Технический аудит · 2026-06-06

loverte.com

Эстонский онлайн-магазин парфюмерии и косметики

Эстонский магазин парфюмерии с 24 внешними доменами. Google reCAPTCHA запускается на +51 мс, Klaviyo с 14 запросами на +1644 мс. Баннер согласия в HAR не зафиксирован — только внутренние GDPR-запросы к GraphQL.

Хронология утечки

+51 мс · до согласия

Google reCAPTCHA (api.js + recaptcha__ru.js) — IP в Google, США. Русская локаль браузера зафиксирована.

+703 мс · до согласия

Nosto (api.nosto.com) — платформа персонализации, 3 GraphQL-запроса. Финляндия/США.

+1644 мс · до согласия

Klaviyo (static.klaviyo.com) — email-маркетинг и трекинг. 14 запросов за сессию. США.

+1659 мс

loverte.com/graphql?query=gdprCookieData — внутренний запрос настроек GDPR. Не баннер.

+2575 мс · до согласия

GTM (GTM-N8Q799) + GA4 (G-BMZWHV927B) — загружаются до появления баннера.

+2849 мс

Instagram CDN (scontent-hel3-1.cdninstagram.com) — фото из Instagram-ленты. Meta, США.

+3981 мс

Facebook Pixel (fbevents.js, ID: 457353994820689) — загружается.

+3987 мс

kk-resources.com/leadtag.js — неизвестный трекер. Юрисдикция неизвестна.

+4289 мс

Google Ads DoubleClick (viewthroughconversion) — конверсионный пиксель.

+4660 мс

Facebook PageView — данные об URL страницы уходят в Meta, США.

Декларация против факта

+ Google reCAPTCHA — не заявлен

+ Nosto (api.nosto.com) — не заявлен

+ Klaviyo (14 запросов) — не заявлен

+ Facebook Pixel (ID: 457353994820689) — не заявлен

+ kk-resources.com (leadtag.js) — не заявлен

+ Adobe Typekit (use.typekit.net) — не заявлен

+ Instagram CDN — не заявлен

+ Google Ads / DoubleClick — не заявлен

Тайминги передачи

+51 мс www.google.com без согласия reCAPTCHA, recaptcha__ru.js. США

+703 мс api.nosto.com без согласия Персонализация, 3 GraphQL запроса

+1644 мс static.klaviyo.com без согласия Klaviyo tracking, 14 запросов

+2575 мс www.googletagmanager.com без согласия GTM-N8Q799

+3981 мс connect.facebook.net без согласия Facebook Pixel fbevents.js

+3987 мс s.kk-resources.com без согласия leadtag.js — неизвестный трекер

+4289 мс googleads.g.doubleclick.net без согласия Конверсионный пиксель

+4660 мс www.facebook.com без согласия PageView — URL страницы в Meta

Зафиксированные трекеры

Google reCAPTCHA Enterprise (www.google.com)
Nosto (api.nosto.com) — персонализация
Klaviyo (static.klaviyo.com) — email-маркетинг
Google Tag Manager (GTM-N8Q799)
Google Analytics GA4 (G-BMZWHV927B)
Google Ads / DoubleClick (googleads.g.doubleclick.net)
Facebook Pixel (ID: 457353994820689)
kk-resources.com (leadtag.js)
Adobe Typekit (use.typekit.net)
Google Fonts
Instagram CDN (scontent-hel3-1.cdninstagram.com)
Cloudfront CDN (d3k81ch9hvuctc.cloudfront.net)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google reCAPTCHA (+51 мс), Nosto (+703 мс), Klaviyo (+1644 мс) и GTM (+2575 мс) запускаются до появления баннера согласия. Сайт делает GDPR-запрос к собственному GraphQL на +1659 мс — но это не баннер, а внутренняя проверка конфигурации. Баннер так и не появился в HAR.
GDPR Art. 7

Баннер согласия в HAR отсутствует. Запросы к /graphql?query=gdprCookieData указывают что сайт запрашивает настройки GDPR — но реального consent-баннера зафиксировано не было. Facebook Pixel отправляет PageView на +4660 мс.
GDPR Art. 13(1)(e)

Политика — это Cookie Policy без упоминания конкретных получателей. Nosto, Klaviyo, kk-resources.com, Adobe Typekit, Instagram CDN не упомянуты. Упомянут только Google Analytics в общих чертах.
GDPR Art. 13(1)(f), Chapter V

Google (США), Facebook (США), Klaviyo (США), Nosto (Финляндия/США), Adobe Typekit (США), kk-resources.com (неизвестная юрисдикция) — механизм передачи данных не указан ни для одного.

Контекст

loverte.com — эстонский онлайн-магазин парфюмерии и косметики, Loverte OÜ. Сайт на Magento/Adobe Commerce, обслуживает эстонский рынок (/et/). HAR: 310 запросов, 24 домена. Сессия зафиксирована на странице каталога парфюмерии.

Баннер — есть код, нет баннера

Сайт делает запросы к собственному GraphQL с параметром gdprCookieData — на +1659, +4062, +4793 мс. Это означает что GDPR-логика в коде есть. Но реального consent-баннера в HAR не зафиксировано — ни одного запроса к внешнему CMP (Cookiebot, Usercentrics, privacy-center и подобным). К моменту этих запросов рeCAPTCHA, Nosto, Klaviyo и GTM уже работали.

kk-resources.com — незнакомый получатель

s.kk-resources.com/leadtag.js (+3987 мс) — домен не упомянут в политике и не является известным публичным сервисом. Судя по названию (leadtag) — это трекер лидогенерации. Юрисдикция и оператор неизвестны из HAR.

Klaviyo — 14 запросов

Klaviyo запускается на +1644 мс и генерирует 14 запросов за сессию: загрузка скриптов, конфигурация шрифтов компании, полные формы, гео-IP определение. Это платформа email-маркетинга, которая строит профиль посетителя ещё до того как он что-либо купил или подписался.

Instagram CDN

Instagram-лента на главной странице загружает изображения с серверов Meta (scontent-hel3-1.cdninstagram.com) — IP пользователя передаётся в Meta (США) при каждом визите на главную. Изображения с -hel3- в домене указывают на хельсинкский CDN-узел, но данные всё равно проходят через Meta-инфраструктуру.

Документ описывает типы cookies (сессионные, функциональные, аналитические, маркетинговые) без указания конкретных получателей. Упоминает Google Analytics в общих чертах. Nosto, Klaviyo, Facebook Pixel, Adobe Typekit, kk-resources.com — ни одного конкретного имени. По Art. 13(1)(e) пользователь должен знать всех получателей своих данных.

Вывод

310 запросов, 24 домена, баннера согласия не зафиксировано. reCAPTCHA стартует на 51-й миллисекунде. Klaviyo строит профиль посетителя с 1644-й миллисекунды. Facebook получает PageView с URL страницы. Политика описывает категории cookies но не называет ни одного конкретного получателя. Это типичная картина среднего эстонского интернет-магазина — такая же как у euronics.ee в начале серии, только с другим набором вендоров.

Доказательство

Оригинал (разбор)

HAR-файл: ee/loverte-com-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом loverte.com.

2. Обстоятельства
Я посетил сайт loverte.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google reCAPTCHA (+51 мс), Nosto (+703 мс), Klaviyo (+1644 мс) и GTM (+2575 мс) запускаются до появления баннера согласия. Сайт делает GDPR-запрос к собственному GraphQL на +1659 мс — но это не баннер, а внутренняя проверка конфигурации. Баннер так и не появился в HAR.

2) Баннер согласия в HAR отсутствует. Запросы к /graphql?query=gdprCookieData указывают что сайт запрашивает настройки GDPR — но реального consent-баннера зафиксировано не было. Facebook Pixel отправляет PageView на +4660 мс.

3) Политика — это Cookie Policy без упоминания конкретных получателей. Nosto, Klaviyo, kk-resources.com, Adobe Typekit, Instagram CDN не упомянуты. Упомянут только Google Analytics в общих чертах.

4) Google (США), Facebook (США), Klaviyo (США), Nosto (Финляндия/США), Adobe Typekit (США), kk-resources.com (неизвестная юрисдикция) — механизм передачи данных не указан ни для одного.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/loverte.com/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]