Резидентність даних в ЄС для маркетингових інструментів: про що насправді запитує ваш DPO

Я переглянув багато анкет з безпеки, які починаються з одного й того ж пункту: «Чи зберігаються дані клієнтів у ЄС? Так / Ні». Вендор ставить галочку «Так». DPO підписує звіт. Через шість місяців той самий DPO помічає, що кожна подія кліку проходить через Meta Pixel, що хоститься в США, та інстанс HubSpot, зареєстрований у Каліфорнії - обидва спрацьовують у браузері користувача ще до того, як європейський edge Elido взагалі побачить запит.

Галочка була чесною. Але відповідь була неповною. Напис «EU-hosted» на головній сторінці вендора описує місце розташування власних серверів платформи. Це нічого не говорить про те, що робить маркетинговий шар, прикріплений до цієї платформи, з даними, куди вони потрапляють або яка юридична основа покриває цю передачу. Саме такі питання ставить DPO, який читав Статтю 3 GDPR та Schrems II.

Цей допис - це версія розмови маркетолога з DPO. Де починається і закінчується резидентність даних в ЄС, коли ви використовуєте відстеження посилань та пересилку конверсій? Що змінюється з юридичної точки зору при переході від клієнтських пікселів до серверних API конверсій? І що насправді має містити чеклист для закупівлі?

Супутній допис - GDPR для скорочувачів посилань - повністю охоплює зобов'язання на рівні статей. Я буду посилатися на нього, де це доречно, щоб не повторюватися.

Стисло (TL;DR)#

• «EU-hosted» стосується лише площини даних вашого вендора. Це не охоплює маркетингові скрипти на стороні клієнта, які спрацьовують у браузерах ваших користувачів до того, як відбудеться редирект.
• Schrems II та Статті 44–49 GDPR накладають реальні вимоги до даних, що передаються на рекламні та аналітичні платформи, що базуються в США. Серверна пересилка конверсій переносить передачу на рівень server-to-server, але не скасовує зобов'язання щодо передачі даних.
• Стаття 28(2) вимагає наявності письмового списку суброзпорядників. П'ять суброзпорядників із зазначеними регіонами - це те, що піддається аудиту; сорок з розпливчастими записами - це зона ризику.
• Чеклист для закупівлі, наведений нижче, закриває більшість питань DPO за один дзвінок для ознайомлення.

Юридичний стек простою мовою#

Основну роботу виконують чотири положення закону. Ви можете цитувати їх, не маючи юридичної освіти; номери статей короткі.

Стаття 3 GDPR - територіальна сфера застосування. Стаття 3(2) застосовує GDPR до будь-якої обробки даних суб'єктів у ЄС контролером або розпорядником, що розташований за межами ЄС, якщо обробка пов'язана з пропонуванням товарів чи послуг суб'єктам у ЄС або моніторингом їхньої поведінки. «Моніторинг поведінки» - це і є відстеження кліків. Аналітичний вендор зі США без представництва в ЄС обробляє персональні дані суб'єктів у ЄС щоразу, коли ваше посилання активує їхній піксель. Стаття 3 говорить, що GDPR застосовується до цього вендора незалежно від того, де він знаходиться. Питання резидентності стосується того, куди дані потрапляють після того, як зобов'язання щодо обробки вже виникло.

Стаття 28 GDPR - зобов'язання розпорядника. Стаття 28 регулює договір між контролером і кожним розпорядником у ланцюжку. Ваша платформа для скорочення посилань, ваш аналітичний інструмент, ваш провайдер електронної пошти - кожен повинен підписати DPA, що охоплює вісім зобов'язань від (a) до (h). Вендор, який не надає попередньо підписаний DPA, просить вас взяти на себе їхні ризики щодо відповідності вимогам. Підпункт (2) прямо вимагає від розпорядника отримати дозвіл контролера перед залученням суброзпорядників та накласти еквівалентні зобов'язання на цих суброзпорядників за договором.

Статті 44–49 GDPR - передача даних до третіх країн. Глава V GDPR забороняє передачу персональних даних до третьої країни, якщо не застосовується один із перелічених механізмів: рішення про адекватність, Стандартні договірні умови (SCC), Обов'язкові корпоративні правила або винятки у Статті 49. Для передачі на платформи, що базуються в США, механізмом за замовчуванням після прийняття EU-US DPF у 2023 році є SCC, доповнені сертифікацією DPF - або сама EU-US Data Privacy Framework, якщо отримувач у США сертифікований. Жоден з механізмів не скасовує вимогу щодо передачі; вони описують, як її виконати.

Schrems II - CJEU C-311/18. Рішення у справі Schrems II скасувало Privacy Shield у липні 2020 року та встановило, що передача на основі SCC вимагає Оцінки впливу на передачу даних (TIA), яка оцінює, чи не позбавить законодавство країни призначення про нагляд суб'єктів у ЄС ефективних засобів правового захисту. Тягар TIA є реальним і постійним. EU-US Data Privacy Framework, прийнята рішенням Комісії про адекватність у 2023 році, забезпечує поточний механізм для сертифікованих DPF отримувачів у США, але вона є предметом судового розгляду - NOYB заявила про намір оскаржити її, а рекомендації EDPB щодо додаткових заходів (01/2020) залишаються актуальним посібником для команд, які хочуть мати режим передачі, стійкий до наступного рішення Schrems. Покупці в регульованих секторах все частіше укладають контракти на обробку даних виключно в межах ЄС як структурний захист від зміни юридичного режиму.

Де маркетингова аналітика зазвичай порушує резидентність даних в ЄС#

Розрив між «наш скорочувач хоститься в ЄС» і «наші дані залишаються в ЄС» виникає на рівні клієнтського маркетингового шару. Шість поширених точок витоку.

Meta Pixel (на стороні клієнта). Стандартна імплементація пікселя надсилає GET-запит з браузера користувача на connect.facebook.net, точку CDN, яку обслуговує інфраструктура Meta в США. Цей запит містить повну URL-адресу - включно з вашими UTM-параметрами - плюс IP-адресу користувача, ідентифікатори cookie та цифровий відбиток браузера. Дані залишають територію ЄС у браузері користувача ще до того, як ваш сервер обробить клік. Meta зареєстрована в Ірландії для цілей ЄС і заявляє юридичну основу для передачі згідно з SCC. Ця заява є предметом двох суттєвих рішень DPA (рішення ірландського DPA щодо Facebook Ireland у 2022 році та наказ про примусове виконання SCC у 2023 році). Сам піксель все ще надсилає дані на сервери в США; юридична основа оскаржується.

Google Tag / GA4 (на стороні клієнта). Фрагмент gtag.js спрацьовує з браузера користувача на google-analytics.com та analytics.google.com, обидва з яких ведуть на сервери Google у США, якщо ви не налаштували маршрутизацію Google Analytics 4 в ЄС за допомогою data_collection_endpoint, спрямованого на region1.google-analytics.com. Навіть з кінцевою точкою в ЄС, Google документує, що певна обробка відбувається в інфраструктурі США. Стандартна імплементація однозначна: на стороні браузера, з хостингом у США.

Salesforce CRM. Резидентність даних Salesforce Marketing Cloud залежить від того, на якому «поді» знаходиться ваш тенант. Клієнти з ЄС на європейських подах обробляють дані про атрибуцію кліків у ЄС - якщо ви налаштували це явно. Стандартний американський под хоститься у США. Більшість команд, які я бачу в сегменті SMB та середнього бізнесу, не зробили це налаштування; вони мають інстанс Salesforce, створений адміністратором із США на американському поді, який відтоді маршрутизує дані CRM суб'єктів із ЄС через Атлантику.

HubSpot. Пікселі відстеження електронної пошти HubSpot обслуговуються інфраструктурою HubSpot у США. Резидентність даних в ЄС доступна як доповнення для клієнтів плану Enterprise; вона не є стандартною. Піксель відстеження, який спрацьовує, коли контакт відкриває маркетинговий лист, у стандартній конфігурації надсилає ідентифікатор суб'єкта з ЄС (адресу електронної пошти, закодовану в URL пікселя) на кінцеву точку в США.

Відстеження відкриттів листів третіми сторонами. Окрім HubSpot - Mailchimp, Brevo, Customer.io, ActiveCampaign - застосовується та сама модель. URL-адреси пікселів відстеження хостяться на CDN провайдера; більшість CDN за замовчуванням використовують вузли в США для початкового трафіку; піксель, що спрацьовує з поштового клієнта користувача в ЄС, маршрутизується до інфраструктури США. Варіанти з регіонами ЄС існують у деяких планах; вони не є стандартними.

Сама скорочена адреса як транзит. Якщо скорочувач не хоститься в ЄС, запит на редирект проходить через інфраструктуру за межами ЄС. Подія кліку реєструється за межами ЄЕЗ. Це саме той рівень резидентності, який мала б охоплювати галочка «скорочувач з хостингом у ЄС», - і це найменший з шести витоків, оскільки редирект зазвичай триває 2–5 мс, а лог кліку - єдині постійні дані, які створює скорочувач.

Типовий ризик для маркетингової команди середнього бізнесу, що використовує стандартні інструменти: три-п'ять вищеописаних сценаріїв діють одночасно, без жодної Оцінки впливу на передачу даних (TIA), а запис у Реєстрі операцій з обробки (RoPA) згідно зі Статтею 30 містить «Google Analytics, Meta Pixel» без документування механізму передачі.

Серверне рішення: що змінюється юридично, а що ні#

Серверна пересилка конверсій - коли edge-вузол Elido в ЄС пересилає події кліків і конверсій на серверне API рекламної платформи замість того, щоб дозволити браузеру користувача активувати піксель - є частковим рішенням. Ось що воно змінює, а що залишає без змін.

Що змінюється: Браузер користувача більше не надсилає дані безпосередньо на кінцеву точку в США. Шлях запиту виглядає так:

1. Користувач натискає на коротке посилання
2. Edge Elido в ЄС (регіон ЄС) отримує запит, реєструє подію кліку локально
3. Edge Elido в ЄС пересилає сигнал конверсії за моделлю server-to-server на Meta CAPI / GA4 Measurement Protocol
4. Рекламна платформа отримує подію на свій сервер у США

Meta Conversions API є канонічною імплементацією цієї моделі для Meta. GA4 Measurement Protocol - еквівалент від Google. Браузер користувача контактує лише з edge Elido в ЄС; він ніколи не зв'язується безпосередньо з аналітичною кінцевою точкою в США.

Що не змінюється: Дані все ще передаються розпоряднику, який базується в США. Edge Elido в ЄС ініціює цю передачу. Зобов'язання щодо передачі згідно зі Статтями 44–49 все ще діє - вам все ще потрібне покриття SCC або DPF для ланки ланцюжка Meta або Google. Що змінюється, так це фактичний контроль контролера над цією передачею: вона відбувається на сервері, яким ви керуєте, з використанням облікових даних, якими ви розпоряджаєтеся, із застосуванням хешування ідентифікаторів (SHA-256 для адрес електронної пошти, як вимагає Meta CAPI), а не в браузерному скрипті, який ви майже не можете перевірити чи контролювати.

Це суттєве покращення з точки зору мінімізації даних та безпеки. Це не є повним звільненням від режиму передачі. Ваш DPO повинен чітко розуміти цю різницю перед підписанням звіту про закупівлю.

Юридичний наслідок серверної пересилки: ваш запис у RoPA згідно зі Статтею 30 для «Meta CAPI» тепер документує передачу server-to-server під вашим контролем, з ідентифікаторами, хешованими до того, як вони залишили інфраструктуру ЄС. Це значно чистіший запис, ніж «Meta Pixel - на стороні клієнта, ініційований браузером, основа передачі не визначена». Це не «нульова передача», це задокументована, контрольована передача.

Стаття 28(2): чому кількість суброзпорядників має значення#

Стаття 28(2) вимагає від розпорядника отримати попередній дозвіл контролера перед залученням суброзпорядників, або конкретний (для кожного вендора), або загальний (на основі сповіщення з правом на заперечення). Кожен серйозний контракт SaaS використовує загальний попередній дозвіл з 30-денним терміном сповіщення. Контролер підписує DPA; DPA включає список суброзпорядників; додавання до списку запускає сповіщення та 30-денне вікно для заперечень.

Список суброзпорядників - це артефакт, який ваш DPO дійсно буде читати. Що містить корисний список:

• Назва суброзпорядника
• Місце обробки даних (регіон гіперскейлера, а не просто країна)
• Роль у ланцюжку обробки
• Категорії персональних даних, що передаються
• Юридична основа для будь-якої передачі до третьої країни
• Дата додавання
• Канал сповіщення про майбутні додавання

Список також є сигналом про те, як вендор ставиться до резидентності. Вендор з п'ятьма суброзпорядниками, чиї регіони можна назвати одним реченням, проектував систему з урахуванням цього. Вендор з сорока суброзпорядниками, чиї записи містять «різні глобальні регіони», - ні.

Список суброзпорядників Elido включає п'ять вендорів - обчислення та інфраструктура в ЄС, email у ЄС, платежі та CDN - опублікований на /legal/subprocessors. Ця кількість є навмисно малою. Кожен суброзпорядник збільшує площу поверхні програми приватності контролера; кожне додавання суброзпорядника запускає цикл сповіщення та потенційне вікно для заперечень. Вендор, який може запускати скорочувач промислового рівня з п'ятьма суброзпорядниками, зробив усвідомлений вибір щодо того, які сторонні залежності є виправданими.

Порівняйте це з маркетинговою аналітичною платформою, яка має 35–40 суброзпорядників. Список теоретично піддається аудиту; на практиці спеціаліст з приватності контролера переглядає сорок DPA та сорок Оцінок впливу на передачу даних, деякі з яких будуть відсутні. Цифра «п'ять вендорів» - це не маркетингова заява. Це операційний вибір з реальними наслідками для вашого робочого навантаження щодо відповідності вимогам.

Чеклист закупівлі для маркетолога#

Вісім питань. Письмові відповіді. Якщо вендор може надати їх під час першого дзвінка, цикл закупівлі скорочується на тижні. Якщо не може - це показник.

1. Який конкретний регіон хостингу для даних нових клієнтів, названий до рівня регіону гіперскейлера? (Очікувана відповідь: названий регіон ЄС - наприклад «AWS eu-central-1» або еквівалентний регіон дата-центру в ЄС, а не просто «ЄС» без підтвердження.)
2. Чи закріплений регіон хостингу в ЄС юридично в стандартному контракті, чи це операційна практика, яку вендор може змінити без попередження? (Очікувана відповідь: юридично зобов'язуючий, специфічний для стандартного контракту, без необхідності додаткових угод.)
3. Чи включає стандартний контракт попередньо підписаний DPA, що охоплює зобов'язання Статті 28 (a)–(h)? (Очікувана відповідь: так, попередньо підписаний, доступний до завершення дзвінка.)
4. Скільки суброзпорядників у стандартному ланцюжку обробки? Чи може вендор назвати їх усіх разом із регіонами обробки даних? (Очікувана відповідь: повний список, поіменно, з регіонами, доступний публічно за URL, який ви можете додати до свого RoPA.)
5. Чи використовує вендор серверну пересилку конверсій на рекламні платформи, чи відстеження конверсій відбувається на стороні клієнта у браузері користувача? (Очікувана відповідь для вендора, орієнтованого на приватність: серверна, з хешуванням ідентифікаторів до того, як дані залишать інфраструктуру ЄС.)
6. Яке налаштування за замовчуванням для скорочення IP-адрес при логуванні подій кліків? (Очікувана відповідь: скорочення /24 для IPv4, /48 для IPv6 до збереження - тобто повна IP-адреса не зберігається.)
7. Який SLA на видалення даних суб'єкта, і чи є він операційно досяжним для сховища подій кліків? (Очікувана відповідь: 30 днів або менше, поширюється на аналітичне сховище даних, підтверджується вебхуком або сертифікатом.)
8. Які незалежні атестації відповідності має вендор, і коли було закрито останній аудит? (Очікувана відповідь: чинний ISO 27001; SOC 2 Type II завершено або в процесі з цільовою датою; для робочих навантажень, пов'язаних з медициною, наявність BAA у відповідному плані.)

Ці вісім питань охоплюють основні занепокоєння DPO, не вимагаючи юридичного розгляду на стадії ознайомлення. Вендор, який письмово відповідає на всі вісім в той самий день, готовий до закупівлі. Вендор, який передає справу юристам до того, як відповісти на третє питання, - ні.

Інструментарій в Elido#

Деталі для довідки.

Закріплення регіону на рівні робочого простору. Нові робочі простори за замовчуванням використовують регіон ЄС. Робочі простори Business та Enterprise можуть закріпити US East або Азійсько-Тихоокеанський регіон для кожного робочого простору. Закріплення забезпечується на рівні маршрутизації - це не налаштування дашборду, яке можна змінити без внесення правок у контракт на рівні робочого простору. Сторінка trust містить документацію щодо інфраструктури.

Попередньо підписаний DPA. DPA згідно зі Статтею 28 включений у стандартний контракт із клієнтом. Для покупців з ЄС, яким потрібне стандартне покриття Статті 28, не потрібні додаткові переговори. Контракти Enterprise з додатковими правами на аудит, вікнами затвердження суброзпорядників або індивідуальними термінами зберігання обговорюються окремо. Стандартний DPA доступний на /legal/dpa.

Список суброзпорядників. Опублікований на /legal/subprocessors. П'ять вендорів. Додавання запускає надсилання електронного листа з попередженням за 30 днів плюс RSS-канал для моніторингу за допомогою інструментів. Право на заперечення протягом 30 днів є договірним, а не адміністративним.

Серверна пересилка конверсій. Облікові дані для Meta CAPI, GA4 Measurement Protocol та Mixpanel реєструються один раз на рівні робочого простору. Elido виконує SHA-256 хешування ідентифікаторів перед вихідним POST-запитом, дедуплікацію за допомогою поля event_id та логіку повторних спроб у разі тимчасових помилок на стороні сервісів. Передача здійснюється за моделлю server-to-server з інфраструктури ЄС; браузер користувача не контактує безпосередньо з рекламною платформою.

ISO 27001. Сертифіковано. SOC 2 Type II у процесі, мета - друга половина 2026 року. BAA доступні в плані Business для розгортань, пов'язаних з охороною здоров'я.

Для повного ознайомлення з позицією щодо відповідності вимогам дивіться резюме для команд закупівель на /solutions/compliance.

Чого ми не обіцяємо#

Цей розділ існує тому, що фраза «резидентність даних в ЄС» часто використовується вендорами занадто вільно, а ми не повинні так робити.

Elido - це рівень посилань. Клік, маршрутизований через edge Elido у регіоні ЄС, залишається в межах інфраструктури ЄС на рівні Elido. Подія кліку реєструється в наше аналітичне сховище на регіон ЄС. Сигнал конверсії, що пересилається на стороні сервера на Meta CAPI, залишає інфраструктуру ЄС - ця передача відбувається від вашого імені, під вашу відповідальність як контролера, і ви повинні задокументувати її у своєму RoPA та забезпечити відповідним механізмом передачі.

Якщо ваша організація вимагає, щоб абсолютно жодні персональні дані суб'єктів у ЄС не залишали межі ЄЕЗ за жодних обставин - включно з ланкою атрибуції рекламної платформи - відповіддю буде не інший скорочувач. Відповіддю буде взагалі не надсилати події конверсій на рекламні платформи, що базуються в США. Це бізнесове та маркетингове рішення, а не технологічне.

Що дає вам Elido: рівень посилань, який за замовчуванням обробляє дані кліків суб'єктів у ЄС в інфраструктурі ЄС, з документованими суброзпорядниками, попередньо підписаним DPA, скороченням IP-адрес, серверною пересилкою конверсій з хешуванням ідентифікаторів та кількістю суброзпорядників, достатньо малою для проведення аудиту за один день. Це повністю покриває зобов'язання щодо резидентності на рівні посилань.

Ваша платформа електронного маркетингу, ваша CRM, ваші рекламні платформи та ваше аналітичне сховище даних мають власні показники резидентності. Elido не є відповіддю для них; ми є відповіддю для рівня редиректів та атрибуції кліків, і ми не збираємося перебільшувати сферу свого впливу.

Наріжний допис GDPR для скорочувачів посилань охоплює повну картину зобов'язань розпорядника на рівні статей, якщо вам потрібне юридичне обґрунтування будь-якого з вищенаведених рішень.

Читайте кластер про відповідність вимогам#

Цей допис є наріжним каменем треку резидентності в кластері про відповідність вимогам. Супутні дописи: GDPR для скорочувачів посилань (постатейні зобов'язання розпорядника) та майбутній допис про Schrems II та пікселі відстеження (практичні наслідки атрибуції на рівні браузера). Сторінки з артефактами довіри та контрактів: /trust, /legal/dpa, /legal/subprocessors. Рішення для бізнесу: /solutions/compliance.