Технический аудит · 2026-05-18 · Последняя проверка: 27.05.2026

bauhof.ee

Крупный строительный ритейлер Эстонии

Один из крупнейших строительных ритейлеров Эстонии. Собирает исикукод — самый чувствительный идентификатор в стране — и поддерживает вход по ID-карте. При этом каталог Issuu делает 2684 запроса за сеанс, итальянская и нидерландская платформы получают данные посетителей, а в политике их нет. Ответ на официальный GDPR-запрос пришёл — и прямо противоречит собственному consent-баннеру компании.

Хронология утечки

Исикукод и ID-карта

Bauhof собирает isikukood при вступлении в Meistriklubi, оформлении заказа и обработке запросов — это написано в их политике. id.bauhof.ee — аутентификация через ID-карту (параметр id_card=1 в SSO): исикукод проходит через авторизационную инфраструктуру.

Issuu — 2684 запроса

Американская платформа каталогов Issuu фиксирует, какие страницы каталога смотришь, как долго, и снимает fingerprint браузера. 2684 запроса за один сеанс.

Декларация против факта

✓ Сбор исикукод (Meistriklubi, заказы, запросы) — в политике — заявлен

✓ Custobar, Smaily, Direct Messenger, Fortytwo — в ответе на ст.15 — заявлен

✓ Meta, Criteo, Adform, Google, TikTok, Microsoft, Hotjar — в Cookiebot Turustamine — заявлен

+ Issuu — 2684 запроса, fingerprint, США — нет в политике — не заявлен

+ Spidersense / Bending Spoons — User ID, Италия — нет в политике — не заявлен

+ DemoUp — Нидерланды — нет в политике — не заявлен

Тайминги передачи

при входе id.bauhof.ee (id_card=1) прошёл Аутентификация по ID-карте, исикукод через SSO

за сессию Issuu прошёл 2684 запроса. Просмотр каталога, fingerprint браузера. США

за сессию Spidersense / Bending Spoons прошёл Получает User ID через Issuu. Италия. В политике нет

20.05.2026 Ответ Bauhof на ст.15 (nr 9-1/3-1) противоречит баннеру Отрицает Criteo, Meta, Google — которые сам же декларирует в Cookiebot Turustamine

Зафиксированные трекеры

Issuu (США)
Spidersense / Bending Spoons (Италия)
DemoUp (Нидерланды)
Cookiebot Turustamine: Meta, Criteo, Adform, Google, TikTok, Microsoft, Hotjar (декларированы в баннере)

Зафиксированные нарушения

GDPR Art. 6, Art. 9 (контекст исикукод)

Bauhof собирает isikukood (эстонский личный код) при вступлении в Meistriklubi, оформлении заказа по email и обработке запросов — это указано в их политике. Самый чувствительный идентификатор в Эстонии в базе строительного магазина. Дальнейшая обработка isikukood в маркетинговых целях клиентской программы — вопрос законного основания, независимо от самого факта аутентификации по ID-карте.
GDPR Art. 5(1)(a), Art. 15(1)(c)

Ответ на запрос ст.15 (20.05.2026, nr 9-1/3-1) прямо отрицает передачу данных рекламным сетям и социальным платформам — включая Criteo, Facebook и Google. При этом собственный consent-баннер сайта (Cookiebot, вкладка Turustamine) декларирует тех же провайдеров поимённо: Meta Platforms (4 куки), Criteo (6 куки), Adform (1), Google (8), а также TikTok, Microsoft (Bing UET) и Hotjar. Письменный ответ контролёра противоречит его собственному пользовательскому интерфейсу.
GDPR Art. 13(1)(e)

Spidersense / Bending Spoons (Италия, получает уникальный User ID через каталог Issuu), DemoUp (Нидерланды, продуктовые видео) и Issuu не упомянуты в cookie-политике.
GDPR Art. 13(1)(f), Chapter V

Issuu (США) фиксирует просмотр каталога и fingerprint браузера — 2684 запроса за сеанс. Механизм передачи данных в США не указан.

Контекст

bauhof.ee — сайт Bauhof Group AS, один из крупнейших строительных ритейлеров Эстонии. В отличие от обычного интернет-магазина, здесь в обработке участвует isikukood — эстонский личный идентификационный код. HAR записан из личного кабинета.

Исикукод и ID-карта

Bauhof собирает isikukood при вступлении в клуб Meistriklubi, при оформлении заказа по email и при обработке запросов — это прямо написано в их политике конфиденциальности. Исикукод — самый чувствительный идентификатор в Эстонии, привязанный к человеку на всю жизнь, и здесь он оказывается в базе строительного магазина. Вход поддерживается через ID-карту: id.bauhof.ee, параметр id_card=1 в запросах SSO. Сама аутентификация по ID-карте — стандартный эстонский механизм, не нарушение само по себе. Вопрос — в дальнейшей обработке этого идентификатора в клиентской программе и маркетинге, и в том, какое для этого правовое основание заявлено.

Скрытые получатели

Spidersense / Bending Spoons (итальянская компания) получает уникальный User ID посетителя через встроенный каталог Issuu — в cookie-политике Bauhof не упомянута вообще. DemoUp (нидерландская платформа продуктовых видео) загружается на сайте и тоже отсутствует в политике. А сам каталог Issuu (американская платформа) делает 2684 запроса за один сеанс, фиксируя, какие страницы каталога смотришь, как долго, и снимая fingerprint браузера — передача в США, без указания механизма.

Ответ на ст.15 — и противоречие самим себе

20 мая 2026 года Bauhof прислал содержательный ответ на запрос ст.15 (nr 9-1/3-1, подпись Maris Parik, Personali- ja kvaliteedijuht). Ответ — на семи листах, по всем пунктам, с приложением выписки. В разделе о получателях прямо сказано: данные не передавались рекламным сетям и брокерам, включая Oracle, LiveRamp, Experian, Criteo; хешированные идентификаторы не передаются социальным платформам, включая VK, Pinterest, Facebook, Google. Названы только четыре процессора рассылок — Custobar, Smaily, Direct Messenger, Fortytwo.

Параллельно собственный consent-баннер того же сайта (Cookiebot, вкладка «Üksikasjad → Turustamine») декларирует 48 маркетинговых куки, и в их числе поимённо:

— Meta Platforms — 4 куки (включая _fbp); — Criteo — 6 куки (включая cto_bundle, criteo_write_test, с описанием «real-time bidding for advertisers»); — Adform — 1 куки; — Google — 8 куки (включая cookies для DoubleClick и Ads remarketing); — а также TikTok, Microsoft (Bing UET) и Hotjar.

Те же провайдеры, которые письменный ответ на ст.15 прямо отрицает, собственный интерфейс сайта декларирует под подписью компании. Это противоречие не на уровне «слово против слова» — оба документа исходят от Bauhof.

В сетевом трафике HAR реальных рекламных запросов к Criteo, Meta или TikTok не зафиксировано: consent-менеджер удерживает их до согласия. Но это не закрывает вопрос — декларация в баннере и отрицание в ответе на ст.15 уже сами по себе несовместимы.

После follow-up запроса с этим противоречием компания подтвердила получение и сообщила, что вопросы переданы коллегам для содержательного ответа. Ожидание продолжается.

Вывод

Это крупный строительный ритейлер — и под капотом у него не просто реклама, а самый чувствительный идентификатор страны рядом с нераскрытыми иностранными получателями данных. Цель разбора — не утопить компанию, а показать типичную картину: даже там, где обрабатывается исикукод и работает вход по ID-карте, реальный список получателей шире документа, а письменный ответ на ст.15 расходится с собственным consent-баннером того же сайта. Расхождение видно без F12 — достаточно открыть вкладку «Üksikasjad» в баннере сайта и положить рядом ответ на запрос.

Доказательство

Оригинал (разбор)

HAR-файл: ee/bauhof-ee-2026-05-18.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bauhof.ee.

2. Обстоятельства
Я посетил сайт bauhof.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 18.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Bauhof собирает isikukood (эстонский личный код) при вступлении в Meistriklubi, оформлении заказа по email и обработке запросов — это указано в их политике. Самый чувствительный идентификатор в Эстонии в базе строительного магазина. Дальнейшая обработка isikukood в маркетинговых целях клиентской программы — вопрос законного основания, независимо от самого факта аутентификации по ID-карте.

2) Ответ на запрос ст.15 (20.05.2026, nr 9-1/3-1) прямо отрицает передачу данных рекламным сетям и социальным платформам — включая Criteo, Facebook и Google. При этом собственный consent-баннер сайта (Cookiebot, вкладка Turustamine) декларирует тех же провайдеров поимённо: Meta Platforms (4 куки), Criteo (6 куки), Adform (1), Google (8), а также TikTok, Microsoft (Bing UET) и Hotjar. Письменный ответ контролёра противоречит его собственному пользовательскому интерфейсу.

3) Spidersense / Bending Spoons (Италия, получает уникальный User ID через каталог Issuu), DemoUp (Нидерланды, продуктовые видео) и Issuu не упомянуты в cookie-политике.

4) Issuu (США) фиксирует просмотр каталога и fingerprint браузера — 2684 запроса за сеанс. Механизм передачи данных в США не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bauhof.ee/

3. Нарушенные положения
GDPR Art. 6, Art. 9 (контекст исикукод); GDPR Art. 5(1)(a), Art. 15(1)(c); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]