EUGDPR Audit
RU EN
Технический аудит · 2026-04-13

epa.ee

Патентный департамент Эстонии
EE

Государственный орган, защищающий интеллектуальную собственность граждан и бизнеса. Трекеры на сайте работают исправно — Matomo, Cloudflare, browser-update.org. А политики в отношении куки на сайте нет вообще: вместо неё одна строка со ссылкой на чужое ведомство.

Хронология утечки

+230 мс · до согласия
Matomo (statistika.rik.ee) — аналитика на эстонском домене (это плюс), но загружается до согласия. Параллельно Cloudflare Insights и browser-update.org инициируют запросы на каждой странице.
Политика / баннер
Политики в отношении куки нет — только строка-ссылка на сайт Министерства юстиции. Узнать, что собирает сам epa.ee, невозможно.
За сессию
unpkg.com — 4 запроса на странице контактов (статус 200, США). cdnjs.cloudflare.com — 8 запросов (Bootstrap, картографические библиотеки, США).

Декларация против факта

+ Matomo — statistika.rik.ee, до согласия — не заявлен
+ Cloudflare Insights, browser-update.org — тот же почерк, что на aki.ee — не заявлен
+ unpkg.com, cdnjs.cloudflare.com — CDN в США — не заявлен

Тайминги передачи

+230 мс statistika.rik.ee (Matomo) прошёл Аналитика на эстонском домене RIK, но до согласия
на каждой стр. static.cloudflareinsights.com заблокирован Браузер заблокировал, но запрос инициирован. IP в Cloudflare (США)
на каждой стр. browser-update.org заблокирован Сторонний американский сервис. Запрос ушёл
за сессию cdnjs.cloudflare.com прошёл 8 запросов, Bootstrap и библиотеки. Данные в США

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Patendiamet — Патентный департамент Эстонии. Государственный орган: регистрирует патенты, товарные знаки и промышленные образцы, по закону защищает интеллектуальную собственность граждан и бизнеса. HAR: 145 запросов за сессию, 6 страниц.

Знакомые следы

При загрузке каждой страницы запускаются: Matomo (statistika.rik.ee, +230 мс) — аналитика на эстонском домене, что само по себе плюс, но загрузка до согласия остаётся нарушением; Cloudflare Insights и browser-update.org — попытка на каждой странице, браузер заблокировал ответ, но запрос уже был инициирован, и IP пользователя достиг серверов в США; unpkg.com (4 запроса на странице контактов) и cdnjs.cloudflare.com (8 запросов) — CDN в США. Всё это до любого взаимодействия с сайтом.

Это уже не первый раз

Два сервиса — Cloudflare Insights и browser-update.org — были зафиксированы ранее на сайте AKI, Инспекции по защите данных Эстонии. Те же домены, те же тайминги, тот же почерк. Это не совпадение, а паттерн: вероятно, одна CMS, один подрядчик или один шаблон, тиражированный по государственным сайтам Эстонии без проверки на соответствие GDPR.

Политики нет вообще

На epa.ee нет политики в отношении куки и трекеров. Вместо неё — одна строка со ссылкой на сайт Министерства юстиции. Пользователь не может узнать, какие данные собирает этот сайт, кто обработчик, на каком основании и куда они передаются. При этом трекеры работают исправно. Для сравнения: у koda.ee политика хотя бы была — просто не обновлялась 8 лет, и это нарушение. У epa.ee политики в отношении сайта нет вообще — это другой уровень.

Вывод

Орган, который по закону защищает интеллектуальную собственность и регистрирует права, на собственном сайте запускает трекеры без согласия и не публикует никакой информации о том, что и куда передаётся. Отсутствие политики не делает обработку прозрачнее — оно делает её невидимой. Тот же шаблон с теми же трекерами кочует по госсайтам, и пока никто не проверяет их на соответствие, он будет тиражироваться дальше.

Доказательство
Оригинал (разбор)
HAR-файл: ee/epa-ee-2026-04-13.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом epa.ee.

2. Обстоятельства
Я посетил сайт epa.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Matomo (+230 мс), Cloudflare Insights, browser-update.org, unpkg.com и cdnjs.cloudflare.com запускаются до любого согласия — часть заблокирована браузером, но запросы уже инициированы.

2) На сайте нет политики в отношении куки и трекеров. Вместо неё — одна строка со ссылкой на сайт Министерства юстиции. Пользователь не может узнать, какие данные собираются, кто обработчик и на каком основании.

3) Реальные получатели (Matomo, Cloudflare Insights, browser-update.org, unpkg, cdnjs) не задекларированы — декларировать их негде, политики нет.

4) Передача данных в США (Cloudflare, browser-update.org, unpkg) без указания правового механизма.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/epa.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 12, Art. 13; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]