Технический аудит · 2026-05-03

etoimik.rik.ee

Государственная система электронных судов Эстонии

Государственный портал судебной системы — стороны дел, аутентификация через ID-карту, уголовные производства. Cloudflare Insights, Google Fonts и YouTube WAA tracking запускаются без согласия. 99 запросов, 11 внешних доменов — все в США.

Хронология утечки

+337 мс · при загрузке

etoimik.rik.ee загружен. Редирект: e-toimik.ee → 307 → e-toimik.ee → 301 → etoimik.rik.ee.

+636 мс · до согласия

static.cloudflareinsights.com — статус 200. Аналитический маяк Cloudflare. Данные в США.

+1839 мс · до согласия

www.youtube-nocookie.com — статус 200. Privacy-enhanced режим используется корректно.

+2099 мс · до согласия

www.youtube.com — статус 200. Стандартные скрипты embed загружаются параллельно с nocookie-версией.

+2141 мс · до согласия

fonts.gstatic.com — статус 200. Google Fonts, 8 запросов. IP пользователя в Google, США.

+4464 мс · до согласия

www.google.com — статус 200. 4 запроса.

+11505 мс · до согласия

jnn-pa.googleapis.com — YouTube WAA anti-bot tracking. 5 запросов. Данные в Google, США.

Декларация против факта

+ Cloudflare Insights (static.cloudflareinsights.com) — не заявлен

+ Google Fonts (fonts.gstatic.com) — не заявлен

+ YouTube (www.youtube.com, www.youtube-nocookie.com) — не заявлен

+ YouTube WAA tracking (jnn-pa.googleapis.com) — не заявлен

+ Google (www.google.com) — не заявлен

Тайминги передачи

+636 мс static.cloudflareinsights.com без согласия Статус 200. Аналитика Cloudflare, данные в США

+1839 мс www.youtube-nocookie.com без согласия 28 запросов. Privacy-enhanced режим — корректно

+2099 мс www.youtube.com без согласия 12 запросов. Стандартные embed-скрипты

+2141 мс fonts.gstatic.com без согласия 8 запросов. Google Fonts, IP в США

+4464 мс www.google.com без согласия 4 запроса

+11505 мс jnn-pa.googleapis.com без согласия 5 запросов. YouTube WAA tracking

Зафиксированные трекеры

Cloudflare Insights
Google Fonts (fonts.gstatic.com)
YouTube (www.youtube.com)
YouTube WAA (jnn-pa.googleapis.com)
Google (www.google.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Cloudflare Insights, Google Fonts и YouTube запускаются без согласия на портале судебной системы, где обрабатываются данные об уголовных, гражданских и административных делах.
GDPR Art. 7

Механизм согласия отсутствует полностью. Ноль consent-запросов, ноль Set-Cookie.
GDPR Art. 13(1)(e)

Cloudflare и Google не задекларированы как получатели данных.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США не указан.
GDPR Art. 6, Art. 10

Данные собираются на портале, где работают со сведениями о судебных делах, включая уголовные производства (ст.10 — особо чувствительная категория). Контекст повышает тяжесть нарушения.

Контекст

etoimik.rik.ee — государственная система электронного судопроизводства Эстонии. Через этот портал стороны судебных дел получают доступ к материалам своих производств: гражданские споры, разводы, опека над детьми, уголовные дела, административные производства. Аутентификация через ID-карту. Оператор — RIK (Riigi Infokommunikatsiooni Sihtasutus). 99 запросов за сессию, 12 уникальных доменов, 11 внешних — все в США.

Что сделано правильно

YouTube-nocookie.com используется корректно: 28 запросов идут через youtube-nocookie.com — privacy-enhanced версия, которая не устанавливает идентификационные cookie до согласия пользователя. Это правильное решение — в отличие, например, от terviseportaal.ee, где использовалась обычная youtube.com. Отсутствуют Google Tag Manager, Google Analytics, DoubleClick, browser-update.org.

Что сделано неправильно

Cloudflare Insights (+636 мс, статус 200) — аналитический маяк загружается с самого etoimik.rik.ee. Данные уходят в США (Cloudflare) при каждом открытии страницы. Без согласия, без баннера.

Google Fonts (fonts.gstatic.com, +2141 мс) — 8 запросов, статус 200. IP пользователя передаётся в Google (США) при каждой загрузке страницы.

YouTube embed (www.youtube.com, +2099 мс) — несмотря на использование youtube-nocookie для встроенного плеера, стандартные скрипты embed всё равно загружаются с обычного youtube.com. Это побочный эффект архитектуры YouTube: privacy-enhanced режим снижает ущерб, но не устраняет его полностью.

YouTube WAA (jnn-pa.googleapis.com, +11505 мс) — 5 запросов. YouTube anti-bot tracking работает в фоне независимо от режима embed.

Баннера согласия нет вообще: ноль consent-запросов, ноль Set-Cookie.

Контекст, который меняет всё

etoimik.rik.ee — это не новостной портал и не интернет-магазин. Через этот сайт проходят данные об уголовных производствах — категория, прямо упомянутая в ст.10 GDPR как требующая особой защиты. Когда сторона уголовного дела открывает портал, Cloudflare (США) получает данные о визите, Google Fonts получает IP, YouTube WAA tracking работает в фоне. Это происходит на государственном портале судебной системы без какого-либо согласия и без какого-либо уведомления.

Примечательно, что RIK знает о privacy-enhanced режиме YouTube — именно поэтому youtube-nocookie используется для плеера. Но Cloudflare Insights оставлен. Google Fonts оставлен. Осведомлённость о приватности есть — применяется выборочно.

Паттерн в экосистеме RIK

Это не единичный случай. saada.rik.ee (портал подачи жалоб в AKI) использует AWS CDN, fonts.googleapis.com, fonts.gstatic.com, cdnjs.cloudflare.com. Одна организация — один паттерн: внешние американские сервисы на государственных порталах с особо чувствительными данными.

Вывод

YouTube знает о визите на судебный портал раньше, чем сам портал успел полностью загрузиться. Это не метафора — это тайминги из HAR-файла: youtube.com на +2099 мс, сам сайт на +337 мс. RIK продемонстрировал, что понимает разницу между youtube.com и youtube-nocookie.com. Тот же уровень понимания должен распространяться на Cloudflare Insights и Google Fonts — сервисы, которые на судебном портале не имеют правового основания.

Доказательство

Оригинал (разбор)

HAR-файл: ee/etoimik.rik.ee-2026-05-03.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом etoimik.rik.ee.

2. Обстоятельства
Я посетил сайт etoimik.rik.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 03.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Cloudflare Insights, Google Fonts и YouTube запускаются без согласия на портале судебной системы, где обрабатываются данные об уголовных, гражданских и административных делах.

2) Механизм согласия отсутствует полностью. Ноль consent-запросов, ноль Set-Cookie.

3) Cloudflare и Google не задекларированы как получатели данных.

4) Механизм передачи данных в США не указан.

5) Данные собираются на портале, где работают со сведениями о судебных делах, включая уголовные производства (ст.10 — особо чувствительная категория). Контекст повышает тяжесть нарушения.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/etoimik-rik-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 6, Art. 10

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]