Telia Eesti AS

Igor Kuzmin→ Telia Eesti AS · 21.02.2026

Направил первый запрос по ст. 15 GDPR в Telia Eesti AS (privacy@telia.ee). Контекст: клиент Telia с 2016 года — 10 лет (договор от 30.01.2016), в п. 6 которого прямо отказался от использования данных в маркетинговых целях. Запрос содержал 6 конкретных требований: профилирование и RTB, трансграничная передача, теневой бан (shadowban), логи третьих лиц за 5 лет, правовое основание обогащения данных, автоматические решения. Законный 30-дневный срок — до 23.03.2026 (ст. 12(3)).

↓

Igor Kuzmin→ Telia Eesti AS · 25.02.2026

Направил уточняющие вопросы на privacy@telia.ee.

↓

Igor Kuzmin→ Telia Eesti AS · 10.03.2026

Направил дополнительные уточняющие вопросы.

↓

Telia Eesti AS→ Igor Kuzmin · 12.03.2026

Telia ответила (Ave Treial-Sikkar, с адреса info@telia.ee) — частичный ответ. В нём, в частности, заявлено: «Google Tag Manager не использовался, так как у нас нет вашего согласия на маркетинговые cookie». Это позже было опровергнуто HAR-доказательствами.

↓

Telia Eesti AS→ Igor Kuzmin · 20.03.2026

Telia прислала дополнение к ответу от 12.03.

↓

Igor Kuzmin→ Telia Eesti AS · 20.03.2026

Направил формальное предварительное уведомление (pre-complaint notice) с пятью конкретными нарушениями и техническими доказательствами, срок до 27.03.2026. Опроверг утверждение про GTM: в HAR от 13.03 присутствует контейнер GTM-5G2M3L. Также указал: 14 POST-запросов в инфраструктуру Grafana Cloud в США (faro-collector, session x7Dz2oGa28) — передача в третью страну, не указанная в политике; нераскрытый обработчик Ultimate.AI (параметры timezone: Kiev, lang: ru); isikukood открытым текстом в URL (personalCode в GET-параметре, 3 вхождения); недостаточное раскрытие автоматического решения по кредитному лимиту (ст. 15(1)(h) — дана только часть (a), нет логики и последствий).

↓

Igor Kuzmin→ Telia Eesti AS · 23.03.2026

Истёк законный 30-дневный срок по первому запросу (от 21.02). Полного ответа по всем элементам ст. 15(1)(a)–(h) не предоставлено. Дал ещё 5 дней для ответа.

↓

Telia Eesti AS→ Igor Kuzmin · 27.03.2026

DPO Andrus Hinrikus ответил лично — и это исключительное доказательство: контролёр письменно признал нарушения. (1) «Мы выявили, что небольшое число тегов Google Tag Manager сработало без согласия» — прямое признание нарушения ст. 6 и 7; (2) по передаче isikukood в URL: «Благодарим за ценную рекомендацию, планируем внедрить дополнительные технические меры» — признание проблемы ст. 5(1)(f) и 25; (3) Grafana Labs — субобработчик, не указанный в политике, работает на инфраструктуре в США; (4) Ultimate Enterprises Oy (бывш. Culinar OY) — обработчик данных, не указанный в политике; (5) Creditinfo Eesti AS используется в автоматических кредитных решениях, не указан явно в политике. То есть контролёр задокументировал собственные нарушения письменно за день до подачи жалобы в AKI.

↓

Igor Kuzmin→ AKI · 28.03.2026

Подал жалобу в AKI (ст. 5(1)(f), 5(1)(c), 5(1)(a), 6/7, 13(1)(e), 22, 25, Гл. V). Центральное нарушение: isikukood передаётся как GET-параметр в URL B2C-портала — подтверждено тремя независимыми доказательствами (HAR Chrome 13.03, HAR pood.telia.ee 22.03, скриншот Edge 23.03). Инициатор утечки технически — telia-rum-agent.js (видно в Network-панели), сессия содержала 820 запросов. Дополнительно: TeliaRum собирает фингерпринт браузера даже при отказе от статистических cookie (allowStatisticsCookies=false) — ст. 6/7; три GTM-контейнера (GTM-5G2M3L, GTM-KG9GMW, GTM-NDPQMWJ) грузятся через server-side proxy cat.telia.ee, скрытно от расширений защиты, не указаны в политике — ст. 13(1)(e); Google reCAPTCHA на странице входа sso.telia.ee — Google получает данные о логине, не раскрыт — ст. 13(1)(e) и Гл. V; Grafana США (14 POST) при декларации «данные не передаются за пределы ЕС» — ст. 5(1)(a) и Гл. V; 587+ запросов за один визит — ст. 5(1)(c); маркетинговое письмо 16.03 вопреки отказу в договоре 2016 года — ст. 22 и нарушение условий договора. Просил начать надзорное производство, обязать изменить архитектуру B2C, прекратить сбор TeliaRum при отказе, обновить политику, рассмотреть штраф по ст. 83(4)/(5) с учётом системности (архитектура не менялась с 2018) и длительности (клиент с 2016 года).

↓

AKI19.05.2026

AKI прекратил производство, несмотря на письменное признание нарушений самим DPO. Аргументация: не всякий технический обмен данными или служебный запрос означает обработку персональных данных в идентифицирующем виде — определяющим является контекст и цель (используются ли данные для идентификации конкретного лица). По isikukood в URL: AKI счёл, что это не деликатная категория данных, что реальный вред правам и свободам маловероятен, и что вмешательство не требуется, поскольку контролёр уже осведомлён и обещал доптехнические меры. По Grafana и GTM — принял объяснения Telia, что это техническая инфраструктура / не сбор персонализированных данных без согласия. Указал, что заявитель не вправе требовать начала надзорного производства или конкретной меры против третьего лица — у органа есть дискреция (ст. 57(1)(f), решение Госсуда 3-3-1-44-10), и жалоба рассматривается «в надлежащем объёме», а сами поднятые вопросы трактованы скорее как общее уведомление (märgukiri). Разъяснено право обжаловать в течение 30 дней.