Bauhof Group AS

Запрос по ст.15 GDPR в связи с программой лояльности (клиентская карта на основе ID-документа), направлен на andmekaitse@bauhof.ee и параллельно на info@espak.ee. Четыре требования: подтверждение и полная копия собранных данных (история покупок, метки клиентского профиля, сегменты); полный список третьих лиц-получателей (рекламные сети, брокеры — Oracle, LiveRamp, Experian, Criteo); передавались ли хеши на основе ID/email соцплатформам (VK, Pinterest, Facebook) для таргетинга; передача за пределы ЕС и меры защиты; логика алгоритмического профилирования (риск-группы, группы интересов, «shadowban», ограничение видимости). Срок — 30 дней.

Напоминание (последнее перед жалобой): прошло 28 дней, ответа нет, законный срок — 30 дней (ст.12(3)). Просьба ответить до 23.03.2026. Отдельным письмом уведомил о смене контактного адреса на pm.me как единственного действующего.

Подана жалоба в AKI на нарушение срока ответа по ст.12(3).

AKI (письмо № 2.1-1/26/592-1219-2) рекомендовал обратиться на официальный адрес info@bauhof.ee.

Повторный запрос направлен на info@bauhof.ee по рекомендации AKI. Отмечено: исходный адрес andmekaitse@bauhof.ee был указан в материалах самой компании по защите данных — субъект вправе опираться на опубликованный контролёром контакт (ст.37(7)), вины заявителя в выборе адреса нет. Просрочка от исходного запроса — 59 дней, срок ст.12(3) превышен. Срок ответа на повторный — до 22.05.2026.

Письмо в AKI с приложением доказательств: PDF всей переписки (исходный запрос 22.02, напоминание 22.03, повторный запрос 22.04) и детальный перечень требований. Три довода: адрес был опубликован самой компанией (ст.37(7)), вины субъекта нет; 30-дневный срок (ст.12(3)) превышен независимо от адреса, компания могла переслать запрос внутри себя; тот же запрос 22.02 ушёл и на Espak AS (info@espak.ee) — форма и содержание корректны, вопрос был только в контакте Bauhof. Просьба держать жалобу № 2.1-1/26/592-1219-2 активной; при отсутствии ответа к 22.05 — надзорное производство по ст.12(3) и 15.

Maris Parik (Bauhof Group AS): подтвердила получение запроса, ответ обещан не позднее 22.05.2026.

Bauhof: прислали ответ (заявлен как цифрово подписанный во вложении). Вопрос: менять email только для этой переписки или и в клиентских данных; предложено управлять данными через самообслуживание e-poe.

Ответил, что вложение («цифрово подписанный ответ») не дошло — файл отсутствует; просьба прислать повторно. По email: использовать pm.me только для переписки, клиентские данные не менять — они должны остаться в том виде, в каком были на момент подачи запроса.

Bauhof переслали контейнер повторно; отметили, что у них вложение видно, и при отсутствии его у получателя дело может быть в настройках почты.

Ответ по существу — письмо № 9-1/3-2 (Maris Parik, руководитель по персоналу и качеству). Ключевые позиции: клиентские данные не передаются рекламным сетям или брокерам, но используются поставщики услуг, чья обработка может происходить за пределами ЕЭЗ на основании типовых условий, решений об адекватности или иных мер; прежнее утверждение задним числом переистолковано как касавшееся «в основном мест хранения клиентских данных»; загрузка скрипта/технического триггера (Google Tag Manager) «сама по себе не означает передачу персональных данных третьим лицам»; вопросы по ст.9 (профилирование по убеждениям) и ст.22 (логика профилирования) не затронуты; копия персональных данных не выдана — описаны лишь технические настройки сайта и предложено «пересмотреть формулировки политики приватности»; ответ помечен как «окончательный», заявитель направлен к форме на удаление (ст.17).

Ответ по существу получен. Сверив его с собственным cookie-баннером и политикой приватности Bauhof, зафиксировал ряд расхождений и запросил пояснения; приложил уточнения и скриншот отображения баннера. Ожидаю дополнительный ответ по ст.12(3).

Maris Parik: вопросы переданы коллегам, ответ — по мере получения обратной связи.

Дополнение к жалобе № 2.1-1/26/592-1219-2 — оспаривание ответа № 9-1/3-2 как неполного и противоречивого (вопрос срока и адреса снят: подан повторный запрос на рекомендованный AKI адрес с новым 30-дневным сроком). Доводы: (1) ст.15(1)(c) и 15(2) — противоречие: ранее «брокерам и сетям не передаём», теперь «обработка возможна за пределами ЕЭЗ по типовым условиям» — признание факта передачи без раскрытия; общая ссылка «типовые условия или адекватность или иные меры» — перечень опций, а не раскрытие конкретной третьей страны и фактически применённой меры. (2) Вводящее в заблуждение утверждение про Google Tag Manager: загрузка контейнера — это HTTP-запрос к серверам Google с передачей IP и User-Agent ещё до согласия; IP — персональные данные (CJEU C-582/14, Breyer), передача происходит независимо от выбора cookie. (3) Ст.9 — вопрос о профилировании по признакам, раскрывающим убеждения (в т.ч. философские), оставлен без ответа: ни подтверждения, ни обоснованного отрицания. (4) Ст.22 + 15(1)(h) — логика профилирования (сегменты, «группа риска», ограничение видимости) не раскрыта. (5) Ст.15(3) — копия персональных данных не выдана (нет истории покупок, содержания профиля, сегментов, источника данных): описана практика обработки, а не мои конкретные данные. (6) Попытка перевести запрос по ст.15 в процедуру ст.17 недопустима — запрос не исполнен до содержательного ответа по ст.15; удаление до получения полной копии не запрашивалось. Требование к AKI: обязать Bauhof письменно ответить по каждому пункту и зафиксировать нарушения ст.15(1), 15(2), 15(3), а также признанную самим контролёром недостоверность прежнего ответа.