7 min czytaniaZgodność

Czy Bitly jest zgodny z RODO? Szczera odpowiedź DPO

Bitly ma DPA, standardowe klauzule umowne i certyfikat Data Privacy Framework. Zgodność - tak, ale to nie to samo, co rezydencja danych wyłącznie w UE.

Sasha Ehrlich
Compliance · EU residency
Czy Bitly jest zgodny z RODO: dane o kliknięciach z UE przekraczające granicę do Stanów Zjednoczonych na podstawie instrumentu prawnego transferu, obok ścieżki rezydencji w UE, w której dane nigdy nie opuszczają UE

Tak. Bitly jest zgodne z RODO w sensie, który liczy się dla checklisty zakupowej: publikuje umowę powierzenia przetwarzania danych, przekazuje dane na podstawie Standardowych Klauzul Umownych, posiada aktywny certyfikat EU-US Data Privacy Framework, prowadzi podmiot unijny w Berlinie i odpowiada na żądania osób, których dane dotyczą, zgodnie z art. 15-21. Jeśli pole w Twoim formularzu dostawcy brzmi "zgodność z RODO: tak/nie", szczera odpowiedź brzmi: tak.

Trudniejsze pytanie - to, które zadaje Twój DPO po przejściu checklisty - dotyczy tego, gdzie faktycznie znajdują się Twoje dane o kliknięciach. Zgodność Bitly opiera się na przenoszeniu danych osobowych z UE do Stanów Zjednoczonych i pokryciu tego transferu instrumentem prawnym. To jest dziś zgodne z prawem. To nie to samo, co rezydencja danych w UE, a dla niektórych kupujących różnica między tymi dwiema rzeczami rozstrzyga o kontrakcie.

To jest tekst z klastra compliance, więc artykuły są cytowane z numerami, a źródła są linkowane, abyś mógł je zabrać do własnego prawnika. Dla ram stojących za tym wszystkim - tego, czego RODO wymaga od każdego skracacza linków, nie tylko Bitly - artykuł-podstawa RODO dla skracaczy linków omawia art. 3, 6, 28, 30, 32 i 35 jeden po drugim.

Krótka odpowiedź i gwiazdka

Bitly wykonało pracę zgodnościową, jakiej oczekuje się od poważnego dostawcy. Czytając jego politykę prywatności (dostęp 2026-07-17), widać, że cała machina jest na miejscu:

  • Umowa powierzenia przetwarzania danych, włączona do Warunków korzystania z usługi.
  • Standardowe Klauzule Umowne dla transferów poza EOG.
  • Aktywny certyfikat EU-US Data Privacy Framework, plus UK Extension i Swiss-US Framework.
  • Podmiot unijny: Bitly Europe GmbH w Berlinie, z wyznaczonym inspektorem ochrony danych (DataCo GmbH).
  • Proces realizacji praw osób, których dane dotyczą, podzielony między [email protected] dla spraw amerykańskich i [email protected] dla spraw unijnych, obejmujący dostęp, sprostowanie, usunięcie, ograniczenie, przenoszalność i sprzeciw.
  • Określoną zasadę retencji: dane osobowe są usuwane lub anonimizowane na żądanie, albo po trzech latach od ostatniego kontaktu z osobą, której dane dotyczą - w zależności od tego, co nastąpi wcześniej.

Nic z tego nie budzi wątpliwości. Dostawca z DPA, SCC, certyfikatem Framework i unijnym DPO nie "ignoruje RODO", a każdy artykuł twierdzący inaczej próbuje coś sprzedać. Gwiazdka nie dotyczy tego, czy Bitly przestrzega przepisów. Dotyczy tego, jak to robi - a mechanizmem jest transfer transatlantycki.

Gdzie naprawdę trafiają Twoje dane z Bitly

Struktura samego Bitly jest najbardziej wymowną odpowiedzią. Bitly Europe GmbH (Berlin) i Bitly Inc. (Nowy Jork) są współadministratorami na podstawie art. 26, związanymi umową o współadministrowaniu. Dane Twojego konta oraz dane o kliknięciach przepływające przez Twoje linki znajdują się w tym wspólnym układzie, a układ ten z założenia rozciąga się przez Atlantyk.

Polityka prywatności mówi to wprost: dane osobowe "mogą być przekazywane poza Unię Europejską i Europejski Obszar Gospodarczy, w tym między innymi do Stanów Zjednoczonych Ameryki". Każde przekierowanie rejestruje adres IP i user-agent; oba mogą być danymi osobowymi w odniesieniu do osób możliwych do zidentyfikowania. Strumień kliknięć, który rejestruje skracacz, mieści się więc w zakresie, a w przypadku Bitly ten strumień jest kierowany do modelu przetwarzania skoncentrowanego w USA.

An EU user's click on a Bitly link recorded by joint controllers Bitly Europe GmbH in Berlin and Bitly Inc. in New York, with click data transferred to the United States under Standard Contractual Clauses and the Data Privacy Framework

To jest zgodne z prawem. To także stała zależność od instrumentów prawnych podtrzymujących transfer z UE do USA - a te instrumenty mają swoją historię.

Dlaczego "certyfikat Data Privacy Framework" to nie koniec sprawy

Zabezpieczenia transferu, na których opiera się Bitly, były odbudowywane dwukrotnie po tym, jak Trybunał Sprawiedliwości je unieważnił. Safe Harbour upadło w 2015 roku. Privacy Shield upadło w wyroku Schrems II (TSUE C-311/18, 2020), który dodatkowo podniósł poprzeczkę dla SCC, wymagając oceny skutków transferu (Transfer Impact Assessment) dla każdego transferu. EU-US Data Privacy Framework, przyjęty przez Komisję Europejską w 2023 roku, jest obecnym następcą - i tym, w ramach którego certyfikowane jest Bitly.

Dla kupującego wynikają z tego dwie rzeczy.

Po pierwsze, certyfikat to deklaracja ważna w danym momencie, nie stan permanentny. Certyfikaty wygasają, są wycofywane albo przestają być zgodne. Jeśli opierasz się na statusie Framework Bitly, sprawdź, czy jest on nadal aktywny na oficjalnej liście uczestników Data Privacy Framework, zamiast wierzyć na słowo stronie z polityką.

Po drugie, sam Framework znajduje się pod presją prawną. Rzecznicy ochrony prywatności zasygnalizowali zamiar jego zaskarżenia, a trzeci wyrok w duchu Schrems to scenariusz, na który ostrożni kupujący już się dziś przygotowują. Rozdział V RODO - art. 44-49 dotyczące transferów międzynarodowych - to część rozporządzenia o najmniej ugruntowanym gruncie. Budowanie stosu atrybucji marketingowej na tym jednym rozdziale, który najprawdopodobniej się jeszcze zmieni, to ryzyko, które jedne organizacje akceptują, a inne nie.

Zgodność to nie to samo, co "wyłącznie w UE"

Oto rozróżnienie, które faktycznie decyduje o zakupie. "Zgodność z RODO" i "dane pozostają w UE" to różne twierdzenia, a Bitly spełnia pierwsze, nie spełniając drugiego.

Dla wielu zespołów to wystarcza. Zespół marketingowy skracający linki do publicznej kampanii, opierający analitykę kliknięć na uzasadnionym interesie, jest dobrze obsłużony przez zgodnego dostawcę opartego na transferze. Instrumenty prawne go pokrywają.

Przestaje to wystarczać, gdy Twoja branża wpisuje rezydencję do wymogów. Niemieckie dane sektora publicznego i ochrony zdrowia podlegające przepisom o ochronie danych socjalnych, francuskie dane medyczne w ramach certyfikacji HDS, dane usług finansowych podlegające wytycznym EBA - to wszystko popycha w stronę przetwarzania wyłącznie w UE. W tych przypadkach podejście oparte na transferze to nie odhaczone pole, tylko trwający obowiązek: prowadzisz ocenę skutków transferu, powtarzasz ją, gdy zmienia się podstawa prawna, i dokumentujesz, dlaczego transfer do USA jest uzasadniony dla danych osobowych, które mogłeś zatrzymać w UE. Skracacz z rezydencją w UE eliminuje tę pracę, bo nie ma transferu do oceny.

Two compliance paths compared: a transfer-based path where EU data moves to the US and requires a Transfer Impact Assessment, versus an EU-residency path where data stays in the EU region and no transfer assessment is needed

Jeśli Twoim wymogiem jest, aby dane o kliknięciach z UE nigdy nie opuszczały UE, Elido domyślnie trzyma je w regionie UE - rezydencja jest umowna i egzekwowana operacyjnie, a nie zdaniem w broszurze. To różnica między odpowiedzią na pytanie "czy jesteśmy zgodni?" a odpowiedzią na pytanie "czy możemy udowodnić, że dane nigdy nie wyjechały?" bez dołączonej analizy transferu.

Co zweryfikować, zanim polegniesz na Bitly

Status zgodności jest realny, więc realną pracą jest ustalenie, czy pasuje do Twoich obowiązków. Pięć rzeczy do potwierdzenia na piśmie:

  1. Czy Twoim wymogiem jest zgodność, czy rezydencja? Jeśli którykolwiek interesariusz powiedział "wyłącznie w UE", certyfikat Framework tego nie spełnia. Potrzebujesz zamiast tego zobowiązania do rezydencji, a to inne klauzule.
  2. Sprawdź domyślną retencję. Zasada Bitly przechowuje dane do trzech lat po ostatnim kontakcie, więc jeśli polityka Twojego administratora danych przewiduje krótszy okres, trzeba to skonfigurować, a nie zakładać.
  3. Poproś o listę podprzetwarzających. Struktura współadministrowania rozciągnięta na dwa kontynenty zwykle oznacza więcej podmiotów mających dostęp do danych, a chcesz wiedzieć, które z nich znajdują się na ścieżce zdarzeń kliknięć.
  4. Potwierdź, że certyfikat Framework jest dziś aktywny na rządowej liście, a nie tylko wspomniany na stronie polityki. Certyfikaty wygasają.
  5. Przeczytaj DPA. Jest ono włączone do Warunków korzystania z usługi, więc model autoryzacji podprzetwarzających i SLA dotyczące usuwania danych znajdują się tam, a nie w odrębnym podpisanym dokumencie. DPA spełniające art. 28 to podłoga, nie sufit - artykuł-podstawa rozkłada co powinna zawierać każda klauzula art. 28 ust. 3.

Dla szerszego spojrzenia na rynek - kto zobowiązuje się do przetwarzania w UE, a kto przekazuje dane - zestawienie najlepszych unijnych skracaczy linków oraz dogłębny tekst rezydencja danych w UE dla narzędzi marketingowych omawiają alternatywy. Jeśli rozważasz konkretnie model Bitly, Elido kontra Bitly zestawia rezydencję i ceny obok siebie, a reklamy międzystronicowe na darmowych linkach Bitly to osobny powód, dla którego zespoły z UE je ponownie oceniają.

Wniosek

Czy Bitly jest zgodne z RODO? Tak. Ma DPA, SCC, certyfikat Data Privacy Framework, podmiot unijny oraz mechanizm praw osób, których dane dotyczą. Każdy, kto twierdzi, że Bitly jest wprost niezgodne, się myli.

Ale "zgodność" nigdy nie była całym pytaniem. Zgodność Bitly opiera się na przekazywaniu danych osobowych z UE do Stanów Zjednoczonych i pokrywaniu tego transferu instrumentami, które Rozdział V RODO wciąż destabilizuje. Jeśli jesteś marketerem prowadzącym publiczne kampanie, to rozsądny kompromis. Jeśli jesteś w regulowanym lub wrażliwym na suwerenność miejscu, gdzie dane o kliknięciach z UE nie mogą go opuszczać, wtedy "zgodność przez transfer" nie spełnia Twojej poprzeczki - a rozwiązaniem nie jest lepsze DPA, tylko skracacz, który od początku nie dokonuje transferu. Zdecyduj, w którym miejscu jesteś, zanim zdecydujesz o narzędziu.

Przeczytaj serię artykułów-podstaw

To znajduje się w klastrze compliance. Artykułem-podstawą jest RODO dla skracaczy linków: co naprawdę chce zobaczyć Twój DPO - zacznij tam, aby poznać ramy artykuł po artykule. Dla podsumowania zorientowanego na zakupy, strona zaufania i solutions/compliance to dwa artefakty warte zapisania w zakładkach.

Powiązane wpisy na blogu

Najczęściej zadawane pytania

Czy Bitly jest zgodny z RODO?

Tak, w formalnym sensie. Bitly publikuje umowę powierzenia przetwarzania danych (DPA), przekazuje dane na podstawie Standardowych Klauzul Umownych, posiada aktywny certyfikat EU-US Data Privacy Framework, prowadzi podmiot unijny w Berlinie i realizuje żądania osób, których dane dotyczą, zgodnie z art. 15-21. Niuans polega na tym, że ta zgodność zależy od przekazywania danych osobowych z UE do Stanów Zjednoczonych, co jest zgodne z prawem, ale to nie to samo, co przechowywanie danych w UE.

Czy Bitly przechowuje dane o kliknięciach w UE?

Nie domyślnie. Polityka prywatności Bitly stanowi, że dane osobowe mogą być przekazywane poza UE i EOG, w tym do Stanów Zjednoczonych, na podstawie Standardowych Klauzul Umownych i Data Privacy Framework. W publicznych warunkach nie ma standardowego zobowiązania do przetwarzania wyłącznie w UE, więc jeśli rezydencja w UE jest Twoim wymogiem, musisz zapytać o nią wprost.

Czy Bitly posiada umowę powierzenia przetwarzania danych?

Tak. DPA Bitly jest włączone do Warunków korzystania z usługi, a nie podpisywane jako odrębny dokument, a Bitly Europe GmbH i Bitly Inc. działają jako współadministratorzy na podstawie art. 26 w odniesieniu do danych, które kontrolują. Zanim się na nich oprzesz, przeczytaj bezpośrednio warunki DPA, aby potwierdzić model autoryzacji podprzetwarzających i SLA dotyczące usuwania danych.

Czy Bitly posiada certyfikat w ramach EU-US Data Privacy Framework?

Tak. Bitly zaświadczyło Departamentowi Handlu USA, że przestrzega zasad EU-US Data Privacy Framework, a także UK Extension i Swiss-US Framework. Aktywność certyfikatu możesz zweryfikować na oficjalnej liście uczestników na dataprivacyframework.gov, ponieważ certyfikaty mogą wygasać lub zostać wycofane.

Czy Bitly jest bezpieczne w użyciu dla firm z UE zgodnie z RODO?

Do ogólnego zastosowania marketingowego - tak, instrumenty prawne są na miejscu. Pytanie robi się trudniejsze, gdy Twoja branża wymaga przetwarzania wyłącznie w UE (niemieckie dane socjalne, francuskie dane medyczne w ramach HDS, usługi finansowe), ponieważ podejście oparte na transferze oznacza, że musisz prowadzić ocenę skutków transferu (Transfer Impact Assessment), której skróciarz z rezydencją w UE całkowicie eliminuje.

Wypróbuj Elido

Wklej URL, otrzymaj krótki link

Bez rejestracji. Link działa 30 dni. Zarejestruj się, aby zachować go na zawsze.

Za darmo, bez rejestracji · 2 dziennie

Wypróbuj Elido

Skracarka URL hostowana w UE: własne domeny, głęboka analityka i otwarte API. Darmowy plan - bez karty kredytowej.

Tagi
is bitly gdpr compliant
bitly gdpr
bitly data processing agreement
bitly eu data residency
data privacy framework
url shortener gdpr

Czytaj dalej