The Trade Desk

Направил запрос по ст. 15 GDPR (SAR № 1) на privacy@thetradedesk.com и dpo@thetradedesk.com. Указал полное имя, два email-адреса и почтовый адрес (Харьюмаа, Эстония). The Trade Desk — один из крупнейших независимых игроков RTB-индустрии (программатик-биржа рекламы).

Автоматический ответ: «этот ящик проверяется не ежедневно, но мы ответим на ваш запрос своевременно».

Ответ по существу: «компания провела поиск и не нашла данных, связанных с предоставленной вами информацией». То есть по имени и email TTD заявила, что данных обо мне нет.

Истёк законный срок по SAR № 1 (ст. 12(3)) — ответа по существу нет. На 15.04.2026 просрочка составила 57 дней.

Направил повторный запрос (SAR № 2) с Proton Mail, приложив идентификатор устройства did=3a1b08f6-c13e-4d90-xxxx-xxxxxxxxxxxx, который сам же обнаружил через HAR-анализ при посещении thetradedesk.com (через анонимный прокси Startpage, без VPN). Логика: компания «не нашла» меня по имени — даю ей её же технический идентификатор.

HAR-анализ (16:52 UTC) зафиксировал, что сервер TTD активно обслуживает этот device ID: запрос otSDKStub.js?did=3a1b08f6-… (HTTP 200), затем /consent/…json (HTTP 200) — то есть на сервере существует персональная конфигурация согласия под этот ID. В конфигурации (OptanonDataJSON) ID стоит прямо ключом, GDPR Ruleset Type IAB2V2 явно включает «ee» (Эстония) в список стран, ScriptType PRODUCTION — это рабочая система. Цикл повторяется каждые ~20 секунд (систематическое отслеживание сессии). Также: геолокационный запрос до согласия (NL/EU), трекер Marketo CRM (Adobe, munchkinId=527-INM-364) до согласия. По таймингам: did загружается на +2569 мс, consent на +2952 мс, геолокация на +3328 мс, Marketo на +3390 мс — а баннер согласия появляется только на +2270 мс по более позднему замеру, то есть сбор данных начинается раньше согласия.

Ответ на SAR № 2: «мы не можем исполнить запрос на основании предоставленного идентификатора устройства, так как не можем проверить, связан ли этот идентификатор именно с вами». Это прямо противоречит поведению их собственных серверов: тот же сервер трижды за сессию отдаёт otSDKStub.js и персональный /consent/…json со статусом 200. По Recital 64 GDPR контролёр обязан использовать предоставленный идентификатор для поиска данных и не вправе требовать доказательства его принадлежности как условие исполнения запроса по ст. 15 — этот ID известен только самой TTD, а не субъекту. Требование доказать его — незаконное препятствие по ст. 12(2).

Подал жалобу в AKI (основания: ст. 15, 12(2), 12(3), 5(1)(a), 6(1), 15(1)(c), 15(1)(h), 22, 44–46). Ключевые нарушения: просрочка SAR № 1 (57 дней); незаконное препятствие верификацией внутреннего ID (ст. 12(2), Recital 64); данные существуют, но не выданы (ст. 15(1)); получатели не раскрыты — в OneTrust значатся 330 партнёров, не назван ни один, включая 15 компаний из Китая/Гонконга (Baidu, IFLYTEK и др.) и 6 из свободных зон ОАЭ — передача без механизмов защиты по ст. 44–46; нераскрытое профилирование (cross-device graphing описан в их же политике — ст. 15(1)(h), 22); обработка до согласия (ст. 5(1)(a), 6(1)); вводящая в заблуждение формулировка «depending on where you live, you may have certain rights», тогда как по ст. 3(2) права безусловны (ст. 12(1)). Просил начать надзорное производство, обязать ответить, рассмотреть штраф по ст. 83, при необходимости передать в UK ICO и уведомить EDPB. Параллельно направил жалобу в UK ICO и TRUSTe (указанный TTD арбитр споров по DPF).

AKI прекратил производство. Основания: (1) контролёр сайта — материнская компания The Trade Desk, Inc. в США, и даже если описанные обстоятельства указывают на возможные нарушения, вмешательство инспекции не привело бы к более эффективной защите прав ввиду местонахождения контролёра и ограниченных возможностей принуждения; (2) жалоба подана 17.04.2026, при том что 15.04 заявитель направил контролёру развёрнутое обращение с дополнительным сроком ответа до 20.04 — переписка не была завершена, поэтому разумно сначала дать контролёру уточнить ответы; (3) UK ICO — не орган ЕС, механизм one-stop-shop (ст. 56) с ним не действует; (4) с точки зрения публичного интереса в основе спора — индивидуальный запрос, признаков непосредственного широкого риска для эстонских субъектов не установлено, а ст. 57(1)(f) обязывает рассматривать жалобы лишь «в надлежащем объёме». Разъяснено право обжаловать в течение 30 дней.