Технический аудит · 2026-04-13

kul.ee

Министерство культуры Эстонии

Министерство культуры Эстонии. Государственный орган. Финансирует культуру, спорт, интеграцию. Управляет реестрами творческих союзов и спортивными данными. Хранит данные о тысячах граждан. 37 запросов за сессию. Три внешних сервиса — до баннера.

Хронология утечки

+50 мс

Cloudflare Insights — статус 0, браузер заблокировал. Запрос инициирован до того, как пользователь увидел страницу.

+117 мс

Google Tag Manager / GA4 (G-X7JZNCPKHP) — статус 0, браузер заблокировал. Инициирован до баннера.

+449 мс

browser-update.org — сторонний американский сервис проверки браузера. Статус 0, браузер заблокировал.

Декларация против факта

✓ Microsoft SharePoint (через RMIT) — заявлен

+ Google Tag Manager — не заявлен

+ Google Analytics 4 (G-X7JZNCPKHP) — не заявлен

+ browser-update.org — не заявлен

+ Механизм передачи данных в США (SCC/иное) — не заявлен

Зафиксированные трекеры

Cloudflare Insights
Google Tag Manager / GA4 (G-X7JZNCPKHP)
browser-update.org

Зафиксированные нарушения

Ст. 6(1), 5(1)(a)

Cloudflare Insights (+50 мс), GTM/GA4 (+117 мс) и browser-update.org (+449 мс) запускаются до любого согласия пользователя
Ст. 7 + Recital 32

Кнопка VALIN ISE не ведёт к реальному интерфейсу настройки — согласие не может быть свободным без реальной возможности выбора
Ст. 13(1)(e)

Google Tag Manager, GA4 и browser-update.org не задекларированы в политике конфиденциальности
Ст. 13(1)(f)

Механизм трансграничной передачи данных в США не указан ни для Google, ни для Microsoft
Глава V

Передача данных в США без задекларированного правового основания

Паттерн

browser-update.org — 5 государственных сайтов подряд. Cloudflare Insights — 7 государственных сайтов подряд. Это не совпадение. Это инфраструктура.

Вывод

Сайт содержит баннер согласия с тремя кнопками, одна из которых не работает. Три внешних сервиса фиксируют визит пользователя до любого взаимодействия с баннером. Ни один из них не упомянут в политике конфиденциальности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом kul.ee.

2. Обстоятельства
Я посетил сайт kul.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Cloudflare Insights (+50 мс), GTM/GA4 (+117 мс) и browser-update.org (+449 мс) запускаются до любого согласия пользователя

2) Кнопка VALIN ISE не ведёт к реальному интерфейсу настройки — согласие не может быть свободным без реальной возможности выбора

3) Google Tag Manager, GA4 и browser-update.org не задекларированы в политике конфиденциальности

4) Механизм трансграничной передачи данных в США не указан ни для Google, ни для Microsoft

5) Передача данных в США без задекларированного правового основания

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/kul.ee/

3. Нарушенные положения
Ст. 6(1), 5(1)(a); Ст. 7 + Recital 32; Ст. 13(1)(e); Ст. 13(1)(f); Глава V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]