Дело №0 — «Один человек — это не публичный интерес»

«Один человек — это не публичный интерес.»

— Andmekaitse Inspektsioon, 15 мая 2026 г.

С этой формулировки эстонский регулятор GDPR закрыл два моих дела против рекламных брокеров — The Trade Desk, Inc. и LiveRamp Holdings, Inc. — в один день. Это и есть отправная точка gdpr-audit.eu. Если бы AKI расследовал жалобы по существу — сайт, возможно, никогда бы не появился. Появился именно потому, что регулятор отказался.

Хронология

• 17.04.2026 — поданы две жалобы в AKI: против The Trade Desk, Inc. (США) и LiveRamp Holdings, Inc. (США). Основание — нарушение статьи 15 GDPR (право на доступ к данным). К жалобам приложен детальный технический разбор с указанием на статьи 5, 6, 12, 13, 25, 27, 44–49 GDPR.
• 15.05.2026 — AKI закрыл оба дела одним числом, с практически идентичной формулировкой.

Формулировка AKI

Из официального решения AKI № 2.1-1/26/820-1654-2 от 15.05.2026 по делу The Trade Desk:

Kaebus sisaldab ulatuslikku tehnilist argumentatsiooni, on vaidluse keskmes konkreetse andmesubjekti individuaalne juurdepääsutaotlus.

В переводе: жалоба содержит обширную техническую аргументацию, но в центре — индивидуальный запрос одного субъекта данных. Из этого AKI делает вывод об отсутствии «публичного интереса» в смысле, оправдывающем вмешательство регулятора.

Решение по LiveRamp вышло в тот же день с идентичной мотивировкой и тем же выводом.

Что с этим не так юридически

Позиция AKI противоречит и тексту GDPR, и практике Суда Европейского союза.

Статья 57(1)(f) GDPR обязывает надзорный орган рассматривать жалобы «в должной мере» (to the extent appropriate), но не даёт регулятору права отказывать на основании того, что жалобу подал один человек. Конкретное число жалобщиков как критерий вмешательства в тексте GDPR отсутствует.

Дело CJEU C-26/22 и C-64/22 (SCHUFA Holding, решение от 07.12.2023) прямо установило: у регулятора нет широкой дискреции отказать в расследовании. Жалоба должна быть рассмотрена с должной тщательностью.

Дело CJEU C-768/21 (TR vs Land Hessen, решение от 26.09.2024) пошло дальше: при установленном нарушении регулятор обязан применить хотя бы одну из мер по ст. 58(2) GDPR. Ссылка на «ограниченную эффективность» или «нехватку ресурсов» не является правовым основанием для бездействия.

Таким образом, AKI применил критерий, которого в GDPR нет, и отказался от обязанности, которую CJEU явно установил.

Что с этим не так логически

Если один человек — это не публичный интерес, то «публичный интерес» возникает только тогда, когда жалуются многие. Но многие не жалуются, потому что не знают о нарушениях. Они не знают, потому что регулятор не информирует. Регулятор не информирует, потому что нет жалоб от многих.

Этот замкнутый круг — идеальная конфигурация для AdTech-индустрии. Система, в которой нарушения невидимы, не имеет нарушений в учёте.

Что делать

Замкнутый круг разрывается одним способом — публикацией. Когда конкретное нарушение становится публично документированным фактом, оно перестаёт быть «жалобой одного человека». Любой следующий, кому регулятор откажет в расследовании, сможет сослаться на уже опубликованное доказательство и заявить: это не индивидуальная жалоба, это документированная практика, известная общественности.

Именно для этого существует gdpr-audit.eu. Каждый аудит здесь — это публикация, которой может воспользоваться любой следующий заявитель в любой стране ЕС.

Документы

• Решение AKI по делу The Trade Desk (если опубликовано)
• Решение AKI по делу LiveRamp (если опубликовано)
• Возражение (vaie) на закрытие дела LiveRamp (если опубликовано)

Связанное

Параллельно с этими делами на сайте aki.ee зафиксированы технические нарушения GDPR самим регулятором. Регулятор, который ссылается на «недостаточный публичный интерес», сам не соблюдает того, чего требует от других.