Технический аудит обработки персональных данных

Почему этот сайт существует

«Один человек — это не публичный интерес.»

Именно так Andmekaitse Inspektsioon (AKI) — эстонский регулятор GDPR — обосновал закрытие моего дела против рекламного брокера TheTradeDesk. В официальном решении формулировка была развёрнута так: «Жалоба содержит обширную техническую аргументацию, но в центре — индивидуальный запрос одного субъекта данных». В тот же день, 15 мая 2026 года, AKI закрыл и второе моё дело — против LiveRamp Holdings, Inc. — с аналогичной мотивировкой.

Юридически это значит, что регулятор не обязан расследовать систематические нарушения GDPR, пока жалоба исходит от одного человека. Практически — это разрешает рекламной индустрии работать в обход закона, потому что «массовая жалоба» не появляется там, где у общественности нет информации о нарушениях.

Этот сайт — мой ответ на такую логику. Если защита персональных данных гражданина не признаётся публичным интересом — я фиксирую нарушения сам, открыто и воспроизводимо. Каждая публикация доступна любому, кто захочет её проверить, использовать в собственной жалобе или процитировать в исследовании. Один человек перестаёт быть «не публичным интересом» в тот момент, когда его работа становится публичной.

Это не блог и не личный дневник жалоб. Это первая публичная, воспроизводимая, методологически единообразная база GDPR-нарушений по всему ЕС. С HAR-доказательствами, таймингами, конкретными статьями — на каждый объект.

Что это технически

Сайт публикует технические аудиты реальных сайтов — государственных и коммерческих — на предмет обработки персональных данных в соответствии с GDPR.

Каждый аудит — это воспроизводимое измерение: HAR-файл сетевого трафика, классификация запросов, сверка с задекларированной политикой конфиденциальности, правовая квалификация по конкретным статьям GDPR.

Что важно знать

• Все материалы публикуются под лицензией CC BY 4.0 — их можно цитировать, использовать в журналистике, исследованиях, юридических процедурах.
• Сам этот сайт построен по тем же принципам, что предъявляются к аудируемым: ноль внешних трекеров, ноль cookies, строгая Content-Security-Policy, всё содержимое — с собственного домена в ЕС.
• Доказательственные файлы (HAR) публикуются с криптографической контрольной суммой SHA-256.

Как пользоваться

• Раздел Страны группирует аудиты по странам. У каждой страны — свой регулятор GDPR и собственный список разобранных сайтов.
• Раздел Категории группирует сайты по функциональному типу (оборона, здравоохранение, регуляторы, и т. д.). Удобно для сравнения сайтов одного типа в разных странах.
• Раздел Аудиты содержит весь корпус разборов в одном списке с фильтрами.
• Раздел Методология описывает, как именно проводится аудит.