Postimees Grupp AS

Запрос по ст.15 GDPR ко всем цифровым ресурсам Postimees (rus.postimees.ee, postimees.ee, maailm.postimees.ee): полный объём данных и цели; категории; получатели, включая процессоров и брокеров; сроки хранения; автоматизированные решения и профилирование (ст.22); источники данных не от субъекта; трансграничные передачи и гарантии; данные по device-идентификаторам, cookie и поведению. Контекст: Pushwoosh письменно подтвердил (тикет #101804, 01.04.2026), что контролёр обработки на rus.postimees.ee — именно Postimees Grupp AS, а Pushwoosh лишь процессор; Web Push SDK инициализирован при принятии cookie-баннера. Указаны device-идентификаторы (HWID) и идентификаторы Piano/Cxense (browser_id, aid, Cxense ID, активен до 2027), просьба найти все связанные данные. Срок — 30 дней.

Дополнительное письмо: формальное уведомление о нарушении (ст.5(1)(a), 6(1), 7, 13(1)(e), 44) + семь требований по ст.15. Приложен технический отчёт (PDF/DOCX): три независимых HAR-снимка postimees.ee (03.04 и 06.04.2026), фиксирующих передачу данных ДО согласия 18+ сторонами (Chartbeat, Pushwoosh, Cxense/Piano, Setupad, Adform, Eskimi, Rubicon, 4dex, и др.); письменные подтверждения двух процессоров (Chartbeat #762112, Pushwoosh PW-DSAR-2026-0330), называющих контролёром Postimees. Ключевой факт из HAR-1: трекеры стартуют с +0ms (Pushwoosh getConfig), Chartbeat PING с user_id в США (AWS) на +717ms, а первый запрос Didomi (баннер согласия) — только на ~863ms; Piano Analytics шлёт POST с visitor_privacy_consent:false. Срок по ст.12(3) — 02.05.2026.

Postimees (isikuandmed@postimeesgrupp.ee): подтвердил приём первичного и дополнительного запроса, но сообщил, что вложение PDF/DOCX отсутствует — просьба прислать документ повторно.

Извинился за отсутствующее вложение, выслал документ (Postimees_GDPR.pdf). Отметил, что законный срок по ст.12(3) не сдвигается — отсчёт идёт от первичного запроса 02.04.2026, дедлайн 02.05.2026.

Postimees: приём обращения и уведомления о возможном нарушении подтверждён (получено 02.04.2026). Изучение обстоятельств и подготовка развёрнутого ответа задержаны — ключевой сотрудник в отпуске. Срок ответа продлён, но не позднее двух месяцев; ответят по возможности раньше.

Принял продление до 02.07.2026, но зафиксировал для доказательственной базы: отпуск сотрудника не является основанием для продления по ст.12(3) — продление допустимо лишь при сложности или множественности запросов. Ожидаю ответ по существу по всем пунктам, в т.ч. правовое основание передачи данных каждому из 18 сторонних получателей и объяснение обработки Chartbeat и Piano из HAR.

Обновление: получены письменные подтверждения от трёх процессоров, каждый независимо назвал контролёром Postimees Grupp AS (юридически значимые признания по ст.4(7)). Chartbeat (#762112, 14.04): запрос перенаправлен Postimees как контролёру; два HAR-снимка с user_id в США (AWS, POP HEL51-P5); собственная консоль Chartbeat зафиксировала gdprApplies:true, cmpId:7 при передаче без согласия; engaged_time (x=3300) — накопление поведенческого профиля между сессиями. Pushwoosh (PW-DSAR-2026-0330, 16.04): вопросы по SDK и таймингу — в компетенции контролёра Postimees; getConfig POST на +0ms, до возможности согласия. Piano (dpo@piano.io, 12.05): Postimees — контролёр, Piano — процессор; не оспорил находку из HAR-1, что Piano Analytics слал POST с visitor_privacy_consent:false. Семь требований по ст.15 остаются без ответа по существу; дедлайн 02.07.2026.

Chartbeat (Grant Murray, тикет #762112): privacy — основополагающий принцип, PII не обрабатывают, по указанному ID данных нет; Chartbeat — процессор, запрос надо адресовать контролёру Postimees; данные хранятся в США, Chartbeat сертифицирован по DPF; запрос переслан в Postimees; тикет закрыт со своей стороны.

Оспорил три утверждения как опровергнутые техническими доказательствами. (1) «Не обрабатываем PII» против HAR: pong.chartbeat.net получал GET с параметром u= (тот самый идентификатор из SAR 03.04, и новый — 06.04), передача на серверы Chartbeat в США через AWS CloudFront; онлайн-идентификаторы — персональные данные по ст.4(1). (2) Уведомление по ст.13(1)(e) оставлено без ответа — передача в США не раскрыта в политике на момент сбора. (3) Ст.28(3)(e): процессор обязан содействовать субъекту; сама пересылка запроса и переписка с Postimees о моих данных — уже обработка, требующая действующего DPA, — прошу подтвердить наличие DPA. Отказался принять закрытие тикета; срок по ст.12(3) от 02.04.2026 — до 02.05.2026.