Технический аудит · 2026-05-15

apollo.ee

Книги, кино, KFC, Lido, Vapiano (Балтия, Финляндия)

Крупный коммерческий холдинг: книги, кино, KFC, Lido, Vapiano в четырёх странах. На сайте Sentry начинает слать данные в США через 3 секунды после загрузки — а баннер согласия появляется только через 14,7 секунды. Рекламная кука Yahoo спрятана в «функциональные», политика не обновлялась с 2021 года.

Хронология утечки

+3 сек · до согласия

Sentry (o4507056346038272.ingest.us.sentry.io) — американский мониторинг ошибок, 52 запроса. Начинает передачу до появления баннера: браузер, ОС, поведение пользователя, идентификатор сессии — в США. В политике не упомянут.

Куки-уловки

Yahoo-кука «S» (рекламный трекер) размещена в категории «Функциональные» — включена по умолчанию, согласия не требует. YouTube-кука ytidb::LAST_RESULT_ENTRY_KEY — «never expires». Кука COMPASS — без описания назначения вообще.

Декларация против факта

✓ Yahoo-кука «S» — в категории «Функциональные» (обход согласия) — заявлен

✓ Политика от августа 2021 — не обновлялась ~5 лет — заявлен

+ Sentry — мониторинг ошибок, США — не заявлен

+ LexasCMS — получает IP, Великобритания — не заявлен

+ COMPASS — кука без описания — не заявлен

Тайминги передачи

+3 сек ingest.us.sentry.io прошёл Sentry, 52 запроса. Данные в США до согласия

+14,7 сек CookieYes (CMP) прошёл Менеджер согласия появился после передачи Sentry

при загрузке assets.lexascms.com прошёл LexasCMS (Великобритания) — изображения напрямую, получает IP каждого посетителя

при загрузке fonts (Google Fonts) прошёл Google Fonts — IP в Google

Зафиксированные трекеры

Sentry (США)
LexasCMS (Великобритания)
CookieYes (CMP)
Google Fonts
Yahoo
YouTube

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7(1)

Данные уходят в США до согласия: Sentry начинает передачу через 3 секунды после загрузки, а менеджер согласия CookieYes появляется только через 14,7 секунды. Сначала данные — потом согласие.
GDPR Art. 13(1)(e)

Sentry (мониторинг ошибок, США) и LexasCMS (headless CMS, Великобритания, получает IP каждого посетителя) не упомянуты в политике как получатели данных.
GDPR Art. 13(1)(f)

Механизм передачи данных в третьи страны (США — Sentry) не указан.
GDPR Art. 5(1)(e)

Бессрочное хранение: кука ytidb::LAST_RESULT_ENTRY_KEY (YouTube) со сроком «never expires» — нарушение принципа ограничения хранения без обоснования.
GDPR Art. 13(1)(c), Art. 7

Кука COMPASS без описания назначения. Рекламная кука Yahoo «S» размещена в категории «Функциональные», которая включена по умолчанию и не требует согласия — классификация для обхода согласия.
GDPR Art. 13

Политика конфиденциальности не обновлялась с августа 2021 — почти 5 лет. За это время аннулирован Privacy Shield (2020), изменился состав вендоров.

Контекст

apollo.ee — сайт Apollo Group OÜ, крупного балтийского холдинга: книжные и кинотеатры, а также франшизы и операторы общепита — KFC, Lido, Vapiano, MySushi, O’Learys и другие, в Эстонии, Латвии, Литве и Финляндии. За последние годы группа последовательно скупала сети (KFC и Vapiano в 2019, контроль в Lido с 2021 и полный выкуп в 2026, MySushi, кинотеатры, бистро в Литве). HAR: 1023 запроса за сессию.

Данные раньше согласия

Sentry (o4507056346038272.ingest.us.sentry.io) — американский сервис мониторинга ошибок — начинает передавать данные через 3 секунды после загрузки страницы, до появления баннера согласия: браузер, ОС, поведение пользователя, идентификатор сессии уходят в США (52 запроса). Менеджер согласия CookieYes при этом загружается только через 14,7 секунды — то есть к моменту, когда у пользователя спрашивают разрешение, Sentry уже всё отправил. Последовательность перевёрнута: сначала данные, потом согласие. В политике Sentry не упомянут, механизм передачи в США не указан.

Скрытые получатели и куки-уловки

LexasCMS (assets.lexascms.com) — британская headless CMS — отдаёт изображения напрямую со своих серверов, а значит получает IP-адрес каждого посетителя apollo.ee; в политике её нет. Рекламная кука Yahoo «S» (по описанию — «provide ads, content or analytics») размещена в категории «Функциональные», которая включена по умолчанию и не требует согласия — это намеренная классификация для обхода требования согласия. YouTube-кука ytidb::LAST_RESULT_ENTRY_KEY имеет срок «never expires» — бессрочное хранение без обоснования. А кука COMPASS вообще без описания: что это, зачем и куда передаёт — не объяснено.

Политика из 2021 года

Политика конфиденциальности последний раз обновлялась в августе 2021 — почти пять лет назад. За это время был аннулирован Privacy Shield (2020), сменился состав вендоров, появились новые требования. Документ, по которому Apollo Group управляет данными посетителей, не отражает ни Sentry, ни LexasCMS, ни механизмы передачи в США.

Вывод

Это не государственный портал, а коммерческий холдинг — и картина здесь типична для бизнеса: данные уходят в США раньше, чем спрашивают согласие, реальные получатели не названы, рекламный трекер спрятан в «функциональные» куки, а политика не обновлялась годами. Цель этого разбора — не утопить конкретную компанию, а показать типичную картину: так устроено почти везде. Sentry, LexasCMS, бессрочные куки — это не уникальный случай Apollo, это норма, которая всех устраивает. Кроме тех, кто открыл F12 и посмотрел.

Доказательство

Оригинал (разбор)

HAR-файл: ee/apollo-ee-2026-05-15.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом apollo.ee.

2. Обстоятельства
Я посетил сайт apollo.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Данные уходят в США до согласия: Sentry начинает передачу через 3 секунды после загрузки, а менеджер согласия CookieYes появляется только через 14,7 секунды. Сначала данные — потом согласие.

2) Sentry (мониторинг ошибок, США) и LexasCMS (headless CMS, Великобритания, получает IP каждого посетителя) не упомянуты в политике как получатели данных.

3) Механизм передачи данных в третьи страны (США — Sentry) не указан.

4) Бессрочное хранение: кука ytidb::LAST_RESULT_ENTRY_KEY (YouTube) со сроком «never expires» — нарушение принципа ограничения хранения без обоснования.

5) Кука COMPASS без описания назначения. Рекламная кука Yahoo «S» размещена в категории «Функциональные», которая включена по умолчанию и не требует согласия — классификация для обхода согласия.

6) Политика конфиденциальности не обновлялась с августа 2021 — почти 5 лет. За это время аннулирован Privacy Shield (2020), изменился состав вендоров.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/apollo.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7(1); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f); GDPR Art. 5(1)(e); GDPR Art. 13(1)(c), Art. 7; GDPR Art. 13

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]