Технический аудит · 2026-06-06

e-kaubanduseliit.ee

Эстонский союз электронной торговли — некоммерческая организация

Организация которая предоставляет свою политику конфиденциальности агрегатору esmaspaev.ee — сама не имеет баннера согласия. GTM, Google Fonts, Webflow CDN и CloudFront загружаются без какого-либо взаимодействия пользователя. Собственная политика декларирует отсутствие передачи данных за пределы ЕЭЗ — HAR опровергает.

Хронология утечки

+118 мс · при загрузке

Webflow CDN (cdn.prod.website-files.com) — CSS и JS сайта. США.

+119 мс · при загрузке

Amazon CloudFront (jquery-3.5.1) и Google Web Fonts API (ajax.googleapis.com) — одновременно. США.

+137 мс · при загрузке

Google Fonts (fonts.googleapis.com) — PT Sans, Oxygen. IP в Google, США.

+141 мс · при загрузке

GTM (GTM-NW7WV5R5) — загружается. Никакого баннера нет и не появится.

Декларация против факта

✓ Данные не передаются за пределы ЕЭЗ — декларируется в политике — заявлен

+ Google Tag Manager (GTM-NW7WV5R5) — не заявлен

+ Google Fonts — не заявлен

+ Webflow CDN (cdn.prod.website-files.com) — не заявлен

+ Amazon CloudFront — не заявлен

+ Google Web Fonts API (ajax.googleapis.com) — не заявлен

Тайминги передачи

+118 мс cdn.prod.website-files.com без согласия Webflow CDN. США

+119 мс d3e54v103j8qbb.cloudfront.net без согласия jQuery через Amazon CloudFront. США

+141 мс www.googletagmanager.com без согласия GTM-NW7WV5R5. Нет баннера

Зафиксированные трекеры

Google Tag Manager (GTM-NW7WV5R5)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Webflow CDN (cdn.prod.website-files.com)
Amazon CloudFront (d3e54v103j8qbb.cloudfront.net)
Google Web Fonts API (ajax.googleapis.com)

Зафиксированные нарушения

GDPR Art. 7

Баннер согласия отсутствует полностью. Ноль consent-запросов, ноль Set-Cookie ответов. GTM загружается на +141 мс без какого-либо согласия.
GDPR Art. 6(1), Art. 5(1)(a)

GTM (+141 мс), Google Fonts (+137–156 мс), Webflow CDN (+118 мс), Amazon CloudFront (+119 мс) и Google Web Fonts API (+119 мс) загружаются при открытии страницы без согласия.
GDPR Art. 13(1)(e)

Политика конфиденциальности организации декларирует отсутствие передачи данных за пределы ЕЭЗ. HAR фиксирует Webflow CDN (США), Amazon CloudFront (США), GTM (США), Google Fonts (США). Ни один не упомянут.

Контекст

MTÜ Eesti E-Kaubanduse Liit — Эстонский союз электронной торговли, некоммерческая организация. Объединяет интернет-магазины, выдаёт знак доверия, лоббирует интересы e-commerce. Сайт построен на Webflow. HAR: 30 запросов, 7 доменов.

Замкнутый круг

esmaspaev.ee не имеет собственной политики конфиденциальности и ссылается на политику этой организации. Сам сайт организации не имеет баннера согласия и передаёт данные в США через Webflow, CloudFront и GTM — вопреки тому что декларирует в собственной политике.

Организация которая должна устанавливать стандарты для эстонского e-commerce, чья политика служит заменой для дочернего сайта — не соблюдает базовых требований GDPR на собственном сайте.

Webflow — американская инфраструктура

Сайт построен на Webflow, американской no-code платформе. Весь контент, CSS и JavaScript загружаются с cdn.prod.website-files.com — CDN Webflow в США. jQuery загружается с Amazon CloudFront. Это означает что IP каждого посетителя сайта организации, декларирующей работу в ЕЭЗ, передаётся в американскую инфраструктуру при каждом запросе.

GTM без баннера

GTM загружается на +141 мс — и больше ничего не происходит в части согласия. Ни CookieYes, ни Cookiebot, ни OneTrust. 30 запросов за сессию, ноль consent-запросов. GTM прописан в коде и активен — что именно он загружает определяется конфигурацией контейнера, которая не видна в HAR.

Вывод

Эстонский союз электронной торговли — организация которая по определению должна знать требования GDPR и служить примером для своих членов — не имеет баннера согласия, передаёт данные в США через американскую инфраструктуру и декларирует в политике обратное. Это не технически сложная проблема: Webflow поддерживает интеграцию с CMP, GTM поддерживает Consent Mode. Вопрос в приоритетах.

Доказательство

Оригинал (разбор)

HAR-файл: ee/e-kaubanduseliit-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом e-kaubanduseliit.ee.

2. Обстоятельства
Я посетил сайт e-kaubanduseliit.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Баннер согласия отсутствует полностью. Ноль consent-запросов, ноль Set-Cookie ответов. GTM загружается на +141 мс без какого-либо согласия.

2) GTM (+141 мс), Google Fonts (+137–156 мс), Webflow CDN (+118 мс), Amazon CloudFront (+119 мс) и Google Web Fonts API (+119 мс) загружаются при открытии страницы без согласия.

3) Политика конфиденциальности организации декларирует отсутствие передачи данных за пределы ЕЭЗ. HAR фиксирует Webflow CDN (США), Amazon CloudFront (США), GTM (США), Google Fonts (США). Ни один не упомянут.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/e-kaubanduseliit-ee/

3. Нарушенные положения
GDPR Art. 7; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]