Технический аудит · 2026-05-10

kaitseliit.ee

Добровольная военизированная организация обороны

Организация, чьи члены работают со сведениями, составляющими государственную тайну. Политика описывает несуществующую аналитику Google и молчит о реальном Usercentrics — чьи серверы расположены в Google Cloud, США.

Хронология утечки

+241 мс · до согласия

Загружается движок Usercentrics (web.cmp.usercentrics.eu) и блокировщик скриптов. Данные уходят на серверы Google Cloud в США.

После взаимодействия

Решение субъекта об отказе сохраняется на серверах Usercentrics в США. graphql.usercentrics.eu (204), consent-api (201) — реальная передача.

Декларация против факта

✓ Google Analytics (Google LLC) — нет в HAR, ни одного запроса — заявлен

+ Usercentrics GmbH — система управления согласием, 7 поддоменов, 40+ запросов — не заявлен

+ Google Cloud — субпроцессор Usercentrics, вся инфраструктура в США — не заявлен

Тайминги передачи

+241 мс web.cmp.usercentrics.eu прошёл Движок CMP. IP 34.149.254.14 (Google Cloud, США)

+241 мс privacy-proxy.usercentrics.eu прошёл Блокировщик скриптов. IP 35.190.14.188 (Google Cloud, США)

+492 мс v1.api.service.cmp.usercentrics.eu прошёл API-запрос, аккаунт p35w8mDt59xABk. IP 34.102.170.124 (Google Cloud)

+892 мс app.usercentrics.eu прошёл Пиксельный трекер сессии. IP 35.190.14.188 (Google Cloud)

+1443 мс uct.service.usercentrics.eu заблокирован Телеметрия с URL страницы в параметре r=. Статус 0 — запрос инициирован

+1679 мс graphql.usercentrics.eu прошёл Статус 204. Передача без тела ответа. IP 34.120.238.166 (Google Cloud)

Зафиксированные трекеры

Usercentrics (Cookiebot CMP)
Google Cloud (субпроцессор Usercentrics)

Зафиксированные нарушения

GDPR Art. 5(1)(a)

Нарушение принципа прозрачности. Политика декларирует Google Analytics, которого нет в HAR, а реально работающего процессора Usercentrics не называет.
GDPR Art. 6(1)

Отсутствует правовое основание для передачи данных Usercentrics до получения согласия. Запросы уходят до выбора пользователя.
GDPR Art. 13(1)(e)

Usercentrics GmbH и Google Cloud не раскрыты как получатели данных. 7 поддоменов, 40+ запросов за сессию.
GDPR Art. 13(1)(f), Chapter V

Передача персональных данных (IP, URL, идентификаторы сессии) на серверы в США без указания правового механизма (SCC, adequacy decision).
GDPR Art. 28(2)–(4)

Google Cloud как субпроцессор Usercentrics не задокументирован в политике.

Контекст

Кайтселийт — добровольная военизированная организация обороны Эстонии, работающая на основании специального закона (Kaitseliidu seadus). Обрабатывает данные членов, кандидатов на вступление и сотрудников, в том числе данные о допуске к государственной тайне. Правовая база здесь — закон о Кайтселийте, закон о государственной тайне и GDPR одновременно. Сайт построен на WordPress + Elementor, сервер хостится в Эстонии (IP 217.146.69.28, Elisa Eesti).

Декларация против факта — обратная ситуация

Обычно сайты не декларируют то, что реально работает. Кайтселийт делает наоборот: декларирует то, чего нет, и молчит о том, что есть.

Раздел политики об обработке данных посетителей содержит развёрнутую таблицу из восьми куки-файлов Google Analytics (__utma, __utmb, __utmc, __utmt, __utmv, __utmz, fontSize, BWSIDc...) и прямо заявляет, что сайт использует Google Analytics от Google LLC. HAR-файл сессии от 10 мая 2026 года: ни одного запроса к доменам Google Analytics, ни одного куки из задекларированной таблицы. Google Analytics декларирован, но не работает — его убрали молча.

Незадекларированный субпроцессор

Реально на сайте работает Usercentrics — система управления согласием. Все 7 её доменов обслуживаются инфраструктурой Google Cloud (IP///34.149.254.14///35.190.14.188///34.102.170.124///34.120.238.166///35.201.111.240 — все США.)Usercentrics — немецкая компания, но вся техническая инфраструктура американская. Политика не называет Usercentrics ни процессором, ни субпроцессором; Google Cloud как субпроцессор Usercentrics не упомянут вовсе.

Проверка утверждений политики

Политика заявляет, что IP-адреса не связываются с идентифицирующей информацией и раскрываются только в обезличенном виде. HAR фиксирует обратное: IP-адрес посетителя передаётся Usercentrics при каждом запросе, включая запрос к consent-api, где IP — часть устанавливаемого браузером HTTP-соединения. Суд ЕС в решении Breyer (C-582/14, 2016) установил, что динамический IP-адрес является персональными данными, если оператор имеет юридическую возможность идентифицировать пользователя. Утверждение об «обезличенном» характере IP не соответствует ни практике передачи, ни правовому определению.

Вывод

У организации, чьи члены работают со сведениями, составляющими государственную тайну, политика конфиденциальности описывает несуществующую аналитику и молчит о реальной. Сайт подключён к Usercentrics, чьи серверы расположены в Google Cloud (США), а механизм передачи в политике отсутствует. Для сравнения: eesti.ee — государственный портал Эстонии — работает без единого внешнего домена со строгой CSP и белым списком. Это доказывает, что архитектурно возможно иначе.

Доказательство

Оригинал (разбор)

HAR-файл: ee/kaitseliit-ee-2026-05-10.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом kaitseliit.ee.

2. Обстоятельства
Я посетил сайт kaitseliit.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 10.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Нарушение принципа прозрачности. Политика декларирует Google Analytics, которого нет в HAR, а реально работающего процессора Usercentrics не называет.

2) Отсутствует правовое основание для передачи данных Usercentrics до получения согласия. Запросы уходят до выбора пользователя.

3) Usercentrics GmbH и Google Cloud не раскрыты как получатели данных. 7 поддоменов, 40+ запросов за сессию.

4) Передача персональных данных (IP, URL, идентификаторы сессии) на серверы в США без указания правового механизма (SCC, adequacy decision).

5) Google Cloud как субпроцессор Usercentrics не задокументирован в политике.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/kaitseliit.ee/

3. Нарушенные положения
GDPR Art. 5(1)(a); GDPR Art. 6(1); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 28(2)–(4)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]