Технический аудит · 2026-06-06

save24.ee

Литовский интернет-магазин косметики и бытовой химии — эстонский филиал

Литовский магазин на эстонском рынке. Три трекера запускаются за 330 мс до баннера. HAR фиксирует нажатие «Отклонить» — к этому моменту GA, Google Ads и Facebook уже отправили данные.

Хронология утечки

+182 мс · до баннера

Optimizely (cdn.optimizely.com) — A/B тестирование. За 331 мс до баннера.

+183 мс · до баннера

DigitalGenius AI-чат (chat.digitalgenius.com) и Cloudflare Insights — одновременно, за 330 мс до баннера.

+331 мс · до баннера

GTM (GTM-NGN859N) — загружается за 182 мс до cookie-script.

+629 мс

Facebook Pixel (fbevents.js, ID: 557715056315793) — загружается после баннера.

+1007 мс

Facebook PageView — URL страницы уходит в Meta. До нажатия пользователем любой кнопки.

+2129 мс

GA4 collect — данные уходят в Google. До взаимодействия с баннером.

+2138 мс

Google Ads (4 запроса) — page_view и view_item_list уходят в Google. До взаимодействия.

+51559 мс · reject

Пользователь нажимает «Отклонить» — cookie-script фиксирует action=reject. Все данные уже переданы.

Декларация против факта

+ Optimizely (cdn.optimizely.com) — не заявлен

+ DigitalGenius (chat.digitalgenius.com, flow-server.eu.dgdeepai.com) — не заявлен

+ Cloudflare Insights — не заявлен

+ Google Tag Manager, GA4, Google Ads — не заявлен

+ Facebook Pixel — не заявлен

Тайминги передачи

+182 мс cdn.optimizely.com до баннера A/B тестирование. США

+183 мс chat.digitalgenius.com до баннера AI-чат init.js

+183 мс static.cloudflareinsights.com до баннера Cloudflare beacon

+331 мс www.googletagmanager.com до баннера GTM-NGN859N

+513 мс cdn.cookie-script.com баннер Баннер появляется

+1007 мс www.facebook.com до reject PageView — URL в Meta

+2129 мс region1.google-analytics.com до reject GA4 collect

+51559 мс consent.cookie-script.com reject Пользователь нажал Отклонить

Зафиксированные трекеры

Optimizely (cdn.optimizely.com)
DigitalGenius AI-чат (chat.digitalgenius.com)
Cloudflare Insights (static.cloudflareinsights.com)
Google Tag Manager (GTM-NGN859N)
Google Analytics GA4 (G-2XBQ2LE7HV)
Google Ads (AW-345546298, pagead2.googlesyndication.com)
Facebook Pixel (ID: 557715056315793)
DigitalGenius AI (flow-server.eu.dgdeepai.com)
Cookie-script (cdn.cookie-script.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Optimizely (+182 мс), DigitalGenius (+183 мс) и Cloudflare Insights (+183 мс) запускаются за 330 мс до баннера cookie-script (+513 мс). GTM (+331 мс) — за 182 мс до баннера. Facebook Pixel загружается на +629 мс и отправляет PageView на +1007 мс — после баннера, но до взаимодействия с ним.
GDPR Art. 7

Баннер cookie-script загружается на +513 мс. HAR фиксирует что пользователь нажал «Отклонить» на +51559 мс. При этом GA collect ушёл на +2129 мс, Google Ads — на +2138 мс, Facebook PageView — на +1007 мс — всё до нажатия reject. Cookie-script не блокирует трекеры до согласия.
GDPR Art. 13(1)(e)

Политика конфиденциальности написана по литовскому праву (регулятор — Литовская инспекция по защите данных), не упоминает ни одного конкретного получателя данных. Optimizely, DigitalGenius, Cloudflare, Facebook, Google не задекларированы.
GDPR Art. 13(1)(f), Chapter V

Google, Facebook, Optimizely, Cloudflare — серверы в США. Механизм передачи не указан. Политика написана под литовское право — для эстонских пользователей регулятором должна быть AKI, а не Литовская инспекция.

Контекст

save24.ee — эстонский сайт литовской компании MB «Savelita» (Marijampolė, Литва). Интернет-магазин косметики, бытовой химии и товаров для дома. Политика конфиденциальности написана на эстонском языке, но регулятором указана Литовская инспекция по защите персональных данных — что некорректно для эстонских пользователей, чьим регулятором является AKI. HAR: 118 запросов, 12 доменов.

Reject зафиксирован — данные уже ушли

HAR фиксирует полный цикл сессии: загрузка страницы, появление баннера, и в конце — нажатие кнопки «Отклонить» (action=reject, +51559 мс). Это редкий случай когда в HAR видно конкретное действие пользователя с баннером.

Проблема в том что к моменту нажатия «Отклонить» все данные уже были переданы: GA4 collect ушёл на +2129 мс, Google Ads — четыре запроса на +2138–2140 мс, Facebook PageView — на +1007 мс. Cookie-script технически работает — записывает факт отказа — но не блокирует трекеры до получения согласия.

Трекеры до баннера

Optimizely (+182 мс), DigitalGenius (+183 мс) и Cloudflare Insights (+183 мс) запускаются за 330 миллисекунд до появления баннера. GTM — за 182 мс. Это означает что A/B тестирование и AI-чат инициализируются раньше чем пользователь видит баннер.

DigitalGenius — EU-серверы частично

DigitalGenius интересен: chat.digitalgenius.com — CDN, вероятно США. Но flow-server.eu.dgdeepai.com — явно EU-инстанс (суффикс .eu). Компания позаботилась об европейской инфраструктуре для основного сервера, но CDN скриптов остаётся внешним.

Политика — не для эстонского рынка

Политика конфиденциальности написана под литовское право: регулятором указана «Leedu Andmekaitse Inspektsioon» (Литовская инспекция по защите данных). Для эстонских пользователей, которые заходят на save24.ee, регулятором должна быть AKI. Это не только формальность — пользователь имеет право знать в какой орган подавать жалобу. Ни один из фактических получателей данных (Google, Facebook, Optimizely, DigitalGenius) в политике не назван.

Вывод

Cookie-script стоит, reject работает — но порядок загрузки не соответствует принципу согласия до обработки. Три трекера запускаются до баннера, остальные — до взаимодействия с ним. HAR наглядно показывает: пользователь нажал «Отклонить» через 51 секунду, а его данные ушли в Google, Facebook и Cloudflare через 2 секунды после загрузки страницы.

Доказательство

Оригинал (разбор)

HAR-файл: ee/save24-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом save24.ee.

2. Обстоятельства
Я посетил сайт save24.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Optimizely (+182 мс), DigitalGenius (+183 мс) и Cloudflare Insights (+183 мс) запускаются за 330 мс до баннера cookie-script (+513 мс). GTM (+331 мс) — за 182 мс до баннера. Facebook Pixel загружается на +629 мс и отправляет PageView на +1007 мс — после баннера, но до взаимодействия с ним.

2) Баннер cookie-script загружается на +513 мс. HAR фиксирует что пользователь нажал «Отклонить» на +51559 мс. При этом GA collect ушёл на +2129 мс, Google Ads — на +2138 мс, Facebook PageView — на +1007 мс — всё до нажатия reject. Cookie-script не блокирует трекеры до согласия.

3) Политика конфиденциальности написана по литовскому праву (регулятор — Литовская инспекция по защите данных), не упоминает ни одного конкретного получателя данных. Optimizely, DigitalGenius, Cloudflare, Facebook, Google не задекларированы.

4) Google, Facebook, Optimizely, Cloudflare — серверы в США. Механизм передачи не указан. Политика написана под литовское право — для эстонских пользователей регулятором должна быть AKI, а не Литовская инспекция.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/save24-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]