Технический аудит · 2026-04-16

ekool.eu

Крупнейшая образовательная платформа Эстонии — оценки, посещаемость, переписка

Крупнейший школьный дневник Эстонии: оценки, посещаемость, переписка учителей с родителями. Пользователи — дети. Баннера согласия не существует вообще, данные о каждом визите уходят к шести получателям в США, включая тестовый сервер, который никто не отключил. Либо данные ребёнка защищены — либо они уже у кого-то другого.

Хронология утечки

При загрузке · до согласия

GTM (GTM-NKP9Z9QH), Cloudflare Insights, Amazon CloudFront (Webflow), Google Fonts, cdnjs, jsDelivr, ajax.googleapis — все запускаются сразу. IP пользователя достигает серверов Google, Amazon, Cloudflare.

Тестовый сервер в бою

announcement-backend.ekool-test.workers.dev — домен содержит слово test. Тестовая инфраструктура работает на живом сайте, данные о визитах уходят через Cloudflare в США. В политике не упомянут.

Декларация против факта

✓ Политика: одно предложение — «используется услуга Google Analytics» — заявлен

+ Google Tag Manager (GTM-NKP9Z9QH) — не заявлен

+ Amazon CloudFront (Webflow) — американский конструктор — не заявлен

+ Cloudflare Insights, cdn.jsdelivr.net, cdnjs.cloudflare.com — не заявлен

+ ekool-test.workers.dev — тестовый сервер — не заявлен

Тайминги передачи

при загрузке www.googletagmanager.com заблокирован GTM-NKP9Z9QH. Браузер заблокировал ответ, но запрос ушёл, IP в Google

при загрузке d3e54v103j8qbb.cloudfront.net прошёл Amazon CloudFront (Webflow), статус 200. Данные в США

при загрузке static.cloudflareinsights.com заблокирован Cloudflare Insights — попытка зафиксирована

при загрузке ekool-test.workers.dev прошёл Тестовый сервер в боевом режиме. Данные через Cloudflare в США

Зафиксированные трекеры

Google Tag Manager
Amazon CloudFront (Webflow)
Cloudflare Insights
Google Fonts
cdnjs, jsDelivr, ajax.googleapis
ekool-test.workers.dev (тестовый сервер)

Зафиксированные нарушения

GDPR Art. 7

Механизм согласия отсутствует как таковой. Ни одного скрипта, связанного с consent, cookie-баннером или GDPR. Скрипты запускаются сразу, до любого взаимодействия.
GDPR Art. 8

Платформа, пользователи которой — дети, работает без механизма получения согласия родителей. Особая защита данных несовершеннолетних не обеспечена.
GDPR Art. 6(1), Art. 5(1)(a)

GTM, Cloudflare Insights, Amazon CloudFront, Google Fonts запускаются без согласия — потому что дать его невозможно.
GDPR Art. 13(1)(e)

Шесть внешних получателей (Google Tag Manager, Cloudflare Insights, Amazon CloudFront, cdn.jsdelivr.net, cdnjs.cloudflare.com, ekool-test.workers.dev) не задекларированы. В политике — только Google Analytics.
GDPR Art. 13(1)(f), Chapter V

Передача данных в США (Google, Amazon, Cloudflare) без указания правового механизма.

Контекст

eKool — крупнейшая образовательная платформа Эстонии: электронный журнал, оценки, посещаемость, переписка учителей с родителями, домашние задания. Используется в большинстве эстонских школ. Пользователи — учителя, родители и дети.

Главное — баннера согласия не существует

На сайте eKool нет механизма согласия совсем. Ни одного скрипта, связанного с consent, cookie-баннером или GDPR. Скрипты запускаются сразу, без вопросов, до любого взаимодействия. При загрузке страницы срабатывают GTM (GTM-NKP9Z9QH), Cloudflare Insights, Amazon CloudFront, Google Fonts, cdnjs, jsDelivr и ajax.googleapis — всё до любого согласия, потому что согласия не существует как механизма. GTM при этом — не один трекер, а платформа, способная активировать любые сторонние скрипты без изменения кода сайта; что именно настроено внутри контейнера, без доступа к аккаунту неизвестно.

Amazon и тестовый сервер

eKool построен на Webflow — американском конструкторе сайтов, поэтому данные о каждом визите проходят через инфраструктуру Amazon CloudFront (d3e54v103j8qbb.cloudfront.net, США). Отдельная находка — announcement-backend.ekool-test.workers.dev: домен содержит слово test. Это выглядит как тестовая инфраструктура, работающая на живом сайте; данные о визитах уходят через Cloudflare в США. В политике он не упомянут.

Политика — одно предложение

Политика конфиденциальности сообщает об аналитике буквально одной фразой: «На веб-сайте eKool используется услуга Google Analytics». Отсутствуют как получатели: Google Tag Manager, Cloudflare Insights, Amazon CloudFront, cdn.jsdelivr.net, cdnjs.cloudflare.com, ekool-test.workers.dev. Шесть внешних получателей — ни одного в политике (Art. 13(1)(e)).

Вывод

Когда речь идёт о данных детей, честных путей всего два. Первый — государство берёт их под полную защиту: закрытая платформа, только эстонские серверы, только эстонский закон и ответственность, как в банке, как в больнице. Второй — вот это: Google, Amazon, Cloudflare, тестовый сервер, который никто не отключил, и шесть получателей данных, которых нет ни в одном документе. Середины не существует: либо данные ребёнка защищены — либо они уже у кого-то другого. eKool свой выбор сделал — просто родители об этом не знали.

Доказательство

Оригинал (разбор)

HAR-файл: ee/ekool-eu-2026-04-16.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ekool.eu.

2. Обстоятельства
Я посетил сайт ekool.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Механизм согласия отсутствует как таковой. Ни одного скрипта, связанного с consent, cookie-баннером или GDPR. Скрипты запускаются сразу, до любого взаимодействия.

2) Платформа, пользователи которой — дети, работает без механизма получения согласия родителей. Особая защита данных несовершеннолетних не обеспечена.

3) GTM, Cloudflare Insights, Amazon CloudFront, Google Fonts запускаются без согласия — потому что дать его невозможно.

4) Шесть внешних получателей (Google Tag Manager, Cloudflare Insights, Amazon CloudFront, cdn.jsdelivr.net, cdnjs.cloudflare.com, ekool-test.workers.dev) не задекларированы. В политике — только Google Analytics.

5) Передача данных в США (Google, Amazon, Cloudflare) без указания правового механизма.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ekool.eu/

3. Нарушенные положения
GDPR Art. 7; GDPR Art. 8; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]