IIZI Kindlustusmaakler

Запрос по ст.15 GDPR на andmekaitse@iizi.ee и info@iizi.ee: цели и категории обработки; все получатели данных, включая зафиксированных HAR-анализом (Google GTM/Analytics/AdSense/DoubleClick, Microsoft Clarity/Bing Ads, Meta/Facebook, Hotjar, Sentry, Crisp); сроки хранения; право на возражение и ограничение обработки; трансграничные передачи и конкретные механизмы защиты (SCC или иные) по каждому получателю; источники данных; автоматизированные решения и профилирование (ст.22). Дополнительно запрошено: какие данные собрала Microsoft Clarity (инструмент записи сессий) в ходе визита; обрабатывались ли данные до получения согласия через баннер и на каком правовом основании. Приложена техническая документация HAR-анализа сессии 30.04.2026: баннер согласия появился спустя 9,7 секунды после загрузки страницы, тогда как Google Tag Manager, Bing Ads, Google AdSense, Google Analytics и Microsoft Clarity уже передавали данные на серверы в США; после нажатия кнопки отказа (action=decline, +92 сек.) передача данных продолжилась — Bing Ads, Microsoft Clarity, Google Analytics, Google AdSense и Facebook загрузились повторно. Microsoft Clarity зафиксировала 212 КБ данных о сессии, крупнейшая передача (88 КБ) произошла после отказа. Политика конфиденциальности IIZI декларирует, что данные не передаются за пределы ЕС/ЕЭЗ — что противоречит задокументированным фактам. Срок ответа — 30 дней по ст.12(3).

Жалоба в AKI на IIZI Kindlustusmaakler AS: ответ на запрос ст.15 от 01.05.2026 не поступил в течение месяца, уведомление о продлении срока также не направлялось. Зафиксированы нарушения: (1) ст.12(3) и ст.15 — запрос без ответа и без уведомления о продлении; (2) ст.5(1)(a) и ст.6(1) — обработка данных до получения согласия: Google Analytics, Bing Ads, Google AdSense и Microsoft Clarity активировались за секунды до показа баннера; (3) ст.7(3) — нажатие кнопки отказа не остановило передачу данных; (4) ст.13(1)(e) — в публичной документации упомянуты только Google и Facebook, тогда как HAR зафиксировал Microsoft Clarity, Bing Ads, Hotjar, Sentry, Crisp и Google AdSense; (5) ст.44–46 и гл.V, ст.13(1)(f) — данные передавались в США без указания механизма защиты и вопреки собственному заявлению компании об отсутствии трансграничных передач. Приложены: два HAR-файла (30.04.2026 и 03.06.2026), копия запроса ст.15, скриншоты DevTools, действующая политика конфиденциальности и предыдущая редакция. Требования: возбудить надзорное производство; обязать компанию ответить на запрос ст.15; проверить механизм согласия на iizi.ee; оценить законность трансграничных передач; применить меры по ст.58 GDPR.