Enefit (Eesti Energia AS)

Запрос по ст.15 GDPR (клиент с 31.08.2015), направлен с цифровой подписью на privacy@enefit.ee и dpo@enefit.ee. Пять пунктов: полная копия всех данных с 2015 (договоры и изменения, данные потребления по всем точкам учёта и периодам, метки и сегменты клиентского профиля, история обращений); полный список третьих лиц-получателей — прямо предложено подтвердить/опровергнуть Genesys/mypurecloud.de (Германия, поведенческий мониторинг в портале самообслуживания), Google Tag Manager, New Relic (США), Cloudflare Insights (США); указано противоречие: политика приложения (с 04.01.2024) гласит «Enefit AS не передаёт данные третьим лицам», тогда как HAR iseteenindus.energia.ee показывает передачу поведенческих данных (посещённые страницы по договорам и счетам) — просьба объяснить; передача за пределы ЕЭЗ и основание (New Relic, Cloudflare); профилирование и автоматизированные решения (ст.22); сроки хранения по категориям. Срок — 30 дней.

Письмо на dpo@enefit.ee не доставлено: сервер получателя (Outlook/Exchange) отклонил адрес с ошибкой SMTP 550 5.4.1 «Recipient address rejected: Access denied». Официальный контакт DPO недоступен для внешней почты.

Enefit OÜ (privacy@enefit.ee): прислан ответ во вложении (.asice) — данные точек учёта и список договоров. Письмо помечено системой получателя как внешнее (External email).

Ответ принят как неполный — шесть пунктов остались без ответа по существу (срок — 27.04.2026). (1) Ст.15(1)(c): полного списка получателей нет, подтверждены лишь четыре провайдера, названные мной самим (Genesys, GTM, New Relic, Cloudflare) — требуется исчерпывающий перечень всех процессоров и субпроцессоров. (2) Противоречие с политикой не разрешено: ответ отмахнулся тем, что политика «старая», но в период её действия данные передавались третьим лицам вопреки её тексту — требуется письменное объяснение. (3) Ст.15(1)(e), 44: ссылка на EU-US DPF как общее основание недостаточна — по каждому получателю в США нужно подтверждение сертификации DPF либо конкретная гарантия по ст.46 (SCC/BCR) и категории переданных данных. (4) Ст.15(1)(h), 22(3): профилирование по п.6.3 политики (демографика, поведенческие паттерны, сегментация) подтверждено, но логика, критерии и присвоенные сегменты не раскрыты. (5) Ст.15(1)(d): выдано 110 972 почасовых показаний счётчика с 31.12.2016, но конкретный срок хранения интервальных данных не указан (отсылка к п.4.5 политики, где его нет); почасовое потребление — чувствительные поведенческие данные (EDPB 1/2020). (6) Ст.38(4): адрес DPO отбил исходный запрос ошибкой SMTP 550 — недоступность DPO для внешней почты (в т.ч. ProtonMail) нарушает право обращаться к DPO напрямую.

Enefit OÜ (privacy@enefit.ee): контакт DPO правомерно указан в принципах обработки клиентских данных и в бизнес-реестре; для запросов (включая дополнительные) просят цифровую подпись, чтобы удостоверить личность и исключить выдачу данных неуполномоченным лицам; со ссылкой на право продлить срок ответа на 2 месяца сверх 30 дней — с учётом сложности и детализации запроса применяют это продление.

Дополнительное письмо (повторно с цифровой подписью .asice, чтобы снять формальные возражения). По требованию подписи: для дополнительных запросов оно противоречит ст.12(6) и EDPB 01/2022 п.54 — личность уже установлена, данные уже выданы (110 972 записей показаний). По продлению: о продлении по ст.12(3) надо уведомлять в течение месяца с получения запроса (получен 23.03 → срок уведомления 23.04), а уведомление пришло 27.04 — на четыре дня позже законного срока; зафиксировано. Повторно выставлены все требования первичного запроса: исчерпывающий список получателей (ст.15(1)(c)); механизм передачи в США по каждому получателю (ст.15(1)(e)); логика и присвоенные сегменты профилирования (ст.15(1)(h), 22(3)); конкретный срок хранения показаний с основанием (ст.15(1)(d)); письменное объяснение противоречия политики (с 04.01.2024 «третьим лицам не передаём») и HAR iseteenindus.energia.ee, фиксирующего передачу Genesys, GTM, New Relic, Cloudflare в аутентифицированных сессиях; подтверждение, что dpo@enefit.ee теперь доступен, и объяснение, почему он блокировал ProtonMail.

Подана жалоба в AKI на Enefit OÜ — требование возбудить надзорное производство. На 01.06.2026 ответа по существу нет, законный срок истёк. Состав: (1) ст.12(3) — нарушение срока и просрочка уведомления о продлении: запрос получен 23.03, уведомить о продлении следовало до 23.04, уведомление пришло 27.04 — на 4 дня позже, запоздалое уведомление не запускает действительное продление; даже с продлением срок на 01.06 истёк. (2) Неполный ответ по ст.15(1)(c),(d),(e),(h): не раскрыты все получатели, конкретный срок хранения почасовых показаний (договоры тянутся с 2015 — около 11 лет хранения без указания срока и основания), механизм передачи в США по каждому получателю, логика и сегменты профилирования. (3) Самопротиворечие по ст.22: в ответе 20.04 Enefit заявил, что автоматизированных решений не было, но та же политика (п.6.2.1 — автоматическая проверка кредитоспособности по платёжному поведению и публичным реестрам; п.6.2.2 — ограничение услуг при взыскании долга) описывает именно автоматизированные решения с правовыми/существенными последствиями — общее отрицание не отвечает требованию ст.15(1)(h). (4) Противоречие политики и реальных потоков (тех. доказательство — HAR iseteenindus.energia.ee, 22.03.2026, 588 запросов): политика (с 04.01.2024) гласит «третьим лицам не передаём», а HAR фиксирует передачу в аутентифицированных сессиях — Genesys (147 запросов, POST на journey-эндпоинт с клиентским ID — это профилирование), New Relic (США), Cloudflare Insights (США), GTM (GTM-P8TJJKF). (5) CNAME-cloaking: домен cat.enefit.ee, выглядящий как собственный, резолвится в IP Cloudflare (104.20.27.114) — маскировка стороннего трекера под first-party, не раскрыта в политике (гл.V, ст.13). (6) Трекеры до баннера согласия (ст.6, 7; CJEU C-673/17 Planet49): баннер cookiebot загрузился на +27459 мс, тогда как Cloudflare Insights (+25644 мс), Genesys (+25969 мс) и cat.enefit.ee/GTM (+25970 мс) активировались раньше. (7) Ст.38(4): адрес DPO dpo@enefit.ee отбил запрос ошибкой SMTP 550 (блокирует ProtonMail), сбой не устранён и не прокомментирован. Требования: зафиксировать нарушение ст.12(3); обязать дать полный ответ по ст.15(1)(c),(d),(e),(h) и разрешить противоречие по ст.22; оценить расхождение политики и потоков по ст.5(1)(a) и 13; оценить дотрекинг по ст.6, 7 и Planet49; оценить CNAME-cloaking и передачи в США по гл.V; зафиксировать нарушение ст.38(4).