Elido
Блог
13 мин чтенияСоответствие
Ключевая

GDPR для сокращателей ссылок: что на самом деле хочет видеть ваш DPO

Мнение юрисконсульта по вопросам соответствия в ЕС о статьях GDPR, применимых к сокращателям ссылок — статьи 3, 6, 28, 30, 32, 35, раскрытие субпроцессоров и пункты DPA, которые действительно имеют значение

Sasha Ehrlich
Compliance · EU residency
GDPR article-by-article applicability map for URL shorteners: Articles 3, 6, 28, 30, 32, 35 with what each requires from the shortener and the customer

Я провела четыре года, проверяя соглашения об обработке данных (Data Processing Agreements, DPA) в SaaS-компаниях со стороны поставщика, и один год, проверяя их со стороны покупателя в сфере финтеха. Пункты, о которых все беспокоятся — шифрование при хранении, окна хранения данных, SLA по уведомлению об утечках — обычно проработаны хорошо в серьезных сервисах сокращения ссылок. Пункты, которые на самом деле решают судьбу закупки, более тонкие. Это те, о которых у DPO уже сложилось мнение после многократного прочтения, и те, которые не решает обычный значок «GDPR compliant».

Этот пост — взгляд действующего DPO на то, что GDPR требует от сокращателя ссылок, обрабатывающего данные о кликах субъектов из ЕС, с указанием номеров статей, чтобы вы могли передать эти утверждения своему юристу и проверить их. Я отмечу, где позиция Elido является консервативной, где она соответствует отраслевым стандартам, а где разумному покупателю все же стоит попросить дополнение.

Ссылки на статьи относятся к Регламенту (ЕС) 2016/679 — консолидированному тексту GDPR на портале EUR-Lex. Там, где я цитирую рекомендации надзорных органов, я даю ссылку на первоисточник решения. Там, где я цитирую судебную практику, приводится ссылка на решение Суда Европейского союза (CJEU).

Почему сокращатель ссылок вообще попадает в сферу действия#

Сокращатель ссылок является процессором в соответствии со Статьей 4(8), когда он обрабатывает данные о кликах идентифицируемых физических лиц от имени клиента. Клиент является контролером; он решает, зачем собираются данные (атрибуция кампании) и на каком основании (Статья 6 — обычно «законный интерес» согласно 6(1)(f) для аналитики на уровне кликов, «согласие» согласно 6(1)(a), если задействовано детальное отслеживание). Сокращатель является процессором; он обрабатывает эти данные только на основании задокументированных инструкций контролера, что составляет суть Статьи 28.

Два типа данных делают это очевидным. Каждое перенаправление фиксирует IP-адрес; CJEU постановил в деле Breyer (C-582/14, 2016), что динамические IP-адреса могут быть персональными данными, если они объединены с информацией, доступной контролеру. Каждое перенаправление также фиксирует user-agent, который в сочетании с IP и меткой времени достаточен для выделения отдельных лиц во многих паттернах с высоким трафиком — EDPB отметил это в Руководстве 04/2020 по использованию данных о местоположении, и этот принцип является общим.

Итак: сокращатель ссылок обрабатывает персональные данные субъектов из ЕС, даже если само событие клика на первый взгляд кажется анонимным. Из этого вытекают следующие вопросы.

Статья 3: территориальная сфера действия#

Статья 3 — это статья, которую чаще всего неверно истолковывают вендоры из США, продающие свои услуги в ЕС.

Статья 3(1) охватывает обработку в контексте учреждения в ЕС. Статья 3(2) охватывает обработку данных субъектов из ЕС контролером или процессором, не входящим в ЕС, когда обработка связана с (a) предложением товаров или услуг субъектам из ЕС или (b) мониторингом их поведения, если оно осуществляется в ЕС. Отслеживание кликов пользователей из ЕС — это мониторинг; GDPR применяется независимо от того, где хостится сокращатель.

Вывод таков: утверждение «мы американская компания, GDPR не применяется» — неверно. Каждый сокращатель, обрабатывающий клики пользователей из ЕС, должен соблюдать регламент. Релевантный вопрос для закупки заключается не в том, применяется ли GDPR — он применяется — а в том, как вендор демонстрирует соответствие и какие обязательства по резидентности данных закреплены в контракте.

Статья 6: законное основание#

Отслеживание кликов через сокращатель обычно опирается на одно из трех законных оснований.

6(1)(a) — согласие. Контролер получил согласие субъекта данных на обработку. Для отслеживания кликов на уровне сокращателя согласие обычно встраивается в баннер cookie или в поток подписки на маркетинг на целевой странице. Руководство EDPB по согласию (Guidelines 05/2020, version 1.1, 2020) требует добровольного, конкретного, информированного и недвусмысленного согласия.

6(1)(b) — необходимо для выполнения договора. Само перенаправление — прием клика и маршрутизация его к месту назначения — необходимо для услуги, которую запросил пользователь. Самая четкая линия заключается в том, что маршрутизация — это выполнение договора, в то время как уровень аналитики (запись этого клика для ретроспективного анализа) является отдельной операцией обработки, для которой может потребоваться другое основание.

6(1)(f) — законный интерес. Большинство B2B-клиентов обосновывают аналитику на уровне кампаний законным интересом после проведения Оценки законных интересов (Legitimate Interest Assessment, LIA). LIA сопоставляет интересы контролера в измерении эффективности маркетинга с интересами субъекта данных; для агрегированного подсчета кликов и стандартной атрибуции баланс обычно склоняется в пользу контролера. Для поведенческого профилирования с высоким разрешением — фингерпринтинга, межсайтового отслеживания, ретаргетинга на уровне пользователя — обосновать LIA становится сложнее.

Сокращатель является процессором во всех трех случаях. Он обрабатывает данные на основании задокументированных инструкций контролера. Он не выбирает законное основание; это делает контролер.

Статья 28: соглашение с процессором#

Статья 28(3) перечисляет восемь обязательств, которые должен включать любой контракт между контролером и процессором. Прочтите это напрямую; подпункты от (a) до (h) короткие и конкретные. Пригодный DPA для сокращателя ссылок должен учитывать каждый из них.

Я разберу, как эти пункты выглядят на практике.

(a) Обработка только на основании задокументированных инструкций. Инструкции контролера — это контракт плюс письменные инструкции клиента по каждой функции (например, «обрабатывать события кликов для этих воркспейсов, хранить X месяцев»). Сокращатель не может использовать данные о кликах в своих целях без инструкции контролера. На практике это означает: никакого использования данных о кликах клиентов для обучения внутренних рекомендательных моделей без явного согласия, никакой агрегированной аналитики, передаваемой третьим лицам без уведомления. Стандартный DPA Elido прямо говорит об этом; если в DPA вашего текущего сокращателя этого нет, спросите почему.

(b) Конфиденциальность. Люди, обрабатывающие данные, связаны обязательствами по соблюдению конфиденциальности. Это стандартная операционная процедура на стороне поставщика, которая редко оспаривается.

(c) Меры безопасности (Статья 32). Рассмотрено ниже в отдельном разделе.

(d) Привлечение субпроцессоров. Процессор привлекает субпроцессоров только с разрешения контролера, и субпроцессор должен принять на себя эквивалентные обязательства по письменному контракту. Существует два вида разрешений. Конкретное предварительное разрешение требует от контролера согласия на каждого нового субпроцессора. Общее предварительное разрешение требует только предварительного уведомления с правом на возражение. Большинство контрактов SaaS используют общее разрешение с 30-дневным окном уведомления. Оба варианта допустимы согласно Статье 28; важно, чтобы в контракте было указано, какой именно используется.

(e) Помощь в реализации прав субъектов данных. Процессор должен помогать контролеру отвечать на запросы субъектов данных в соответствии со статьями 15-22. Для сокращателя это означает, что контролер может запросить экспорт записей о кликах, привязанных к конкретному идентификатору (редко, но случается), и сокращатель должен быть в состоянии его предоставить. API Elido включает эндпоинт GET /v1/clicks?subject_id= для этих целей; если у вашего текущего сервиса этого нет, вам придется отвечать на запросы субъектов вручную.

(f) Помощь по статьям 32 / 33 / 34 / 35 / 36. Процессор должен помогать контролеру выполнять обязательства по безопасности, уведомлению об утечках и проведению DPIA. «Помощь» носит операционный характер — предоставление отчетов о проверке безопасности, уведомление об утечках в рамках SLA, предоставление технических деталей, необходимых для DPIA.

(g) Возврат или удаление по окончании оказания услуг. По истечении срока действия контракта процессор возвращает или удаляет все персональные данные, если закон союза или государства-члена не требует их хранения. Стандартный пункт Elido — 30 дней после расторжения договора с предоставлением документального подтверждения удаления по запросу.

(h) Права на аудит. Процессор должен предоставлять всю информацию, необходимую для подтверждения соответствия, и допускать проведение аудитов. Контракты SaaS обычно ограничивают это письменными опросниками по аудиту и проверками на месте с разумным уведомлением; неограниченные права на аудит встречаются редко, за исключением корпоративных контрактов.

Если в DPA вашего текущего сервиса отсутствует или размыт любой из пунктов от (a) до (h), процесс закупки не должен двигаться дальше. DPA, соответствующий Статье 28, — это минимум, а не предел.

Статья 30: реестры деятельности по обработке#

Статья 30 требует от процессоров вести реестры деятельности по обработке (Records of Processing Activities, RoPA). RoPA процессора — это артефакт, предназначенный для контролера, который позволяет вашему DPO понять, что сокращатель делает с данными.

Elido публикует шаблон RoPA для каждого клиента, который вы можете сопоставить со своим собственным. Колонки включают категории субъектов данных, категории персональных данных, получателей, передачу в третьи страны (по умолчанию отсутствует), сроки хранения и меры безопасности. Это стандартная процедура, но команды по закупкам хотят видеть ее заполненной конкретными данными. DPO не нужен «заполнитель». Если ваш сокращатель не предоставляет это, обязанность по составлению реестра ложится на вас на основе их документации.

Статья 32: безопасность обработки#

Статья 32 требует «надлежащих технических и организационных мер» для обеспечения уровня безопасности, соответствующего риску. Статья намеренно не носит предписывающего характера; надзорные органы конкретизируют ее через свои рекомендации.

Для сокращателя ссылок операционный минимум, на который будет смотреть большинство DPO:

  • TLS 1.3 при передаче, без отката к TLS 1.0 или 1.1.
  • Шифрование при хранении для хранилища событий кликов с задокументированной ротацией ключей.
  • Сегментация сети между уровнем перенаправления и уровнем аналитики.
  • Аутентификация через SSO/SAML или OIDC для клиентской части; взаимодействие между сервисами через краткосрочные учетные данные.
  • Журнал аудита административных действий на стороне сокращателя, хранящийся не менее 12 месяцев.
  • Задокументированный процесс реагирования на инциденты и регулярные тренировочные упражнения.
  • Сертификация ISO 27001 или эквивалентное независимое подтверждение.

Elido сертифицирован по стандарту ISO 27001 и находится в процессе получения SOC 2 Type II (цель — второе полугодие 2026). Технические меры контроля описаны на странице доверия. Для трафика, подпадающего под HIPAA, доступны соглашения BAA на плане Business.

Здесь важна формулировка статьи: «соответствующий риску» — это относительный стандарт. Сокращатель, обрабатывающий клики по кампаниям на публичном маркетинговом сайте, представляет меньший риск, чем тот, который используется внутри компании для обмена аутентифицированными URL-адресами сессий. Решение вашего DPO должно соответствовать риску, который вы реально несете.

Статья 35: DPIA#

Статья 35 требует проведения оценки воздействия на защиту данных (Data Protection Impact Assessment, DPIA) для обработки, которая «с большой вероятностью приведет к высокому риску для прав и свобод физических лиц», с особым вниманием к (a) систематической и обширной оценке, (b) данным специальных категорий и (c) систематическому мониторингу общедоступных зон в крупных масштабах.

Для большинства сценариев использования сокращателя проведение DPIA строго не требуется — отслеживание кликов по кампаниям на маркетинговом сайте не является «систематической и обширной оценкой» в смысле статьи 35(3)(a). Когда проведение DPIA становится целесообразным:

  • Поведенческое профилирование на нескольких сайтах на индивидуальном уровне.
  • Отслеживание, которое объединяет данные сокращателя с другими персональными данными (обогащение CRM, сторонние брокеры данных) для создания профиля на уровне личности.
  • Использование данных о кликах для принятия решений, имеющих юридические или аналогичные значимые последствия для субъекта данных (редко, но мыслимо в контексте кредитования или трудоустройства).
  • Большой объем трафика из контекстов специальных категорий (здоровье, религия, политические взгляды).

Если вы заказываете DPIA для обработки, связанной с сокращателем, методологическим справочником является руководство WP29 (WP248 rev.01); многие надзорные органы опубликовали свои собственные шаблоны, включая ПО для PIA от CNIL.

Статья 28(2): раскрытие субпроцессоров#

Самый простой и понятный вопрос GDPR — «кто еще касается данных?». Статья 28(2) требует, чтобы процессор раскрывал всех субпроцессоров, которых он привлекает, и получал разрешение. На практике каждый серьезный SaaS-сервис публикует список субпроцессоров и процесс уведомления об их добавлении.

Как выглядит хороший список:

  • Название субпроцессора, место обработки, роль.
  • Категории передаваемых персональных данных.
  • Законное основание для передачи (где применимо).
  • Дата добавления субпроцессора.
  • Механизм уведомления о новых добавлениях (обычно электронная почта + лента RSS/JSON).
  • Право на возражение: обычно 30 дней с момента уведомления.

В публичном списке субпроцессоров Elido указано пять вендоров. Это число намеренно невелико — каждый новый субпроцессор увеличивает площадь вашей программы обеспечения приватности. Сравните с текущим поставщиком: если у них 30 субпроцессоров и вы не можете определить, кто из них находится на пути обработки клика, это существенный вопрос к раскрытию информации.

Schrems II: когда резидентность в ЕС становится контрактной#

Дело Schrems II (CJEU C-311/18, 2020) аннулировало щит конфиденциальности ЕС-США (Privacy Shield) и потребовало для международной передачи данных на основании SCC проводить Оценку последствий передачи (Transfer Impact Assessment, TIA), оценивая, не лишит ли режим наблюдения страны назначения субъектов из ЕС эффективной защиты их прав.

Преемственный механизм — EU-US Data Privacy Framework, принятый решением комиссии (EU) 2023/1795 — заменяет Privacy Shield для участвующих организаций. Два важных нюанса:

  • Участие является добровольным; не каждый SaaS-вендор из США сертифицирован. Проверьте список участников DPF.
  • Сама структура является предметом текущих судебных разбирательств. Организация NOYB заявила о намерении оспорить ее, и третье решение по делу Schrems вполне вероятно. Покупатели, достаточно предусмотрительные, чтобы планировать такой сценарий, все чаще требуют в контрактах обработку данных исключительно в ЕС.

Как это влияет на выбор сокращателя: если ваш отдел закупок указал на важность резидентности данных или ваше отраслевое регулирование требует обработки только в ЕС (здравоохранение Германии в соответствии с законом о защите социальных данных, французские медицинские данные через сертификацию HDS, финансовые услуги согласно рекомендациям EBA), сокращатель с хостингом в ЕС упрощает контракт. Пункт о резидентности становится конкретным, TIA не требуется, и цикл закупки сокращается.

Elido по умолчанию хостится во Франкфурте. Клиенты плана Business+ могут закрепить данные (pinning) за Ашберном или Сингапуром, если того требует профиль их трафика. Закрепление выполняется для каждого воркспейса, фиксируется в контракте и обеспечивается на операционном уровне — это не маркетинговое заявление, а техническая реальность.

Минимизация данных: что вам не нужно логировать#

Статья 5(1)(c) требует, чтобы обработка была «адекватной, релевантной и ограничивалась тем, что необходимо для целей, в которых данные обрабатываются». Для сокращателя это относится к схеме события клика.

Сигналы, которые сокращатель может собирать во время перенаправления:

  • IP-адрес (полный, усеченный до /24 или хешированный).
  • Строка User-agent (полная или разобранная на клиент/ОС без редких токенов, которые позволяют снять «отпечаток»).
  • Реферер (Referrer).
  • Метка времени.
  • Геоданные, полученные из IP (страна, город).
  • Данные об устройстве, полученные из UA (мобильное/десктоп/планшет, семейство ОС).
  • ID клика (собственный идентификатор события в сокращателе).

Из этого списка для целей контролера обычно требуются разобранные данные об устройстве, страна, метка времени, ID клика и, возможно, реферер. Сам IP-адрес редко нужен после момента перенаправления — как только парсинг геоданных и устройства выполнен, IP может быть усечен или хеширован до того, как он попадет в хранилище кликов. То же самое касается UA: для атрибуции на самом деле используются поля device.type / device.os; полная строка UA — это приманка для фингерпринтинга, которую следует отбросить.

Elido усекает IP-адреса до /24 (IPv4) или /48 (IPv6) перед сохранением событий кликов. Полный UA парсится и удаляется. Оба этих действия задокументированы и настраиваются для каждого воркспейса, если ваш конкретный сценарий требует данных с более высоким разрешением — но по умолчанию установлена минимизация, что является реализацией Статьи 5(1)(c) на уровне архитектуры, а не в виде «заплатки».

Права субъектов данных на уровне сокращателя#

Контролер обрабатывает запросы субъектов данных на реализацию их прав; процессор помогает в этом. Для сокращателя актуальны два типа запросов:

Статья 15 — право на доступ. Субъект данных запрашивает копию своих персональных данных. Сокращатель должен иметь возможность извлечь события кликов, привязанные к идентификатору субъекта. На практике это сложно, если единственный идентификатор — «все, кто кликнул по ссылке X с этого IP». Прагматичный ответ: сокращатель экспортирует события кликов для IP/временного интервала, указанного контролером, а контролер фильтрует их для соответствующего субъекта.

Статья 17 — право на стирание. Субъект данных просит об удалении. Сокращатель должен иметь возможность удалить события кликов по запросу в соответствии с формулировкой GDPR «без неоправданной задержки» — стандартный операционный SLA составляет 30 дней. Осложнение: события кликов обычно хранятся в аналитической базе данных, работающей только на добавление (ClickHouse, BigQuery, Snowflake). Удаление реально, но это DELETE по разделу (partition), а не редактирование отдельной строки. Убедитесь, что DPA вашего сокращателя фиксирует конкретный SLA по удалению и что базовая архитектура позволяет его соблюсти.

Elido поддерживает оба варианта через API: GET /v1/subjects/{id}/clicks и DELETE /v1/subjects/{id}. Удаление распространяется на хранилище событий кликов в течение 24 часов и подтверждается через вебхук.

О чем спросить отдел закупок#

Краткий чек-лист для разговора о закупке:

  1. Где хостится сокращатель? (Ответ в одно предложение; есть ли закрепление данных.)
  2. Является ли DPA предварительно подписанным или обсуждается отдельно для каждого клиента? (Предварительно подписанный — быстрее.)
  3. Сколько субпроцессоров? (Чем меньше, тем проще.)
  4. Включает ли стандартный контракт обработку только в ЕС или это отдельное дополнение?
  5. Какое усечение IP-адреса установлено по умолчанию для событий кликов?
  6. Есть ли эндпоинт для реализации Статей 15 / 17 или удаление происходит через поддержку?
  7. Какой SLA по уведомлению об утечках? (24 часа с момента обнаружения — отраслевая норма.)
  8. Независимое подтверждение: ISO 27001? SOC 2 Type II? Когда был последний аудит?

Вендор, который может письменно ответить на эти восемь вопросов на первой встрече, готов к закупке. Вендор, который не может этого сделать, добавит недели к вашему циклу продаж.

Читайте серию основополагающих материалов#

Это основной материал кластера compliance. Другие статьи в кластере: будущая EU data residency for marketing analytics (подробнее о специфике контрактов), Schrems II and tracking pixels (практическое влияние на атрибуцию) и Click attribution after Safari ITP (операционные последствия мира без куки). Для краткого обзора, предназначенного для отдела закупок, стоит добавить в закладки страницы доверия и solutions/compliance. Для получения подробной информации об архитектуре, стоящей за заявлением о резидентности, в документации по архитектуре edge-redirect описывается, как региональное закрепление обеспечивается на этапе маршрутизации.

Связанные темы в блоге#

Попробуйте Elido

URL-сокращатель с хостингом в ЕС: собственные домены, глубокая аналитика, открытый API. Бесплатный тариф — без банковской карты.

Попробовать бесплатноПосмотреть цены
Теги
gdpr url shortener
url shortener data residency
link tracking gdpr
schrems ii
dpa
sub-processor disclosure
article 28
article 30

Читать дальше