EUGDPR Audit
RU EN
Технический аудит · 2026-06-06

omnivagroup.com

Государственная почтовая служба Эстонии
EE

Государственная почтовая служба Эстонии. Cookiebot загружается на +954 мс, GTM — на +1053 мс. GA collect уходит на +1530 мс — до того как пользователь увидел баннер. Два GA4 контейнера: один активен, один возвращает 404.

Хронология утечки

+954 мс · баннер начинает загружаться
Cookiebot (consent.cookiebot.com) — загрузка начинается. Баннер ещё не отрендерен.
+957 мс · до баннера
Cloudflare Turnstile (challenges.cloudflare.com) — anti-bot защита. IP в Cloudflare, США.
+965 мс · до баннера
Cloudflare Insights (static.cloudflareinsights.com) — аналитический маяк. США.
+1053 мс · до баннера
GTM (GTM-NZM7ZWK7) — загружается пока Cookiebot ещё не готов.
+1307 мс · баннер виден
Cookiebot SDK полностью загружен (bc-v4.min.html). Баннер появляется.
+1445 мс
GA4 G-CSG389Q6FR загружается через GTM. Второй контейнер G-L782ZE2F7P возвращает 404 — не существует.
+1530 мс
GA collect (G-CSG389Q6FR) — данные уходят в Google, США. До взаимодействия пользователя с баннером.

Декларация против факта

Вариативные cookies — упомянуты в общих чертах — заявлен
Cookiebot — упомянут как инструмент управления согласием — заявлен
+ Cloudflare Turnstile (challenges.cloudflare.com) — не заявлен
+ GA4 G-L782ZE2F7P — прописан в коде, возвращает 404 — не заявлен

Тайминги передачи

+954 мс consent.cookiebot.com баннер Начало загрузки Cookiebot
+957 мс challenges.cloudflare.com до баннера Turnstile anti-bot. США
+965 мс static.cloudflareinsights.com до баннера Cloudflare Insights beacon
+1053 мс www.googletagmanager.com до баннера GTM-NZM7ZWK7
+1307 мс consentcdn.cookiebot.com баннер SDK готов, баннер виден
+1530 мс region1.google-analytics.com до согласия GA4 collect. США

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Omniva — государственная почтовая служба Эстонии, AS Eesti Post. Управляет сетью почтоматов по всей Балтии, обрабатывает посылки и письма миллионов клиентов. Сайт omnivagroup.com — корпоративный портал группы. HAR записан на странице политики использования cookies. HAR: 66 запросов, 7 доменов.

Порядок загрузки — 353 миллисекунды

Cookiebot начинает загружаться на +954 мс. GTM — на +1053 мс. Разрыв между ними — 99 мс. Cookiebot SDK полностью готов на +1307 мс — только тогда баннер физически появляется на экране. GA collect уходит на +1530 мс — через 223 мс после появления баннера, но до любого взаимодействия пользователя с ним.

Это граничный случай, похожий на zalando.ee и boozt.com: CMP есть, но порядок загрузки скриптов нарушает принцип согласия до обработки.

Мёртвый GA4 контейнер

GTM загружает два GA4 контейнера: G-CSG389Q6FR (активен, статус 200) и G-L782ZE2F7P (статус 404 — не существует). Второй контейнер прописан в GTM, инициирует запрос, получает 404 — и данные не уходят. Но сам факт что в production-конфигурации GTM прописан несуществующий идентификатор аналитики указывает на неактуальную конфигурацию.

Cloudflare Turnstile

challenges.cloudflare.com/turnstile — это замена Google reCAPTCHA от Cloudflare. Технически более приватная чем reCAPTCHA Enterprise, но всё равно передаёт данные в Cloudflare (США). В политике конфиденциальности Omniva не упомянут.

Вывод

Omniva использует Cookiebot — это правильный выбор. Политика на эстонском языке описывает категории cookies. Но GTM загружается за 254 мс до полной готовности Cookiebot, GA collect уходит до взаимодействия с баннером, мёртвый GA4 контейнер указывает на неактуальную конфигурацию, Cloudflare Turnstile не задекларирован. Для государственной компании с миллионами клиентов — технически несложные исправления.

Доказательство
Оригинал (разбор)
HAR-файл: ee/omnivagroup-com-2026-06-06.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом omnivagroup.com.

2. Обстоятельства
Я посетил сайт omnivagroup.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Cookiebot (+954 мс) и GTM (+1053 мс) загружаются почти одновременно. Cloudflare Insights (+965 мс) и Cloudflare Turnstile (+957 мс) запускаются до полной загрузки баннера. GA collect уходит на +1530 мс — к этому моменту баннер ещё не показан пользователю.

2) GTM и GA4 активируются раньше чем Cookiebot успел отрендерить баннер и показать его пользователю. GA collect на +1530 мс уходит в США до взаимодействия с баннером.

3) Cloudflare Turnstile (anti-bot защита) не упомянут в политике как получатель данных. Политика описывает cookie общими категориями без перечисления конкретных получателей.

4) Google Analytics (G-CSG389Q6FR) — США. Cloudflare (Insights, Turnstile) — США. Механизм передачи не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ee-omnivagroup-com/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]