EUGDPR Audit
RU EN
Технический аудит · 2026-06-06

kv.ee

Крупнейший портал недвижимости Эстонии
EE

Крупнейший портал недвижимости Эстонии — 120 000 посетителей в день. OneTrust с TCF 2.0 реализован корректно по структуре. Но GA4 загружается за 1,3 секунды до баннера. Sentry использует американский CDN вместо EU-инстанса.

Хронология утечки

+225 мс · до баннера
Google Fonts (fonts.googleapis.com) — Open Sans. IP в Google, США.
+333 мс · до баннера
GTM/GA4 (gtag/js?id=G-XSSYYGNPKF) — загружается за 1318 мс до OneTrust.
+568 мс · до баннера
GA4 collect — данные о посещении уходят в Google, США.
+670 мс · до баннера
Sentry (browser.sentry-cdn.com) — американский CDN. Мониторинг ошибок.
+1651 мс · баннер
OneTrust загружается. TCF 2.0 с IAB vendor list, три категории: функциональные, строго необходимые, целевые.
+1891 мс · баннер готов
OneTrust полностью загружен — баннер виден пользователю.

Декларация против факта

Google Analytics — в политике — заявлен
OneTrust TCF IAB vendor list — через баннер — заявлен
+ Sentry (browser.sentry-cdn.com) — не заявлен

Тайминги передачи

+225 мс fonts.googleapis.com до баннера Open Sans. IP в Google, США
+333 мс www.googletagmanager.com до баннера GA4 G-XSSYYGNPKF — за 1318 мс до OneTrust
+568 мс region1.google-analytics.com до баннера GA4 collect
+670 мс browser.sentry-cdn.com до баннера Sentry американский CDN
+1651 мс cdn.cookielaw.org баннер OneTrust TCF 2.0

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

kv.ee — крупнейший портал недвижимости Эстонии, управляется AllePal OÜ. На скриншоте баннера видно: 120 251 посетитель вчера. Содержит объявления о продаже и аренде квартир, домов, земельных участков и коммерческой недвижимости. Политика конфиденциальности актуальная (02.05.2024), подробная. HAR: 237 запросов, 13 доменов.

GA4 за 1,3 секунды до баннера

GTM/GA4 загружается на +333 мс. OneTrust только на +1651 мс. GA collect уходит на +568 мс — почти за секунду до появления баннера. Данные о посещении портала недвижимости — включая IP адрес, просматриваемые объявления, ценовые диапазоны поиска — передаются в Google до любого взаимодействия пользователя с баннером.

OneTrust с TCF 2.0 — структура правильная

Баннер реализован корректно по структуре: три категории cookies (функциональные, строго необходимые, целевые), кнопки «Luba kõik» / «Lükka kõik tagasi» / «Kinnita mu valikud», ссылка на список партнёров. IAB vendor list загружается. Проблема — не в структуре баннера, а в порядке загрузки: GA4 должен быть заблокирован до согласия.

Sentry — американский CDN

browser.sentry-cdn.com — это американский CDN Sentry, в отличие от ingest.de.sentry.io (EU-инстанс) который используют IIZI, Zalando и Yaga. Переключение на EU-инстанс — одна строка конфигурации.

Партнёрские изображения

На странице загружаются изображения с img-osta.ee (портал объявлений), img13.img-bcg.eu (Baltic Classifieds Group CDN) и img-kb.ee (Kuldne Börs). Это означает что kv.ee агрегирует объявления нескольких платформ — IP пользователя передаётся в инфраструктуру каждой из них при просмотре страницы.

Вывод

kv.ee — крупный портал с актуальной политикой конфиденциальности и OneTrust TCF 2.0. Основная проблема — GA4 загружается за 1318 мс до баннера. Sentry использует американский CDN вместо EU-инстанса. Оба вопроса технически несложные: порядок загрузки скриптов и одна строка конфигурации Sentry.

Доказательство
Оригинал (разбор)
HAR-файл: ee/kv-ee-2026-06-06.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом kv.ee.

2. Обстоятельства
Я посетил сайт kv.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (+225 мс), GTM/GA4 (+333 мс) и GA collect (+568 мс) загружаются до появления OneTrust (+1651 мс). Разрыв — 1318 мс. Данные о посещении уходят в Google до того как пользователь видит баннер.

2) GA collect уходит на +568 мс. OneTrust появляется только на +1651 мс. GAcollect передаёт данные без согласия.

3) Политика конфиденциальности подробная и актуальная (02.05.2024). Sentry загружается с browser.sentry-cdn.com — американского CDN, а не EU-инстанса. Не упомянут явно как получатель.

4) Sentry через американский CDN (browser.sentry-cdn.com) — данные могут обрабатываться в США. Механизм передачи не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/kv-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]