Okidoki

Направил запрос по ст. 15 GDPR в Okidoki OÜ (info@okidoki.ee) — эстонский маркетплейс объявлений. Идентифицировал себя по техническим идентификаторам, обнаруженным в HAR при посещении okidoki.ee 02.04: внутренний пользовательский ID Sentry (did 484***), Google Analytics Client ID, GTM-контейнер GTM-5W7ZR2, GA4-атрибут G-8END2FNZPL, идентификатор слежения metrics.okidoki.ee. Запросил полный объём данных: все идентификаторы и значения cookie; данные, переданные третьим сторонам (Epsilon/Lotame, LiveRamp, Xandr, Magnite, Quantcast, The Trade Desk, Index Exchange, OpenX, PubMatic, Oracle Data Cloud, Adobe Audience Manager, Amazon Ads, Meta, Sentry); правовые основания; сроки хранения; механизмы передачи в третьи страны; полную TCF-строку согласия; профилирование и автоматические решения (ст. 22).

В запросе задокументировал нарушения, зафиксированные HAR при визите 02.04: рекламные cookie (_gads, DSID, IDE) с pagead2.googlesyndication.com сработали через 0,4 секунды после загрузки, тогда как менеджер согласия (fundingchoicesmessages.google.com) появился лишь спустя 120 секунд — до показа баннера ушло 133 запроса на рекламные домены без согласия (ст. 6(1), 5(1)(a)); Sentry (o204319.ingest.sentry.io, США) не упомянут в политике и TCF-списке, но в HAR — 26 запросов с передачей внутреннего ID 484*** и данных браузера (ст. 13(1)(e), 28); срок хранения cookie LiveRamp — 3653 дня (~10 лет), Adform A/S — 3650 дней (ст. 5(1)(e) — непропорционально); в разделе «Рекламные партнёры» политики перечислены продавцы без категорий данных и сроков хранения (ст. 13(1)(e)); для получателей в США (Google, Amazon, Oracle, Adobe, Meta, Sentry) не указан механизм передачи.

Ответ (Sergei Tsastsin): предоставленные идентификаторы названы «псевдонимными техническими идентификаторами», которые не позволяют однозначно связать запрос с физическим лицом. Со ссылкой на ст. 12(6) GDPR компания запросила дополнительные данные для идентификации: IP-адрес при визите 02.04, точные таймстампы, email учётной записи или иной идентификатор аккаунта. До подтверждения личности — выдача данных приостановлена.

Возразил на приостановку. Sentry did 484*** — это не сторонняя рекламная cookie, а внутренний идентификатор сессии/пользователя в собственной инфраструктуре Okidoki (o204319.ingest.sentry.io), HAR зафиксировал 26 запросов с его передачей. Этот ID напрямую ищется в их собственных системах. Если компания не может найти записи по своему же внутреннему ID — это отдельная проблема целостности данных по ст. 5(1)(f). По ст. 13(1)(e): в политике перечислено более 150 рекламных партнёров без категорий данных, сроков хранения и правового основания (LiveRamp — 3653 дня, Adform — 3650). Потребовал: искать по did 484***; указать правовое основание приостановки; раскрыть детали по каждому партнёру. Напомнил, что 30-дневный срок (ст. 12(3)) идёт с 02.04, ответ по существу ожидается до 02.05.

Уведомление о продлении срока: со ссылкой на ст. 12(3) GDPR (сложные или многочисленные запросы) компания продлила срок ответа ещё на 2 месяца — до 01.06.2026, мотивируя объёмом и сложностью запроса.

Подтвердил получение уведомления о продлении и принял новый срок — ожидаю ответ по существу до 01.06.2026.

Повторный запрос верификации (Sergei Tsastsin): компания продолжает рассмотрение, но перед раскрытием данных требует убедиться, что они выдаются именно субъекту. Просит подтвердить запрос с email-адреса, связанного с соответствующим идентификатором Sentry, направив подтверждение на info@okidoki.ee. Подчёркивает, что это не отказ, а мера против раскрытия неуполномоченному лицу.

Подтвердил личность с email, связанного с аккаунтом Okidoki (через Gmail-адрес), указав, что он привязан к моему клиентскому аккаунту okidoki.ee, и попросил направить ответ на него либо копией на защищённый адрес. Подтвердил намерение продолжить рассмотрение запроса от 02.04 по ст. 15. Срок продления (01.06) ещё не истёк — дело продолжается.

Лётпик ответ Okidoki по ст. 15: компания раскрыла связку did 484199 → внутренний u_lid → аккаунт → email → телефон → 130 объявлений → €193,50 транзакций. Вместе с тем ответ содержит намеренно ложное утверждение об отсутствии раздела «Рекламные партнёры» в политике конфиденциальности — тогда как баннер согласия на okidoki.ee перечисляет 205 TCF-вендоров. В приложенном Excel-файле обнаружен лист «All effective user IDs on 02.04» с ~22 000 Google Analytics ID сторонних пользователей за 02.04.2026 — данные, не относящиеся к субъекту запроса.

Подана жалоба в AKI (Andmekaitse Inspektsioon). Зафиксированы нарушения: (1) ст. 5(1)(a) и 15(1)(c) — намеренно ложный ответ об отсутствии раздела «Рекламные партнёры» при наличии 205 TCF-вендоров в баннере; (2) ст. 5(1)(e) — сроки хранения cookie до 3653 дней (LiveRamp, Adform); (3) ст. 6, 7, C-673/17 Planet49 — отслеживание и реклама до показа баннера согласия (HAR 02.04: 133 запроса до баннера; HAR 01.06: баннер отсутствует вовсе); (4) ст. 7(3) — отсутствие механизма отзыва согласия; (5) ст. 13(1)(f), 15(1)(e), гл. V — передача данных в США (Google, Sentry, Amazon, Oracle, Adobe) без указания механизма; (6) ст. 13(1)(e) — Sentry не раскрыт как обработчик; (7) ст. 12(6) — двукратная приостановка идентифицируемого субъекта использована как инструмент затягивания; (8) ст. 5(1)(c), 5(1)(f), 15(4), 4(12) — утечка данных ~22 000 сторонних пользователей в составе ответа на запрос ст. 15. Приложены: два HAR-файла, полный дамп баннера (205 вендоров), скриншот модального окна okidoki.ee, ответ Okidoki и Excel-файл.