Sparteo SAS

Запрос по ст.15 GDPR направлен на dpo@sparteo.com и privacy@sparteo.com. В ходе расследования обнаружены восемь рекламных идентификаторов, привязанных к устройству и хранящихся на .sparteo.com: uids_adnxs, uids_adyoulike, uids_amx, uids_fwssp, uids_onetag, uids_rubicon, uids_smartadserver, uids_smilewanted (значения приведены). Восемь требований: (1) все персональные данные по этим идентификаторам; (2) цели обработки; (3) категории данных; (4) все получатели/категории получателей; (5) срок хранения по каждой категории; (6) правовое основание по ст.6; (7) источник данных, если собраны не напрямую; (8) автоматизированные решения по ст.22. Срок — 30 дней.

Ответ от имени Sparteo и аффилиатов (Meetscale, Actirise, Viously, Atomios, Bababam). Цели — оптимизация продажи показов через программатик-аукционы, измерение эффективности, дистрибуция/монетизация видео и аудио; правовые основания раскрыты через таблицу TCF (Purposes 1–11 + Special Purposes 1–3): Purpose 1/3/4/5/6 — согласие, Purpose 2/7/8/9/10/11 и Special Purposes — законный интерес. По Purposes 3–6 заявлено, что использование «строго ограничено»: синхронизируют только cookie ID с партнёрами, историю просмотров/предпочтения не используют. Категории — только «технические идентификаторы». Источники: прямой сбор (ст.13) и косвенный (ст.14), процесс синхронизации двунаправленный (источники = получатели). Партнёры (8): Xandr, AdYouLike, AMX RTB, FreeWheel, OneTag, Rubicon Project, Smart AdServer, SmileWanted. Гарантии трансграничной передачи — по ссылке. Срок хранения: TTL cookie 365 дней. Автоматизированных решений нет. Письмо помечено получателем как внешнее.

Ответ принят как неполный — семь требований без ответа по существу (срок по ст.12(3) — один месяц). (1) Ст.15(1): выданы категории («технические идентификаторы»), а не фактические значения; требуются точные текущие значения всех uids_*. (2) Метки времени по каждому идентификатору: дата создания и последнего обновления/доступа. (3) IP-адрес: хранится/обрабатывается ли, и если да — значение и правовое основание. (4) Ответ дан от имени Sparteo и пяти аффилиатов (Meetscale, Actirise, Viously, Atomios, Bababam) — каждый может быть отдельным контролёром/процессором; требуется отдельное раскрытие по каждому (данные, партнёры/получатели, основание, срок хранения). (5) Ст.15(1)(c): полного списка получателей нет — как вендор IAB TCF Sparteo заявляет существенно больше восьми партнёров; нужен исчерпывающий перечень. (6) Ст.14(3)(a): подтвердить, когда и как сделано уведомление о косвенно полученных данных, либо признать его отсутствие. (7) Ст.13(1)(d), 15(1)(b): для Purposes 2, 7, 8, 9, 10, 11 на законном интересе — предоставить LIA/балансировочный тест (EDPB Guidelines 07/2020).

Предыдущий ответ «мог быть неверно истолкован» как наличие в базах записей, соответствующих идентификаторам в браузере, тогда как «таких данных не было». По первичному запросу провели поиск в базах по предоставленным cookie-идентификаторам и «не смогли найти ничего». Прямого доступа к данным, хранящимся локально в браузере, нет, но считают их в пределах ст.15; предыдущий ответ был «исключительно для прозрачности» по предоставленным cookie ID в предположении, что они ещё в браузере.

Зафиксировано прямое внутреннее противоречие: ответ от 08.04 («таких данных не было») несовместим с детальным раскрытием от 01.04 (обработка через синхронизацию cookie с восемью названными партнёрами). Откатить раскрытие задним числом нельзя. Не снимая противоречия, повторно выставлены все семь вопросов письма от 01.04 (значения, метки времени, IP, раскрытие по аффилиатам, полный список получателей, уведомление по ст.14, LIA). Срок по ст.12(3) — один месяц.

Цель коммуникации от 01.04 — «прозрачность» по предоставленным cookie ID; считают факт хранения cookie в браузере обработкой ПД и дали информацию в предположении, что cookie остаются в браузере. Доступа к данным, хранящимся локально на устройстве, нет; внутренний поиск по базам не дал записей, связанных с субъектом, включая указанные идентификаторы. Удовлетворить запрос по дополнительным пунктам прозрачности «сверх уже раскрытого» не могут.

Финальная коммуникация перед жалобой в CNIL. Проведён технический анализ www.delfi.ee (15.04) через HAR-перехват и DevTools — результаты прямо опровергают ответы 08.04 и 15.04; срок — 09.05.2026. (1) Противоречие трёх позиций: детальное раскрытие 01.04 (8 партнёров: Xandr, AdYouLike, AMX RTB, FreeWheel, OneTag, Rubicon Project, Smart AdServer, SmileWanted) против «таких данных не было» (08.04) и «нет записей» (15.04) — несовместимы. (2) Активная обработка: HAR зафиксировал 52 запроса к инфраструктуре Sparteo; синхронизации cookie несут gdpr=1 и полную TCF-строку; setuid-синхронизации с adnxs (Xandr), onetag, smartadserver, grid (Index Exchange — НЕ раскрыт в SAR), adyoulike, smilewanted, adot, fwssp (FreeWheel); попытка синхронизации с Sharethrough вернула HTTP 422 (тоже не раскрыт — ст.15(1)(c)). DevTools Application: cookies активны на sync.sparteo.com со сроком до 2027 (uids_adnxs, uids_adot, uids_adyoulike, uids_amx, uids_fwssp, uids_onetag, uids_rubicon, uids_smartadserver, uids_smilewanted, sync_expire, uuid). (3) DevTools Console: 2 248 блокировок Tracking Prevention (максимум по всем расследованным сайтам), в т.ч. с sync.sparteo.com; интервенция «Ad was removed because its peak CPU usage exceeded the limit» (инициатор sync.sparteo.com) — несоответствие ст.25 (минимизация, privacy by design). (4) Семь вопросов от 01.04 без ответа. (5) Формальные требования к 09.05; (6) последствия; отдельно — нарушение уведомления по ст.14(3)(a).

СTO разработал «портал прозрачности» (ссылка), показывающий хранимые ПД в любой момент, минуя проблему данных, сгенерированных после запроса. По 01.04: эти ID в базах не хранили, ответ был «на основе предоставленных данных»; 08.04 и 15.04 — записей в базах/на серверах не нашли (не означает, что cookie не в браузере, лишь что на серверах данных нет). По delfi.ee: визит «мог сгенерировать новые синхронизации с некоторыми партнёрами»; два партнёра не были в ответе 01.04, т.к. «не всегда синхронизируют со всеми», а выбирают нужных при каждом вызове тегов. IP-адрес: обрабатывают для грубой геолокации, хранят в усечённом виде до 30 дней. Уведомления по ст.14 «неотличимы» от ст.13 — оба даёт cookie-баннер издателя. Портал (скриншоты): Cloudflare-проверка «подтвердите, что вы человек» → «Human verification timed out» → «Some data from bricks-co.com could not be displayed». YOUR COOKIES: «No partner identifier found on your device»; SERVER-SIDE DATA: «No server-side record found»; .sparteo.com и .bricks-co.com — 0 cookies/no server record. ALL SPARTEO COOKIE SYNC PARTNERS: 36 партнёров с TCF ID, у всех DATA STORED = No (36 партнёров, 0 с хранимыми данными).

Ответ от 07.05 не полный. Семь пунктов: (1) фактические значения идентификаторов — портал показывает ноль cookies и отсутствие серверных записей, что несовместимо с HAR от 15.04 (52 запроса, активные cookie до 2027, синхронизации не менее чем с 10 партнёрами); противоречие не снято. (2) Метки времени (создание/последний доступ) — ст.15(1). (3) Раскрытие по аффилиатам (Meetscale, Actirise, Viously, Atomios, Bababam) — отдельных раскрытий нет. (4) Ст.14: «уведомление через cookie-баннер издателя» не поддержано EDPB Guidelines 3/2019 — ст.14 возлагает самостоятельную обязанность на Sparteo как контролёра, получившего данные косвенно; уведомления не было — самостоятельное нарушение. (5) LIA для Purposes 2, 7, 8, 9, 10, 11 не предоставлен — ст.13(1)(d), EDPB Guidelines 07/2020. (6) Полный список получателей: портал раскрывает 36 потенциальных партнёров, SAR от 01.04 называл 8 — дельта в 28 требует объяснения (ст.15(1)(c)). (7) «Динамический выбор партнёров» не отменяет обязанность раскрыть фактических получателей по конкретным событиям; HAR от 15.04 — современная фиксация такого события. Уведомление: 09.05.2026 — жалоба в AKI по ст.77, ведущий орган CNIL (one-stop-shop); в жалобу войдут переписка 09.03–07.05, HAR от 15.04, скриншоты DevTools (2 248 блокировок, активные cookie), результат портала, внутренние противоречия ответов 01.04/08.04/15.04/07.05.