Технический аудит · 2026-04-13

koda.ee

Представляет интересы предпринимателей

Торговая палата — голос бизнеса, она учит предпринимателей работать правильно. На её собственном сайте баннер заявляет: нажатие любой ссылки означает согласие — практика, прямо запрещённая GDPR. К моменту, когда пользователь видит баннер, данные уже переданы шести сервисам.

Хронология утечки

+248–268 мс · до согласия

GTM (+248 мс), AddToAny (+253 мс), Google Maps API (+254 мс, статус 200), Microsoft Clarity (+268 мс) запускаются при загрузке каждой страницы. Часть заблокирована браузером, но запросы уже ушли — IP достиг серверов в США.

За сессию

Google Maps реально передал ~1,5 МБ (313 583 байта × 5 страниц) в Google без согласия, ключ API открыт в HAR. CartoCDN — 164 836 байт. unpkg и jsDelivr — CDN в США.

Декларация против факта

✓ Google Analytics — единственный в таблице куки — заявлен

+ Google Maps API — ~1,5 МБ за сессию, ключ открыт — не заявлен

+ Microsoft Clarity — сессионный рекордер — не заявлен

+ AddToAny, basemaps.cartocdn.com, unpkg.com, cdn.jsdelivr.net — не заявлен

Тайминги передачи

+248 мс www.googletagmanager.com заблокирован GTM — браузер заблокировал, но запрос ушёл, IP в Google

+254 мс Google Maps API прошёл Статус 200. ~1,5 МБ за сессию. Ключ API открыт в HAR

+268 мс Microsoft Clarity заблокирован Сессионный рекордер. Ответ заблокирован, запрос отправлен. Данные в США

фоново basemaps.cartocdn.com прошёл Картографический сервис, 164 836 байт. В политике отсутствует

Зафиксированные трекеры

Google Maps API
Microsoft Clarity (сессионный рекордер)
Google Tag Manager
AddToAny
CartoCDN, unpkg, jsDelivr

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Maps API, basemaps.cartocdn.com, unpkg.com и cdn.jsdelivr.net запускаются за 248–545 мс до любого согласия — реальные передачи, статус 200.
GDPR Art. 7, Recital 32

«Consent by continued use»: баннер заявляет, что нажатие любой ссылки означает согласие. Это прямо запрещённая практика (руководство EDPB 05/2020). Кнопки «Отклонить» и «Настроить» нет.
GDPR Art. 13(1)(e)

Microsoft Clarity, basemaps.cartocdn.com, AddToAny, unpkg.com, cdn.jsdelivr.net не задекларированы. В таблице куки указан только Google Analytics.
GDPR Art. 13(1)(f), Chapter V

Механизм трансграничной передачи данных в США не указан ни для одного получателя — ни SCC, ни adequacy decision.
GDPR Art. 5(1)(e)

Политика конфиденциальности не обновлялась 8 лет (с 25.05.2018 — даты вступления GDPR в силу) при реальном изменении состава обработчиков.

Контекст

Eesti Kaubandus-Tööstuskoda — Эстонская торгово-промышленная палата. Представляет интересы предпринимателей, обрабатывает данные тысяч компаний-членов, консультирует по ведению бизнеса, в том числе в цифровой среде. HAR: 319 запросов за сессию, 5 страниц.

Главное — механизм согласия не работает

Баннер на сайте есть, но он сломан структурно. Его текст: «Нажимая любую ссылку на этой странице, вы подтверждаете, что согласны…». Это не согласие: по Recital 32 GDPR согласие требует однозначного подтверждающего действия, а нажатие на произвольную ссылку таковым не является — руководство EDPB 05/2020 прямо запрещает эту практику («consent by continued use»). Кнопки «Отклонить» нет, «Настроить» нет — единственный вариант согласиться. А к моменту, когда пользователь видит баннер, данные уже переданы: согласие запрашивается постфактум.

Что уходит до согласия

При загрузке каждой страницы запускаются GTM (+248 мс), AddToAny (+253 мс), Google Maps API (+254 мс), Microsoft Clarity (+268 мс), а также CartoCDN, unpkg.com и cdn.jsdelivr.net. Google Maps реально передал около 1,5 МБ данных в Google за сессию (313 583 байта на каждой из 5 страниц), причём ключ API открыт прямо в HAR-файле. Microsoft Clarity — сессионный рекордер, записывающий движения мыши и клики. Часть запросов браузер заблокировал, но все они были инициированы — IP пользователя достиг серверов в США.

Политика, застывшая в 2018 году

Политика конфиденциальности последний раз обновлялась 25 мая 2018 года — в день вступления GDPR в силу. За 8 лет — ни одного обновления. В таблице куки задекларирован только Google Analytics; Google Maps API, Microsoft Clarity, AddToAny, CartoCDN, unpkg и jsDelivr не упомянуты. Шесть сервисов реально работают на сайте, пользователь не знает о них ничего (Art. 13(1)(e)). Политика, не обновлявшаяся 8 лет при реальном изменении состава обработчиков, — нарушение Art. 5(1)(e).

Вывод

Торговая палата формирует стандарты, защищает интересы предпринимателей, учит, как работать правильно. Но цифровые права клиентов начинаются не с буклета — они начинаются с собственного сайта. Если организация, которая консультирует бизнес по вопросам права, не знает, что происходит на её собственном сайте, — это уже не технический вопрос. Это вопрос доверия.

Доказательство

Оригинал (разбор)

HAR-файл: ee/koda-ee-2026-04-13.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом koda.ee.

2. Обстоятельства
Я посетил сайт koda.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Maps API, basemaps.cartocdn.com, unpkg.com и cdn.jsdelivr.net запускаются за 248–545 мс до любого согласия — реальные передачи, статус 200.

2) «Consent by continued use»: баннер заявляет, что нажатие любой ссылки означает согласие. Это прямо запрещённая практика (руководство EDPB 05/2020). Кнопки «Отклонить» и «Настроить» нет.

3) Microsoft Clarity, basemaps.cartocdn.com, AddToAny, unpkg.com, cdn.jsdelivr.net не задекларированы. В таблице куки указан только Google Analytics.

4) Механизм трансграничной передачи данных в США не указан ни для одного получателя — ни SCC, ни adequacy decision.

5) Политика конфиденциальности не обновлялась 8 лет (с 25.05.2018 — даты вступления GDPR в силу) при реальном изменении состава обработчиков.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/koda.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7, Recital 32; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]