Veriff

Направил запрос по ст. 15 GDPR в Veriff OÜ (support@veriff.com) — эстонский провайдер идентификации личности. Запросил: все биометрические данные (лицевые эмбеддинги, геометрия лица, liveness-данные, фото, видео, аудио); данные документов (тип, номер, дата выдачи, срок действия, дата рождения); данные устройства и сети при верификации; результаты верификационных сессий; данные из сторонних реестров и внешних баз. Отдельно запрошены: правовое основание по ст. 6 и ст. 9(2) GDPR для каждой категории биометрических данных; сроки хранения — как по инструкции клиента, так и собственные цели Veriff (ver-vdr-2301); полный список получателей включая субпроцессоров, сторонних AI-вендоров, облачных провайдеров (Amazon EC2) и инвесторов (Tiger Global, Alkeon, IVP, Accel, Y Combinator); механизмы передачи за пределы ЕЭЗ (ст. 46); использование данных для обучения AI/ML-моделей. Подчёркнуто: Veriff самостоятельно определяет цели и средства обработки биометрических данных для собственных нужд (fraud prevention, model training, service improvement) — следовательно, является контролёром данных, а не только процессором. Срок ответа по ст. 12(3) — 21.05.2026.

Ответ (Sebastian, Customer Support): Veriff позиционирует себя исключительно как сервисного провайдера (процессора) для компаний-клиентов. Для обращений по верификационным данным рекомендовано обратиться к компании, заказавшей верификацию. Запрошены идентифицирующие данные для поиска сессии: имя, дата рождения, компания верификации, примерное время, характер запроса.

Предоставил идентификационные данные и оспорил позицию процессора. Верификации проходились на множестве платформ в течение нескольких лет. Правовая аргументация: согласно собственной Privacy Policy Veriff хранит биометрические данные до 3 лет для собственных целей (fraud prevention, model training, service improvement) независимо от инструкций клиента — тем самым Veriff является контролёром данных по ст. 4(7) GDPR и несёт прямые обязательства по ст. 15. Биометрические данные — специальная категория по ст. 9 GDPR, требующая явного согласия или иного основания ст. 9(2), а не просто легитимного интереса. Запрос подан как SAR к Veriff именно как контролёру. Дедлайн ответа — 21.05.2026. К письму приложен документ с цифровой подписью эстонской ID-карты.

Veriff (Sebastian): подтвердил получение идентификационных данных. Повторил позицию: если данные верификационной сессии обнаружатся, запрос будет исполнен при наличии инструкций от компании-клиента.

Veriff (Sebastian): по предоставленным данным верификационных данных в системах не обнаружено. Повторно отсылает к компании-клиенту как к надлежащему адресату запроса. Запрос по собственным целям обработки (контролёрская функция Veriff) фактически проигнорирован.