EUGDPR Audit
RU EN
Технический аудит · 2026-06-06

boozt.com

Скандинавский онлайн-ритейлер одежды — Дания, листинг на Nasdaq Stockholm
EE

Скандинавский ритейлер с 23 внешними доменами. Баннер privacy-center загружается на +1053 мс, но isstarsbuilding.com и Trustpilot запускаются на +1024 и +1029 мс — за доли секунды раньше. Microsoft Clarity собирает данные сессии на протяжении всех 137 секунд записи.

Хронология утечки

+1024 мс · до баннера
isstarsbuilding.com (ObservePoint/Stardust) — платформа аудита тегов, передаёт данные о визите. За 29 мс до баннера.
+1029 мс · до баннера
Trustpilot (widget.trustpilot.com) — виджет отзывов. За 24 мс до баннера.
+1053 мс · баннер
privacy-center.org — баннер начинает загружаться. Полная загрузка занимает ~1 секунду.
+1059 мс · до появления
VWO (Visual Website Optimizer) — A/B тестирование. Через 6 мс после начала загрузки баннера.
+1658 мс
Avo Inspector (cdn.avo.app) — инспектор аналитических событий. США.
+1660 мс
GTM (GTM-TR48) — загружается после баннера.
+1720 мс
DialogIntelligens AI-чат (dialogintelligens.dk) — датский чат-сервис.
+3187 мс
Microsoft Bing Ads (bat.bing.com) — конверсионный пиксель. США.
+3476 мс
raw.githubusercontent.com — изображения для чат-виджета DialogIntelligens.
+3811 мс
Microsoft Clarity (clarity.ms) — запись сессий. 9 collect-запросов за 137 секунд сессии.

Декларация против факта

Microsoft (Bing Ads, Clarity) — упомянут в политике — заявлен
Google (GTM) — упомянут — заявлен
Trustpilot — упомянут — заявлен
+ ObservePoint / isstarsbuilding.com — не заявлен
+ Visual Website Optimizer (VWO) — не заявлен
+ Avo Inspector (cdn.avo.app) — не заявлен
+ DialogIntelligens (dialogintelligens.dk) — не заявлен
+ raw.githubusercontent.com — не заявлен

Тайминги передачи

+1024 мс isstarsbuilding.com до баннера ObservePoint tracker. За 29 мс до баннера
+1029 мс widget.trustpilot.com до баннера Trustpilot виджет
+1053 мс sdk.privacy-center.org баннер Баннер начинает загружаться
+1059 мс dev.visualwebsiteoptimizer.com до появления VWO A/B тестирование
+3811 мс clarity.ms после баннера Microsoft Clarity запись сессий
+3815 мс bat.bing.net после баннера Bing Ads conversion tracking

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Boozt A/S — скандинавский онлайн-ритейлер одежды и красоты, штаб-квартира в Копенгагене, листинг на Nasdaq Stockholm. boozt.com/ee/et — эстонская версия. Политика конфиденциальности подробная, на английском, с разделами о cookies и рекламе. HAR: 128 запросов, 23 домена. Сессия длительностью более 2 минут.

Гонка баннера и трекеров — 29 миллисекунд

isstarsbuilding.com стартует на +1024 мс. Trustpilot — на +1029 мс. Баннер privacy-center начинает загружаться на +1053 мс. Разрыв — 29 и 24 миллисекунды соответственно. VWO запускается на +1059 мс — через 6 мс после начала загрузки баннера, но ещё до его фактического появления на экране (баннер полностью загружается за ~1 секунду).

Технически это граничный случай — не явный preloading за секунды до баннера как в других случаях серии. Но принцип privacy by default требует что трекеры не должны инициализироваться до подтверждённого согласия. 29 миллисекунд — это не случайность, это порядок загрузки скриптов.

isstarsbuilding.com — что это

euob.isstarsbuilding.com и obseu.isstarsbuilding.com — домены платформы ObservePoint (ранее Stardust). Это инструмент аудита тегов: отслеживает какие теги и пиксели запускаются на сайте, собирает данные о качестве аналитики. Ирония в том что инструмент контроля за трекерами сам является трекером — и запускается до согласия.

Microsoft Clarity — запись на протяжении сессии

Microsoft Clarity активируется на +3811 мс. В HAR зафиксировано 9 collect-запросов за 137 секунд сессии — на отметках +4402, +6304, +11781, +16088, +25153, +54218, +81090, +122183, +137494 мс. Clarity записывает движения мыши, клики и скроллы на протяжении всего визита. В политике Microsoft упомянут — механизм согласия для этого уровня записи требует явного opt-in.

DialogIntelligens и GitHub CDN

DialogIntelligens — датский AI-чат-сервис. Загружает изображения для чат-виджета напрямую с raw.githubusercontent.com — публичного CDN GitHub. IP каждого пользователя уходит в GitHub/Microsoft при открытии чата. Это архитектурная небрежность: изображения должны хоститься на собственном CDN.

Sentry EU — правильный выбор

Как у IIZI и Zalando — Boozt использует EU-инстанс Sentry (ingest.de.sentry.io). Статус 429 (rate limit) говорит что Sentry активно используется. Данные об ошибках остаются в ЕС.

Вывод

Boozt имеет подробную политику конфиденциальности и баннер согласия. Но isstarsbuilding.com, Trustpilot и VWO опережают баннер на миллисекунды — порядок загрузки скриптов не соответствует принципу согласия до обработки. Microsoft Clarity записывает сессию на протяжении двух минут. Четыре сервиса (ObservePoint, VWO, Avo, DialogIntelligens) не упомянуты в политике. 23 внешних домена — это много для ритейлера который декларирует заботу о данных.

Доказательство
Оригинал (разбор)
HAR-файл: ee/boozt-com-2026-06-06.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом boozt.com.

2. Обстоятельства
Я посетил сайт boozt.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) isstarsbuilding.com (+1024 мс) и Trustpilot (+1029 мс) запускаются за 29–4 мс до загрузки баннера privacy-center (+1053 мс). VWO (+1059 мс) запускается через 6 мс после начала загрузки баннера — до его фактического появления на экране.

2) Microsoft Clarity активируется на +3811 мс и отправляет collect-запросы в течение всей сессии (9 запросов за 137 секунд). Bing Ads (+3187 мс) активируется после баннера — но механизм согласия для них не прозрачен из HAR.

3) ObservePoint/isstarsbuilding.com, VWO, Avo Inspector, DialogIntelligens и raw.githubusercontent.com не упомянуты в политике конфиденциальности как получатели данных.

4) Microsoft Clarity, Bing Ads, VWO, Avo.app — серверы в США. Механизм передачи (EU-US DPF) не указан явно для каждого получателя.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/boozt-com/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]