DPA з маркетинговою агенцією або email-tool (Mailchimp, SendGrid, HubSpot, ActiveCampaign, ConvertKit) — це договір, що регулює обробку email-адрес, поведінкових метрик, segments, контактних даних від імені ТОВ/ФОП-Контролера. Обов'язковий за ст. 28 Регламенту (ЄС) 2016/679 (GDPR) + ст. 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI. Маркетингова агенція або email-сервіс виступає як Процесор і має документально підтвердити ст. 6 GDPR підставу обробки (зазвичай legitimate interest або consent від суб'єкта).
Коли потрібен DPA для маркетингу
Будь-яка обробка персональних даних у маркетингових цілях вимагає DPA з кожним залученим Процесором:
- Email-маркетинг — Mailchimp, SendGrid, HubSpot, ActiveCampaign обробляють email + behavior (open rate, click rate).
- CRM — Salesforce, HubSpot CRM, Pipedrive — контакти, deal history, communication logs.
- Lead generation — Typeform, Google Forms, форми на сайті — primary collection point.
- Ad networks — Meta Ads (Facebook), Google Ads, LinkedIn Ads — обробка conversion data, custom audiences (з email hashes).
- Analytics — Google Analytics 4, Mixpanel, Hotjar — user identifiers, session recordings.
- Маркетингова агенція як whole-person processor — outsource creative + media buying + analytics — комплексний DPA + sub-процесори.
Підстава для маркетингової обробки за ст. 6 GDPR
| Ситуація | ст. 6 GDPR підстава | Обмеження |
|---|---|---|
| Розсилка існуючим клієнтам promo emails | (1)(f) legitimate interest | "soft opt-in" — клієнт дав email при покупці; opt-out у кожному листі |
| Cold email до нових leads | (1)(a) consent — БУДЕ explicit opt-in | потрібен chekbox "погоджуюсь отримувати promo" + log |
| Newsletter sign-up на сайті | (1)(a) consent | unticked checkbox + clear language |
| Retargeting через Facebook Custom Audience | (1)(a) consent (через cookie banner) + Special Audience (US restrictions) | TCFv2 / IAB framework |
| Lead enrichment через Apollo, ZoomInfo | (1)(f) legitimate interest, але crisis-prone | balancing test обов'язковий + DPIA |
Critical 2024-2025: EDPB Guidelines на legitimate interest 2024 уточнили — для marketing emails legitimate interest працює ТІЛЬКИ якщо є direct customer relationship + chance to opt-out at collection point. Для cold outreach — тільки consent.
Покроково: укладення DPA з маркетингом
- Визначення ролі. Маркетингова агенція повного циклу — Процесор. Self-serve email tool (Mailchimp, який ТОВ використовує самостійно) — Процесор. Joint controllers — рідкісний кейс (наприклад, co-branded campaign).
- Inventarization sub-процесорів. Mailchimp використовує AWS, Google Workspace, Salesforce. HubSpot — AWS + GCP. Перевірте Annex 2 з повним списком.
- Sign DPA від tool. Mailchimp DPA доступний через Account Settings → Legal. HubSpot DPA — Account → Privacy & Consent. Verify version (зазвичай 2024).
- Annex 1: опис обробки. Природа: email distribution + behavior tracking + segments. Мета: marketing communications + customer engagement. Тип даних: email, name, IP, behavior, custom fields. Категорії суб'єктів: subscribers, customers, leads.
- Annex 2: sub-процесори. Email tools зазвичай мають AWS, GCP, Cloudflare, integrations з analytics. 30-day notice + право заперечити.
- Annex 3: безпека. TLS 1.3 для transmission, AES-256 at rest, MFA для admin accounts, role-based access, audit logs, suppression list management.
- Cross-border. Більшість US email tools (Mailchimp, HubSpot) мають EU-region available; перевірте data residency option. Якщо US-region — SCC 2021 модуль C2P + DPF check.
- Consent management. DPA має описувати, як управляється consent: подвійний opt-in, withdrawal mechanism, suppression list (хто відписався — не отримує більше).
- Breach notification. SLA 24-72 години Процесор → Контролер. Включити contact point 24/7.
- Termination. Export data + delete from tool + certificate of destruction. 30-90 днів window.
Особливість: маркетингова агенція як whole-person processor
Якщо ТОВ найняло агенцію повного циклу (creative + media + analytics + email), DPA має включати:
- Scope — що саме обробляється (тільки email collection або вся CRM база).
- Sub-процесори агенції — їх creative team на freelance (трудові договори vs sub-DPA), tools (Mailchimp, HubSpot, Google Ads), analytics partners. Annex 2.
- Personnel access controls — які працівники агенції мають доступ; trained on GDPR.
- Data segregation — дані ТОВ-1 і ТОВ-2 не змішуються в одному tool account.
- Performance reports — без individual-level data в reports (aggregated only).
- Termination — handover процедура: повернення CRM даних у формат, що читається; delete з агенційних tools.
Часті помилки у маркетинговому DPA
1. Розсилка cold emails без consent. Порушення ст. 6 GDPR + LIA. Штраф CNIL Q4 2024 — €500K за 50K cold emails без consent. Recipe: для cold outreach — explicit opt-in через double-opt-in form.
2. Custom Audience через email hash без consent. Передача email hash до Meta/Google = передача персональних даних (hash reversible через rainbow table). Recipe: consent banner + TCFv2 framework + opt-out mechanism.
3. Без suppression list management. Користувач відписався, але email знову потрапляє у наступну розсилку через CSV import. Recipe: DPA вимагає Процесора maintain suppression list + cross-check на кожному send.
4. Lead enrichment без LIA + DPIA. Apollo, ZoomInfo купляють email-дані з відкритих джерел, але це не означає, що legitimate interest перекриває права суб'єкта. Recipe: balancing test + DPIA + опція opt-out у first email.
5. Cookie consent без TCFv2. Cookies для retargeting — без TCFv2 framework + IAB CMP — ризик штрафу від CNIL/AEPD. Recipe: TCFv2-compliant CMP (Cookiebot, OneTrust, Iubenda).
6. Sub-процесори агенції невідомі. Контролер не знає, що агенція використовує freelance designer з Indonesia, який має доступ до CRM. Recipe: Annex 2 з усіма freelancers + jurisdictions + DPA-mirroring.
7. Storage US-region без SCC. Mailchimp US default + користувачі EU без SCC. Recipe: EU-region data residency + SCC 2021 модуль для US-resident sub-процесорів.
8. Tracking без notification у Privacy Policy. Hotjar session recordings без опису у Privacy Policy. Recipe: Privacy Policy включає список усіх tools + cookie types + retention.
Спеціальний кейс: подвійний opt-in (double opt-in)
Concept: Користувач залишає email → отримує підтвердження email з посиланням → клікає посилання → email додається у list.
Чому критично:
- Доказ consent (timestamped + IP + form fields) для GDPR audit.
- Відсіває typos і fake addresses → quality list.
- Захист від bot subscriptions.
Recipe: Mailchimp, HubSpot, ActiveCampaign мають built-in double-opt-in option. Включити у DPA Annex 1 як обов'язкову configuration.
FAQ
Чи Mailchimp DPA достатній для українського ТОВ? Mailchimp DPA — generic template. Потрібно заповнити Annex 1 (description of processing) + ensure EU-region (якщо обробляються EU-suspectів) + додати посилання на ст. 24 ЗУ № 2297-VI. Можна підписати окремий supplemental agreement для української юрисдикції.
Чи можу я надсилати promo emails без consent клієнтам, які купили в мене? Так, у межах "soft opt-in" (ст. 6(1)(f) GDPR + EDPB Guidelines 2024) — за умовами: 1) клієнт надав email при покупці; 2) розсилка стосується подібних товарів/послуг; 3) opt-out доступний у кожному листі. Для нових типів товарів/послуг — потрібен новий consent.
Що робити, якщо агенція відмовляється підписати DPA? Не передавайте їй персональні дані. Без DPA — обробка незаконна (ст. 28(1) GDPR). Шукайте іншу агенцію або змусьте підписати через переговори.
Чи Google Analytics 4 потребує DPA? Так. GA4 — Процесор. Google Analytics Data Processing Amendment доступний у Admin → Account Settings. Включає SCC 2021 для US-data transfer.
AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.
Готовий шаблон DPA для маркетингової агенції / email-tool — згенеруйте чернетку DPA через AGENTIS.
Пов'язані матеріали:
- Pillar: Договір про обробку персональних даних
- DPA з cloud-провайдером AWS GCP Azure
- QA: Чи потрібен DPA для SaaS і Google Analytics
- GDPR ст. 28 — повний огляд
Зовнішні джерела: GDPR Art. 6 на gdpr-info.eu · EDPB Guidelines · Mailchimp DPA