EUGDPR Audit
RU EN
Технический аудит · 2026-06-05

zone.ee

Крупнейший хостинг-провайдер Эстонии — домены, хостинг, серверы
EE

Крупнейший хостинг-провайдер Эстонии хранит данные тысяч клиентов — и запускает Matomo с записью сессий, Zendesk и Trustpilot до появления баннера согласия. GTM активируется за 105 мс до Cookiebot. Cookie Declaration подробна — политика конфиденциальности молчит о половине получателей.

Хронология утечки

+87 мс · до согласия
Trustpilot (widget.trustpilot.com) — виджет отзывов, данные в Дании/США.
+133 мс · до согласия
Matomo (a.zone.eu) — собственный сервер. Запускает HeatmapSessionRecording — запись тепловых карт и сессий.
+206 мс · до согласия
Zendesk (static.zdassets.com) — чат-виджет поддержки. Данные в США.
+566 мс · до согласия
zonehd.zendesk.com — frontendevents/pv — Zendesk фиксирует pageview до согласия.
+793 мс · до согласия
Google Tag Manager (GTM-K8W4S8) — загружается за 105 мс до Cookiebot.
+898 мс · баннер
Cookiebot загружается. К этому моменту 4 внешних сервиса уже активированы.
+984 мс · после баннера
Google Analytics (G-L9GLKJNJW7) через GTM — gtag/destination загружается.
+1117 мс
Google Analytics collect — данные уходят в США.

Декларация против факта

Google Analytics — в Cookie Declaration — заявлен
Zendesk — в Cookie Declaration — заявлен
Matomo — в Cookie Declaration (a.zone.eu) — заявлен
Trustpilot — в Cookie Declaration — заявлен
Facebook — в Cookie Declaration (не в HAR) — заявлен
Hotjar — в Cookie Declaration (не в HAR) — заявлен
LinkedIn — в Cookie Declaration (не в HAR) — заявлен
YouTube — в Cookie Declaration (не в HAR) — заявлен
CrazyEgg — в Cookie Declaration (не в HAR) — заявлен
Google DoubleClick — в Cookie Declaration (не в HAR) — заявлен
+ Trustpilot — не упомянут в политике конфиденциальности — не заявлен
+ Matomo HeatmapSessionRecording — не упомянут в политике — не заявлен
+ Zendesk — не упомянут в политике конфиденциальности — не заявлен

Тайминги передачи

+87 мс widget.trustpilot.com до согласия Trustpilot виджет, данные уходят до баннера
+133 мс a.zone.eu до согласия Matomo + HeatmapSessionRecording
+206 мс static.zdassets.com до согласия Zendesk чат-виджет, США
+566 мс zonehd.zendesk.com до согласия Zendesk frontendevents pageview
+793 мс www.googletagmanager.com до согласия GTM-K8W4S8, за 105 мс до Cookiebot
+898 мс consent.cookiebot.com баннер Cookiebot появляется
+1117 мс region1.google-analytics.com прошёл GA4 G-L9GLKJNJW7 collect

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Zone Media OÜ — крупнейший хостинг-провайдер Эстонии: домены, веб-хостинг, виртуальные серверы, облачные решения. Хранит данные тысяч эстонских компаний и частных клиентов — в том числе данные сайтов, баз данных, электронной почты. Как инфраструктурная компания обрабатывает чувствительные данные как вольный, так и уполномоченный обработчик. HAR: 51 запрос, 10 доменов.

Два документа — разный уровень детализации

У Zone есть два документа: политика конфиденциальности и Cookie Declaration (Cookiebot). Cookie Declaration подробна и актуальна — последнее обновление 03.06.2026. Декларирует Google Analytics, Zendesk, Matomo, Trustpilot, Facebook Pixel, Hotjar, LinkedIn, YouTube, CrazyEgg, Google DoubleClick — 10 категорий получателей. Политика конфиденциальности написана в общих чертах: упоминает cookies и «технологии слежения» без перечисления конкретных получателей. По Art. 13(1)(e) GDPR именно политика конфиденциальности должна содержать информацию о получателях — Cookie Declaration её не заменяет.

Трекеры до согласия

Cookiebot появляется на +898 мс. К этому моменту уже активированы четыре внешних сервиса:

Trustpilot (+87 мс) — виджет отзывов загружается первым, за 811 мс до баннера.

Matomo (+133 мс, a.zone.eu) — собственный сервер Zone, что само по себе плюс. Но одновременно запускается HeatmapSessionRecording — плагин записи тепловых карт и сессий пользователей. Это не базовая аналитика: система фиксирует каждое движение мыши и клик на странице до согласия.

Zendesk (+206 мс, static.zdassets.com) — чат-виджет поддержки, серверы в США. На +566 мс zonehd.zendesk.com отправляет frontendevents/pv — pageview событие — тоже до баннера.

Google Tag Manager (+793 мс, GTM-K8W4S8) — загружается за 105 мс до Cookiebot. После появления баннера через GTM активируется Google Analytics (G-L9GLKJNJW7), collect уходит на +1117 мс.

Cookie Declaration декларирует Facebook Pixel, Hotjar, LinkedIn, YouTube, CrazyEgg, Google DoubleClick. Ни один из них не появился в HAR этой сессии. Возможно активируются на других страницах или после согласия — но декларирование сервисов которые не наблюдались заслуживает отдельной проверки.

Контекст чувствительности

Zone — хостинг-провайдер. Клиенты доверяют ему не просто email, а серверную инфраструктуру своих бизнесов. Стандарт соответствия для компании, которая продаёт доверие как продукт, должен быть выше среднего. Запись сессий через HeatmapSessionRecording до согласия на сайте хостинг-провайдера — это не технически сложная проблема. Это вопрос приоритетов.

Вывод

Cookie Declaration Zone актуальна и подробна — это редкость в серии. Но подробная декларация не компенсирует запуск трекеров до согласия. Matomo с записью сессий, Zendesk и Trustpilot активируются за сотни миллисекунд до появления баннера. GTM — за 105 мс до Cookiebot. Политика конфиденциальности не называет ни одного из этих получателей. Разрыв между тем что задекларировано и тем что происходит до согласия — основная проблема.

Доказательство
Оригинал (разбор)
HAR-файл: ee/zone-ee-2026-06-05.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом zone.ee.

2. Обстоятельства
Я посетил сайт zone.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 05.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Trustpilot (+87 мс), Zendesk (+206 мс) и Matomo с записью сессий (+133 мс) запускаются до появления баннера Cookiebot (+898 мс). Google Tag Manager загружается на +793 мс — тоже до Cookiebot. GA collect уходит на +1117 мс.

2) Баннер Cookiebot появляется через 898 мс после старта сессии. К этому моменту Trustpilot, Zendesk, Matomo и GTM уже активированы. Реального механизма блокировки до согласия нет.

3) Политика конфиденциальности не упоминает Trustpilot, Matomo (a.zone.eu с HeatmapSessionRecording), Zendesk как получателей данных. Cookie Declaration декларирует их, но политика — нет.

4) Zendesk (static.zdassets.com, zonehd.zendesk.com) — серверы в США. Trustpilot — Дания/США. Механизм передачи данных не указан в политике конфиденциальности.

5) Matomo запускает HeatmapSessionRecording — запись тепловых карт и сессий пользователей. Это выходит за рамки базовой аналитики посещаемости и требует отдельного правового основания.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/zone-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(c)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]