Технический аудит · 2026-03-28

puumarket.ee

Сеть строительных и хозяйственных магазинов Эстонии

853 запроса, 13 доменов. Google reCAPTCHA запускается в нулевую миллисекунду, чат Askly на +334 мс. Баннер согласия прописан, но сломан — статус 0 при каждой попытке загрузки. Политика конфиденциальности не называет ни одного внешнего получателя данных.

Хронология утечки

+0 мс · при загрузке

Google reCAPTCHA (www.google.com) — webworker.js, статус 200. Данные в Google, США. До баннера.

+28 мс · до согласия

www.gstatic.com — ресурсы reCAPTCHA (логотип). Данные в Google.

+29 мс · до согласия

fonts.gstatic.com — шрифт Roboto, статус 200. IP в Google, США.

+334 мс · до согласия

chat.askly.me — чат поддержки, config запрос, статус 200. WebSocket соединение на +1156 мс.

+1008 мс · до согласия

fonts.googleapis.com — семейства Flow Circular, Lato, Montserrat, Roboto. IP в Google, США.

+31651 мс

partners.lhv.ee — виджет рассрочки LHV для конкретного товара (цена 1602.90, код EE-10363212).

+32135 мс

fast.fonts.net (Monotype) — CDN коммерческих шрифтов. Данные в США.

Декларация против факта

+ Google reCAPTCHA (www.google.com, www.gstatic.com) — не заявлен

+ Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — не заявлен

+ Askly чат (chat.askly.me, sessions.chat.askly.me) — не заявлен

+ Klaviyo (static.klaviyo.com) — не заявлен

+ Google Tag Manager (GTM-TSXS8GB) — не заявлен

+ Monotype / fast.fonts.net — не заявлен

Тайминги передачи

+0 мс www.google.com до согласия reCAPTCHA webworker. Данные в Google, США

+29 мс fonts.gstatic.com до согласия Roboto. IP в Google, США

+334 мс chat.askly.me до согласия Чат поддержки, config + WebSocket

+1008 мс fonts.googleapis.com до согласия 4 семейства шрифтов. IP в Google

+9957 мс cdn.cookie-script.com заблокирован Баннер согласия — статус 0, не загружается

+9960 мс static.klaviyo.com заблокирован Klaviyo — статус 0

+10018 мс www.googletagmanager.com заблокирован GTM-TSXS8GB — статус 0

+31651 мс partners.lhv.ee прошёл Виджет рассрочки LHV

+32135 мс fast.fonts.net прошёл Monotype CDN. США

Зафиксированные трекеры

Google reCAPTCHA (www.google.com)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Askly (chat.askly.me) — чат поддержки
Klaviyo (static.klaviyo.com) — email-маркетинг
Google Tag Manager (GTM-TSXS8GB)
Monotype/fast.fonts.net — CDN шрифтов

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google reCAPTCHA (+0 мс), Google Fonts (+29 мс) и Askly чат (+334 мс) запускаются в первые секунды сессии — до появления баннера согласия cookie-script (+9957 мс). Данные уходят в США до любого взаимодействия с баннером.
GDPR Art. 7

Баннер согласия cookie-script прописан в коде и инициирует запросы, но все они возвращают статус 0 — не загружается. GTM и Klaviyo тоже статус 0. При этом reCAPTCHA, Google Fonts и Askly работают нормально (статус 200) без какого-либо согласия.
GDPR Art. 13(1)(e)

Политика конфиденциальности не упоминает Google reCAPTCHA, Google Fonts, Askly, Klaviyo, GTM, fast.fonts.net как получателей данных. Перечислены только категории данных без конкретных третьих сторон.
GDPR Art. 13(1)(f), Chapter V

Google (США), Askly (Эстония/США), Klaviyo (США), Monotype/fast.fonts.net (США) — механизм передачи данных не указан ни для одного получателя.

Контекст

Puumarket AS — эстонская сеть строительных и хозяйственных магазинов, регистрационный номер 10363212. Сайт работает как интернет-магазин с корзиной, онлайн-заказами и программой лояльности. HAR: 853 запроса, 13 доменов. Сессия включала просмотр товаров.

Сломанный баннер согласия

Центральная находка этого аудита — не трекеры, а механизм согласия. Cookie-script прописан в коде и инициирует запросы к cdn.cookie-script.com на +9957 мс — но все запросы возвращают статус 0. Баннер не загружается вообще. Вместе с ним не загружаются GTM (GTM-TSXS8GB, статус 0) и Klaviyo (статус 0). Это означает что Cookie-script, GTM и Klaviyo заблокированы — вероятно CSP или сетевой ошибкой — и в этой сессии данные через них не ушли.

Но это не защита пользователя — это случайная блокировка. К моменту когда баннер должен был появиться, три внешних сервиса уже работали без какого-либо согласия.

Что работает до баннера

+0 мс — Google reCAPTCHA (www.google.com/recaptcha/api2/webworker.js) — первый запрос сессии. Данные в Google (США) до любого взаимодействия.

+28 мс — www.gstatic.com — ресурсы reCAPTCHA. Google.

+29 мс — fonts.gstatic.com — шрифт Roboto, статус 200. IP в Google, США.

+334 мс — chat.askly.me — эстонский чат-сервис поддержки. Config запрос статус 200, затем WebSocket соединение (wss://sessions.chat.askly.me) на +1156 мс. Активное соединение до согласия.

+1008 мс — fonts.googleapis.com — четыре семейства шрифтов: Flow Circular, Lato, Montserrat, Roboto. IP в Google, США.

Все пять доменов — статус 200, данные переданы — до +10 секунд, когда должен был появиться баннер.

Политика конфиденциальности — получатели не указаны

Политика подробно описывает какие данные собирает Puumarket (имя, адрес, телефон, email, данные о покупках, IP). Декларирует что данные передаются только при наличии законного права. Не упоминает ни одного конкретного получателя: ни Google, ни Askly, ни Klaviyo, ни Monotype. По Art. 13(1)(e) пользователь должен знать всех получателей — этого требования политика не выполняет.

LHV виджет рассрочки

На странице товара загружается виджет partners.lhv.ee с параметрами конкретного товара — цена 1602.90, код компании EE-10363212. LHV — эстонский банк, данные остаются в ЕЭЗ. Это не нарушение, но факт передачи информации о просматриваемом товаре в банковскую инфраструктуру без упоминания в политике заслуживает внимания.

Вывод

Puumarket имеет баннер согласия — но он сломан и не загружается. К моменту его появления reCAPTCHA, Google Fonts и Askly уже передали данные. GTM и Klaviyo случайно заблокированы вместе с баннером. Политика конфиденциальности написана добросовестно по духу, но не выполняет требование Art. 13(1)(e) — конкретные получатели данных не названы нигде.

Доказательство

Оригинал (разбор)

HAR-файл: ee/puumarket-ee-2026-03-28.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом puumarket.ee.

2. Обстоятельства
Я посетил сайт puumarket.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 28.03.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google reCAPTCHA (+0 мс), Google Fonts (+29 мс) и Askly чат (+334 мс) запускаются в первые секунды сессии — до появления баннера согласия cookie-script (+9957 мс). Данные уходят в США до любого взаимодействия с баннером.

2) Баннер согласия cookie-script прописан в коде и инициирует запросы, но все они возвращают статус 0 — не загружается. GTM и Klaviyo тоже статус 0. При этом reCAPTCHA, Google Fonts и Askly работают нормально (статус 200) без какого-либо согласия.

3) Политика конфиденциальности не упоминает Google reCAPTCHA, Google Fonts, Askly, Klaviyo, GTM, fast.fonts.net как получателей данных. Перечислены только категории данных без конкретных третьих сторон.

4) Google (США), Askly (Эстония/США), Klaviyo (США), Monotype/fast.fonts.net (США) — механизм передачи данных не указан ни для одного получателя.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/puumarket-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]