Как самому подать GDPR-запрос компании

О чём это вообще

В Европе действует закон — GDPR (на эстонском IKÜM, в переводе «Общий регламент защиты данных»). Этот закон даёт тебе одно простое право:

Любая компания, которая собирает о тебе данные, обязана по твоему запросу рассказать, что именно она о тебе знает. Где она это взяла, кому передаёт, на каком основании хранит, как долго будет хранить. Это право называется «право на доступ» — статья 15 GDPR.

Подать такой запрос может любой человек, живущий в Европейском союзе. Не нужен юрист. Не нужна оплата. Не нужно объяснять компании, зачем тебе это знать — закон специально не требует обоснования.

Это руководство — про то, как это сделать правильно, чтобы у тебя был шанс получить настоящий ответ, а не отписку.

Прежде чем начнёшь — одно обязательное правило

Заведи папку. На компьютере, в облаке, в email-клиенте — где угодно, но отдельную папку под каждое дело с каждой компанией. В этой папке должно лежать всё:

• твоё первое письмо компании (с датой и временем отправки)
• их ответ
• твои follow-up’ы
• их следующие ответы
• скриншоты (например, политики конфиденциальности, баннера cookies)
• любые технические данные, которые ты собирал
• если дошёл до жалобы регулятору — копия жалобы и переписка с регулятором

Почему это важно — без этой папки ты не сможешь: доказать, что писал и когда; сослаться через три месяца на конкретную фразу из их ответа; собрать материал для жалобы в надзорный орган; понять, что компания сама себе противоречит между ответами.

Без папки можно не начинать. Это не лишняя бюрократия — это единственное, что отличает реальное дело от разговора, который через месяц забудется.

Назови папку, например, GDPR_имя_Компании_год/месяц — GDPR_05/2026. Внутри пусть лежат файлы с понятными именами: 1_мой_запрос.eml, 2_ответ_компании.pdf, 3_мой_follow_up.eml, и так далее. Через год ты вернёшься в эту папку и сразу всё вспомнишь.

И простое практическое правило: всегда отправляй письма с такого email, к которому у тебя есть постоянный доступ. Потеряешь доступ к ящику — потеряешь дело.

Шаг 1. Решить, какой компании пишешь и зачем

Прежде чем писать — определись.

Кому пишешь. Это должна быть конкретная юридическая компания. Не «Google», а Google Ireland Limited. Не «Facebook», а Meta Platforms Ireland Limited. Не «магазин у дома», а OÜ X с регистрационным кодом Y. Юрлицо — это адресат запроса. Найти его можно в политике конфиденциальности на их сайте — в самом начале, в разделе «Кто мы».

Зачем пишешь. Это нужно только тебе самому, компании говорить не обязан. Возможные причины:

• заметил, что компания знает про тебя что-то странное (прислала рекламу того, о чём ты ни с кем не разговаривал) — хочешь понять, откуда данные
• увидел на сайте трекеры (Facebook Pixel, Google Analytics и подобные) и хочешь узнать, что они с твоими данными делают
• ты бывший клиент и хочешь увидеть, что они о тебе хранят
• просто хочешь воспользоваться своим правом и посмотреть

Все эти причины одинаково законны. Никаких более «правильных» причин нет.

Шаг 2. Найти правильный email для запроса

В политике конфиденциальности компании (на эстонском «Privaatsuspoliitika», на английском «Privacy Policy») в самом конце обычно есть контакт для запросов по защите данных:

• адрес DPO (Data Protection Officer / Andmekaitseametnik) — сотрудник, отвечающий за GDPR-вопросы
• общий email типа privacy@, dpo@, isikuandmed@, gdpr@
• если ничего такого нет — общий контактный email компании

Если адрес не найден совсем — пиши на общий контакт и укажи: «прошу переадресовать запрос ответственному за защиту данных».

Шаг 3. Написать письмо

Хорошее GDPR-письмо короткое и конкретное. Не нужно длинных эмоциональных текстов и объяснений, почему ты хочешь свои данные. В письме должно быть:

1. Прямое указание, что ты пользуешься правом по статье 15 GDPR. Эта фраза переводит письмо из «вопроса клиента» в формальный юридический запрос, и компания обязана отнестись к нему как к такому.
2. Кто ты. Имя, фамилия, email. Если есть аккаунт — номер клиента или email привязки. Это нужно, чтобы тебя нашли в системах.
3. Что именно просишь — конкретный список, не «всё, что есть»:
   • все мои персональные данные, которые вы обрабатываете, и цели обработки
   • категории данных (контактные, поведенческие, финансовые и так далее)
   • получатели или категории получателей — с конкретными названиями, не «наши партнёры»
   • срок хранения каждой категории
   • правовое основание по статье 6 GDPR для каждой обработки
   • применяется ли автоматизированное принятие решений или профилирование (статья 22 GDPR)
   • источник данных, если получены не от меня напрямую
   • передаются ли данные за пределы ЕЭЗ и на каком основании
4. Срок ответа — 30 дней с момента получения запроса (статья 12(3) GDPR).
5. Корректное окончание. «С уважением», подпись, дата.

Пример минимального письма:

Здравствуйте,

Я, [Имя Фамилия], пользуюсь своим правом на доступ к персональным данным согласно статье 15 GDPR.

Прошу предоставить мне:

1. Все мои персональные данные, которые ваша компания обрабатывает, и цели обработки.
2. Категории обрабатываемых данных.
3. Конкретные имена получателей или категорий получателей, которым мои данные были или будут переданы.
4. Срок хранения по каждой категории.
5. Правовое основание обработки по статье 6 GDPR для каждой категории.
6. Применяется ли автоматизированное принятие решений или профилирование согласно статье 22 GDPR.
7. Источник данных, если получены не от меня.
8. Передачи моих данных за пределы ЕЭЗ и применяемые механизмы защиты.

Согласно статье 12(3) GDPR жду ответ в течение 30 дней.

С уважением, [Имя Фамилия] [email] [дата]

Этого достаточно. Можно по-английски, если компания не местная. Сохрани отправленное письмо в свою папку как первый файл.

Шаг 4. Что будет дальше — три сценария

Сценарий А: компания просит подтвердить личность. Это нормально и законно — они имеют право убедиться, что данные просит тот самый человек. Способы разные: копия документа, ответ с привязанного email, визит в офис. Будь готов это сделать. Но не давай больше, чем нужно: не отправляй копию паспорта целиком, достаточно страницы с именем и фамилией, остальное закрой.

Сценарий B: компания отвечает по существу. Лучший вариант. Прочитай ответ внимательно — особенно сравни с тем, что написано в политике конфиденциальности на их сайте. Если они говорят «мы не передаём ваши данные третьим лицам», а в их же политике cookies указан Google Analytics или Facebook Pixel — это противоречие, и тут начинается интересная часть (см. ниже).

Сценарий C: компания молчит, отписывается или присылает шаблон. Например, «мы обрабатываем ваши данные только для ответа на ваш запрос, подробности в политике» — это не ответ, это уклонение. Закон требует адаптированной информации именно про тебя, а не общей отсылки к политике. Получил такое — переходи к шагу 5.

Шаг 5. Follow-up — если ответ неполный

Если компания ответила, но ответ неполный или уклончивый — обязательно напиши второе письмо. В follow-up:

• Поблагодари за ответ (даже если он плохой — нейтральный тон работает лучше).
• Конкретно укажи, на какие вопросы из исходного списка они не ответили.
• Попроси полный ответ.
• Укажи новый срок — ещё 30 дней (или короче, если они уже превысили первый).
• Сошлись на нормы — статья 12(3) GDPR (срок), статья 15(1)(c) (раскрытие получателей именно по тебе, а не общей категорией).

Если успел собрать технические данные (скриншоты cookie-баннера) — приложи и укажи на противоречия. Один-два конкретных факта работают сильнее общих обвинений. Все письма продолжай сохранять в папке.

Шаг 6. Если ответа нет и после follow-up

Если прошло больше 30 дней после первого запроса (или 30 дней после follow-up, тоже оставшегося без ответа) — у тебя есть право пожаловаться надзорному органу. В Эстонии это Andmekaitse Inspektsioon (AKI). В других странах ЕС — национальные регуляторы по защите данных.

Жалоба в надзорный орган — это право, не угроза. Подать можно бесплатно, в свободной форме (есть и форма на сайте регулятора). В жалобе должно быть:

• кто ты
• какой компании подавал запрос и когда
• что компания ответила (или не ответила)
• какие нормы GDPR, по твоему мнению, нарушены
• приложения: копии всей переписки с компанией (вот зачем нужна была папка)
• что хочешь от регулятора («прошу обязать компанию ответить полно», «прошу провести проверку обработки моих данных»)

Не жди быстрого результата. В Эстонии рассмотрение может занять месяцы. Иногда регулятор закроет дело шаблоном «не публичный интерес» — это реальная практика, и на неё тоже есть способ отреагировать (формальное возражение, «vaide»). Но это следующий уровень — сначала пройди базовый цикл.

Несколько вещей, которые стоит знать сразу

Время — твой союзник. Чем спокойнее и систематичнее ведёшь переписку, тем сильнее позиция. Не торопись, не нервничай в письмах, не оскорбляй сотрудников. Сухой деловой тон работает в десять раз эффективнее эмоций.

Цитируй их же документы. Самое мощное доказательство против компании — её собственные тексты: политика конфиденциальности, cookie-баннер, предыдущий ответ. Если в одном месте они говорят одно, а в другом — другое, ты не споришь своим мнением, ты показываешь, что они сами себе противоречат.

Скриншоты с датой. Если на сайте виден баннер или политика — сделай скриншот, где видна дата. Сайт могут изменить, документ обновить. Скриншот с датой — твоё доказательство «вот что было на момент обращения».

Не запугивай и не угрожай. Не пиши «подам в суд», «обращусь в прессу», «вы пожалеете». Это слабая позиция и часто работает против тебя. Просто требуй то, что положено по закону. Закон сильнее эмоций.

Будь готов к тому, что часть компаний просто проигнорирует тебя. Это не значит, что ты что-то сделал не так. Это значит, что у компании проблемы с соблюдением GDPR, и регулятор о них пока не знает. Каждый твой шаг — информация в систему, даже если конкретно тебе не ответили.

Это длинная игра. Один запрос — один кирпич. Делаешь для себя — появится опыт и часть данных. Хочешь, чтобы менялась практика — нужны десятки людей, делающих то же. Чем больше людей подаёт запросы, тем сильнее давление на индустрию вести себя прилично.

Что ты получаешь, даже если результат неидеальный

• Знание. Узнаёшь, как реально работают компании с твоими данными. Это знание не выгорает.
• Запись. В папке лежит документация — на случай, если что-то пойдёт не так или захочешь поделиться.
• Привычка. Со второго раза это занимает в три раза меньше времени, чем с первого.
• Право. Ты пользуешься своим законным правом, и это право существует именно потому, что им пользуются.

Удачи. И помни про папку.