Технический аудит · 2026-04-13

evea.ee

Ассоциация малого и среднего бизнеса Эстонии

Ассоциация МСП Эстонии. 197 запросов, 2 домена. Google Analytics прописан в коде и инициирует запросы при каждой загрузке страницы — но статус 0, данные не уходят. Политика конфиденциальности Google не упоминает.

Хронология утечки

+1324 мс · при загрузке

www.googletagmanager.com/gtag/js?id=G-BL74ZJ1E86 — статус 0. Запрос инициирован, данные не переданы.

+10161 мс, +23154 мс, +30868 мс

Повторные запросы к GTM — все статус 0. Итого 4 запроса за сессию, все заблокированы.

Декларация против факта

✓ Veebilehe arendaja, IT-tugi, turundusteenuste pakkuja — общая формулировка — заявлен

✓ Maksekeskus AS — платёжный процессор — заявлен

✓ Передача за пределы ЕС только при наличии правового основания — заявлен

+ Google Analytics (G-BL74ZJ1E86) — прописан в коде, в политике не упомянут — не заявлен

Тайминги передачи

+1324 мс www.googletagmanager.com заблокирован GTM G-BL74ZJ1E86 — статус 0, данные не уходят

+10161 мс www.googletagmanager.com заблокирован Повторный запрос — статус 0

+23154 мс www.googletagmanager.com заблокирован Повторный запрос — статус 0

+30868 мс www.googletagmanager.com заблокирован Повторный запрос — статус 0

Зафиксированные трекеры

Google Analytics / GTM (прописан, заблокирован)

Зафиксированные нарушения

GDPR Art. 13(1)(e)

Google Analytics (G-BL74ZJ1E86) прописан в коде и инициирует запросы к googletagmanager.com, однако не упомянут в политике конфиденциальности как получатель данных.
GDPR Art. 13(1)(f), Chapter V

Политика декларирует передачу данных за пределы ЕС только при наличии правового основания, однако механизм передачи в США для Google не указан.

Контекст

EVEA — Eesti Väike ja Keskmiste Ettevõtjate Assotsiatsioon, некоммерческое объединение малого и среднего бизнеса Эстонии. Сайт работает на WordPress с WooCommerce — то есть обрабатывает данные членов организации, регистрации на мероприятия, возможно платежи. 197 запросов за сессию, 2 домена.

Что показал HAR

Внешний трафик минимален: весь сайт работает на собственном домене evea.ee, единственный внешний домен — www.googletagmanager.com. Ноль Set-Cookie ответов за всю сессию.

Google Analytics (G-BL74ZJ1E86) прописан в коде через плагин google-analytics-for-wordpress и инициирует запросы к googletagmanager.com при каждой загрузке страницы — 4 раза за сессию с интервалами +1324 мс, +10161 мс, +23154 мс, +30868 мс. Все четыре запроса возвращают статус 0: запрос инициирован браузером, но данные не переданы. Причина блокировки — вероятно, cookie-баннер (плагин beautiful-and-responsive-cookie-consent) отрабатывает до передачи данных.

Декларация против факта

Политика конфиденциальности EVEA написана на эстонском языке и описывает обработку данных членов организации: сбор имён, контактов, регистрации на мероприятия. Упомянуты: разработчик сайта и IT-поддержка (общая формулировка), Maksekeskus AS как платёжный процессор, передача за пределы ЕС только при наличии правового основания.

Google Analytics не упомянут нигде — ни как получатель данных, ни как инструмент аналитики. При этом он прописан в коде сайта и инициирует запросы при каждом посещении. Политика декларирует передачу данных за пределы ЕС только с правовым основанием и соответствующими гарантиями — но механизм передачи в США для Google не указан.

Отдельного внимания заслуживает то, что политика ссылается на устаревший механизм Privacy Shield как одно из оснований для передачи данных за пределы ЕС. Privacy Shield был признан недействительным решением Schrems II ещё в июле 2020 года. Актуальный механизм — EU-US Data Privacy Framework, принятый в 2023 году.

Вывод

На фоне серии evea.ee выглядит относительно чисто: один внешний домен, GTM заблокирован, данные фактически не уходят. Но Google Analytics прописан в коде и не задекларирован в политике — это расхождение между реальностью и документом. Дополнительно политика ссылается на недействительный с 2020 года Privacy Shield. Оба пункта требуют исправления.

Доказательство

Оригинал (разбор)

HAR-файл: ee/evea-ee-2026-04-13.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом evea.ee.

2. Обстоятельства
Я посетил сайт evea.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Analytics (G-BL74ZJ1E86) прописан в коде и инициирует запросы к googletagmanager.com, однако не упомянут в политике конфиденциальности как получатель данных.

2) Политика декларирует передачу данных за пределы ЕС только при наличии правового основания, однако механизм передачи в США для Google не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/evea-ee/

3. Нарушенные положения
GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]