Технический аудит · 2026-04-05

euronics.ee

Сеть магазинов электроники

Коммерческий сайт с 1605 запросами за сессию. Google Analytics и Microsoft Clarity запускаются до согласия. После нажатия «Разрешить» одновременно активируются 44 рекламных домена — RTB-аукцион в реальном времени. Кнопки «Отклонить всё» не существует.

Хронология утечки

+5 сек · до согласия

Google Analytics — данные уходят в США через 5 секунд после открытия сайта. До любого взаимодействия с баннером.

+11 сек · до согласия

Microsoft Clarity — сервис записи сессий. Фиксирует каждое движение мыши, клик, скролл. Передаёт данные в США (Microsoft). До согласия.

+250,5 сек · после согласия

TikTok (analytics.tiktok.com) — 16 запросов. ByteDance. Передача данных в Китай.

+250,6 сек · после согласия

Facebook/Meta (11 запросов), Pinterest (116 запросов), Reddit (8 запросов), Criteo (257 запросов) — все запускаются в течение одной секунды.

+261 сек · после согласия

Adobe DMP/Demdex (156 запросов), Index Exchange/Casale Media (78 запросов), ID5 (39 запросов), BidSwitch, PubMatic, Taboola, Outbrain, Teads, 3lift, Yieldlab, SmartAdServer, Media.net — RTB-аукцион.

Декларация против факта

✓ Facebook / Meta — заявлен

✓ Google Analytics — заявлен

✓ Zendesk — заявлен

✓ Vimeo — заявлен

✓ TikTok — заявлен

✓ Criteo — заявлен

✓ Pinterest — заявлен

✓ Reddit — заявлен

+ Microsoft Clarity — запись сессий, до согласия — не заявлен

+ Adobe DMP / Demdex — 156 запросов — не заявлен

+ ID5 — синхронизация рекламного идентификатора — не заявлен

+ BidSwitch — не заявлен

+ PubMatic — не заявлен

+ Index Exchange / Casale Media — не заявлен

+ Outbrain — не заявлен

+ Taboola — не заявлен

+ Teads — не заявлен

+ 3lift — не заявлен

+ SmartAdServer — не заявлен

+ Media.net — не заявлен

+ Yieldlab — не заявлен

Тайминги передачи

+5 сек Google Analytics до согласия Данные в США до баннера

+11 сек Microsoft Clarity до согласия Запись сессии, данные в США

+250,5 сек analytics.tiktok.com после согласия 16 запросов. ByteDance, Китай

+250,6 сек connect.facebook.net после согласия 11 запросов. Meta, США

+250,6 сек ct.pinterest.com после согласия 116 запросов. США

+250,6 сек alb.reddit.com после согласия 8 запросов. США

+250,6 сек gum.criteo.com / sslwidget.criteo.com после согласия 257 запросов — абсолютный лидер

+261 сек dpm.demdex.net после согласия 156 запросов. Adobe DMP, США

+261 сек r.casalemedia.com после согласия 78 запросов. Index Exchange, США

+261 сек id5-sync.com после согласия 39 запросов. Синхронизация рекламного профиля

Зафиксированные трекеры

Google Analytics
Microsoft Clarity
TikTok / ByteDance
Facebook / Meta
Pinterest
Reddit
Criteo
Adobe DMP / Demdex
Index Exchange (Casale Media)
ID5
BidSwitch
PubMatic
Taboola
Outbrain
Teads
3lift
Yieldlab
SmartAdServer
Media.net

Зафиксированные нарушения

GDPR Art. 7

Баннер согласия не предоставляет равнозначной кнопки «Отклонить всё» — есть «Разрешить выбранные» и «Разрешить все», но отказать одним кликом невозможно. Намеренный тёмный паттерн.
GDPR Art. 6(1), Art. 5(1)(a)

Google Analytics запускается через +5 сек после открытия сайта, Microsoft Clarity — через +11 сек. Оба до любого взаимодействия с баннером согласия.
GDPR Art. 13(1)(e)

Более 20 вендоров (Microsoft Clarity, Adobe DMP/Demdex, ID5, BidSwitch, PubMatic, Casale Media, Outbrain, Taboola, Teads, 3lift, SmartAdServer, Media.net, Yieldlab и другие) отсутствуют в политике конфиденциальности.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США и Китай не указан для каждого получателя.
GDPR Chapter V

Передача данных в Китай (TikTok/ByteDance) без указания адекватных гарантий. Ирландская DPC официально подтвердила нарушение GDPR TikTok в 2025 году.

Контекст

Euronics — одна из крупнейших сетей магазинов электроники в Эстонии, часть международной европейской группы. Сайт обслуживает розничных покупателей: каталог товаров, корзина, оформление заказов. 1605 запросов за одну сессию просмотра нескольких товаров.

Баннер согласия — тёмный паттерн

На сайте есть баннер согласия, но кнопки «Отклонить всё» не существует. Представлены два варианта: «Разрешить выбранные» и «Разрешить все». Отказать одним кликом невозможно — нужно войти в настройки и вручную снять каждую галочку. По Art. 7 GDPR отказ от согласия должен быть таким же простым, как его выдача: один клик принять — один клик отказать. Это не техническая оплошность, а намеренный дизайн.

Что происходит до согласия

Баннер появляется с задержкой. К этому моменту два американских сервиса уже получили данные о визите:

Google Analytics запускается через +5 секунд после открытия сайта — до любого взаимодействия с баннером. Данные уходят в США.

Microsoft Clarity (+11 сек) — сервис записи сессий Microsoft. Фиксирует каждое движение мыши, каждый клик, каждый скролл. Данные передаются в США. Тоже до согласия.

Что происходит после согласия

За первые 12 секунд после нажатия «Разрешить» одновременно запускаются 44 рекламных домена.

TikTok (analytics.tiktok.com, +250,5 сек) — 16 запросов. ByteDance. Передача данных в Китай. Ирландская DPC официально подтвердила нарушение GDPR TikTok в 2025 году.

Facebook/Meta (connect.facebook.net, +250,6 сек) — 11 запросов. США.

Pinterest (ct.pinterest.com, +250,6 сек) — 116 запросов. Второй по активности трекер. США.

Reddit (alb.reddit.com, +250,6 сек) — 8 запросов. США.

Criteo (gum.criteo.com, sslwidget.criteo.com, ag.gbc.criteo.com, +250,6 сек) — 257 запросов, абсолютный лидер. Французская компания, международная рекламная инфраструктура.

Adobe DMP / Demdex (dpm.demdex.net, +261 сек) — 156 запросов. Платформа управления данными Adobe. США.

Index Exchange / Casale Media (r.casalemedia.com, +261 сек) — 78 запросов. Канада/США.

ID5 (id5-sync.com, +261 сек) — 39 запросов. Единый рекламный идентификатор: синхронизирует профиль пользователя между всеми рекламными сетями.

Следом одновременно: BidSwitch, PubMatic, Taboola, Outbrain, Teads, 3lift, Yieldlab, SmartAdServer, Media.net — все запускаются в течение одной секунды. Это RTB-аукцион: данные о пользователе продаются рекламным покупателям в реальном времени.

Декларация против факта

Политика конфиденциальности перечисляет: Facebook, Google, Zendesk, Vimeo, TikTok, Criteo, Pinterest, Reddit.

Не упомянуты: Microsoft Clarity, Adobe DMP/Demdex, ID5, BidSwitch, PubMatic, Casale Media, Outbrain, Taboola, Teads, 3lift, SmartAdServer, Media.net, Yieldlab — и ряд других. Более 20 фактических получателей данных отсутствуют в политике. Нарушение Art. 13(1)(e): субъект данных должен знать всех получателей своих данных. Механизм передачи в США и Китай не указан ни для одного из них — нарушение Art. 13(1)(f) и Chapter V.

Вывод

Это не исключение. Это стандартная картина среднего интернет-магазина в Эстонии: тёмный паттерн в баннере, трекеры до согласия, RTB-аукцион после, половина вендоров не задекларирована. 1605 запросов за сессию — цифра, которая сама себя объясняет.

Valmis kaebus AKI-le

AKI rakendab kaebuste menetlemisel ainult eesti keelt. Allpool on valmis tõlge, mille saab saata otse, ilma täiendava tõlketa.

Kellele: Andmekaitse Inspektsioon (AKI), info@aki.ee
Kellelt: [Teie nimi], [kontakt-e-post]

NB! Elektroonilised pöördumised peavad olema digitaalallkirjastatud.

1. Kaebuse ese
Esitan kaebuse seoses minu isikuandmete töötlemisega veebisaidil euronics.ee.

2. Asjaolud
Külastasin veebisaiti euronics.ee ja tuvastasin, et minu isikuandmeid töödeldi isikuandmete kaitse üldmääruse (IKÜM) nõudeid rikkudes. Tehniline analüüs, mis on avaldatud aadressil gdpru.eu 05.04.2026 (avatud metoodika, korratavad mõõtmised), dokumenteerib järgmist:

1) Nõusolekuriba ei pakuta võrdväärset nuppu „Lükka kõik tagasi“ — on olemas „Luba valitud“ ja „Luba kõik“, kuid ühe klikiga keeldumine ei ole võimalik. Tahtlik tume muster (dark pattern).

2) Google Analytics käivitub +5 sekundit pärast lehe avamist, Microsoft Clarity — +11 sekundit. Mõlemad enne kasutaja suhtlust nõusolekuribaga.

3) Rohkem kui 20 teenusepakkujat (Microsoft Clarity, Adobe DMP/Demdex, ID5, BidSwitch, PubMatic, Casale Media, Outbrain, Taboola, Teads, 3lift, SmartAdServer, Media.net, Yieldlab ja teised) puuduvad privaatsuspoliitikast.

4) Andmete edastamise mehhanism USA-sse ja Hiinasse ei ole iga vastuvõtja kohta märgitud.

5) Andmete edastamine Hiinasse (TikTok/ByteDance) sobivate kaitsemeetmeteta. Iiri DPC kinnitas ametlikult TikToki GDPR rikkumist 2025. aastal.
Täielik tehniline dokumentatsioon on avaldatud aadressil: https://gdpru.eu/audits/euronics.ee/

3. Rikutud sätted
IKÜM art 7; IKÜM art 6 lg 1, art 5 lg 1 punkt a; IKÜM art 13 lg 1 punkt e; IKÜM art 13 lg 1 punkt f, V peatükk; IKÜM V peatükk

4. Nõue
Palun viia läbi nimetatud rikkumiste kontroll ja kohaldada IKÜM artikli 58 lõikes 2 ette nähtud meetmeid.

5. Lisad
Täielik tõendusmaterjal — HAR-fail, kontrollsumma SHA-256 ning veebisaidi privaatsuspoliitika tsitaat, mis dokumenteerib nimetatud vastuolu — on avaldatud ja kontrollitav punktis 2 viidatud lingil.

[Kuupäev] [Allkiri/nimi]

Ниже — то же письмо на русском (текст этого разбора) — для понимания содержания или перевода на другой язык.

Доказательство

Оригинал (разбор)

HAR-файл: ee/euronics-ee-2026-04-05.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом euronics.ee.

2. Обстоятельства
Я посетил сайт euronics.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 05.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Баннер согласия не предоставляет равнозначной кнопки «Отклонить всё» — есть «Разрешить выбранные» и «Разрешить все», но отказать одним кликом невозможно. Намеренный тёмный паттерн.

2) Google Analytics запускается через +5 сек после открытия сайта, Microsoft Clarity — через +11 сек. Оба до любого взаимодействия с баннером согласия.

3) Более 20 вендоров (Microsoft Clarity, Adobe DMP/Demdex, ID5, BidSwitch, PubMatic, Casale Media, Outbrain, Taboola, Teads, 3lift, SmartAdServer, Media.net, Yieldlab и другие) отсутствуют в политике конфиденциальности.

4) Механизм передачи данных в США и Китай не указан для каждого получателя.

5) Передача данных в Китай (TikTok/ByteDance) без указания адекватных гарантий. Ирландская DPC официально подтвердила нарушение GDPR TikTok в 2025 году.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/euronics.ee/

3. Нарушенные положения
GDPR Art. 7; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]