7 мин чтенияСоответствие

Соответствует ли Bitly требованиям GDPR? Честный ответ DPO

У Bitly есть DPA, стандартные договорные положения и сертификация Data Privacy Framework. Соответствует требованиям - да, но это не то же самое, что размещение данных только в ЕС.

Sasha Ehrlich
Compliance · EU residency
Is Bitly GDPR compliant: EU click data crossing to the United States under a legal transfer instrument, next to an EU-residency path where the data never leaves the EU

Да. Bitly соответствует требованиям GDPR в том смысле, который важен для чек-листа закупки: компания публикует Data Processing Agreement, передаёт данные по Standard Contractual Clauses, имеет действующую сертификацию EU-US Data Privacy Framework, управляет юрлицом в ЕС в Берлине и отвечает на запросы субъектов данных согласно статьям 15-21. Если в форме поставщика есть пункт "соответствует GDPR: да/нет", честный ответ - да.

Более сложный вопрос - тот, который ваш DPO задаёт после чек-листа, - где на самом деле находятся ваши данные о кликах. Соответствие Bitly требованиям опирается на перемещение персональных данных ЕС в США и покрытие этой передачи юридическим инструментом. Сегодня это законно. Но это не то же самое, что размещение данных в ЕС, и для некоторых покупателей разрыв между этими двумя вещами решает судьбу контракта.

Это материал из кластера про соответствие требованиям, поэтому статьи закона процитированы, а источники даны со ссылками, чтобы вы могли передать их своим юристам. О том, что GDPR требует от любого сокращателя ссылок, а не только от Bitly, рассказывает краеугольный материал о GDPR для сокращателей ссылок - там по порядку разобраны статьи 3, 6, 28, 30, 32 и 35.

Короткий ответ и звёздочка

Bitly проделала работу по соответствию требованиям, которую ожидают от серьёзного поставщика. При чтении политики конфиденциальности (по состоянию на 2026-07-17) видно, что весь механизм на месте:

  • Data Processing Agreement, включённое в условия обслуживания.
  • Standard Contractual Clauses для передач за пределы ЕЭЗ.
  • Действующая сертификация EU-US Data Privacy Framework, плюс UK Extension и Swiss-US Framework.
  • Учреждение в ЕС: Bitly Europe GmbH в Берлине, с назначенным сотрудником по защите данных (DataCo GmbH).
  • Процесс реализации прав субъектов данных, разделённый между [email protected] для вопросов США и [email protected] для вопросов ЕС, охватывающий доступ, исправление, удаление, ограничение обработки, переносимость и возражение.
  • Заявленное правило хранения: персональные данные удаляются или анонимизируются по запросу либо через три года после последнего контакта с субъектом данных, в зависимости от того, что наступит раньше.

Ничто из этого не вызывает сомнений. Поставщик с DPA, SCC, сертификацией по Framework и DPO в ЕС не "игнорирует GDPR", и любая статья, утверждающая обратное, что-то продаёт. Звёздочка касается не того, соответствует ли Bitly требованиям. Она касается того, как компания им соответствует - а механизм этого соответствия - трансатлантическая передача.

Куда на самом деле уходят ваши данные из Bitly

Собственная структура Bitly - самое ясное подтверждение этого. Bitly Europe GmbH (Берлин) и Bitly Inc. (Нью-Йорк) являются совместными контролёрами по статье 26, связанными соглашением о совместном контроле. Данные вашего аккаунта и данные о кликах, проходящие через ваши ссылки, находятся внутри этого совместного соглашения, и само соглашение по замыслу охватывает Атлантику.

Политика конфиденциальности прямо говорит: персональные данные "могут передаваться за пределы Европейского союза и Европейской экономической зоны, включая, помимо прочего, Соединённые Штаты Америки". Каждый редирект логирует IP-адрес и user-agent; оба могут быть персональными данными идентифицируемых людей. Так что поток кликов, который записывает сокращатель ссылок, попадает в сферу действия закона, и у Bitly этот поток направляется в модель обработки, ориентированную на США.

An EU user's click on a Bitly link recorded by joint controllers Bitly Europe GmbH in Berlin and Bitly Inc. in New York, with click data transferred to the United States under Standard Contractual Clauses and the Data Privacy Framework

Это законно. Но это также постоянная зависимость от юридических инструментов, поддерживающих передачу данных из ЕС в США, - а у этих инструментов есть своя история.

Почему "сертифицировано по Data Privacy Framework" - это ещё не всё

Механизмы защиты передачи данных, на которые полагается Bitly, дважды перестраивались после того, как их отменял Суд ЕС. Safe Harbour пал в 2015 году. Privacy Shield пал в решении Schrems II (CJEU C-311/18, 2020), которое также подняло планку для SCC, потребовав Transfer Impact Assessment для каждой передачи. EU-US Data Privacy Framework, принятый Европейской комиссией в 2023 году, - нынешний преемник этих механизмов, и именно по нему сертифицирована Bitly.

Отсюда следует два вывода для покупателя.

Во-первых, сертификация - это утверждение на конкретный момент времени, а не постоянное состояние. Сертификации истекают, отзываются или перестают соответствовать требованиям. Если вы полагаетесь на статус Bitly по Framework, проверьте, что он всё ещё активен в официальном списке участников Data Privacy Framework, а не просто верьте странице политики на слово.

Во-вторых, сам Framework находится под юридическим давлением. Защитники конфиденциальности заявили о намерении его оспорить, и третье решение по делу Schrems - сценарий, к которому благоразумные покупатели уже готовятся. Глава V GDPR - статьи 44-49 о международных передачах данных - это часть регламента с наименее устоявшейся правовой почвой. Строить стек маркетинговой атрибуции на главе, которая с наибольшей вероятностью изменится, - риск, на который одни организации готовы пойти, а другие нет.

"Соответствует требованиям" - не то же самое, что "только в ЕС"

Вот различие, которое на самом деле определяет решение о закупке. "Соответствует GDPR" и "данные остаются в ЕС" - это разные утверждения, и Bitly выполняет первое, не давая второго.

Для многих команд этого достаточно. Маркетинговая команда, сокращающая ссылки для публичной кампании и обосновывающая аналитику кликов законным интересом, вполне удовлетворена соответствующим требованиям поставщиком, работающим на основе передачи данных. Юридические инструменты их покрывают.

Ситуация перестаёт быть простой, когда ваш сектор прописывает требование резидентности данных. Данные немецкого госсектора и здравоохранения под правилами защиты социальных данных, французские медицинские данные под сертификацией HDS, данные финансовых услуг под руководством EBA - всё это подталкивает к обработке данных исключительно в ЕС. В этих случаях позиция, основанная на передаче данных, - не галочка в чек-листе, а постоянное обязательство: вы ведёте Transfer Impact Assessment, пересматриваете его при изменении правовой основы и документируете, почему передача в США оправдана для персональных данных, которые вы могли бы хранить в ЕС. Сокращатель ссылок, размещённый в ЕС, снимает эту работу, потому что передавать нечего - и оценивать нечего.

Two compliance paths compared: a transfer-based path where EU data moves to the US and requires a Transfer Impact Assessment, versus an EU-residency path where data stays in the EU region and no transfer assessment is needed

Если ваше требование состоит в том, что данные о кликах из ЕС никогда не покидают ЕС, Elido по умолчанию хранит их в регионе ЕС - это резидентность, закреплённая договором и обеспеченная операционно, а не строчка в брошюре. Это и есть разница между ответом на вопрос "соответствуем ли мы требованиям?" и ответом на вопрос "можем ли мы доказать, что данные никогда не покидали регион?" без привязанного анализа передачи.

Что проверить, прежде чем полагаться на Bitly

Статус соответствия требованиям реален, поэтому полезная работа - разобраться, подходит ли он именно вашим обязательствам. Пять вещей, которые стоит подтвердить в письменном виде:

  1. Ваше требование - это соответствие требованиям или резидентность данных? Если хоть один заинтересованный участник сказал "только ЕС", сертификация по Framework этому не удовлетворяет. Вам нужно обязательство по резидентности данных, а это другой пункт договора.
  2. Проверьте срок хранения по умолчанию. Заявленное правило Bitly хранит данные до трёх лет после последнего контакта, так что если политика вашего контролёра данных короче, это нужно настроить отдельно, а не предполагать по умолчанию.
  3. Запросите список субобработчиков. Структура совместного контроля, охватывающая два континента, обычно означает, что к данным причастно больше сторон, и вы хотите знать, кто из них находится на пути обработки события клика.
  4. Убедитесь, что сертификация по Framework сегодня активна в правительственном списке, а не просто упомянута на странице политики. Сертификации истекают.
  5. Прочитайте DPA. Оно встроено в условия обслуживания, поэтому модель авторизации субобработчиков и SLA по удалению данных находятся именно там, а не в отдельном подписанном документе. DPA, соответствующее статье 28, - это минимум, а не потолок; краеугольный материал разбирает, что должно быть указано в каждом пункте статьи 28(3).

Более широкий обзор рынка - кто берёт на себя обязательство по обработке данных в ЕС, а кто передаёт их за рубеж - можно найти в подборке лучших сокращателей ссылок из ЕС и в более глубоком материале о резидентности данных ЕС для маркетинга. Если модель Bitly - именно то, что вы взвешиваете, Elido против Bitly сопоставляет резидентность данных и цены бок о бок, а рекламные интерстишлы на бесплатных ссылках Bitly - отдельная причина, по которой команды в ЕС пересматривают свой выбор.

Итог

Соответствует ли Bitly требованиям GDPR? Да. У компании есть DPA, SCC, сертификация Data Privacy Framework, юрлицо в ЕС и механизм реализации прав субъектов данных. Любой, кто утверждает, что Bitly просто не соответствует требованиям, ошибается.

Но "соответствует требованиям" никогда не было всем вопросом целиком. Соответствие Bitly построено на передаче персональных данных ЕС в США и покрытии этой передачи инструментами, которые глава V GDPR продолжает делать неустойчивыми. Если вы маркетолог, ведущий публичные кампании, это разумный компромисс. Если же вы находитесь в регулируемой позиции или заботитесь о суверенитете данных, где данные о кликах ЕС не могут покидать ЕС, то "соответствует требованиям через передачу" не преодолевает вашу планку - и решение здесь не лучшее DPA, а сокращатель ссылок, который вообще не совершает эту передачу. Определитесь, в какой вы позиции, прежде чем выбирать инструмент.

Читайте серию краеугольных материалов

Этот материал входит в кластер про соответствие требованиям. Краеугольный материал - GDPR для сокращателей ссылок: что на самом деле хочет увидеть ваш DPO - начните с него, чтобы получить постатейный разбор. Для резюме, ориентированного на закупку, стоит добавить в закладки страницу доверия и solutions/compliance.

Похожие материалы в блоге

Частые вопросы

Соответствует ли Bitly требованиям GDPR?

Да, в формальном смысле. Bitly публикует Data Processing Agreement, передаёт данные по Standard Contractual Clauses, имеет действующую сертификацию EU-US Data Privacy Framework, управляет юрлицом в ЕС в Берлине и удовлетворяет запросы субъектов данных согласно статьям 15-21. Нюанс в том, что её соответствие требованиям зависит от передачи персональных данных ЕС в США, что законно, но не то же самое, что хранение данных в ЕС.

Хранит ли Bitly данные о кликах в ЕС?

Не по умолчанию. В политике конфиденциальности Bitly указано, что персональные данные могут передаваться за пределы ЕС и ЕЭЗ, в том числе в США, по Standard Contractual Clauses и Data Privacy Framework. В публичных условиях нет стандартного обязательства обрабатывать данные только в ЕС, поэтому если вам нужно размещение данных именно в ЕС, об этом нужно просить отдельно.

Есть ли у Bitly соглашение об обработке данных?

Да. DPA Bitly включено в условия обслуживания, а не подписывается как отдельный документ, а Bitly Europe GmbH и Bitly Inc. выступают совместными контролёрами по статье 26 в отношении данных, которые они контролируют. Прочитайте условия DPA напрямую, чтобы убедиться в модели авторизации субобработчиков и SLA по удалению данных, прежде чем на них полагаться.

Сертифицирована ли Bitly по EU-US Data Privacy Framework?

Да. Bitly подтвердила Министерству торговли США соблюдение принципов EU-US Data Privacy Framework, а также UK Extension и Swiss-US Framework. Вы можете проверить, что сертификация всё ещё активна, в официальном списке участников на dataprivacyframework.gov, поскольку сертификации могут истекать или отзываться.

Безопасно ли использовать Bitly компаниям из ЕС в рамках GDPR?

Для общего маркетингового использования - да, юридические инструменты на месте. Вопрос усложняется, когда ваш сектор требует обработки данных исключительно в ЕС (немецкие социальные данные, французские медицинские данные под HDS, финансовые услуги), потому что позиция, основанная на трансграничной передаче, обязывает вас проводить Transfer Impact Assessment, от которого размещённый в ЕС сокращатель ссылок полностью избавляет.

Попробуйте Elido

Вставьте URL - получите короткую ссылку

Без регистрации. Ссылка живёт 30 дней. Зарегистрируйтесь, чтобы оставить её навсегда.

Бесплатно, без регистрации · 2 в день

Попробуйте Elido

URL-сокращатель с хостингом в ЕС: собственные домены, глубокая аналитика, открытый API. Бесплатный тариф - без банковской карты.

Теги
is bitly gdpr compliant
bitly gdpr
bitly data processing agreement
bitly eu data residency
data privacy framework
url shortener gdpr

Читать дальше