DEPO DIY EE OÜ

Запрос по ст.15 GDPR: полное раскрытие хранимых данных. Инвентаризация категорий (история покупок, транзакции, поведенческие и предпочтенческие профили); список всех третьих лиц-получателей (брокеры, аналитика, AdTech — прямо названы Oracle, LiveRamp, Experian); правовое основание по ст.6 для каждой категории; сроки хранения и критерии; автоматизированное профилирование и его логика (ст.15(1)(h)); аудит механизма согласия по карте лояльности — была ли она условием покупки (ст.7(4)); меры проверки личности на кассе (ст.5(1)(d)). Срок — 30 дней.

DPO (Alina Tambora): сначала потребовали подать запрос с электронной подписью либо рукописно в магазине; после повторной подачи — ответ по существу. DEPO обрабатывает данные только для ответа на сам запрос; иных данных о заявителе в системах не найдено; зарегистрированной карты DEPO нет, поэтому история покупок не выдаётся; по предоставленным данным идентифицировать заявителя на записях видеонаблюдения невозможно; подробности — в политике конфиденциальности на сайте.

Дополнительный запрос: указано противоречие между ответом («сторонняя обработка не ведётся») и собственной cookie-политикой online.depo.ee, где перечислены сторонние cookie Google Analytics (_ga, _gid, _gat, AMP_TOKEN, _gac) и Facebook Pixel (_fbp). Приложен скриншот от 19.03.2026: в браузере (Application > Cookies) видно не менее 20 cookie с доменов Google при посещении online.depo.ee. Требования: объяснить противоречие; раскрыть по ст.15, какие данные переданы Google и Meta (что именно, основание по ст.6, передача за пределы ЕЭЗ и гарантии, сроки хранения у получателей); ответить на п.7 первичного запроса (согласие по карте лояльности); обновить политику конфиденциальности под ст.13. Просьба вести переписку на защищённый адрес. В тот же день DEPO повторно потребовал электронную подпись — запрос подан подписанным.

Ответ DEPO (Nr 0-B/26/04/002): отступив от первоначальной позиции, DEPO прямо подтвердил, что при согласии пользователя ID cookie, IP-адрес и посещённые разделы online.depo.ee могут передаваться Google и Facebook в США; правовое основание — ст.6(1)(a) (согласие); трансграничная передача покрыта EU-US Data Privacy Framework (Google LLC и Meta сертифицированы); без согласия данные не обрабатываются и не передаются; сроки — в cookie-политике; по п.7 — все данные получены непосредственно от заявителя; политику конфиденциальности обновлять не будут (cookie-политика всё покрывает). Дополнительно: со ссылкой на ст.12(5)(a) дальнейшие ответы в этой переписке будут платными.

Подана официальная жалоба в AKI на DEPO: незаконное применение ст.12(5)(a) (плата за ответы) и неполный ответ по ст.15. Приложены жалоба, ответ DEPO от 20.04.2026, первичный SAR и дополнительное письмо. Регистрация дела — 2.1-1/26/405-867-5.

Решение AKI № 2.1-1/26/676-1392-3: производство прекращено. Основания: DEPO ответил на запрос по ст.15; после ответа 20.04 заявитель не подавал нового запроса, поэтому AKI не может заранее оценить, будет ли будущий запрос «явно необоснованным или чрезмерным» и правомерна ли плата по ст.12(5)(a); жалобы по cookie не входят в приоритеты надзора; 28.05.2026 AKI проверил online.depo.ee — от необязательных cookie можно отказаться так же легко, как согласиться (кнопка «Kinnitada vaid vajalikud»), и они срабатывают только после согласия, проблем с согласием нет; ст.57(1)(f) — надзор «в надлежащем объёме». Разъяснено право оспорить в течение 30 дней: vaie генеральному директору AKI либо жалоба в административный суд.

Подан vaie генеральному директору AKI на решение от 29.05.2026 — требование отменить и возобновить производство. Основания: (1) внутреннее противоречие решения — AKI цитирует EDPB 01/2022 (п.4.3 и п.118: ссылка на политику конфиденциальности недостаточна, сроки хранения должны быть конкретными) и тут же признаёт ответ DEPO надлежащим; (2) неверно установлены обстоятельства (HMS §6(2)) — AKI опирается на первый ответ DEPO 02.03, игнорируя дополнительное письмо 19.03 и разворот DEPO 20.04, где передача в Google/Meta уже подтверждена; (3) не собраны доказательства — AKI не применил ст.58(1)(a) (не запросил у DEPO техническое поведение трекеров, логи, обновление политики), ограничившись визуальным осмотром баннера 28.05; (4) неверное правовое основание — «не приоритет» не освобождает от рассмотрения по существу (ст.57(1)(f), CJEU C-26/22 и C-64/22 SCHUFA); (5) не оценено применение ст.12(5)(a). По HMS §73 приложена HAR-запись от 29.05.2026 с online.depo.ee, фиксирующая реальных получателей: Facebook Pixel (PageView + хешированный идентификатор в параметре hme=), GTM, два Universal Analytics, три параллельных GA4-property, DoubleClick, reCAPTCHA — ни один не раскрыт в политике конфиденциальности (раздел 1.5).