Технический аудит · 2026-04-21

kriis.ee

Гражданская оборона, эвакуация, чрезвычайные ситуации

Портал, куда человек приходит, когда звучит сирена — узнать, куда бежать и как защитить семью. Через 342 миллисекунды Microsoft Clarity начинает записывать каждое его движение мыши. Политика куки в это время декларирует placeholder www.domeen.ee — незаполненный шаблон, висящий четвёртый год.

Хронология утечки

+342 мс · до согласия

Microsoft Clarity (www.clarity.ms) — загрузка сессионного рекордера. Следом Cloudflare Insights (+348 мс) и GTM (+820 мс, ID G-D4XXWR7F52). Всё до любого согласия.

+1995 мс · рекордер активен

y.clarity.ms — 28 запросов, непрерывная передача поведенческих данных (движения мыши, клики, скролл, видеозаписи сессии) в Microsoft, США.

+2666 мс · до согласия

Google Analytics (region1, статус 204, 7 запросов) и DoubleClick (stats.g.doubleclick.net) фиксируют визит и добавляют событие в рекламный профиль. Баннер «Отклонить все» отсутствует.

Декларация против факта

✓ AddThis (__atuvc, __atuvs) — нет в HAR — заявлен

✓ Facebook, LinkedIn, Twitter — нет в HAR — заявлен

✓ Источник куки: www.domeen.ee — placeholder, не реальный домен — заявлен

+ Microsoft Clarity — сессионный рекордер, 28 запросов в США — не заявлен

+ Google Analytics (_ga_D4XXWR7F52), GTM, DoubleClick — не заявлен

+ Cloudflare Insights, browser-update.org, _cf_bm / cf_clearance — не заявлен

Тайминги передачи

+342 мс www.clarity.ms прошёл Microsoft Clarity — сессионный рекордер. Данные в США

+820 мс www.googletagmanager.com прошёл GTM, ID G-D4XXWR7F52

+1995 мс y.clarity.ms заблокирован 28 запросов, передача сессии в Microsoft. Статус 0 — ответ заблокирован, но запросы ушли

+2666 мс region1.analytics.google.com прошёл Google Analytics, статус 204, 7 запросов. Данные переданы

+2667 мс stats.g.doubleclick.net прошёл DoubleClick — рекламный трекер, статус 204

Зафиксированные трекеры

Microsoft Clarity (сессионный рекордер)
Google Analytics
DoubleClick
Google Tag Manager
Cloudflare Insights
browser-update.org

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Microsoft Clarity (+342 мс), Cloudflare Insights (+348 мс), GTM (+820 мс), browser-update.org (+2020 мс), Google Analytics (+2666 мс), DoubleClick (+2667 мс) запускаются до любого согласия пользователя.
GDPR Art. 5(1)(a)

Политика куки содержит www.domeen.ee (эстонское слово «домен») вместо реального домена во всех строках таблицы. Документ — незаполненный шаблон, висит так с 07.01.2022. Принцип прозрачности нарушен структурно.
GDPR Art. 7(3)

Отсутствует равнозначная кнопка «Отклонить все».
GDPR Art. 7(4), Recital 32

Принуждённое согласие: категория «Необходимые куки» заблокирована, вендоры не названы. Cookie cookie-agreed-categories = ["functional"], но _ga и _ga_D4XXWR7F52 установлены, данные переданы.
GDPR Art. 13(1)(e)

Реальные получатели не задекларированы: Microsoft Clarity, GTM, DoubleClick, Cloudflare Insights, browser-update.org, cookies _cf_bm/cf_clearance. Задекларированы AddThis, Facebook, LinkedIn, Twitter — которых в HAR нет.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США (Microsoft, Google, Cloudflare) не указан ни для одного получателя.
GDPR Art. 9 (контекст eID)

Интеграция Web eID (token-signing-page-script.js). В той же сессии, где гражданин авторизуется через ID-карту, работают незадекларированные трекеры. Требует отдельного правового обоснования.

Контекст

kriis.ee — официальный портал кризисной готовности Эстонии от Государственной канцелярии (Riigikantselei): гражданская оборона, эвакуация, чрезвычайные ситуации. Человек приходит сюда, когда звучит сирена, когда нужно знать, что делать, куда бежать, как защитить семью. HAR: 176 запросов, 13 внешних доменов.

Политика-заглушка

Политика куки опубликована от имени Riigikantselei, последнее обновление — 07.01.2022, более четырёх лет назад. Но важнее даты другое: в таблице куки в графе «Алликас» (источник) во всех строках написано www.domeen.ee. Это не реальный домен — domeen.ee по-эстонски означает «домен». Это placeholder, заглушка из шаблона. Государственная канцелярия опубликовала шаблонный документ, не заменив www.domeen.ee на название реального сайта, и этот документ четвёртый год висит на портале кризисной готовности страны.

Microsoft Clarity — сессионный рекордер

Три компонента одного продукта (www.clarity.ms → scripts.clarity.ms → y.clarity.ms) — это Microsoft Clarity, сессионный рекордер. Он записывает каждое движение мыши, каждый клик, глубину скролла, строит тепловые карты и видеозаписи сессий. 28 запросов к y.clarity.ms за сессию — это непрерывная передача поведенческих данных в Microsoft (США), на портале кризисной готовности, и в политике куки этот сервис отсутствует. Cookie cookie-agreed-categories содержит значение ["functional"] — то есть пользователь не давал согласия на аналитику и маркетинг, но _ga и _ga_D4XXWR7F52 всё равно установлены, а данные переданы.

Контекст eID

На сайте интегрирована электронная идентификация (Web eID, token-signing-page-script.js). В той же сессии, где гражданин может авторизоваться через ID-карту, Microsoft Clarity записывает сессию (28 запросов), GTM активен, DoubleClick передал данные, browser-update.org загружен. Это требует отдельного правового обоснования по Art. 9 GDPR.

Вывод

Человек открывает портал кризисной готовности, чтобы узнать, что делать при эвакуации, где ближайшее убежище, как защитить детей. Через 342 миллисекунды Microsoft начинает записывать каждое его движение мыши. Через две секунды Google Analytics фиксирует визит, DoubleClick добавляет событие в рекламный профиль. Политика куки в это время декларирует www.domeen.ee — заглушку, висящую четыре года. Кризисный портал должен быть местом, где государство говорит гражданину: мы тебя защищаем. Пока это место, где Microsoft записывает его сессию без его ведома.

Доказательство

Оригинал (разбор)

HAR-файл: ee/kriis-ee-2026-04-21.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом kriis.ee.

2. Обстоятельства
Я посетил сайт kriis.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 21.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Microsoft Clarity (+342 мс), Cloudflare Insights (+348 мс), GTM (+820 мс), browser-update.org (+2020 мс), Google Analytics (+2666 мс), DoubleClick (+2667 мс) запускаются до любого согласия пользователя.

2) Политика куки содержит www.domeen.ee (эстонское слово «домен») вместо реального домена во всех строках таблицы. Документ — незаполненный шаблон, висит так с 07.01.2022. Принцип прозрачности нарушен структурно.

3) Отсутствует равнозначная кнопка «Отклонить все».

4) Принуждённое согласие: категория «Необходимые куки» заблокирована, вендоры не названы. Cookie cookie-agreed-categories = ["functional"], но _ga и _ga_D4XXWR7F52 установлены, данные переданы.

5) Реальные получатели не задекларированы: Microsoft Clarity, GTM, DoubleClick, Cloudflare Insights, browser-update.org, cookies _cf_bm/cf_clearance. Задекларированы AddThis, Facebook, LinkedIn, Twitter — которых в HAR нет.

6) Механизм передачи данных в США (Microsoft, Google, Cloudflare) не указан ни для одного получателя.

7) Интеграция Web eID (token-signing-page-script.js). В той же сессии, где гражданин авторизуется через ID-карту, работают незадекларированные трекеры. Требует отдельного правового обоснования.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/kriis.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 5(1)(a); GDPR Art. 7(3); GDPR Art. 7(4), Recital 32; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 9 (контекст eID)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]