Так. Bitly відповідає вимогам GDPR у тому сенсі, який важливий для чекліста закупівель: вона публікує угоду про обробку даних, передає дані на підставі стандартних договірних застережень, має чинну сертифікацію EU-US Data Privacy Framework, працює через юридичну особу в ЄС у Берліні та відповідає на запити суб'єктів даних згідно зі статтями 15-21. Якщо пункт у вашій формі постачальника звучить як "відповідність GDPR: так/ні", чесна відповідь - так.
Складніше питання - те, яке ваш DPO ставить після чекліста - це де насправді зберігаються ваші дані про кліки. Відповідність Bitly вимогам GDPR тримається на переміщенні персональних даних з ЄС до США та покритті цієї передачі юридичним інструментом. Сьогодні це законно. Але це не те саме, що резидентність даних в ЄС, і для деяких покупців розрив між цими двома речами вирішує долю контракту.
Це матеріал з кластера про комплаєнс, тому номери статей вказані, а джерела зв'язані посиланнями, щоб ви могли передати їх власним юристам. Щодо фреймворку, що стоїть за всім цим - того, чого GDPR вимагає від будь-якого сервісу скорочення посилань, а не лише від Bitly - наріжна стаття про GDPR для сервісів скорочення посилань розбирає статті 3, 6, 28, 30, 32 та 35 по черзі.
Коротка відповідь і зірочка
Bitly виконала роботу з комплаєнсу, яку очікують від серйозного постачальника. Читаючи її політику конфіденційності (доступ отримано 2026-07-17), можна побачити всю механіку:
- Угода про обробку даних, включена до умов надання послуг.
- Стандартні договірні застереження для передачі даних за межі ЄЕЗ.
- Чинна сертифікація EU-US Data Privacy Framework, плюс розширення для Великої Британії та Swiss-US Framework.
- Установа в ЄС: Bitly Europe GmbH у Берліні, з призначеним відповідальним за захист даних (DataCo GmbH).
- Процес щодо прав суб'єктів даних, розділений між
[email protected]для питань США та[email protected]для питань ЄС, що охоплює доступ, виправлення, видалення, обмеження, перенесення та заперечення. - Задеклароване правило зберігання: персональні дані видаляються або знеособлюються за запитом, або через три роки після останнього контакту з суб'єктом даних - залежно від того, що настане раніше.
Жоден з цих фактів не викликає сумнівів. Постачальник з DPA, стандартними договірними застереженнями, сертифікацією Framework та DPO в ЄС не "ігнорує GDPR", і будь-яка стаття, що стверджує протилежне, щось продає. Зірочка тут не про те, чи Bitly відповідає вимогам. Вона про те, як саме - а механізм цей - трансатлантична передача даних.
Куди насправді потрапляють ваші дані з Bitly
Власна структура Bitly - найяскравіше свідчення цього. Bitly Europe GmbH (Берлін) та Bitly Inc. (Нью-Йорк) є спільними контролерами відповідно до статті 26, пов'язаними угодою про спільний контроль. Дані вашого облікового запису та дані про кліки, що проходять через ваші посилання, перебувають у межах цієї спільної домовленості, а сама домовленість за задумом охоплює обидва береги Атлантики.
Політика конфіденційності прямо вказує: персональні дані "можуть передаватися за межі Європейського Союзу та Європейської економічної зони, зокрема, але не виключно, до Сполучених Штатів Америки." Кожен редирект фіксує IP-адресу та user-agent; обидва можуть бути персональними даними ідентифікованих людей. Тож потік кліків, який записує сервіс скорочення посилань, підпадає під дію регламенту, і для Bitly цей потік направляється в модель обробки, зосереджену в США.
Це законно. Але це також постійна залежність від юридичних інструментів, що підтримують передачу даних з ЄС до США - а в цих інструментів є своя історія.
Чому "сертифікований за Data Privacy Framework" - це ще не все
Механізми захисту передачі даних, на які покладається Bitly, довелося відбудовувати двічі після того, як Суд ЄС їх скасував. Safe Harbour впав у 2015 році. Privacy Shield впав у справі Schrems II (CJEU C-311/18, 2020), яка також підняла планку для стандартних договірних застережень, вимагаючи Оцінку впливу передачі (Transfer Impact Assessment) для кожної передачі. EU-US Data Privacy Framework, ухвалена Європейською комісією у 2023 році, є нинішнім наступником - і саме тим, за яким сертифікована Bitly.
Звідси випливають два наслідки для покупця.
По-перше, сертифікація - це твердження, дійсне на певний момент часу, а не постійний стан. Сертифікації закінчуються, відкликаються або перестають відповідати вимогам. Якщо ви покладаєтесь на статус Bitly у Framework, перевірте, чи вона досі активна в офіційному переліку учасників Data Privacy Framework, а не просто вірте на слово сторінці з політикою.
По-друге, сам Framework перебуває під юридичним тиском. Захисники приватності заявляли про намір оскаржити його, і третє рішення у справі Schrems - це сценарій, до якого обачні покупці вже готуються. Розділ V GDPR - статті 44-49 про міжнародні передачі даних - це частина регламенту з найменш усталеним ґрунтом під собою. Будувати стек маркетингової атрибуції на розділі, який найімовірніше зміниться, - це ризик, який одні організації приймають, а інші - ні.
Відповідність вимогам - це не те саме, що виключно в ЄС
Ось розрізнення, яке насправді вирішує питання закупівель. "Відповідає GDPR" і "дані залишаються в ЄС" - це різні твердження, і Bitly виконує перше, не роблячи другого.
Для багатьох команд це нормально. Маркетингова команда, що скорочує посилання для публічної кампанії, спираючись на законний інтерес для аналітики кліків, добре обслуговується постачальником, що відповідає вимогам через передачу даних. Юридичні інструменти їх покривають.
Це перестає бути нормальним, коли ваша галузь прописує резидентність як вимогу. Дані державного сектору та охорони здоров'я Німеччини за правилами захисту соціальних даних, французькі медичні дані за сертифікацією HDS, дані фінансових послуг за настановами EBA - усе це підштовхує до обробки даних виключно в ЄС. У таких випадках позиція на основі передачі даних - це не галочка, а постійне зобов'язання: ви несете Оцінку впливу передачі, перезапускаєте її, коли змінюється юридична підстава, і документуєте, чому передача до США є виправданою для персональних даних, які могли б залишитися в ЄС. Резидентний в ЄС сервіс скорочення посилань знімає цю роботу, оскільки оцінювати нема яку передачу.
Якщо ваша вимога полягає в тому, що дані про кліки з ЄС ніколи не залишають ЄС, Elido за замовчуванням зберігає їх у регіоні ЄС - ця резидентність договірна та операційно забезпечена, а не рядок у брошурі. Це і є різниця між відповіддю на питання "чи ми відповідаємо вимогам?" і відповіддю на питання "чи можемо ми довести, що дані ніколи не залишали межі ЄС?" без прикріпленого аналізу передачі.
Що перевірити, перш ніж покладатися на Bitly
Статус відповідності вимогам реальний, тож корисна робота полягає в тому, щоб з'ясувати, чи підходить він саме вашим зобов'язанням. П'ять речей варто підтвердити письмово:
- Чи ваша вимога - це відповідність вимогам, чи резидентність? Якщо будь-яка зацікавлена сторона сказала "тільки ЄС", сертифікація Framework цього не задовольняє. Вам потрібне зобов'язання щодо резидентності замість цього, а це інші пункти договору.
- Перевірте типове правило зберігання. Задеклароване правило Bitly зберігає дані до трьох років після останнього контакту, тож якщо політика вашого контролера коротша, це потрібно налаштувати, а не припускати.
- Запросіть перелік субпроцесорів. Структура спільного контролю, що охоплює два континенти, зазвичай означає, що до даних мають доступ більше сторін, і вам варто знати, які з них перебувають на шляху потоку подій про кліки.
- Підтвердьте, що сертифікація Framework активна в державному переліку сьогодні, а не просто згадана на сторінці з політикою. Сертифікації закінчуються.
- Прочитайте DPA. Вона вбудована в умови надання послуг, тож модель авторизації субпроцесорів та SLA щодо видалення даних містяться саме там, а не в окремому підписаному документі. DPA, що відповідає статті 28, - це підлога, а не стеля - наріжна стаття розбирає, що має говорити кожен пункт статті 28(3).
Щодо ширшого погляду на ринок - хто зобов'язується обробляти дані в ЄС, а хто передає їх - огляд найкращих сервісів скорочення посилань з ЄС та детальніший матеріал про резидентність даних в ЄС для маркетингу охоплюють альтернативи. Якщо саме модель Bitly - це те, що ви зважуєте, Elido проти Bitly зіставляє резидентність та ціни поруч, а рекламні інтерстиціали на безкоштовних посиланнях Bitly - окрема причина, чому команди з ЄС переглядають свій вибір.
Підсумок
Чи відповідає Bitly вимогам GDPR? Так. У неї є DPA, стандартні договірні застереження, сертифікація Data Privacy Framework, юридична особа в ЄС та механізм прав суб'єктів даних. Будь-хто, хто стверджує, що Bitly повністю не відповідає вимогам, помиляється.
Але "відповідність вимогам" ніколи не була всім питанням цілком. Відповідність Bitly побудована на передачі персональних даних з ЄС до США та покритті цієї передачі інструментами, які Розділ V GDPR продовжує розхитувати. Якщо ви маркетолог, що проводить публічні кампанії, це прийнятний компроміс. Якщо ж ви перебуваєте в регульованій позиції або дбаєте про суверенітет даних, де дані про кліки з ЄС не можуть залишати ЄС, тоді "відповідність через передачу" не долає вашу планку - і рішення тут не в кращій DPA, а в сервісі скорочення посилань, який взагалі ніколи не здійснює цю передачу. Визначте, в якій позиції перебуваєте ви, перш ніж обирати інструмент.
Читайте серію наріжних статей
Цей матеріал належить до кластера про комплаєнс. Наріжна стаття - GDPR для сервісів скорочення посилань: що насправді хоче побачити ваш DPO - почніть з неї, щоб отримати фреймворк по статтях. Для короткого підсумку, орієнтованого на закупівлі, сторінка довіри та solutions/compliance - два матеріали, які варто зберегти в закладках.
Пов'язане в блозі
- GDPR для сервісів скорочення посилань: що насправді хоче побачити ваш DPO
- Найкращі сервіси скорочення посилань з ЄС за рівнем резидентності
- Резидентність даних в ЄС для маркетингових інструментів: що насправді запитує ваш DPO
- Elido проти Bitly: ціни, функції та резидентність в ЄС
- Dub проти Bitly: ціни, безкоштовні плани та функції
Поширені запитання
Чи відповідає Bitly вимогам GDPR?
Так, у формальному сенсі. Bitly публікує угоду про обробку даних (DPA), передає дані на підставі стандартних договірних застережень, має чинну сертифікацію EU-US Data Privacy Framework, має юридичну особу в ЄС у Берліні та виконує запити суб'єктів даних згідно зі статтями 15-21. Нюанс у тому, що ця відповідність вимогам залежить від передачі персональних даних з ЄС до США, що є законним, але не тим самим, що зберігання даних у межах ЄС.
Чи зберігає Bitly дані про кліки в ЄС?
Не за замовчуванням. Політика конфіденційності Bitly вказує, що персональні дані можуть передаватися за межі ЄС та ЄЕЗ, зокрема до США, на підставі стандартних договірних застережень та Data Privacy Framework. У публічних умовах немає стандартного зобов'язання щодо обробки даних виключно в ЄС, тож якщо резидентність в ЄС - це ваша вимога, її потрібно узгоджувати окремо.
Чи має Bitly угоду про обробку даних?
Так. DPA Bitly включена до умов надання послуг, а не підписується як окремий документ, а Bitly Europe GmbH і Bitly Inc. виступають спільними контролерами відповідно до статті 26 щодо даних, які вони контролюють. Прочитайте умови DPA безпосередньо, щоб підтвердити модель авторизації субпроцесорів та SLA щодо видалення даних, перш ніж покладатися на них.
Чи сертифікований Bitly за EU-US Data Privacy Framework?
Так. Bitly засвідчила Міністерству торгівлі США, що дотримується принципів EU-US Data Privacy Framework, а також розширення для Великої Британії та Swiss-US Framework. Ви можете перевірити, чи сертифікація досі чинна, в офіційному переліку учасників на dataprivacyframework.gov, оскільки сертифікації можуть закінчуватися або відкликатися.
Чи безпечно компаніям з ЄС використовувати Bitly відповідно до GDPR?
Для загального маркетингового використання - так, юридичні інструменти на місці. Питання стає складнішим, коли ваша галузь вимагає обробки даних виключно в ЄС (німецькі соціальні дані, французькі медичні дані під HDS, фінансові послуги), адже позиція на основі передачі даних покладає на вас Оцінку впливу передачі (Transfer Impact Assessment), яку резидентний в ЄС сервіс скорочення посилань повністю знімає.
Спробуйте Elido
Вставте URL - отримайте коротке посилання
Без реєстрації. Посилання живе 30 днів. Зареєструйтесь, щоб зберегти назавжди.
Безкоштовно, без реєстрації · 2 на день