsza.

We wszystkich trzech przypadkach skracacz jest procesorem. Przetwarza dane na podstawie udokumentowanych instrukcji administratora. Nie wybiera podstawy prawnej; robi to administrator.

Art. 28: umowa z procesorem#

Art. 28 ust. 3 wymienia osiem obowiązków, które każda umowa między administratorem a procesorem musi zawierać. Przeczytaj go bezpośrednio; podpunkty (a) do (h) są krótkie i konkretne. Użyteczna DPA dla skracacza URL musi adresować każdy z nich.

Przedstawię, jak te klauzule wyglądają w praktyce.

(a) Przetwarzanie wyłącznie na podstawie udokumentowanych instrukcji. Instrukcje administratora to umowa plus pisemne instrukcje klienta na zasadzie per-funkcja (np. "przetwarzaj zdarzenia kliknięć dla tych workspace'ów, przechowuj przez X miesięcy"). Skracacz nie może używać danych kliknięć do własnych celów bez instrukcji administratora. W praktyce oznacza to: bez używania danych kliknięć klientów do trenowania wewnętrznych modeli rekomendacyjnych bez zgody, bez zagregowanej analityki udostępnianej stronom trzecim bez powiadomienia. Standardowa DPA Elido jest w tym zakresie jednoznaczna; jeśli DPA Twojego dotychczasowego skracacza nie jest, zapytaj dlaczego.

(b) Poufność. Osoby przetwarzające dane są związane obowiązkami poufności. To jest operacyjne po stronie dostawcy i rzadko kwestionowane.

(c) Środki bezpieczeństwa (Art. 32). Omówione poniżej w osobnej sekcji.

(d) Zaangażowanie podprocesorów. Procesor angażuje podprocesorów wyłącznie za upoważnieniem administratora, a podprocesor musi przyjąć równoważne zobowiązania na podstawie pisemnej umowy. Istnieją dwa warianty upoważnienia. Specyficzne uprzednie upoważnienie wymaga zgody administratora na każdego nowego podprocesora. Ogólne uprzednie upoważnienie wymaga jedynie uprzedniego powiadomienia z prawem sprzeciwu. Większość umów SaaS używa ogólnego upoważnienia z 30-dniowym oknem powiadomienia. Oba są dopuszczalne na podstawie Art. 28; ważne jest, żeby umowa określała, które ma zastosowanie.

(e) Pomoc w zakresie praw podmiotów danych. Procesor musi pomóc administratorowi w odpowiedzi na żądania podmiotów danych na podstawie Art. 15–22. Dla skracacza oznacza to, że administrator może poprosić o eksport zdarzeń kliknięć powiązanych z konkretnym identyfikatorem (rzadkie, ale się zdarza), a skracacz musi być w stanie to dostarczyć. API Elido zawiera GET /v1/clicks?subject_id= do tego celu; jeśli Twój dotychczasowy skracacz tego nie ma, będziesz odpowiadać na żądania dostępu podmiotów ręcznie.

(f) Pomoc w zakresie Art. 32 / 33 / 34 / 35 / 36. Procesor musi pomóc administratorowi spełnić obowiązki w zakresie bezpieczeństwa, powiadamiania o naruszeniach i DPIA. "Pomoc" jest operacyjna — dostarczanie raportów z audytu bezpieczeństwa, powiadamianie o naruszeniach w ramach SLA, dostarczanie szczegółów technicznych potrzebnych do DPIA.

(g) Zwrot lub usunięcie po zakończeniu usług. Gdy umowa wygaśnie, procesor zwraca lub usuwa wszystkie dane osobowe, chyba że prawo unijne lub krajowe wymaga przechowywania. Standardowa klauzula Elido to 30 dni po rozwiązaniu umowy, z udokumentowanym certyfikatem usunięcia na żądanie.

(h) Prawa do audytu. Procesor musi udostępnić wszystkie informacje niezbędne do wykazania zgodności i poddać się audytom. Umowy SaaS zawężają to do pisemnych kwestionariuszy audytowych oraz audytów na miejscu z odpowiednim wyprzedzeniem; pełne nieograniczone prawa do audytu są rzadkie poza kontraktami enterprise.

Jeśli DPA Twojego dotychczasowego skracacza brakuje lub jest niejasna w którymkolwiek z punktów (a)–(h), rozmowa o zamówieniu nie powinna postępować. DPA spełniające Art. 28 to podłoga, a nie sufit.

Art. 30: rejestry czynności przetwarzania#

Art. 30 wymaga od procesorów prowadzenia rejestrów czynności przetwarzania (RoPA). RoPA procesora to artefakt skierowany do administratora, który pozwala Twojemu DPO zrozumieć, co skracacz robi z danymi.

Elido publikuje szablon RoPA dla każdego klienta, który możesz odwzorować na swój własny. Kolumny to kategorie podmiotów danych, kategorie danych osobowych, odbiorcy, przekazania do krajów trzecich (domyślnie brak), retencja i środki bezpieczeństwa. Szablonowo, ale zespoły ds. zamówień chcą go wypełnionego konkretnie. DPO nie chce symbolu zastępczego. Jeśli Twój skracacz nie chce tego dostarczyć, ciężar kompilacji spada na Ciebie z jego dokumentacji.

Art. 32: bezpieczeństwo przetwarzania#

Art. 32 wymaga "odpowiednich środków technicznych i organizacyjnych" zapewniających poziom bezpieczeństwa odpowiedni do ryzyka. Artykuł celowo nie jest prescriptywny; organy nadzorcze doprecyzowują go poprzez wytyczne.

Dla skracacza URL, operacyjna podłoga, której szuka większość DPO:

  • TLS 1.3 w tranzycie, bez fallback do TLS 1.0 lub 1.1.
  • Szyfrowanie w spoczynku dla magazynu zdarzeń kliknięć, z udokumentowaną rotacją kluczy.
  • Segmentacja sieci między płaszczyzną przekierowań a płaszczyzną analityczną.
  • Uwierzytelnianie przez SSO/SAML lub OIDC dla powierzchni skierowanej do klienta; service-to-service przez krótkotrwałe poświadczenia.
  • Dziennik audytu działań administracyjnych po stronie skracacza, przechowywany przez co najmniej 12 miesięcy.
  • Udokumentowany plan reagowania na incydenty i regularne ćwiczenia stołowe.
  • Certyfikacja ISO 27001 lub równoważne niezależne poświadczenie.

Elido jest certyfikowane ISO 27001 i jest w trakcie SOC 2 Type II (cel H2 2026). Powierzchnia kontroli technicznej jest udokumentowana na stronie zaufania. Dla ruchu istotnego z punktu widzenia HIPAA, BAA są dostępne na planie Business.

Sformułowanie na poziomie artykułu ma tu znaczenie: "odpowiednie do ryzyka" to standard względny. Skracacz przetwarzający kliknięcia kampanii na publicznej stronie marketingowej jest niższego ryzyka niż ten używany wewnętrznie do udostępniania uwierzytelnionych URL sesji. Twój DPO powinien być dostosowany do ryzyka, które faktycznie ponosisz.

Art. 35: DPIA#

Art. 35 wymaga Oceny Skutków dla Ochrony Danych w przypadku przetwarzania "prawdopodobnie powodującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych", ze szczególnym uwzględnieniem (a) systematycznej i gruntownej oceny, (b) danych szczególnych kategorii i (c) systematycznego monitorowania publicznie dostępnych obszarów na dużą skalę.

Dla większości przypadków użycia skracacza, DPIA nie jest ściśle wymagana — śledzenie kliknięć kampanii na stronie marketingowej to nie "systematyczna i gruntowna ocena" w rozumieniu Art. 35 ust. 3 lit. a. Gdzie DPIA staje się wskazana:

  • Profilowanie behawioralne cross-site na poziomie indywidualnym.
  • Śledzenie łączące dane skracacza z innymi danymi osobowymi (wzbogacanie CRM, brokerzy danych stron trzecich) w celu budowania profilu na poziomie osoby.
  • Wykorzystanie danych kliknięć do podejmowania decyzji mających skutki prawne lub równie znaczące dla podmiotu danych (rzadkie, ale możliwe w kontekście udzielania pożyczek lub zatrudnienia).
  • Ruch o dużej objętości z kontekstów szczególnych kategorii (zdrowie, religia, poglądy polityczne).

Jeśli zlecasz DPIA dla przetwarzania związanego ze skracaczem, wytyczne WP29 (WP248 rev.01) są metodologicznym punktem odniesienia; wiele organów nadzorczych opublikowało własne szablony, w tym oprogramowanie PIA CNIL.

Art. 28 ust. 2: ujawnianie podprocesora#

Najbardziej rozstrzygającym pojedynczym pytaniem RODO jest "kto jeszcze dotyka danych?". Art. 28 ust. 2 wymaga, żeby procesor ujawnił każdego podprocesora, którego angażuje, i uzyskał upoważnienie. W praktyce każdy poważny SaaS publikuje listę podprocesorów i proces powiadamiania o dodaniach.

Jak wygląda dobra lista:

  • Nazwa podprocesora, lokalizacja przetwarzania, rola.
  • Kategorie udostępnianych danych osobowych.
  • Podstawa prawna przekazania (w stosownych przypadkach).
  • Data dodania podprocesora.
  • Mechanizm powiadamiania o dodaniach (zazwyczaj e-mail + feed RSS/JSON).
  • Prawo sprzeciwu: zazwyczaj 30 dni od powiadomienia.

Publiczna lista podprocesorów Elido wymienia pięciu dostawców. Ta liczba jest celowo mała — każdy nowy podprocesor dodaje do obszaru Twojego programu ochrony prywatności. Porównaj z dotychczasowym: jeśli mają 30 podprocesorów i nie możesz powiedzieć, które są na ścieżce zdarzeń kliknięć, to jest istotne pytanie o ujawnianie.

Schrems II: kiedy rezydencja UE staje się kontraktowa#

Schrems II (TSUE C-311/18, 2020) unieważniło Tarczę Prywatności UE-USA i wymagało, dla międzynarodowych przekazań danych na podstawie SCC, Oceny Skutków Przekazania oceniającej, czy reżim nadzoru w kraju docelowym pozbawiałby podmioty z UE skutecznej ochrony praw.

Następcze ramy — EU-US Data Privacy Framework, przyjęte Decyzją Komisji (UE) 2023/1795 — zastępują Tarczę Prywatności dla uczestniczących organizacji. Dwie ważne zastrzeżenia:

  • Uczestnictwo jest dobrowolne; nie każdy dostawca SaaS z USA jest certyfikowany. Sprawdź listę uczestników DPF.
  • Ramy same są przedmiotem toczącego się postępowania. NOYB zapowiedziało zamiar zaskarżenia, a trzeci wyrok Schremsa jest prawdopodobny. Nabywcy wystarczająco rozważni, żeby planować ten scenariusz, coraz częściej kontraktowo wymagają przetwarzania wyłącznie w UE.

Gdzie to ląduje dla wyboru skracacza: jeśli Twój nabywca sygnalizował rezydencję danych lub Twoja regulacja sektorowa wymaga przetwarzania wyłącznie w UE (niemiecka służba zdrowia na podstawie prawa ochrony danych społecznych, francuskie dane zdrowotne poprzez certyfikację HDS, usługi finansowe na podstawie wytycznych EBA), skracacz hostowany w UE upraszcza kontrakt. Klauzula rezydencji jest konkretna, TIA jest niepotrzebna, a cykl zamówień się skraca.

Elido jest domyślnie hostowane we Frankfurcie. Klienci Business+ mogą przypinać do Ashburn lub Singapuru, gdzie ich profil ruchu tego wymaga. Przypinanie jest per-workspace, kontraktowo udokumentowane i operacyjnie egzekwowane — a nie twierdzenie marketingowe.

Minimalizacja danych: czego nie musisz rejestrować#

Art. 5 ust. 1 lit. c wymaga, żeby przetwarzanie było "adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane". Dla skracacza to ląduje na schemacie zdarzenia kliknięcia.

Sygnały, które skracacz może zbierać w momencie przekierowania:

  • Adres IP (pełny, obcięty do /24 lub hashowany).
  • Ciąg user-agent (pełny lub przetworzony do klienta/systemu operacyjnego bez rzadkich tokenów, które fingerprint).
  • Referrer.
  • Znacznik czasu.
  • Geo wyprowadzone z IP (kraj, miasto).
  • Urządzenie wyprowadzone z UA (mobile/desktop/tablet, rodzina systemu operacyjnego).
  • ID kliknięcia (własny identyfikator skracacza dla zdarzenia).

Z tych danych, rzeczywisty cel administratora zazwyczaj wymaga przetworzonego urządzenia, kraju, znacznika czasu, ID kliknięcia i ewentualnie referreru. Sam adres IP rzadko jest potrzebny po momencie przekierowania — gdy geolokalizacja i parsowanie urządzenia są gotowe, IP może być obcięte lub zahashowane przed zapisem w magazynie kliknięć. Podobnie UA: przetworzone pola device.type / device.os to to, z czego korzysta atrybucja; pełny ciąg UA to przynęta fingerprintingowa, którą należy odrzucić.

Elido obcina IP do /24 (IPv4) lub /48 (IPv6) przed utrwalaniem zdarzeń kliknięć. Pełny UA jest przetwarzany i odrzucany. Oba zachowania są udokumentowane i konfigurowalne per-workspace, jeśli Twój konkretny przypadek użycia wymaga danych wyższej rozdzielczości — ale domyślna jest minimalizacja, co jest postawą Art. 5 ust. 1 lit. c z założenia, a nie w wyniku łatki.

Prawa podmiotów danych na warstwie skracacza#

Administrator obsługuje żądania praw podmiotów danych; procesor pomaga. Dla skracacza pojawiają się dwa rodzaje żądań:

Art. 15 — prawo dostępu. Podmiot danych prosi o kopię swoich danych osobowych. Skracacz musi być w stanie pobrać zdarzenia kliknięć powiązane z identyfikatorem podmiotu. W praktyce jest to trudne, jeśli jedynym identyfikatorem jest "wszystkie osoby, które kliknęły link X z tego IP". Pragmatyczna odpowiedź: skracacz eksportuje zdarzenia kliknięć dla IP/przedziału czasowego wskazanego przez administratora, a administrator filtruje do właściwego podmiotu.

Art. 17 — prawo do usunięcia. Podmiot danych prosi o usunięcie. Skracacz musi być w stanie usuwać zdarzenia kliknięć na żądanie w czasie "bez zbędnej zwłoki" zgodnie z RODO — domyślne operacyjne SLA to 30 dni. Komplikacja: zdarzenia kliknięć są zazwyczaj przechowywane w append-only bazie danych analitycznych (ClickHouse, BigQuery, Snowflake). Usunięcie jest realne, ale to DELETE względem partycji, a nie edycja na poziomie wiersza. Upewnij się, że DPA Twojego skracacza zobowiązuje do konkretnego SLA usunięcia i że podstawowa architektura może go spełnić.

Elido obsługuje oba przez API: GET /v1/subjects/{id}/clicks i DELETE /v1/subjects/{id}. Usunięcie jest propagowane do magazynu zdarzeń kliknięć w ciągu 24 godzin i potwierdzane przez webhook.

Co zapytać w zamówieniu#

Skompresowana lista kontrolna dla rozmowy zamówieniowej:

  1. Gdzie jest hostowany skracacz? (Odpowiedź jednozdaniowa; z przypinaniem lub bez.)
  2. Czy DPA jest wstępnie podpisana czy negocjowana per klient? (Wstępnie podpisana jest szybsza.)
  3. Ile podprocesorów? (Mniej jest prostsze.)
  4. Czy standardowy kontrakt obejmuje przetwarzanie wyłącznie w UE, czy to osobny aneks?
  5. Jaki jest domyślny skrót IP przy zdarzeniach kliknięć?
  6. Czy jest endpoint Art. 15 / 17, czy usunięcie odbywa się przez wsparcie?
  7. Jakie jest SLA powiadamiania o naruszeniach? (24 godziny od świadomości to norma branżowa.)
  8. Niezależne poświadczenie: ISO 27001? SOC 2 Type II? Kiedy był ostatni audyt?

Dostawca, który może odpowiedzieć na te osiem na piśmie podczas rozmowy odkrywczej, jest gotowy do zamówienia. Taki, który nie może, doda tygodnie do Twojego cyklu sprzedaży.

Przeczytaj serię cornerstone#

To jest cornerstone klastra zgodności. Siostrzane posty w klastrze: nadchodzący rezydencja danych UE dla analityki marketingowej (głębiej o specyfice kontraktowej), Schrems II i piksele śledzące (praktyczny wpływ na atrybucję) oraz atrybucja kliknięć po Safari ITP (operacyjna konsekwencja świata bez ciasteczek). Dla podsumowania skierowanego do zamówień, strona zaufania i solutions/compliance to dwa artefakty do dodania do zakładek. Dla szczegółów architektonicznych stojących za twierdzeniem o rezydencji, dokument architektury edge-redirect opisuje, jak regionalne przypinanie jest egzekwowane na poziomie routingu.

Powiązane na blogu#

Wypróbuj Elido

Skracarka URL hostowana w UE: własne domeny, głęboka analityka i otwarte API. Darmowy plan — bez karty kredytowej.

Wypróbuj Elido za darmoZobacz cennik
Tagi
gdpr url shortener
url shortener data residency
link tracking gdpr
schrems ii
dpa
sub-processor disclosure
article 28
article 30

Czytaj dalej