Технический аудит · 2026-05-20

decora.ee

Один из крупнейших строительных магазинов Эстонии

Пока читаешь страницу про уход за бензопилой, в фоне летит 4283 запроса и 203 МБ трафика за 14 секунд. Facebook знает каждую открытую страницу, датская и финская платформы пишут каждый просмотр товара, а сам менеджер согласия шлёт больше запросов, чем любой трекер. И главное — в политике 2026 года основанием для передачи в США указан Privacy Shield, аннулированный ещё в 2020-м.

Хронология утечки

4283 запроса за 14 секунд

Facebook (775 запросов) — каждая открытая страница известна Facebook. Clerk.io (Дания, 736 запросов) записывает каждый просмотренный товар, каждый переход, содержимое корзины; в политике описана как «чат». Klevu (Финляндия, 190 запросов) собирает поисковые запросы и поведение.

Privacy Shield в 2026

Политика заявляет, что данные передаются в США компаниям, присоединившимся к Privacy Shield. Privacy Shield аннулирован Судом ЕС в июле 2020 года. Это 2026 год — основание не существует уже почти шесть лет.

Декларация против факта

✓ Передача в США «по Privacy Shield» — аннулирован в 2020 — заявлен

✓ Clerk.io — описана как «чат» — заявлен

+ Klevu — поиск и поведение, Финляндия — не заявлен

+ Реальная функция Clerk.io (не чат, а трекинг) — не заявлен

Тайминги передачи

за сессию Facebook прошёл 775 запросов. Каждая страница известна Facebook

за сессию Clerk.io прошёл 736 запросов. Товары, переходы, корзина. В политике — «чат»

за сессию CookieFirst (CMP) прошёл 1640 запросов — больше любого трекера. Менеджер согласия

Зафиксированные трекеры

Facebook
Clerk.io (Дания)
Klevu (Финляндия)
CookieFirst (CMP)

Зафиксированные нарушения

GDPR Art. 13(1)(f), Chapter V

Политика указывает Privacy Shield как основание для передачи данных в США. Privacy Shield аннулирован Судом ЕС 16.07.2020 (дело Schrems II, C-311/18) полностью. В 2026 году это означает передачу данных в США без действующего правового основания — нарушение Главы V GDPR.
GDPR Art. 13(1)(e)

Clerk.io (Дания, 736 запросов, записывает каждый просмотренный товар, переходы, содержимое корзины) описана в политике как «чат». Klevu (Финляндия, 190 запросов, поисковые запросы и поведение) не упомянута в списке обработчиков.
GDPR Art. 6(1)

Facebook — 775 запросов: каждая открытая страница известна Facebook. CookieFirst (система управления согласием) сама отправляет 1640 запросов — больше, чем любой трекер на сайте.

Контекст

decora.ee — сайт Decora, одного из крупнейших строительных магазинов Эстонии. Открываешь обычную страницу — например, про уход за бензопилой, заточку цепи и зимнее хранение. А в фоне за 14 секунд: 4283 запроса, 203 МБ трафика. Это не атака — это обычный визит на обычный сайт.

Что летит в фоне

Facebook (775 запросов) — каждая открытая страница известна Facebook. Clerk.io (датская платформа, 736 запросов) записывает каждый просмотренный товар, каждый переход и содержимое корзины, при этом в политике конфиденциальности описана как «чат». Klevu (финская AI-платформа, 190 запросов) собирает поисковые запросы и поведение покупателя — в списке обработчиков не упомянута. И отдельная ирония: CookieFirst — система управления твоим согласием — сама отправляет 1640 запросов, больше, чем любой другой трекер на сайте.

Privacy Shield в 2026 году

Главная находка — в политике. Decora пишет, что данные передаются в США компаниям, которые присоединились к Privacy Shield. Privacy Shield — соглашение ЕС–США, позволявшее с 2016 года законно передавать данные американским компаниям из специального списка. 16 июля 2020 года Суд ЕС в деле Schrems II (C-311/18) признал его недействительным полностью: американские спецслужбы имеют доступ к данным европейцев без надлежащей защиты, что несовместимо с GDPR и Хартией основных прав ЕС. С того дня Privacy Shield перестал существовать как правовое основание.

Что это означает

Decora в 2026 году указывает Privacy Shield как основание для передачи данных в США — спустя почти шесть лет после его отмены. Возможны два варианта: либо политику не обновляли с 2020 года, либо отмену знают, но основание продолжают использовать. Оба — нарушение. Передача данных в США без действующего правового основания — это нарушение Главы V GDPR целиком, а не формальная ошибка в документе: потенциально незаконны все передачи американским партнёрам с июля 2020 года по сей день.

Вывод

Пока человек читает про бензопилу, его визит расходится по Facebook, датской и финской платформам, а менеджер согласия генерирует больше трафика, чем любой трекер. И всё это — на правовом основании, которого не существует с 2020 года. Цель разбора — не утопить магазин, а показать типичную картину: устаревшая на шесть лет политика и фоновый трекинг в сотни мегабайт — это не исключение, а норма, которую видно, только если открыть F12.

Доказательство

Оригинал (разбор)

HAR-файл: ee/decora-ee-2026-05-20.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом decora.ee.

2. Обстоятельства
Я посетил сайт decora.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика указывает Privacy Shield как основание для передачи данных в США. Privacy Shield аннулирован Судом ЕС 16.07.2020 (дело Schrems II, C-311/18) полностью. В 2026 году это означает передачу данных в США без действующего правового основания — нарушение Главы V GDPR.

2) Clerk.io (Дания, 736 запросов, записывает каждый просмотренный товар, переходы, содержимое корзины) описана в политике как «чат». Klevu (Финляндия, 190 запросов, поисковые запросы и поведение) не упомянута в списке обработчиков.

3) Facebook — 775 запросов: каждая открытая страница известна Facebook. CookieFirst (система управления согласием) сама отправляет 1640 запросов — больше, чем любой трекер на сайте.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/decora.ee/

3. Нарушенные положения
GDPR Art. 13(1)(f), Chapter V; GDPR Art. 13(1)(e); GDPR Art. 6(1)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]