Технический аудит · 2026-04-12

emta.ee

Налогово-таможенный департамент — налоговые декларации, платежи, регистрация бизнеса

Через сайт налогового ведомства проходят финансовые данные каждого гражданина и каждого бизнеса страны. На нём параллельно работают два аккаунта Google Analytics — и владелец второго из публичных данных неизвестен. Политика куки пустая и не обновлялась 5 лет.

Хронология утечки

+0,92 сек · до согласия

Cloudflare Insights — аналитика, США. Следом +0,94 сек GTM: контейнер запускается до баннера, данные в США.

+1,28 сек · до согласия

Google Analytics реально отправляет данные на region1.google-analytics.com. browser-update.org (+1,37 сек) передаёт данные о браузере и устройстве. Всё до нажатия любой кнопки.

Декларация против факта

✓ Политика куки: одно вводное предложение и форма обратной связи, без вендоров — заявлен

+ Google Analytics — два аккаунта GA4 (G-0K12YCGWL9, G-1CLYN82137), 7 передач — не заявлен

+ Google Tag Manager — не заявлен

+ Cloudflare Insights — не заявлен

+ browser-update.org — 5 запросов, отсутствует полностью — не заявлен

Тайминги передачи

+0,92 сек static.cloudflareinsights.com прошёл Cloudflare Insights, данные в США

+0,94 сек www.googletagmanager.com прошёл GTM — контейнер до баннера согласия

+1,28 сек region1.google-analytics.com прошёл GA аккаунт G-0K12YCGWL9. 7 передач за сессию

+6,58 сек region1.google-analytics.com прошёл Второй GA аккаунт G-1CLYN82137 — владелец неизвестен

+1,37 сек browser-update.org прошёл Сторонний сервис, update.min.js, 5 раз за сессию. В политике отсутствует

Зафиксированные трекеры

Google Analytics (два аккаунта GA4)
Google Tag Manager
Cloudflare Insights
browser-update.org

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

GTM (+0,94 сек), Google Analytics (+1,28 сек) и browser-update.org (+1,37 сек) запускаются за 0,92–1,37 секунды до любого согласия пользователя.
GDPR Art. 13(1)(e)

Ни один вендор не задекларирован — страница политики куки пустая (одно вводное предложение и форма обратной связи). browser-update.org отсутствует полностью.
GDPR Art. 5(1)(b)

Параллельно работают два аккаунта GA4 (G-0K12YCGWL9 и G-1CLYN82137). Владелец второго из публичных данных неизвестен — цель обработки не определена.
GDPR Art. 5(1)(a), Art. 7

Тёмный паттерн через непрозрачность: категория «Необходимые куки» заблокирована и не раскрыта, кнопки «Отклонить все» нет. Согласие не может быть информированным, если информации нет.
GDPR Art. 12(1), Art. 13(1)(c)

Информация не предоставлена в прозрачной форме: политика куки не обновлялась с 05.10.2021 (5 лет), цели обработки для каждой категории не указаны.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в Google (США) не указан.

Контекст

Maksu- ja Tolliamet — Налогово-таможенный департамент Эстонии. Через сайт граждане и бизнес подают налоговые декларации, платят налоги, регистрируют предприятия. Здесь — финансовые данные каждого налогоплательщика страны. HAR: 133 запроса, 7 внешних доменов.

Пустая политика и тёмный паттерн

Страница «Файлы cookie» обновлена 05.10.2021 — пять лет назад. Её содержание: одно вводное предложение и форма обратной связи. Ни одного названия вендора, ни одного конкретного куки, ни одного получателя данных. Баннер предлагает три кнопки — «Выбрать самому», «Разрешить необходимые», «Разрешить все» — без кнопки «Отклонить все». При выборе «Выбрать самому» категория «Необходимые куки» заблокирована, но что именно в неё входит, неизвестно, потому что политика пустая. Возможно, именно там скрыты GTM и browser-update.org, запускающиеся за секунду до баннера. Это тёмный паттерн через непрозрачность: нельзя осознанно отказаться от того, о чём не знаешь.

Что происходит до согласия

Cloudflare Insights (+0,92 сек), GTM (+0,94 сек), Google Analytics (+1,28 сек) и browser-update.org (+1,37 сек) запускаются до того, как пользователь нажал что-либо. Google Analytics реально отправляет данные на region1.google-analytics.com.

Два аккаунта Google Analytics

За сессию Google Analytics передал данные 7 раз через два разных идентификатора: G-0K12YCGWL9 (первая передача +1,28 сек) и G-1CLYN82137 (первая передача +6,58 сек). Два отдельных GA4-аккаунта работают параллельно. Кому принадлежит второй — из публичных данных установить нельзя, и в политике куки не упомянут ни один. Отдельно — browser-update.org: сторонний американский сервис, загружающий update.min.js при каждом открытии страницы (5 раз за сессию) на сайте налогового ведомства.

Вывод

Одна страна, одно государство — два принципиально разных подхода. eesti.ee умеет строить чисто: строгая CSP, только эстонские домены, ноль внешних трекеров. emta.ee — сосед по коридору — поставил два аккаунта Google Analytics, добавил browser-update.org и не обновлял политику куки 5 лет. Через emta.ee проходят финансовые данные всей страны, и Google знает, кто и когда заходит на сайт налоговой. Стандарт существует только там, где есть конкретный человек, который за него отвечает; где такого нет — система идёт по пути наименьшего сопротивления. Именно поэтому ежегодный публичный аудит государственных сайтов — не абстракция: будь он, emta.ee не выглядел бы так спустя пять лет.

Доказательство

Оригинал (разбор)

HAR-файл: ee/emta-ee-2026-04-12.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом emta.ee.

2. Обстоятельства
Я посетил сайт emta.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 12.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (+0,94 сек), Google Analytics (+1,28 сек) и browser-update.org (+1,37 сек) запускаются за 0,92–1,37 секунды до любого согласия пользователя.

2) Ни один вендор не задекларирован — страница политики куки пустая (одно вводное предложение и форма обратной связи). browser-update.org отсутствует полностью.

3) Параллельно работают два аккаунта GA4 (G-0K12YCGWL9 и G-1CLYN82137). Владелец второго из публичных данных неизвестен — цель обработки не определена.

4) Тёмный паттерн через непрозрачность: категория «Необходимые куки» заблокирована и не раскрыта, кнопки «Отклонить все» нет. Согласие не может быть информированным, если информации нет.

5) Информация не предоставлена в прозрачной форме: политика куки не обновлялась с 05.10.2021 (5 лет), цели обработки для каждой категории не указаны.

6) Механизм передачи данных в Google (США) не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/emta.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 5(1)(b); GDPR Art. 5(1)(a), Art. 7; GDPR Art. 12(1), Art. 13(1)(c); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]