Национальный генный банк хранит ДНК 200 000 эстонцев — самые чувствительные данные, которые существуют. Сайт передаёт данные посетителей в рекламную сеть Google AdSense за секунду до того, как человек нажал «согласен».
Хронология утечки
Декларация против факта
Тайминги передачи
Зафиксированные трекеры
- Google AdSense
- Google Tag Manager
- AddToAny
- Cloudflare Insights
- Facebook Pixel (в CSP)
- DoubleClick (в CSP)
Зафиксированные нарушения
-
GDPR Art. 9Рекламные трекеры работают на сайте организации, управляющей генетическими данными 200 000 граждан, без надлежащего правового основания. Генетические данные — специальная категория с максимальной защитой по закону.
-
GDPR Art. 6(1), Art. 5(1)(a)AddToAny, GTM, Cloudflare Insights и Google AdSense запускаются за 0,10–1,09 секунды до любого согласия пользователя.
-
GDPR Art. 7Баннер согласия появляется после того, как данные уже переданы. Согласие утратило смысл.
-
GDPR Art. 13(1)(e)AddToAny, Cloudflare Insights, Google AdSense и DoubleClick отсутствуют в политике конфиденциальности. Указаны только Facebook Pixel и Google Analytics.
-
GDPR Art. 13(1)(f)Механизм передачи данных в США не указан ни для одного получателя.
-
GDPR Chapter VДанные передаются через www.translate.google.cn — китайский домен прописан в CSP — без указания правового основания.
Контекст
Eesti Geenivaramu — национальный генный банк при Тартуском университете. Это не абстракция: реальные биологические образцы реальных людей, ДНК 200 000 эстонцев. Самые чувствительные данные, которые существуют. ДНК не меняется — её нельзя сбросить, как пароль. По GDPR генетические данные относятся к специальной категории (Art. 9) с максимальной защитой по закону.
Что происходит, пока ты смотришь на баннер
Пока пользователь смотрит на баннер согласия, четыре американских сервиса уже получили данные. AddToAny — на +0,10 сек. Google Tag Manager — на +0,15 сек. Cloudflare Insights — на +0,37 сек. Google AdSense (pagead2.googlesyndication.com) — на +1,09 сек. Пользователь ещё ничего не нажал, а рекламная сеть Google уже знает, что он на сайте генного банка. За сессию Google AdSense отправил данные 5 раз — это не попытки, а реальные запросы, зафиксированные в HAR с таймингами до миллисекунды.
Архитектура — что прописано в коде
В политике безопасности сайта университет сам прописал разрешённые домены, среди которых: connect.facebook.net, graph.facebook.com, js.facebook.com (Facebook Pixel), *.doubleclick.net (рекламная сеть Google, wildcard на все поддомены), *.googlesyndication.com (Google AdSense) и www.translate.google.cn (Google Translate через Китай). Это не взлом и не ошибка — это решение, которое кто-то принял и прописал в код.
Декларация против факта
Политика конфиденциальности утверждает, что статистические куки невозможно связать с конкретным лицом. По решению Суда ЕС 2016 года (Breyer) IP-адрес является персональными данными, а Google Analytics передаёт IP — значит, утверждение юридически неверно. Кроме того, в политике не упомянуты AddToAny, Cloudflare Insights, Google AdSense и DoubleClick: указаны только Facebook Pixel и Google Analytics, остальные невидимы для пользователя.
Вывод
Генетические данные — специальная категория с максимальной защитой по закону. На практике — рекламные трекеры за секунду до согласия. Это не про Тартуский университет лично, а про систему, где даже самые серьёзные организации работают по тем же шаблонам, что районный интернет-магазин. Разница только в том, что на кону. Здесь на кону — ДНК 200 000 человек.
Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee
Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.
Кому: AKI — Эстонский надзорный орган по защите данных От: [Ваше имя], [контактный email] 1. Предмет жалобы Я подаю жалобу в отношении обработки моих персональных данных сайтом genomics.ut.ee. 2. Обстоятельства Я посетил сайт genomics.ut.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 12.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее: 1) Рекламные трекеры работают на сайте организации, управляющей генетическими данными 200 000 граждан, без надлежащего правового основания. Генетические данные — специальная категория с максимальной защитой по закону. 2) AddToAny, GTM, Cloudflare Insights и Google AdSense запускаются за 0,10–1,09 секунды до любого согласия пользователя. 3) Баннер согласия появляется после того, как данные уже переданы. Согласие утратило смысл. 4) AddToAny, Cloudflare Insights, Google AdSense и DoubleClick отсутствуют в политике конфиденциальности. Указаны только Facebook Pixel и Google Analytics. 5) Механизм передачи данных в США не указан ни для одного получателя. 6) Данные передаются через www.translate.google.cn — китайский домен прописан в CSP — без указания правового основания. Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/genomics.ut.ee/ 3. Нарушенные положения GDPR Art. 9; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f); GDPR Chapter V 4. Требование Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR. 5. Приложения Полная доказательная база — HAR-файл, контрольная сумма SHA-256 и цитата из политики конфиденциальности сайта, документирующая указанное противоречие — опубликована и проверяема по ссылке в пункте 2 выше. [Дата] [Подпись/имя]