Технический аудит · 2026-06-05

maksekeskus.ee

Крупнейший платёжный процессор Эстонии — дочерняя компания Luminor Bank

Платёжный процессор дочки Luminor Bank, через которого проходят платежи сотен тысяч эстонских клиентов — запускает Google Analytics, Facebook Pixel и Ahrefs до согласия. Главная находка: Facebook Pixel фиксирует PageView на странице самой политики конфиденциальности.

Хронология утечки

+288 мс · до согласия

Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — IP пользователя в Google, США.

+367 мс · до согласия

Google Tag Manager (GTM-WHX9QS8) — статус 200, данные в Google, США.

+368 мс · до согласия

Facebook Pixel (fbevents.js, ID: 1777849789013867) — загружается до баннера.

+622 мс · до согласия

Google Analytics (analytics.js) — старая версия UA плюс два контейнера GA4 (G-XSLDH01KSM, G-6D2LBT9WYH).

+752 мс · до согласия

Facebook Pixel — PageView событие: dl=https://maksekeskus.ee/andmekaitsetingimused/ — фиксирует визит на страницу политики конфиденциальности.

+790 мс · до согласия

Ahrefs Analytics (analytics.ahrefs.com) — pageview событие с URL, языком браузера, разрешением экрана.

+2968 мс

Google Ads (pagead2.googlesyndication.com) — сбор данных для рекламной сети Google.

+3047 мс, +3079 мс

Google Analytics collect — два отдельных GA4 контейнера отправляют данные.

Декларация против факта

+ Google Tag Manager (GTM-WHX9QS8) — не заявлен

+ Google Analytics — два контейнера GA4 + UA — не заявлен

+ Google Ads (pagead2.googlesyndication.com) — не заявлен

+ Facebook Pixel (ID: 1777849789013867) — не заявлен

+ Facebook SDK — не заявлен

+ Google Fonts — не заявлен

+ Ahrefs Analytics — не заявлен

Тайминги передачи

+288 мс fonts.googleapis.com до согласия Google Fonts, IP в США

+367 мс www.googletagmanager.com до согласия GTM-WHX9QS8, статус 200

+368 мс connect.facebook.net до согласия Facebook Pixel fbevents.js

+622 мс www.google-analytics.com до согласия analytics.js — UA версия

+752 мс www.facebook.com до согласия PageView на странице политики конфиденциальности

+790 мс analytics.ahrefs.com до согласия Pageview, язык ru, разрешение 1920x1080

+2968 мс pagead2.googlesyndication.com прошёл Google Ads collect

+3047 мс region1.google-analytics.com прошёл GA4 G-XSLDH01KSM collect

+3079 мс region1.google-analytics.com прошёл GA4 G-6D2LBT9WYH collect

Зафиксированные трекеры

Google Tag Manager (GTM-WHX9QS8)
Google Analytics (G-XSLDH01KSM, G-6D2LBT9WYH)
Google Ads (pagead2.googlesyndication.com)
Facebook Pixel (ID: 1777849789013867)
Facebook SDK
Google Fonts
Ahrefs Analytics

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Tag Manager, Google Analytics (два контейнера), Facebook Pixel, Facebook SDK, Google Fonts и Ahrefs Analytics запускаются до согласия — в диапазоне от +288 мс до +1369 мс. Баннер согласия (gdpr-cookie-compliance) загружается на +292 мс, но трекеры запускаются параллельно с ним и до его принятия.
GDPR Art. 7

Трекеры активируются до взаимодействия пользователя с баннером согласия. Фактического механизма блокировки до согласия нет.
GDPR Art. 13(1)(e)

Политика конфиденциальности не упоминает Google Analytics, Google Tag Manager, Facebook Pixel, Facebook SDK, Google Ads, Ahrefs Analytics, Google Fonts как получателей данных. Раздел о cookies описывает только «необходимые» и «сторонние» cookies в общих чертах без перечисления конкретных получателей.
GDPR Art. 13(1)(f), Chapter V

Политика декларирует обработку данных в пределах ЕЭЗ и передачу за пределы только в соответствии с GDPR. HAR фиксирует передачу в США через Google, Facebook, Ahrefs без указания конкретного механизма передачи.
GDPR Art. 5(1)(a)

Критическое противоречие: политика конфиденциальности размещена по адресу maksekeskus.ee/andmekaitsetingimused/ — именно на этой странице HAR фиксирует запуск всех трекеров. Facebook Pixel фиксирует PageView с URL страницы политики конфиденциальности.

Контекст

Maksekeskus AS — крупнейший платёжный процессор Эстонии, дочерняя компания Luminor Bank AS. Обрабатывает платежи для сотен эстонских интернет-магазинов, в том числе упомянутых в этой серии — EVEA декларировала Maksekeskus AS как своего платёжного партнёра. Компания имеет лицензию платёжного учреждения, находится под надзором Finantsinspektsioon. HAR: 71 запрос, 11 доменов. Аудит проводился на странице самой политики конфиденциальности — maksekeskus.ee/andmekaitsetingimused/.

Главная находка — трекеры на странице политики конфиденциальности

HAR записан на странице andmekaitsetingimused — это эстонское слово означает «условия защиты данных», то есть сама политика конфиденциальности Maksekeskus. Facebook Pixel фиксирует PageView с точным URL этой страницы и отправляет его в Meta (США) до любого согласия пользователя. Пользователь открывает страницу чтобы узнать как компания обрабатывает его данные — и в этот момент его данные уходят в Facebook.

Трекеры до согласия

71 запрос, 10 внешних доменов. Все ключевые трекеры запускаются в первую секунду сессии — до взаимодействия с баннером согласия:

+288 мс — Google Fonts (fonts.googleapis.com, fonts.gstatic.com). IP в Google, США.

+367 мс — Google Tag Manager (GTM-WHX9QS8), статус 200. Данные в США.

+368 мс — Facebook Pixel (fbevents.js, ID 1777849789013867). Загружается до баннера.

+622 мс — Google Analytics: старая версия Universal Analytics плюс два отдельных контейнера GA4 (G-XSLDH01KSM и G-6D2LBT9WYH). Три аналитических потока одновременно.

+790 мс — Ahrefs Analytics (analytics.ahrefs.com). Pageview с URL страницы, языком браузера (ru), разрешением экрана (1920x1080). Ahrefs — SEO-платформа, использует аналитику посещаемости для собственных продуктов.

Плагин gdpr-cookie-compliance загружается на +292 мс — параллельно с трекерами, а не до них. Реального механизма блокировки до согласия нет.

Декларация против факта

Политика конфиденциальности Maksekeskus написана на эстонском языке и структурирована по GDPR: правовые основания, права субъектов, контакты DPO. Раздел о cookies описывает «необходимые» и «сторонние» cookies — но без перечисления конкретных получателей. Ни Google, ни Facebook, ни Ahrefs не упомянуты нигде. Политика декларирует обработку данных в пределах ЕЭЗ и передачу за пределы только в соответствии с GDPR. HAR фиксирует передачу в США через семь внешних сервисов без указания механизма.

Контекст чувствительности

Maksekeskus — не розничный сайт. Это платёжная инфраструктура, через которую проходят финансовые транзакции. Сам сайт не обрабатывает платёжные данные напрямую — но является точкой входа для партнёров и клиентов, изучающих компанию перед интеграцией. Наличие Facebook Pixel и Ahrefs на маркетинговом сайте платёжного процессора, поднадзорного Finantsinspektsioon, — это вопрос репутационного соответствия помимо GDPR.

Вывод

Платёжный процессор, который обрабатывает финансовые данные эстонских потребителей, запускает семь внешних трекеров до согласия — на странице собственной политики конфиденциальности. Политика аккуратно описывает права субъектов и принципы обработки, но ни один из фактических получателей данных в ней не упомянут. Структура документа соответствует GDPR, содержание — нет.

Доказательство

Оригинал (разбор)

HAR-файл: ee/maksekeskus-ee-2026-06-05.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом maksekeskus.ee.

2. Обстоятельства
Я посетил сайт maksekeskus.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 05.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager, Google Analytics (два контейнера), Facebook Pixel, Facebook SDK, Google Fonts и Ahrefs Analytics запускаются до согласия — в диапазоне от +288 мс до +1369 мс. Баннер согласия (gdpr-cookie-compliance) загружается на +292 мс, но трекеры запускаются параллельно с ним и до его принятия.

2) Трекеры активируются до взаимодействия пользователя с баннером согласия. Фактического механизма блокировки до согласия нет.

3) Политика конфиденциальности не упоминает Google Analytics, Google Tag Manager, Facebook Pixel, Facebook SDK, Google Ads, Ahrefs Analytics, Google Fonts как получателей данных. Раздел о cookies описывает только «необходимые» и «сторонние» cookies в общих чертах без перечисления конкретных получателей.

4) Политика декларирует обработку данных в пределах ЕЭЗ и передачу за пределы только в соответствии с GDPR. HAR фиксирует передачу в США через Google, Facebook, Ahrefs без указания конкретного механизма передачи.

5) Критическое противоречие: политика конфиденциальности размещена по адресу maksekeskus.ee/andmekaitsetingimused/ — именно на этой странице HAR фиксирует запуск всех трекеров. Facebook Pixel фиксирует PageView с URL страницы политики конфиденциальности.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/maksekeskus-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]