Технический аудит · 2026-06-06

esmaspaev.ee

Агрегатор скидок и акций эстонских интернет-магазинов

Агрегатор акций без собственной политики конфиденциальности — ссылка ведёт на политику организации-владельца. GTM загружается за 163 мс до CookieYes. Microsoft Clarity фиксирует каждый клик на протяжении 37 секунд — 15 collect-запросов.

Хронология утечки

+86 мс · до баннера

GTM (GTM-PT86HWWK) — за 163 мс до CookieYes.

+97 мс · до баннера

Google Fonts (fonts.gstatic.com) — Work Sans. IP в Google, США.

+256 мс · до баннера

Microsoft Clarity (clarity.ms/tag?ref=gtm) — запускается через GTM до появления баннера.

+376 мс

GA4 collect (G-4XJWQ71FC5) — данные в Google, США.

+417 мс

Delfi API (portal-feeds.api.delfi.ee) — настройки и контент магазинов. Эстония.

+509–37094 мс

Microsoft Clarity — 15 collect-запросов за 37 секунд сессии. Записывает каждое взаимодействие.

Декларация против факта

+ Google Tag Manager (GTM-PT86HWWK) — не заявлен

+ Google Analytics GA4 (G-4XJWQ71FC5) — не заявлен

+ Microsoft Clarity — не заявлен

+ Google Fonts — не заявлен

Тайминги передачи

+86 мс www.googletagmanager.com до баннера GTM-PT86HWWK — за 163 мс до CookieYes

+249 мс cdn-cookieyes.com баннер CookieYes начинает загружаться

+256 мс www.clarity.ms до баннера Clarity через GTM — до появления баннера

+376 мс region1.google-analytics.com до согласия GA4 collect

+509 мс scripts.clarity.ms до согласия Clarity JS загружен

+643–37094 мс y.clarity.ms до согласия 15 collect-запросов за 37 секунд

Зафиксированные трекеры

Google Tag Manager (GTM-PT86HWWK)
Google Analytics GA4 (G-4XJWQ71FC5)
Microsoft Clarity (clarity.ms)
Google Fonts (fonts.gstatic.com)
CookieYes (cdn-cookieyes.com)
Delfi API (portal-feeds.api.delfi.ee)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

GTM (+86 мс) загружается за 163 мс до CookieYes (+249 мс). Microsoft Clarity через GTM (+256 мс) — за 7 мс до CookieYes. GA collect уходит на +376 мс — до появления баннера. Clarity отправляет 15 collect-запросов за сессию длительностью 37 секунд.
GDPR Art. 7

CookieYes загружается на +249 мс, но GTM и Clarity уже активны. Clarity запускается через GTM с ref=gtm — это означает что GTM должен был быть заблокирован до согласия, но не заблокирован.
GDPR Art. 13(1)(c) — отсутствие политики конфиденциальности

esmaspaev.ee не имеет собственной политики конфиденциальности. Ссылка ведёт на политику Эстонского союза электронной торговли (MTÜ Eesti E-Kaubanduse Liit) — организации которая управляет сайтом. Эта политика описывает обработку данных членов организации, а не посетителей сайта esmaspaev.ee.
GDPR Art. 13(1)(e)

Политика союза декларирует отсутствие передачи данных за пределы ЕЭЗ. HAR фиксирует GTM, GA4, Microsoft Clarity, Google Fonts — все в США. Ни один из них не упомянут.

Контекст

esmaspaev.ee — агрегатор акций и скидок эстонских интернет-магазинов, управляется MTÜ Eesti E-Kaubanduse Liit (Эстонский союз электронной торговли). Сайт не продаёт товары напрямую — перенаправляет пользователей в магазины-партнёры. Контент акций загружается через Delfi API (portal-feeds.api.delfi.ee). HAR: 46 запросов, 12 доменов. Сессия на странице правил акции.

Нет собственной политики конфиденциальности

esmaspaev.ee не имеет собственной политики конфиденциальности для посетителей сайта. Ссылка в подвале ведёт на политику MTÜ Eesti E-Kaubanduse Liit — некоммерческой организации-владельца. Эта политика описывает обработку данных членов организации (контактные данные, деловые отношения) и прямо декларирует что данные не передаются за пределы ЕЭЗ. HAR фиксирует GTM, GA4 и Microsoft Clarity — все в США. Ни один из них не упомянут в политике организации.

По Art. 13(1) GDPR контролёр данных обязан предоставить информацию об обработке в момент сбора данных. Для посетителей esmaspaev.ee этой информации не существует — политика организации её не содержит.

GTM и Clarity до CookieYes

GTM загружается на +86 мс. CookieYes только на +249 мс. Microsoft Clarity через GTM активируется на +256 мс — через 7 мс после начала загрузки CookieYes, но до его появления на экране. GA collect уходит на +376 мс.

Clarity запускается с параметром ref=gtm — это означает что он активирован через GTM-тег, а не напрямую. GTM должен был быть заблокирован CookieYes до согласия — но загружается раньше баннера.

Microsoft Clarity — 15 запросов за 37 секунд

За сессию длительностью 37 секунд Clarity отправляет 15 collect-запросов: на +643, +1664, +4966, +14195, +16092, +16464, +18131, +21113, +24947, +29119, +33520, +33898, +37094 мс и другие. Это непрерывная запись взаимодействий пользователя с агрегатором акций — каждый клик на скидку фиксируется в Microsoft.

Delfi — контентная инфраструктура

Контент акций загружается через Delfi API (portal-feeds.api.delfi.ee): настройки сайта, правила регистрации, лента магазинов. Изображения — с upload.s3.delfi.ee и g.delfi.ee. Delfi — эстонский медиаконцерн, данные остаются в ЭЭЗ. Это правильная архитектурная зависимость, но она означает что esmaspaev.ee технически является фронтендом Delfi-инфраструктуры.

Вывод

Агрегатор без собственной политики конфиденциальности использует GTM, GA4 и Microsoft Clarity — все до CookieYes, все передают данные в США. Политика организации-владельца декларирует отсутствие передачи данных за пределы ЕЭЗ. Для сайта который перенаправляет пользователей в магазины-партнёры отсутствие собственной политики конфиденциальности — это не технический вопрос, а базовое требование GDPR которое не выполнено.

Доказательство

Оригинал (разбор)

HAR-файл: ee/esmaspaev-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом esmaspaev.ee.

2. Обстоятельства
Я посетил сайт esmaspaev.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (+86 мс) загружается за 163 мс до CookieYes (+249 мс). Microsoft Clarity через GTM (+256 мс) — за 7 мс до CookieYes. GA collect уходит на +376 мс — до появления баннера. Clarity отправляет 15 collect-запросов за сессию длительностью 37 секунд.

2) CookieYes загружается на +249 мс, но GTM и Clarity уже активны. Clarity запускается через GTM с ref=gtm — это означает что GTM должен был быть заблокирован до согласия, но не заблокирован.

3) esmaspaev.ee не имеет собственной политики конфиденциальности. Ссылка ведёт на политику Эстонского союза электронной торговли (MTÜ Eesti E-Kaubanduse Liit) — организации которая управляет сайтом. Эта политика описывает обработку данных членов организации, а не посетителей сайта esmaspaev.ee.

4) Политика союза декларирует отсутствие передачи данных за пределы ЕЭЗ. HAR фиксирует GTM, GA4, Microsoft Clarity, Google Fonts — все в США. Ни один из них не упомянут.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/esmaspaev-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(c) — отсутствие политики конфиденциальности; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]