EUGDPR Audit
RU EN
Технический аудит · 2026-04-09

inforegister.ee

Коммерческая база данных о компаниях и физических лицах
EE

Компания, которая профессионально торгует данными о людях — «Business data. Business risks. Ratings.». На странице, где посетитель читает её политику конфиденциальности, работает Google reCAPTCHA, а ссылки в тексте ведут прямо в Google. Читателя политики дважды отправляют в Google: через reCAPTCHA и через клик.

Хронология утечки

−6,7 сек · до старта страницы
static.ssb.ee (ScoreStoryBook) — запросы к другому продукту Kreedix Group начались ещё до официального старта страницы. Передача данных внутри группы без уведомления.
+0,26–0,56 сек · до согласия
GTM (GT-M34QRD4, +0,26 сек) вызывается безусловно. WebPushr (+0,56 сек) — push-сервис, собирает данные браузера и устройства. Браузер заблокировал, но попытки зафиксированы. Данные в США.
Баннер согласия
Три кнопки: «Allow all», «About», «Necessary». Кнопки «Reject all» нет. «Allow all» визуально выделена — тёмный паттерн. «About» ведёт на другой домен (group.kreedix.ee).

Декларация против факта

Google Analytics — заявлен
Cookies для профилирования — заявлен
eID-аутентификация — заявлен
+ Google Tag Manager (GT-M34QRD4) — не заявлен
+ WebPushr — push-уведомления — не заявлен
+ ScoreStoryBook (static.ssb.ee) как получатель данных — не заявлен
+ Google reCAPTCHA на странице политики — не заявлен

Тайминги передачи

−6,7 сек static.ssb.ee (ScoreStoryBook) прошёл Продукт Kreedix Group. Передача внутри группы, не задекларирована
+0,26 сек Google Tag Manager (GT-M34QRD4) заблокирован Вызван безусловно. Браузер заблокировал, попытка в HAR. Данные в США
+0,56 сек WebPushr заблокирован Push-сервис, данные браузера и устройства. В политике отсутствует
на стр. политики Google reCAPTCHA прошёл Работает на странице политики конфиденциальности. Данные в Google

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

inforegister.ee (Kreedix OÜ) — коммерческая база данных о компаниях и физических лицах: «Business data. Business risks. Ratings. Forecasts.». Компания с 20-летней историей, 95% автоматизации, 90% IT-персонала — она профессионально торгует данными о людях. HAR: 46 запросов за сессию, 4 внешних домена. Вопрос простой: как организация, зарабатывающая на данных, обращается с данными собственных посетителей.

Баннер и тёмный паттерн

Три кнопки: «Allow all», «About», «Necessary». Кнопки «Reject all» не существует — чтобы отказаться, нужно нажать «Necessary», что не является равнозначным отказом одним кликом (Art. 7(3)). Визуальная иерархия намеренно выделяет «Allow all» (синяя, крупная, первая), а «Necessary» делает белой, меньше и последней — давление в сторону максимального согласия. До нажатия любой кнопки уже сработали GTM (+0,26 сек) и WebPushr (+0,56 сек), а запросы к ScoreStoryBook (другому продукту Kreedix Group) начались за 6,7 секунды до официального старта страницы.

Политика, которая отправляет читателя в Google

Кнопка «About» в баннере ведёт на другой домен — group.kreedix.ee. Это сайт головной компании, а не inforegister.ee, что усложняет доступ и создаёт путаницу, кто является контролёром (Art. 12, 13). На самой странице политики внизу мелким текстом: «This site is protected by reCAPTCHA…». Google reCAPTCHA работает на странице, где человек читает политику конфиденциальности — в момент, когда он пытается узнать, как сайт обрабатывает его данные, Google собирает данные о его визите. Более того, слова «Privacy Policy» и «Terms of Service» — кликабельные ссылки на google.com: при клике браузер отправляет Google заголовок Referer с адресом страницы политики Kreedix. Компания, которая торгует данными о людях, отправляет читателей собственной политики прямо в Google — дважды: через reCAPTCHA и через клик.

На той же странице: «Copyright Kreedix OÜ 2026. The use of works published on the website is allowed only with the prior written consent of Kreedix OÜ». Компания заявляет авторское право на собственную политику конфиденциальности. По Art. 12 GDPR информация об обработке данных должна предоставляться свободно — ограничение её распространения через copyright юридически сомнительно.

Web eID на брокере данных

На сайте интегрирована эстонская электронная идентификация: пользователи авторизуются через ID-карту или Mobile-ID для доступа к платным данным. Компания, которая профессионально торгует данными о физических лицах, связывает реальную идентифицированную личность с коммерческим профилем покупателя — и в той же сессии работают незадекларированные WebPushr и GTM. Это требует отдельного обоснования по Art. 9 GDPR.

Вывод

Политика упоминает Google Analytics, профилирование и eID, но молчит о GTM, WebPushr, ScoreStoryBook и reCAPTCHA. Профилирование для маркетинга заявлено на «легитимном интересе», хотя EDPB указывает, что оно требует согласия. Компания, которая зарабатывает на данных о людях, должна образцово соблюдать правила обращения с данными своих посетителей. Пока картина обратная — и публичность здесь работает как стимул её изменить.

Доказательство
Оригинал (разбор)
HAR-файл: ee/inforegister-ee-2026-04-09.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом inforegister.ee.

2. Обстоятельства
Я посетил сайт inforegister.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 09.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Отсутствует равнозначная кнопка «Reject all». Чтобы отказаться, нужно нажать «Necessary» — это не равнозначный отказ одним кликом.

2) Тёмный паттерн: «Allow all» — синяя, крупная, первая; «Necessary» — белая, меньше, последняя. Визуальное давление в сторону максимального согласия.

3) GTM (GT-M34QRD4, +0,26 сек) и WebPushr (+0,56 сек) запускаются до любого взаимодействия с баннером. ScoreStoryBook (static.ssb.ee) — за 6,7 сек до старта страницы.

4) WebPushr, GTM, ScoreStoryBook как получатель данных и reCAPTCHA на странице политики не задекларированы. Указаны только Google Analytics, cookies профилирования, eID.

5) Профилирование для маркетинга заявлено на основе «легитимного интереса». EDPB неоднократно указывал, что маркетинговое профилирование требует согласия, а не легитимного интереса.

6) Политика конфиденциальности размещена на другом домене (group.kreedix.ee), что усложняет доступ и создаёт путаницу, кто является контролёром. Дополнительно политика помечена copyright с запретом распространения — ст.12 требует свободного предоставления информации.

7) Web eID (ID-карта, Mobile-ID) на коммерческом брокере данных связывает реальную личность с профилем покупателя. В той же сессии работают незадекларированные WebPushr и GTM.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/inforegister.ee/

3. Нарушенные положения
GDPR Art. 7(3); GDPR Art. 7, Recital 32; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 6(1); GDPR Art. 12, Art. 13; GDPR Art. 9 (потенциально)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]