EUGDPR Audit
RU EN
Технический аудит · 2026-05-03

harno.ee

Образовательные программы, экзамены, стипендии
EE

Образовательный портал, пользователи которого — дети и молодёжь (ст.8 GDPR). DoubleClick и Google Analytics собирают данные несовершеннолетних без согласия. При этом соседний сайт той же организации — rajaleidja.ee — работает с нулём трекеров. Значит, выбор harno сделан осознанно.

Хронология утечки

+351 мс · до согласия
Cloudflare Insights — статус 200, передача в США. cdnjs.cloudflare.com — статус 404, но IP пользователя уже ушёл в Cloudflare.
+507 мс · до согласия
Google Tag Manager (GA4, ID G-8TVS280V6G) запускается до любого согласия. Следом — 4 реальные передачи в region1.analytics.google.com (статус 204) и DoubleClick (stats.g.doubleclick.net) с тем же tracking ID.
Баннер согласия
Отсутствует полностью. Ноль consent-запросов, ноль Set-Cookie. Тот же шаблон, что у aki.ee, riigikogu.ee, emta.ee, tai.ee — один подрядчик, одна CMS (Drupal vp_distro).

Декларация против факта

+ Google Analytics (GA4) — G-8TVS280V6G, 4 передачи — не заявлен
+ DoubleClick — данные детей на образовательном портале — не заявлен
+ Google Tag Manager, Cloudflare Insights, browser-update.org — не заявлен

Тайминги передачи

+351 мс static.cloudflareinsights.com прошёл Cloudflare Insights, статус 200. Данные в США
+507 мс www.googletagmanager.com прошёл GTM/GA4, ID G-8TVS280V6G, статус 200
после region1.analytics.google.com прошёл Google Analytics — 4 передачи, статус 204. IP, ID, поведение
после stats.g.doubleclick.net/g/collect прошёл DoubleClick на портале для несовершеннолетних. Тот же ID G-8TVS280V6G
после browser-update.org прошёл Сторонний американский сервис, статус 200, 3 раза

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Harno — Фонд образования и молодёжи Эстонии. Через сайт государство управляет образовательными программами, экзаменами, курсами для учителей и стипендиями. Пользователи портала — дети и молодёжь, несовершеннолетние, для которых ст.8 GDPR устанавливает особый режим защиты. HAR: 102 запроса, 8 внешних доменов, все — в США.

Знакомый паттерн

Google Tag Manager (GA4, G-8TVS280V6G) запускается через 507 мс после загрузки, до любого согласия. region1.analytics.google.com — 4 реальные передачи в Google Analytics за сессию (статус 204): каждая содержит IP, идентификатор и поведение пользователя. stats.g.doubleclick.net/g/collect — DoubleClick собирает данные на образовательном портале для несовершеннолетних, с тем же tracking ID. Плюс Cloudflare Insights (статус 200) и browser-update.org. Баннер согласия отсутствует, Set-Cookie ноль, consent-запросов ноль. Это тот же шаблон, что на aki.ee, riigikogu.ee, emta.ee, tai.ee — один подрядчик, одна CMS (Drupal vp_distro), все трекеры на месте по умолчанию.

Эталон по соседству — rajaleidja.ee

В той же государственной экосистеме есть второй сайт — rajaleidja.ee, портал карьерного консультирования для школьников. 166 запросов, один домен, ноль трекеров: ни Google Analytics, ни Cloudflare, ни DoubleClick, ни browser-update.org. WordPress на Apache, все ресурсы локальные. Set-Cookie и consent-запросов нет — и они не нужны, потому что нечего спрашивать. Тот же домен .ee, те же пользователи, тот же Фонд — но принципиально другая архитектура.

Главный вывод

rajaleidja.ee доказывает, что Фонд образования и молодёжи умеет строить сайты без внешних трекеров. harno.ee показывает, что на основном портале они выбирают этого не делать. Один сайт передаёт данные детей в DoubleClick, другой — не передаёт никому. Это архитектурный выбор, сделанный осознанно в каждом случае: внутри одной структуры — две команды, два подрядчика, две философии. Технических отговорок нет.

Доказательство
Оригинал (разбор)
HAR-файл: ee/harno-ee-2026-05-03.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом harno.ee.

2. Обстоятельства
Я посетил сайт harno.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 03.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Обработка данных детей требует особой защиты. DoubleClick и Google Analytics на образовательном портале, пользователи которого — несовершеннолетние, — нарушение по контексту.

2) GTM, Cloudflare Insights и browser-update.org запускаются за миллисекунды до любого согласия. Баннера согласия не существует.

3) Механизм согласия отсутствует как таковой. Ноль consent-запросов, ноль Set-Cookie.

4) Получатели данных (Google, Cloudflare, DoubleClick, browser-update.org) не задекларированы.

5) Механизм передачи данных в США не указан ни для одного получателя. Privacy Shield аннулирован Судом ЕС в 2020.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/harno.ee/

3. Нарушенные положения
GDPR Art. 8; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]