GDPR-совместимые сокращатели ссылок - на что обратить внимание в 2026 году

Каждое перенаправление через сокращатель ссылок создает событие обработки данных. Событие клика содержит как минимум IP-адрес, временную метку и строку user-agent. В соответствии со статьей 4(1) GDPR, такая комбинация может составлять персональные данные - Европейский суд (CJEU) подтвердил в деле Breyer (C-582/14, 2016), что динамические IP-адреса являются персональными данными, когда у организации есть реальные средства идентификации стоящего за ними физического лица. У вашего сокращателя есть такие средства: он контролирует журнал перенаправлений.

Этот пост представляет собой практический чек-лист для оценки того, является ли сокращатель ссылок действительно GDPR-совместимым. Я разберу, чего на самом деле требует регламент, в чем ошибаются популярные провайдеры, на что обращать внимание при выборе соответствующего инструмента и какие компромиссы при этом возникают. Ссылки в статье ведут на Регламент (ЕС) 2016/679, GDPR в действующей редакции.

Что GDPR требует от сокращателя ссылок#

Сокращатель ссылок находится в потоке данных между вашей кампанией и вашим клиентом. Когда кто-то кликает по короткой ссылке, сокращатель видит клик раньше, чем целевая страница. Это делает сокращатель обработчиком данных (data processor) согласно статье 4(8): он обрабатывает персональные данные от вашего имени. Вы являетесь контролером (controller); вы определяете цели и средства отслеживания. Сокращатель выполняет операцию согласно вашим инструкциям.

Это разделение создает четыре конкретных обязательства, которым должен соответствовать сокращатель:

1. Письменный контракт, соответствующий Статье 28(3)

Статья 28(3) перечисляет восемь требований, которые должен включать любой контракт с обработчиком: обработка только на основании задокументированных инструкций, конфиденциальность, надлежащая безопасность, раскрытие субобработчиков, помощь в реализации прав субъектов данных, помощь в выполнении обязательств по безопасности и DPIA, удаление или возврат данных при прекращении действия контракта и права на аудит. Сокращатель без Соглашения об обработке данных (DPA), охватывающего каждый из этих пунктов, не готов к закупке для использования в ЕС.

2. Законное основание для уровня отслеживания кликов

Само перенаправление - прием клика и маршрутизация его к месту назначения - предположительно необходимо для работы сервиса. Слой аналитики поверх этого перенаправления - запись клика для атрибуции, измерения кампании, ретаргетинга - является отдельной операцией обработки, которой требуется собственное законное основание согласно статье 6. Большинство B2B-команд основывают аналитику кампаний на законном интересе согласно статье 6(1)(f); если сокращатель внедряет пиксели ретаргетинга сторонних сервисов в момент перенаправления, основание меняется на согласие согласно статье 6(1)(a), что означает необходимость механизма получения согласия перед первым кликом.

3. Минимизация данных

Статья 5(1)(c) требует, чтобы сбор данных был «адекватным, уместным и ограниченным тем, что необходимо». Для сокращателя этот принцип применяется непосредственно к схеме события клика. Вам нужны геоданные на уровне страны, категория устройства, временная метка и идентификатор клика. Вам не нужен полный IP-адрес после момента перенаправления. Вам почти наверняка не нужна полная строка user-agent - обработанный кортеж device.type / device.os несет сигнал атрибуции, не являясь вектором фингерпринтинга.

4. Соответствие правилам международной передачи данных

Если сокращатель хранит или обрабатывает события кликов за пределами ЕЭЗ, применяются статья 44 и статья 46. Передача данных в США требует либо Стандартных договорных условий (SCC) плюс оценки воздействия передачи (TIA), либо участия в программе EU-US Data Privacy Framework, которая сама по себе является предметом продолжающегося судебного разбирательства. Сокращатель, размещенный в ЕС, полностью избегает этой проблемы.

В чем ошибаются популярные сокращатели#

Bitly#

Основная плоскость данных Bitly находится в Соединенных Штатах. Согласно их публичной документации, международная передача данных из ЕЭЗ опирается на Стандартные договорные условия. DPA доступно, но оно не подписано заранее в стандартном контракте - корпоративные клиенты обсуждают его отдельно, что увеличивает время на закупку. Хранение данных только в ЕС не является стандартным предложением; это предмет переговоров по индивидуальному контракту.

Две менее обсуждаемые проблемы: аналитическая панель Bitly интегрируется со сторонними сервисами атрибуции, а некоторые тарифные планы позволяют внедрять пиксели ретаргетинга на уровне перенаправления. Если пиксели ретаргетинга срабатывают до того, как пользователь дал согласие, это проблема соблюдения статьи 6 для вас как контролера. Сокращатель является обработчиком, но контролер несет основную ответственность за наличие правильного законного основания.

Rebrandly#

Штаб-квартира Rebrandly находится в Дублине, что звучит многообещающе для ЕС, но ключевой вопрос в том, где обрабатываются данные, а не где зарегистрирована компания. Согласно их DPA (по состоянию на май 2026 года), передача данных из ЕЭЗ в США опирается на SCC. Обработка только в ЕС доступна корпоративным клиентам на индивидуальных условиях. Стандартный контракт не привязывает данные к инфраструктуре ЕС. Для команд, которым нужно юридически закрепленное условие о резидентности «из коробки», Rebrandly требует индивидуальных переговоров.

Rebrandly также нативно поддерживает сторонние пиксели ретаргетинга на большинстве тарифных планов. Маркетинговая ценность реальна; юридическое последствие заключается в том, что любой пиксель, срабатывающий в момент перенаправления для субъектов в ЕС, требует согласия, а не законного интереса, поскольку поведенческое профилирование для рекламы выходит за границы законного интереса в интерпретации большинства надзорных органов.

TinyURL#

TinyURL предлагает понятный бесплатный тариф и является широко используемым потребительским сокращателем. Он не публикует список субобработчиков. Стандартные условия не включают DPA, соответствующее статье 28(3). Слой аналитики элементарен и размещен в США. Для B2B или маркетинговых команд, в аудитории которых есть субъекты из ЕС, TinyURL не готов к закупке.

Общая проблема сокращателей с хостингом в США#

Многие провайдеры, работающие в основном на клиентов из США, относятся к соблюдению GDPR как к галочке, а не как к архитектурному ограничению. Признаки, на которые стоит обратить внимание: значок «GDPR compliant» на странице с ценами без ссылки на DPA, список субобработчиков без указания регионов хостинга (только названия гиперскейлеров без регионов), процесс удаления данных через службу поддержки, а не через задокументированный эндпоинт API, и отсутствие упоминаний об усечении IP или настройках минимизации данных по умолчанию.

Заявление «GDPR compliant» как маркетинговое утверждение ничего не значит без DPA, соответствующего Статье 28(3), актуального списка субобработчиков с указанием регионов и доказательств того, что сбор данных по умолчанию предполагает минимизацию, а не требует от вас ее включения.

Чек-лист GDPR-совместимого сокращателя#

Вот десять вопросов, которые следует задать в письменном виде перед подписанием контракта с сокращателем ссылок, который будет обрабатывать данные кликов субъектов из ЕС.

1. Где обрабатываются данные, и является ли это договорным обязательством?#

Спрашивайте регион гиперскейлера, а не просто название облачного провайдера. «AWS» - это не ответ; названный регион в ЕС, например «AWS eu-central-1», - ответ. Что еще важнее, уточните, является ли этот регион обязательным пунктом в стандартном контракте или это операционная практика, которая может измениться без вашего согласия. Согласно статье 44, передача данных за пределы ЕЭЗ требует законного основания; вам нужно обязательство по резидентности в контракте, чтобы не проводить анализ заново каждый раз, когда вендор обновляет свою инфраструктуру.

2. Подписано ли DPA заранее и полностью ли оно охватывает Статью 28(3)?#

DPA, которое идет подписанным заранее в стандартном контракте, сигнализирует о том, что вендор рассматривает соблюдение GDPR как базу, а не как предмет переговоров. Прочтите DPA на соответствие восьми подпунктам статьи 28(3). Каждый из них должен быть упомянут. Обратите особое внимание на пункт (d) - привлечение субобработчиков - и пункт (h) - права на аудит. Расплывчатые формулировки вроде «мы используем стандартные для отрасли практики безопасности» вместо конкретных обязательств - это тревожный сигнал.

3. Сколько субобработчиков и указаны ли они вместе с регионами?#

Каждый субобработчик - это дополнительное звено в цепочке передачи. Короткий список с указанными регионами (compute-провайдер в ЕС в регионе ЕС, email-провайдер на востоке США и т. д.) можно проверить за один раз. Длинный список с расплывчатыми названиями вендоров - это обуза для поддержки и риск для резидентности. Согласно статье 28(2), каждый субобработчик должен принять на себя те же обязательства по защите данных, что и обработчик. Спросите, каков срок уведомления о новых субобработчиках и есть ли у вас право на возражение.

4. Усекает или хеширует ли сокращатель IP-адреса перед их сохранением?#

Хранение полных IP-адресов редко необходимо для аналитики, которую поддерживает сокращатель. Геолокация на уровне страны и обнаружение ботов могут быть выполнены в момент перенаправления на основе полного IP, после чего результат сохраняется, а исходный IP отбрасывается или усекается. Согласно статье 5(1)(c), хранение большего объема данных, чем того требует цель, является нарушением принципа минимизации данных. Уточните, является ли усечение или хеширование IP стандартной настройкой или вам нужно включать это вручную. Минимизация по умолчанию - это правильная архитектура; минимизация по выбору перекладывает риски соблюдения на вас.

5. Внедряет ли перенаправление какие-либо сторонние скрипты или пиксели?#

Некоторые сокращатели предлагают внедрение пикселей ретаргетинга как функцию: когда посетитель кликает по вашей короткой ссылке, сокращатель загружает Meta Pixel, Google Tag или аналогичный сторонний скрипт до или во время перенаправления. Для субъектов в ЕС загрузка стороннего скрипта поведенческого отслеживания без предварительного согласия является нарушением статьи 6 и, в зависимости от того, устанавливаются ли куки, Директивы о конфиденциальности и электронных средствах связи (ePrivacy Directive). Если ваш сокращатель предлагает внедрение пикселей, эта функция должна быть отключена или ограничена получением согласия для трафика из ЕС. Если вендор не может подтвердить, что по умолчанию скрипты сторонних сервисов не загружаются при перенаправлении, проверьте это сами с открытой вкладкой Network.

6. Есть ли эндпоинт API для запросов на право на удаление данных?#

Статья 17 дает субъектам данных право на удаление их персональных данных «без неоправданной задержки» при наличии определенных оснований. Когда вы получаете запрос на удаление, касающийся данных кликов, хранящихся в сокращателе, вам нужен механизм для его выполнения. Эндпоинт API, который принимает идентификатор субъекта и удаляет связанные события кликов, является операционно правильным ответом. Удаление через тикет в поддержку не считается действием «без неоправданной задержки» в интерпретации большинства надзорных органов и не является масштабируемым подходом при любом значимом объеме кликов.

Сложность в том, что события кликов часто хранятся в колоночной аналитической базе данных, работающей только на добавление (например BigQuery или Snowflake). Вендор, который хранит события таким образом, должен продемонстрировать, что удаление реально - это DELETE в соответствующей партиции, а не просто программная пометка (soft flag). Спросите вендора про SLA по Статье 17 и технический механизм его реализации.

7. Каков SLA по уведомлению об утечке данных?#

Статья 33 требует, чтобы контролер уведомлял свой надзорный орган об утечке персональных данных «без неоправданной задержки и, по возможности, не позднее чем через 72 часа после того, как ему стало об этом известно». Чтобы уложиться в этот срок, ваш обработчик должен уведомить вас существенно быстрее - отраслевой нормой считается 24 часа с момента обнаружения до уведомления контролера. Ваше DPA должно фиксировать этот SLA. Фраза «мы уведомим вас незамедлительно» не является числом.

8. Использует ли сокращатель по умолчанию аналитику без куки от первого лица?#

Многие сокращатели строят свои аналитические панели поверх сторонних инструментов продуктовой аналитики (Mixpanel, Amplitude, Segment), которые размещены в США и могут устанавливать постоянные идентификаторы в куки или локальное хранилище. Для собственной продуктовой аналитики сокращателя (отслеживание использования вами панели управления) это отдельный вопрос. Ключевой вопрос для отслеживания кликов заключается в том, устанавливает ли поток перенаправления какие-либо куки или постоянные идентификаторы в браузере посетителя без его согласия.

Событие клика без куки - то, которое получает данные о стране, устройстве и реферере из заголовков запроса без установки какого-либо состояния на стороне клиента - не требует механизма получения согласия для аналитики первого лица согласно руководствам большинства надзорных органов, при условии, что данные обрабатываются в рамках законного интереса и политика конфиденциальности доступна. Перенаправление, которое устанавливает постоянный идентификатор или загружает сторонний тег, требует окна получения согласия. Знайте, какой вариант использует ваш сокращатель.

9. Доступно ли уведомление о прозрачности получателям ссылок?#

Статья 13 требует, чтобы лица, чьи данные собираются, были проинформированы об обработке в момент сбора, если не применяется исключение. Для отслеживания кликов по короткой ссылке практический вопрос таков: как человек, кликающий по ссылке, узнает, что его клик отслеживается, и где он может об этом прочитать?

Большинство внедрений сокращателей решают это через политику конфиденциальности контролера на целевой странице или в баннере согласия на куки на исходной странице кампании. Сокращателю как обработчику не нужно показывать собственное уведомление кликнувшему - но вам как контролеру нужна политика конфиденциальности, которая охватывает цепочку обработки отслеживания ссылок. Если политика конфиденциальности сокращателя - единственный документ, описывающий обработку, и она написана с позиции вендора, а не контролера, у вас есть пробел.

10. Можете ли вы скачать и удалить свои собственные данные без обращения в поддержку?#

Это практический тест того, реализует ли вендор на самом деле права субъектов данных, о поддержке которых заявляет. Вы должны иметь возможность: экспортировать все события кликов рабочего пространства в переносимом формате, удалять отдельные ссылки и связанную с ними историю кликов, а также закрывать аккаунт с подтвержденным удалением всех персональных данных. Если любое из этих действий требует запроса в поддержку, а не выполняется самостоятельно через API или панель управления, запросите SLA и зафиксируйте его в контракте.

Возникающие компромиссы#

GDPR-совместимая архитектура подразумевает реальные компромиссы, и честное признание этого полезнее, чем притворство, будто требования соответствия ничего не стоят.

Более грубая аналитика. Сокращатель, который усекает IP до /24 и отбрасывает полную строку user-agent, дает вам информацию о стране, семействе устройств и ОС - но не таргетинг на уровне города, не индивидуальный отпечаток браузера и не разрешение идентичности между сессиями, которое позволили бы данные в полном разрешении. Для большинства случаев атрибуции кампаний этого уровня детализации достаточно. Для ретаргетинга на индивидуальном уровне вам нужен другой подход - обычно серверная передача конверсий по идентификатору первого лица, которым пользователь уже поделился (email, ID авторизованного пользователя), что не требует от сокращателя отслеживания личности на уровне перенаправления.

Меньший набор функций. Некоторые из самых мощных функций сокращателей - внедрение пикселей ретаргетинга, междоменное отслеживание, глубокая интеграция со сторонними рекламными платформами - строятся на практиках сбора данных, которые трудно совместить с минимизацией. GDPR-совместимый сокращатель обычно имеет более чистое перенаправление, которое выполняет меньше действий на этом уровне и делегирует больше уровню событий конверсии, где у контролера есть прямые отношения с пользователем и он может основывать отслеживание на согласии.

Затраты на закупку. Выбор сокращателя с хостингом в ЕС и заранее подписанным DPA сокращает цикл закупки по сравнению с вендором из США, которому требуется индивидуальный контракт для обеспечения резидентности в ЕС. Это не отменяет сам цикл. Вам все равно нужно изучить DPA, проверить список субобработчиков, подтвердить SLA по удалению данных и убедиться, что настройки усечения IP и использования куки по умолчанию соответствуют вашей политике конфиденциальности. Рассчитывайте на два–четыре часа работы по закупке для GDPR-совместимого сокращателя против двух–восьми недель для вендора из США, где резидентность в ЕС требует индивидуальных переговоров.

Как к этому подходит Elido#

В контексте этого чек-листа вот как выглядит стандартное развертывание Elido.

Резидентность данных. Elido по умолчанию обрабатывает события кликов на инфраструктуре в ЕС в регионе ЕС. Резидентность является обязательным пунктом стандартного контракта с клиентом, а не операционной практикой. Клиенты тарифа Business+ могут закрепить данные в других регионах; по умолчанию передача данных за пределы ЕЭЗ не осуществляется.

Усечение IP. События кликов, хранящиеся в нашем аналитическом хранилище, содержат сетевой префикс /24 (IPv4) или /48 (IPv6), а не полный IP-адрес. Геолокация и обнаружение ботов выполняются по полному IP в момент перенаправления, после чего полный IP отбрасывается перед сохранением события. Это настройка по умолчанию; вам не нужно ничего настраивать.

Сторонние пиксели при перенаправлении. Плоскость перенаправления не загружает сторонние скрипты. Серверная передача конверсий - отправка данных атрибуции в Meta CAPI, GA4, или аналогичные сервисы - это дополнительная, отдельно настраиваемая функция, которая использует данные событий от первого лица, отправляемые вами в Elido API через POST-запрос, а не пиксель, внедренный в момент перенаправления. Они архитектурно различны: один срабатывает без ведома посетителя из перенаправления, другой - это вызов server-to-server, основанный на данных, которыми посетитель уже поделился с вами.

DPA. DPA Elido подписано заранее в стандартном контракте с клиентом. Оно охватывает все восемь подпунктов Статьи 28(3). Субобработчики перечислены на странице доверия с указанием регионов. Страница legal/privacy описывает цепочку обработки, видимую получателям ссылок.

Право на удаление. Запросы на удаление по Статье 17 передаются в хранилище событий кликов в течение 24 часов. Удаление происходит на уровне партиций, а не программной пометкой.

Аналитика без куки. Плоскость перенаправления не устанавливает куки. События кликов происходят только на стороне сервера. Аналитическая панель, которую Elido использует внутри, применяет Plausible в режиме без куки для продуктовой телеметрии; это отделено от записи событий кликов для ваших кампаний.

Чего у Elido пока нет: SOC 2 Type II (в процессе, запланировано на второе полугодие 2026 года), шаблона DPIA для самостоятельного заполнения клиентами и полностью автоматизированного API для запросов на доступ к данным субъектов для менее распространенных сценариев реализации права на доступ. Подробности о текущих аттестациях см. на странице доверия.

Чек-лист по миграции при переходе с сокращателя вне ЕС#

Если вы сейчас используете сокращатель с хостингом в США и вам нужно перейти на хостинг в ЕС, вот краткий операционный чек-лист.

Перед подписанием нового контракта:

1. Прочтите DPA нового вендора на соответствие Статье 28(3). Убедитесь, что все восемь пунктов прописаны явно.
2. Проверьте список субобработчиков. Убедитесь, что указаны регионы хостинга, а не только облачные провайдеры.
3. Подтвердите настройки усечения IP по умолчанию. Запросите письменное подтверждение, если этого нет в документации продукта.
4. Подтвердите SLA по Статье 17 и технический механизм.
5. Проверьте, срабатывают ли пиксели ретаргетинга в момент перенаправления. Если да, убедитесь, что их можно полностью отключить или ограничить окном согласия.

Во время миграции:

6. Экспортируйте существующие короткие ссылки в формате CSV. Убедитесь, что пользовательские слаги сохраняются новой платформой, прежде чем менять настройки DNS.
7. Настройте все ссылки на новой платформе под тем же пользовательским доменом и слагами перед перенаправлением CNAME.
8. Оставьте 24–48 часов на распространение DNS после переключения CNAME. В течение этого окна обе платформы будут выдавать корректные ответы, если слаги совпадают.
9. Не мигрируйте исторические данные кликов со старой платформы - ответственность за хранение старых событий кликов остается на старом обработчике до тех пор, пока вы не воспользуетесь правом на удаление.

После миграции:

10. Отправьте старому вендору запрос на удаление всех персональных данных, связанных с вашим рабочим пространством. Подтвердите получение запроса и сроки удаления.
11. Обновите политику конфиденциальности, указав нового обработчика, его субобработчиков и новое место хранения данных.
12. Проверьте баннеры куки или механизмы согласия, которые ссылались на функции отслеживания старого сокращателя. Скорректируйте их область действия, если сбор данных на новой платформе по умолчанию более ограничен.

В руководстве по миграции с Bitly более подробно описаны технические аспекты импорта ссылок и передачи DNS.

Что проверить, прежде чем верить заявлению о соответствии GDPR#

Любой сокращатель может написать «GDPR compliant» на странице с ценами. Это утверждение не регулируется и само по себе не имеет юридической силы. Артефакты, которые имеют значение:

• DPA, соответствующее Статье 28(3) пункт за пунктом.
• Список субобработчиков с указанием вендоров, регионов и категорий передаваемых данных.
• Политика конфиденциальности, доступная получателям ссылок и описывающая цепочку обработки - это удовлетворяет требованиям статьи 13.
• Задокументированные правила обработки IP, подтверждающие усечение или хеширование перед сохранением.
• SLA по удалению данных согласно Статье 17 с указанием технического механизма.
• Независимая аттестация (ISO 27001 - это необходимый минимум; SOC 2 Type II добавляет уверенности при закупках в США или на международном уровне).

Если вендор не может предоставить все это в письменном виде в течение одного рабочего дня, заявление «GDPR compliant» - это маркетинговый текст, а не подтвержденная позиция по соблюдению требований.

---

Для юридического анализа на уровне статей, лежащего в основе этого чек-листа, в основном материале по GDPR для сокращателей ссылок подробно разбираются статьи 3, 6, 28, 30, 32 и 35 с цитатами из решений надзорных органов. Документы для закупок: политика конфиденциальности Elido, условия обслуживания и цены - DPA включено в стандартный контракт на каждом платном тарифе.

Похожие статьи в блоге#

• Резидентность данных в ЕС для маркетинговых инструментов: о чем на самом деле спрашивает ваш DPO
• Schrems II и пиксели отслеживания: к чему привело DPF в 2026 году
• Атрибуция кликов после Safari ITP: что еще работает в 2026 году
• SCIM и SSO для маркетинговых инструментов: о чем на самом деле спрашивает корпоративный IT-отдел