Технический аудит · 2026-06-06

smartposti.ee

Сеть посылочных автоматов в Эстонии, дочерняя компания финской Posti Group

Финская Posti Group в Эстонии. GTM загружается на +574 мс — за 267 мс до OneTrust. New Relic использует EU-инстанс (bam.eu01.nr-data.net) — осознанный выбор. Но порядок загрузки GTM нарушает принцип согласия до обработки.

Хронология утечки

+128 мс · до баннера

Posti CDN (cdn.posti.fi) — шрифты и стили финской материнской компании. Финляндия/ЕС.

+132 мс · до баннера

Contentful CDN (images.ctfassets.net) — CMS изображения. США.

+574 мс · до баннера

GTM (GTM-NHWQ4B77) — загружается за 267 мс до OneTrust.

+663 мс · до баннера

www.posti.fi/federated-module — JavaScript модуль финского родителя. Финляндия.

+880 мс

unpkg.com (web-vitals@5.0.1) — измерение производительности. США.

+1145 мс · баннер готов

OneTrust полностью загружен — баннер виден пользователю.

+1472 мс

New Relic (js-agent.newrelic.com) — мониторинг производительности.

+1651 мс

New Relic collect (bam.eu01.nr-data.net) — EU-инстанс. Данные в ЕС.

Декларация против факта

✓ Google Analytics — упомянут в политике — заявлен

✓ Facebook — упомянут в политике — заявлен

+ New Relic (js-agent.newrelic.com) — не заявлен

+ Contentful CDN (images.ctfassets.net) — не заявлен

+ unpkg.com (web-vitals) — не заявлен

+ Posti CDN (cdn.posti.fi, www.posti.fi) — не заявлен

Тайминги передачи

+128 мс cdn.posti.fi до баннера Шрифты и стили Posti Group

+574 мс www.googletagmanager.com до баннера GTM-NHWQ4B77 — за 267 мс до OneTrust

+841 мс cdn-ukwest.onetrust.com баннер OneTrust начинает загружаться

+1145 мс cdn-ukwest.onetrust.com баннер OneTrust полностью готов

+1472 мс js-agent.newrelic.com после баннера New Relic SPA агент

+1651 мс bam.eu01.nr-data.net после баннера New Relic EU-инстанс. Данные в ЕС

Зафиксированные трекеры

Google Tag Manager (GTM-NHWQ4B77)
OneTrust (cdn-ukwest.onetrust.com)
New Relic (js-agent.newrelic.com, bam.eu01.nr-data.net)
unpkg.com CDN (web-vitals)
Contentful CDN (images.ctfassets.net)
Posti CDN (cdn.posti.fi, www.posti.fi)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

GTM (+574 мс) загружается за 267 мс до начала загрузки OneTrust (+841 мс). Posti CDN (+128 мс) и Contentful CDN (+132 мс) запускаются немедленно. New Relic (+1472 мс) активируется после OneTrust но до взаимодействия пользователя с баннером.
GDPR Art. 7

GTM загружается за 267 мс до OneTrust. OneTrust полностью загружается к ~+1145 мс. Между загрузкой GTM и появлением баннера — около 600 мс в которые аналитика могла инициализироваться.
GDPR Art. 13(1)(e)

Политика конфиденциальности упоминает Google Analytics в общих чертах. New Relic, Contentful CDN, unpkg.com, Posti CDN (www.posti.fi) не упомянуты как получатели данных.
GDPR Art. 13(1)(f), Chapter V

GTM, unpkg.com, Contentful — серверы в США. Механизм передачи не указан для каждого получателя.

Контекст

SmartPost Estonia OÜ — сеть посылочных автоматов в Эстонии, дочерняя компания финской Posti Group Oyj. Конкурент Omniva на рынке посылочных автоматов Эстонии. HAR: 55 запросов, 9 доменов. Сессия на странице для бизнес-клиентов.

GTM раньше баннера — 267 миллисекунд

GTM загружается на +574 мс. OneTrust начинает загружаться на +841 мс. Разрыв — 267 мс. OneTrust полностью готов к ~+1145 мс. Между загрузкой GTM и появлением баннера — почти 600 миллисекунд. Это та же проблема что у Zalando, Omniva и SmartPost — порядок загрузки скриптов нарушает принцип согласия до обработки.

New Relic EU — осознанный выбор

New Relic собирает данные о производительности SPA: транзакции, JavaScript-ошибки, события. SmartPost использует EU-инстанс: bam.eu01.nr-data.net — данные обрабатываются в ЕС. Это третий сайт в серии после IIZI и Sentry-EU у Zalando где мониторинг производительности намеренно оставлен в европейской инфраструктуре.

Posti CDN — зависимость от материнской компании

cdn.posti.fi загружает шрифты и CSS финской Posti Group (+128 мс). www.posti.fi/federated-module (+663 мс) загружает JavaScript модуль через Webpack Module Federation — смарт-компонент прямо с финского сайта. Это архитектурное решение: эстонский сайт импортирует живые компоненты финского родителя. IP каждого посетителя передаётся в Финляндию при каждом открытии сайта.

Contentful и unpkg

images.ctfassets.net — CDN Contentful, американской CMS-платформы. Изображения хостятся на серверах США. unpkg.com загружает web-vitals@5.0.1 — библиотеку измерения производительности Google. Оба не упомянуты в политике конфиденциальности.

Сравнение с Omniva

Оба — почтовые операторы на эстонском рынке, оба используют CMP (Omniva — Cookiebot, SmartPost — OneTrust). Оба грузят GTM до баннера. SmartPost выбрал EU-инстанс New Relic — это преимущество перед Omniva. Omniva использует Cloudflare Turnstile, SmartPost — нет.

Вывод

SmartPost демонстрирует осознанные решения в части EU-инфраструктуры: New Relic EU, Posti CDN в Финляндии. Но GTM загружается за 267 мс до OneTrust — стандартная проблема порядка загрузки. Contentful CDN и unpkg.com не задекларированы. Политика конфиденциальности описывает Google Analytics и Facebook в общих чертах, не называя других фактических получателей.

Доказательство

Оригинал (разбор)

HAR-файл: ee/smartposti-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом smartposti.ee.

2. Обстоятельства
Я посетил сайт smartposti.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (+574 мс) загружается за 267 мс до начала загрузки OneTrust (+841 мс). Posti CDN (+128 мс) и Contentful CDN (+132 мс) запускаются немедленно. New Relic (+1472 мс) активируется после OneTrust но до взаимодействия пользователя с баннером.

2) GTM загружается за 267 мс до OneTrust. OneTrust полностью загружается к ~+1145 мс. Между загрузкой GTM и появлением баннера — около 600 мс в которые аналитика могла инициализироваться.

3) Политика конфиденциальности упоминает Google Analytics в общих чертах. New Relic, Contentful CDN, unpkg.com, Posti CDN (www.posti.fi) не упомянуты как получатели данных.

4) GTM, unpkg.com, Contentful — серверы в США. Механизм передачи не указан для каждого получателя.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ee-smartposti-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]