Съкращавач на линкове и GDPR — какво трябва да знаете, преди да добавите линк към бюлетин

Едно кликване върху съкратен линк означава средно четири записани тихо данни: IP адрес, браузър, операционна система, източник на вход. Четири. А сега умножете това по 3000 получатели на бюлетина, които в неделя сутрин кликат върху линка към вашата оферта. Изведнъж имате база от няколко хиляди записи, които дори не сте виждали с очите си.

И това е точно този момент, в който съкращаването на линкове и GDPR престава да бъде теоретичен проблем за юристите, а започва да бъде твой.

Защото IP адресът в Съюза е лични данни. Не „почти“, не „в някои случаи“. Лични данни. Ако използвате съкратен линк във фирмена кампания, като администратор носите отговорност за това, какво се случва с IP адресите на хората, които кликват върху него.

Какво всъщност вижда скърцачът, когато някой кликне

Списъкът е по-кратък, отколкото изглежда, но достатъчно гъст:

• IP адрес на посетителя (т.е. конкретното лице, споменато по-горе),
• user agent, т.е. браузърът и операционната система,
• referer — от кой сайт е дошло посещението,
• приблизителна локация, изчислена от този IP адрес.

Това е достатъчно, за да се направят хубави статистики за кликванията. Това също е достатъчно, за да попаднете в задължения, за които повечето хора не мислят, докато създават линк набързо преди изпращане.

Къде отиват тези данни (и защо това е по-важно от самите статистики)

Тук е истинската уловка. Много известни услуги за съкращаване на линкове са фирми извън Европа, най-често американски. Кликвате „skróć“, поставяте линк към бюлетин и данните за това кой, кога и откъде е кликнал, летят през океана.

Два проблема, един след друг.

Първи: трансферът на данни извън ЕС се нуждае от правна основа, а самата основа за този трансфер често е подвижна. Правилата се променят вече няколко пъти и нищо не показва, че това е краят.

Втори: данните попадат под различен правен ред. Като европейен администратор вие просто не го контролирате. Мястото, където физически се намира сървърът, спира да бъде скучен детайл от документацията. То се превръща във решение за това дали сте в съответствие с GDPR, или не.

Какво реално намалява риска

Три неща. Без магия.

Сървър в ЕС. Данните от кликванията не напускат Европа, така че цялата тема за трансатлантичния трансфер просто отпада. По-малко за превод, по-малко за следене.

По-малко събирани данни. Колкото по-малко информация задържа инструментът, толкова по-малко отговорност носите вие. Добре е, когато IP адресът е хеширан, вместо да се съхранява в чист вид — така виждате статистиката, но не съхранявате суровия адрес на конкретно лице. Това е точно тази функция, която сме вградили в cutty.dev, защото без нея всичко останало е само наполовина.

Няма проследяване между услугите. Рекламен блокер, който не свързва профила на посетителя и не препродава данните по-нататък, е едно проблем по-малко в списъка.

На практика, или какво да направите в понеделник сутрин

Не става въпрос за това да спреш да съкращаваш линкове. Съкращавай. Става въпрос само за това да избираш инструмента съзнателно, а не първия попаднал от търсачката.

1. Проверете къде се намира сървърът и кой изобщо го управлява.
2. Проверете какво съхранява и за колко дълго.
3. Ако събирате данни на посетителите, добавете скъсяващ линк към вашата политика за поверителност. Само едно изречение. Наистина не боли.

И това е всичко. Това не е правен съвет (не съм вашият адвокат), но това е основата, върху която съответствието се изгражда много по-лесно, отколкото когато данните от първото кликване избягват зад океана.

А ако трябва да запомните само едно изречение: преди да пуснете линк към бюлетина, проверете къде ще „пристигне“ IP адресът на вашите читатели. Това е въпрос за пет минути, който спестява много повече нерви по-късно.