Технический аудит · 2026-05-17

ehituseabc.ee

Сеть строительных магазинов Эстонии

Любимый строительный магазин Эстонии — хорошие цены, частые скидки. Под капотом: 3757 запросов за одну сессию, из них 1448 — к Quantcast, одному из крупнейших брокеров данных в мире, который строит поведенческие профили для таргетированной рекламы. В политике конфиденциальности он не упомянут вообще.

Хронология утечки

Брокер данных — 1448 запросов

Quantcast работает через три домена сразу (www, static, info.quantcast.com). Это один из крупнейших мировых брокеров данных — строит поведенческие профили пользователей для таргетированной рекламы. В политике ABC не упомянут.

Телеметрия и остальное

Microsoft Application Insights (106 запросов) — телеметрия поведения; в политике лишь куки ai_user/ai_session, домены передачи не раскрыты. Cloudflare Insights и Vimeo есть в трафике, в политике отсутствуют.

Декларация против факта

✓ Application Insights — только куки ai_user, ai_session — заявлен

+ Quantcast — 1448 запросов, брокер данных — не заявлен

+ NopCommerce — данные покупателей в США — не заявлен

+ Cloudflare Insights, Vimeo — не заявлен

+ Домены передачи Application Insights — не заявлен

Тайминги передачи

за сессию quantcast.com (×3 домена) прошёл 1448 запросов. Брокер данных, поведенческие профили. В политике нет

за сессию nopcommerce.com прошёл 382 запроса. Данные покупателей в США. В политике нет

за сессию dc.services.visualstudio.com прошёл Application Insights, 106 запросов. Домены не раскрыты

Зафиксированные трекеры

Quantcast (брокер данных)
NopCommerce (США)
Microsoft Application Insights
Cloudflare Insights
Vimeo

Зафиксированные нарушения

GDPR Art. 13(1)(e)

Quantcast (1448 запросов, один из крупнейших брокеров данных в мире, строит поведенческие профили) не упомянут в политике конфиденциальности вообще. Не упомянуты также NopCommerce, Cloudflare Insights и Vimeo.
GDPR Art. 13(1)(f), Chapter V

NopCommerce (382 запроса) передаёт данные покупателей на американские серверы — механизм передачи в США не указан. Application Insights уходит на az416426.vo.msecnd.net и dc.services.visualstudio.com.
GDPR Art. 13(1)(e) — частичное раскрытие

Microsoft Application Insights упомянут в политике только как куки ai_user и ai_session, но домены передачи (az416426.vo.msecnd.net, dc.services.visualstudio.com) не раскрыты.
GDPR Art. 5(1)(a)

Реальный список получателей данных кратно шире заявленного в политике: Quantcast, NopCommerce, Cloudflare, Vimeo отсутствуют, Application Insights раскрыт лишь частично.

Контекст

ehituseabc.ee — сайт сети строительных магазинов Ehituse ABC, одного из популярных в Эстонии: хорошие цены, частые скидки, широкий ассортимент. HAR: 3757 запросов за одну сессию — один из самых нагруженных трекингом сайтов серии.

Quantcast — 1448 запросов

Больше трети всего трафика сессии приходится на Quantcast, работающий через три домена сразу: www.quantcast.com, static.quantcast.com, info.quantcast.com. Quantcast — один из крупнейших брокеров данных в мире: его бизнес — строить поведенческие профили пользователей для таргетированной рекламы. В политике конфиденциальности Ehituse ABC он не упомянут вообще.

Платформа и телеметрия

NopCommerce (382 запроса на американские серверы) — платформа, на которой работает интернет-магазин; данные покупателей уходят в США, в политике она не названа. Microsoft Application Insights (106 запросов) — телеметрия поведения пользователей; в политике упомянут лишь как куки ai_user и ai_session, но домены передачи (az416426.vo.msecnd.net, dc.services.visualstudio.com) не раскрыты. Cloudflare Insights и Vimeo присутствуют в трафике и тоже отсутствуют в политике.

Личное наблюдение

Quantcast — та самая компания, которая больше 30 дней не отвечает на официальный GDPR-запрос о доступе к собственным данным заявителя (срок ответа по ст.12 — 30 дней). При этом она активно работает на эстонском рынке через десятки сайтов, собирая данные ежедневно. Получается асимметрия: собрать данные о пользователе — мгновенно и в полном объёме; выдать пользователю его же данные по закону — некогда.

Вывод

Это любимый многими строительный магазин, и под капотом у него — типичная для e-commerce картина, только в увеличенном масштабе: 3757 запросов, треть из них к мировому брокеру данных, которого нет в политике; платформа магазина и телеметрия уходят в США без раскрытия. Цель разбора — не утопить магазин, а показать типичную картину: за удобным каталогом и скидками работает индустрия профилирования, о которой покупатель не знает. Кроме тех, кто открыл F12.

Доказательство

Оригинал (разбор)

HAR-файл: ee/ehituseabc-ee-2026-05-17.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ehituseabc.ee.

2. Обстоятельства
Я посетил сайт ehituseabc.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 17.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Quantcast (1448 запросов, один из крупнейших брокеров данных в мире, строит поведенческие профили) не упомянут в политике конфиденциальности вообще. Не упомянуты также NopCommerce, Cloudflare Insights и Vimeo.

2) NopCommerce (382 запроса) передаёт данные покупателей на американские серверы — механизм передачи в США не указан. Application Insights уходит на az416426.vo.msecnd.net и dc.services.visualstudio.com.

3) Microsoft Application Insights упомянут в политике только как куки ai_user и ai_session, но домены передачи (az416426.vo.msecnd.net, dc.services.visualstudio.com) не раскрыты.

4) Реальный список получателей данных кратно шире заявленного в политике: Quantcast, NopCommerce, Cloudflare, Vimeo отсутствуют, Application Insights раскрыт лишь частично.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ehituseabc.ee/

3. Нарушенные положения
GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 13(1)(e) — частичное раскрытие; GDPR Art. 5(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]