Przejdź do treści
cutty.dev
Wszystkie posty

Skracarka linków a RODO — co musisz wiedzieć, zanim wrzucisz link do newslettera

Skracarki linków zbierają dane o kliknięciach — a to już temat RODO. Wyjaśniamy, co skracarka widzi, gdzie te dane lądują, i czemu lokalizacja serwera ma znaczenie, gdy działasz w UE.

Jedno kliknięcie w skrócony link to średnio cztery dane zapisane po cichu: adres IP, przeglądarka, system, źródło wejścia. Cztery. A teraz pomnóż to przez 3000 odbiorców newslettera, którzy w niedzielę rano klikają w link do twojej oferty. Masz nagle bazę kilku tysięcy rekordów, których nawet nie widziałeś na oczy.

I to jest dokładnie ten moment, w którym skracarka linków a RODO przestaje być teoretycznym problemem prawników, a zaczyna być twoim.

Bo adres IP w Unii to dana osobowa. Nie „prawie", nie „w niektórych przypadkach". Dana osobowa. Jeśli wrzucasz skrócony link w firmowej kampanii, to jako administrator odpowiadasz za to, co dzieje się z IP ludzi, którzy w niego klikają.

Co tak naprawdę widzi skracarka, gdy ktoś kliknie

Lista jest krótsza, niż się wydaje, ale wystarczająco gęsta:

  • IP odwiedzającego (czyli ta dana osobowa, o której wyżej),
  • user agent, czyli przeglądarka i system,
  • referer — z jakiej strony przyszło wejście,
  • przybliżona lokalizacja, wyliczona z tego IP.

Tyle wystarczy, żeby zrobić ładne statystyki kliknięć. Tyle też wystarczy, żeby wpaść w obowiązki, o których większość ludzi nie myśli, klejąc link na szybko przed wysyłką.

Gdzie te dane lądują (i czemu to ważniejsze niż same statystyki)

Tu jest właściwy haczyk. Sporo znanych skracarek to firmy spoza Europy, najczęściej amerykańskie. Klikasz „skróć", wklejasz link do newslettera, a dane o tym, kto, kiedy i skąd kliknął, lecą za ocean.

Dwa problemy, jeden po drugim.

Pierwszy: transfer danych poza UE potrzebuje podstawy prawnej, a sam grunt pod tym transferem bywa ruchomy. Przepisy się zmieniały już kilka razy i nic nie wskazuje, żeby to był koniec.

Drugi: dane trafiają pod inny porządek prawny. Jako europejski administrator po prostu go nie kontrolujesz. To, gdzie fizycznie stoi serwer, przestaje być nudnym szczegółem z dokumentacji. Staje się decyzją o tym, czy jesteś zgodny z RODO, czy nie.

Co realnie zmniejsza ryzyko

Trzy rzeczy. Bez magii.

Serwer w UE. Dane z kliknięć nie wyjeżdżają z Europy, więc cały wątek transferu transatlantyckiego po prostu odpada. Mniej do tłumaczenia, mniej do pilnowania.

Mniej zbieranych danych. Im mniej narzędzie trzyma, tym mniej masz na głowie. Dobrze, gdy IP jest hashowane zamiast leżeć w czystej postaci — wtedy widzisz statystyki, ale nie magazynujesz surowego adresu konkretnej osoby. To akurat ta funkcja, którą wbudowaliśmy w cutty.dev, bo bez niej cała reszta jest połowiczna.

Brak śledzenia między usługami. Skracarka, która nie skleja profilu odwiedzającego i nie odsprzedaje danych dalej, to jeden problem mniej na liście.

W praktyce, czyli co zrobić w poniedziałek rano

Nie chodzi o to, żeby przestać skracać linki. Skracaj. Chodzi tylko o to, żeby wybrać narzędzie świadomie, a nie pierwsze z brzegu z wyszukiwarki.

  1. Sprawdź, gdzie stoi serwer i kto to w ogóle prowadzi.
  2. Sprawdź, co przechowuje i jak długo.
  3. Jeśli zbierasz dane odwiedzających, dopisz skracarkę do swojej polityki prywatności. Jedno zdanie. Naprawdę nie boli.

I tyle. To nie jest porada prawna (nie jestem twoim prawnikiem), ale to fundament, na którym zgodność buduje się dużo łatwiej, niż gdy dane od pierwszego kliknięcia uciekają za ocean.

A jeśli miałbyś z tego zapamiętać jedno zdanie: zanim wrzucisz link do newslettera, sprawdź, gdzie wyląduje IP twoich czytelników. To pytanie za pięć minut, które oszczędza znacznie więcej późniejszych nerwów.