EUGDPR Audit
RU EN
Технический аудит · 2026-05-16

bauhaus.ee

Швейцарская сеть строительных магазинов
EE

Швейцарская сеть стройтоваров (250 магазинов в 19 странах): Zendesk пишет телеметрию с первой секунды загрузки, до баннера согласия, Google reCAPTCHA включена по умолчанию без спроса, а официальная политика конфиденциальности прямо противоречит собственному cookie-менеджеру сайта.

Хронология утечки

+0–1 сек · до согласия
Zendesk начинает фиксировать каждый просмотр страницы с первой секунды, до баннера. Запрос повторяется каждые 7 секунд всю сессию (19 запросов). Уникальный ID клиента, поведение — в США. В политике помечен как «функциональный».
consentmanager — работает
CMP реально блокирует рекламные трекеры (Criteo, Adform, TikTok, Facebook) до нажатия — честнее большинства сайтов. Но единственное исключение: Google reCAPTCHA включена по умолчанию, без согласия.
Что в списке вендоров
Criteo (США, 390 дней), Klaviyo (США, 730 дней), Facebook Pixel, HotJar (запись сессий), Microsoft Clarity. Adform с кукой на 10 лет. TikTok Analytics и TikTok Embed — на сайте строительного магазина.

Декларация против факта

«Наши куки не хранят ваши персональные данные» (политика) — заявлен
Criteo, Klaviyo, Facebook, HotJar, Clarity (cookie-менеджер) — заявлен
+ Zendesk — телеметрия с первой секунды, помечен «функциональным» — не заявлен
+ reCAPTCHA — включена без согласия — не заявлен

Тайминги передачи

+0 сек Zendesk прошёл 19 запросов, каждые 7 секунд. Данные в США до согласия
при загрузке Google reCAPTCHA прошёл Включена по умолчанию. Клики, мышь, IP в Google Ireland
по согласию Adform (otsid) прошёл Кука 3650 дней (10 лет), связывание устройств
в трафике Google Maps API прошёл API-ключ BAUHAUS виден открытым текстом в трафике

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

bauhaus.ee — сайт BAUHAUS Eesti UÜ, эстонского подразделения швейцарской сети строительных магазинов BAUHAUS (около 250 собственных и франшизных магазинов в 19 странах Европы, первый открылся в Германии в 1960 году). HAR записан под капотом сайта.

Начнём с хорошего

BAUHAUS использует consentmanager — систему управления согласием, которая реально работает. Рекламные трекеры (Criteo, Adform, TikTok, Facebook) до нажатия на баннер не загружаются. Это честнее, чем у большинства сайтов в этой серии, где трекеры стартуют до любого согласия. Но дьявол в деталях.

Zendesk — 19 запросов до согласия

С первой секунды загрузки страницы — ещё до появления баннера — сервис Zendesk начинает фиксировать каждый просмотр страницы, и запрос повторяется каждые 7 секунд всю сессию. Передаётся уникальный идентификатор клиента и поведение пользователя: какие страницы открывал, как долго, в какой последовательности. Zendesk Inc. — Сан-Франциско, США, данные уходят за пределы ЕС. В cookie-политике это записано в категорию «функциональные», хотя по факту это слежка за поведением.

reCAPTCHA — включена без спроса

Среди всех вендоров в cookie-менеджере только Google reCAPTCHA включена по умолчанию. Она собирает путь кликов, движения мыши, временные метки действий, IP-адрес, местоположение, данные браузера и устройства — всё это уходит в Google Ireland Ltd и далее за пределы ЕС, до и независимо от согласия.

Официальная политика BAUHAUS заявляет дословно (на эстонском): «наши куки не хранят ваши персональные данные». При этом cookie-менеджер того же сайта документирует: Criteo (США, маркетинговые куки 390 дней, сопоставление офлайн-данных, связывание устройств), Klaviyo (США, 730 дней, история просмотров товаров), Facebook Pixel, HotJar (запись сессий, движения мыши, карты кликов), Microsoft Clarity (запись сессий, данные могут идти в Microsoft Advertising). Два официальных документа одной компании говорят противоположное. Отдельно — кука otsid от Adform (Копенгаген) со сроком хранения 3650 дней, то есть десять лет, с правовым основанием «согласие плюс законный интерес» одновременно, что само по себе противоречие. И API-ключ Google Maps виден в трафике открытым текстом: если он не ограничен по домену, им может воспользоваться кто угодно за счёт BAUHAUS.

Вывод

BAUHAUS честнее многих: consentmanager работает, рекламные трекеры блокируются до согласия — это правильно, и это стоит признать. Но Zendesk пишет телеметрию с первой секунды, reCAPTCHA включена без спроса, а официальная политика конфиденциальности противоречит собственному cookie-менеджеру. Цель этого разбора — не утопить компанию, а показать типичную картину: даже там, где сделано лучше среднего, остаются дыры, на которые никто не смотрит. Кроме тех, кто открыл F12.

Valmis kaebus AKI-le

AKI rakendab kaebuste menetlemisel ainult eesti keelt. Allpool on valmis tõlge, mille saab saata otse, ilma täiendava tõlketa.

Kellele: Andmekaitse Inspektsioon (AKI), info@aki.ee
Kellelt: [Teie nimi], [kontakt-e-post]

NB! Elektroonilised pöördumised peavad olema digitaalallkirjastatud.

1. Kaebuse ese
Esitan kaebuse seoses minu isikuandmete töötlemisega veebisaidil bauhaus.ee.

2. Asjaolud
Külastasin veebisaiti bauhaus.ee ja tuvastasin, et minu isikuandmeid töödeldi isikuandmete kaitse üldmääruse (IKÜM) nõudeid rikkudes. Tehniline analüüs, mis on avaldatud aadressil gdpru.eu 16.05.2026 (avatud metoodika, korratavad mõõtmised), dokumenteerib järgmist:


1) Zendesk salvestab iga lehevaatamise alates lehe laadimise esimesest sekundist, enne nõusolekuribat. Päring kordub iga 7 sekundi järel kogu sessiooni vältel. Andmed (unikaalne kliendi ID, käitumine) edastatakse ettevõttele Zendesk Inc. (San Francisco, Ameerika Ühendriigid). Küpsisepoliitikas on see märgitud kui „funktsionaalne“.


2) Google reCAPTCHA on ainus teenusepakkuja, mis on vaikimisi sisse lülitatud ilma nõusolekuta. See kogub klikiteekonda, hiireliigutusi, ajatempleid, IP-aadressi, asukohta ja seadme andmeid — kõik edastatakse ettevõttele Google Ireland Ltd ja sealt edasi väljapoole Euroopa Liitu.


3) Poliitika väidab: „meie küpsised ei salvesta teie isikuandmeid“. Samal ajal dokumenteerib sama veebisaidi küpsisehaldur järgmised teenusepakkujad: Criteo (390 päeva), Klaviyo (730 päeva), Facebook Pixel, HotJar (sessioonide salvestamine), Microsoft Clarity. Sama ettevõtte kaks dokumenti väidavad vastupidist.


4) Küpsis „otsid“ ettevõttelt Adform (Kopenhaagen) — säilitustähtaeg 3650 päeva (10 aastat). See seob omavahel eri allikatest pärinevaid andmeid ja ühendab seadmeid. Õiguslik alus on deklareeritud korraga kui „nõusolek ja õigustatud huvi“ — mis on iseenesest vastuoluline.
Täielik tehniline dokumentatsioon on avaldatud aadressil: https://gdpru.eu/audits/bauhaus.ee/

3. Rikutud sätted
IKÜM art 6 lg 1; IKÜM art 6 lg 1, art 7 lg 1; IKÜM art 5 lg 1 punkt a; IKÜM art 5 lg 1 punkt e

4. Nõue
Palun viia läbi nimetatud rikkumiste kontroll ja kohaldada IKÜM artikli 58 lõikes 2 ette nähtud meetmeid.

5. Lisad
Täielik tõendusmaterjal — HAR-fail, kontrollsumma SHA-256 ning veebisaidi privaatsuspoliitika tsitaat, mis dokumenteerib nimetatud vastuolu — on avaldatud ja kontrollitav punktis 2 viidatud lingil.

[Kuupäev]                                    [Allkiri/nimi]

Ниже — то же письмо на русском (текст этого разбора) — для понимания содержания или перевода на другой язык.

Доказательство
Оригинал (разбор)
HAR-файл: ee/bauhaus-ee-2026-05-16.har
SHA-256: dc5dbd3f7a7e058dd8fd07c582d48f9494bbe83afeecc076dfa6ceb2d4759dab
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bauhaus.ee.

2. Обстоятельства
Я посетил сайт bauhaus.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Zendesk фиксирует каждый просмотр страницы с первой секунды загрузки, до баннера согласия. Запрос повторяется каждые 7 секунд всю сессию. Данные (уникальный ID клиента, поведение) уходят в Zendesk Inc. (Сан-Франциско, США). В cookie-политике записан как «функциональный».

2) Google reCAPTCHA — единственный вендор, включённый по умолчанию без согласия. Собирает путь кликов, движения мыши, временные метки, IP, местоположение, данные устройства — всё в Google Ireland Ltd и далее за пределы ЕС.

3) Политика заявляет: «наши куки не хранят ваши персональные данные». При этом cookie-менеджер того же сайта документирует Criteo (390 дней), Klaviyo (730 дней), Facebook Pixel, HotJar (запись сессий), Microsoft Clarity. Два документа одной компании говорят противоположное.

4) Кука «otsid» от Adform (Копенгаген) — срок хранения 3650 дней (10 лет). Сопоставляет данные из разных источников, связывает устройства. Правовое основание заявлено как «согласие плюс законный интерес» одновременно — само по себе противоречие.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bauhaus.ee/

3. Нарушенные положения
GDPR Art. 6(1); GDPR Art. 6(1), Art. 7(1); GDPR Art. 5(1)(a); GDPR Art. 5(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]