What does GDPR require from a marketing platform?

Six core obligations: consent management, right to access (data export), right to erasure, data portability, DPA contracts with sub-processors, and breach notification within 72 hours.

Is a US-hosted marketing platform GDPR-compliant?

It can be, with Standard Contractual Clauses, a Transfer Impact Assessment, and supplementary technical measures. After Schrems II and the EU-US Data Privacy Framework, US-hosted is allowed but procedurally heavier than EU-hosted.

What is a DPA and why do I need one?

A Data Processing Agreement is the contract between you (data controller) and your vendor (data processor). GDPR Article 28 mandates one for every sub-processor. No DPA = you are not GDPR-compliant.

How do I handle data deletion requests?

Acknowledge within 30 days, delete from primary records, propagate to all sub-processors, and confirm completion. Look for platforms with a self-serve erase-profile API — manual ticket-based erasure does not scale.

Are cookieless tracking tools GDPR-exempt?

Not automatically. GDPR governs all personal data, not just cookies. If a tool fingerprints, geolocates, or persists user state, it is still personal data.

← Блог/Съответствие

GDPR-съвместими маркетинг платформи: Buyerguide 2026

Monfri Team · Growth

·1 април 2026 г.·10 мин четене

Почти всеки sales deck на маркетинг платформа казва "GDPR-compliant". Това обикновено е технически вярно и практически подвеждащо.

"Compliant" значи, че инструментът може да бъде ползван по GDPR-съвместим начин, ако го настроиш правилно. Не значи, че данните ти се третират по EU стандарти от самото начало.

Ето какво реално има значение при оценяване на маркетинг платформи за истинско GDPR съответствие.

Data residency: къде се съхраняват данните ти?

GDPR не изисква EU съхранение per se. Изисква адекватна защита на данните навсякъде, където данните текат. След Schrems II (2020) EU-to-US data transfer е правно крехък — САЩ няма adequacy decision, а Data Privacy Framework е оспорван.

Какво да провериш:

Регион на основно съхранение. Клиентските данни физически в EU datacenter-и ли са?
Регион на backup-ите. Резервните копия EU-resident ли са?
Регион на обработка. Обработката случва ли се в EU или данните се копират в САЩ за обработка?
CDN регион. Tracking pixel-а ти минава ли през Cloudflare/Akamai САЩ ноуди?

Повечето US-базирани инструменти (HubSpot, Mailchimp, Salesforce) са US-hosted по подразбиране. Предлагат EU хостинг на enterprise tier-и с допълнителна цена — обикновено $$$.

EU-native инструментите (Brevo, Mautic, Monfri) са EU-hosted по подразбиране. За EU-focused бизнеси това е по-чистата отправна точка.

Self-serve data subject права

GDPR дава на потребителите: право на достъп (експорт), право на корекция, право на изтриване ("right to be forgotten"), право на възражение, право на преносимост.

Всеки маркетинг инструмент твърди, че поддържа това. Реалността варира:

Self-serve през UI или API: екипът ти може да експортира/изтрие данните на потребител за минути. Добро.
Изисква support ticket: подаваш ticket, чакаш 5-10 работни дни vendor-а да го направи. Технически compliant ако спазят 30-дневния SLA, но болезнено в мащаб.
Ръчна намеса: vendor-ът трябва да пусне ad-hoc скриптове върху данните ти. Red flag.

Питай vendor-ите: "Когато потребител поиска данните си, колко време отнема и колко ръчна работа изисква?"

Качество на Data Processing Agreement (DPA)

DPA е правно задължителен между теб (data controller) и vendor-а (data processor). Всички reputable vendor-и имат DPA. Не всички DPA-та са равни.

Провери за:

Механизъм за трансфер на данни. Ако vendor-ът е US-базиран, търси Standard Contractual Clauses (SCCs) с Transfer Impact Assessment текст.
Sub-processor известяване. Vendor-ът ангажира ли се да те уведоми преди добавяне на sub-processor-и? (30-дневно предварително известие е стандарт.)
Audit права. Можеш ли да одитираш сигурността им? (Повечето ограничават до преглед на SOC 2 доклад.)
Breach известяване. Какъв е ангажираният срок? 72 часа е GDPR минимум.
Liability cap. Много DPA-та ограничават отговорността на vendor-а до 12 месеца такси. За големи data set-ове това може да е недостатъчно.

Sub-processor прозрачност

Всеки SaaS vendor ползва sub-processor-и (AWS за хостинг, SendGrid за имейл, Intercom за support и т.н.). По GDPR ти като data controller трябва да знаеш кой обработва данните ти downstream.

Добрите vendor-и публикуват:

Публичен sub-processor списък (URL като vendor.com/privacy/subprocessors)
Категориите данни, които всеки sub-processor обработва
Локацията на обработка (държава)
Собствените им compliance атестации (SOC 2, ISO 27001)
Ангажимент да известят преди добавяне на нови sub-processor-и

Ако vendor не може да представи sub-processor списък, значи или (а) не са мислили сериозно за GDPR, или (б) ползват много sub-processor-и, за които не искат да знаеш. И в двата случая — red flag.

Consent управление — платформено срещу bolt-on

Consent banner-ите на сайта ти са едно нещо. Consent tracking-а в маркетинг инструмента ти е друго.

GDPR изисква да следиш защо всеки контакт е обработваем — за каква конкретна цел е дал съгласие? "Маркетинг имейли" не е достатъчно; GDPR очаква granular цели (аналитика, персонализация, споделяне с трети страни и т.н.).

Добрите платформи предоставят:

Per-purpose consent полета (аналитика, маркетинг, персонализация, функционално)
Consent timestamp + source (къде е дадено съгласието)
Self-serve оттегляне (потребителят може да revoke-не през preference център)
Автоматично suppression-е след оттегляне на съгласие (без send, без track)
Consent audit log (за регулатори)

Ами US законите?

CCPA (Калифорния), CPRA, щатски privacy закони (Virginia, Colorado, Connecticut, Utah) разширяват US privacy до нещо наподобяващо GDPR-lite.

Ключови разлики на CCPA спрямо GDPR:

"Do Not Sell My Personal Information" е специфично CCPA право. Търси platform поддръжка.
CCPA дефинира "продажба" широко — споделяне за targeted advertising се счита за "продажба".
Финансовите стимули за data sharing трябва да са декларирани.

Платформа, силна на GDPR, обикновено е добра на CCPA. Обратното е по-малко вярно — някои US-native платформи третират CCPA като compliance таван.

Чеклист за оценка на vendor

Преди подписване на договор с vendor, провери:

Основното съхранение на данни е в EU (или приемлив adequacy регион) ИЛИ има валиден Schrems II transfer механизъм
Self-serve експорт и изтриване на данни през UI или API (без изискан support ticket)
Публикуван sub-processor списък с data категории + локации
DPA със SCCs (ако е non-EU) и 72ч breach известяване ангажимент
SOC 2 Type II доклад достъпен (под NDA е ок)
Per-purpose consent tracking с timestamp и source
Consent audit log достъпен за клиента
Right-to-be-forgotten изпълнява се в рамките на 30 дни и потвърждава изтриването
Ясна retention политика за изтрити данни (30-90 дни след изтриване е типично)
CCPA "Do Not Sell" поддръжка, ако имаш калифорнийски клиенти

Как платформите се подреждат (честна оценка)

Нашето мнение след оценка на пазара:

Платформа	EU по подразбиране	Self-serve права	Sub-processor списък	GDPR-native
HubSpot	Само Enterprise	Частично	Да	Compliant, не native
Mailchimp (Intuit)	Само Enterprise	Частично	Да	Compliant, не native
Salesforce	Само Enterprise	Да	Да	Compliant, не native
Brevo	Франция по подразбиране	Частично	Да	EU-native
Monfri	България по подразбиране	Пълен self-serve	Да	EU-native
Mautic (self-host)	Твой избор	Ти го изграждаш	N/A	Зависи от настройката ти

Заключение

"GDPR-compliant" на sales deck е необходимо, но не достатъчно. Реалното съответствие значи EU data residency (или изричен, валиден transfer механизъм), self-serve data права, прозрачни sub-processor-и и DPA, който ангажира стандарти, които можеш да защитиш пред собствения си регулатор.

За EU-базирани бизнеси: започни с EU-native vendor-и. За US-базирани бизнеси, обслужващи EU клиенти: премини през чеклиста по-горе. За mixed пазари: проектирай за по-строгия стандарт (GDPR) и CCPA идва наготово.

Създадохме Monfri за да решим точно това

Обединена платформа — CRM, имейл, CDP и автоматизация на едно място. От €99/мес (при годишно плащане, без ДДС). 14-дневен trial, без кредитна карта.

Започни безплатен trial →