Технический аудит · 2026-05-02

oiguskantsler.ee

Конституционный омбудсмен, защита прав граждан от государства

Институт, который защищает права граждан от произвола государства — последний барьер перед судом. Технически сайт почти образцовый: ноль Google Analytics, ноль DoubleClick, CSP работает. Но один Google Fonts передаёт IP посетителя в США, а политика конфиденциальности — одна из слабейших в серии.

Хронология утечки

+233 мс · до согласия

fonts.googleapis.com — статус 200, 4 запроса. Следом fonts.gstatic.com (+261 мс, 8 запросов): шрифт Roboto Flex с серверов Google в США. IP, User-Agent, Referer (oiguskantsler.ee) уходят в Google.

Что заблокировано

Cloudflare Insights — статус 0, CSP сработала, данные не ушли (редкость в серии). Matomo на statistika.rik.ee (государственный сервер RIK) — данные остаются в Эстонии. Иконки соцсетей — локальные.

Декларация против факта

✓ Абстрактно: «инструмент, собирающий общие данные» — без названий — заявлен

✓ «Данные доступны только в неперсонифицированном виде» — заявлен

+ Google Fonts — IP в США, не назван — не заявлен

+ Matomo / statistika.rik.ee — не назван — не заявлен

+ Cookie-политика отсутствует полностью — не заявлен

Тайминги передачи

+233 мс fonts.googleapis.com прошёл Google Fonts, 4 запроса, статус 200

+261 мс fonts.gstatic.com прошёл Шрифт Roboto Flex, 8 запросов. IP в Google (США)

при загрузке static.cloudflareinsights.com заблокирован Статус 0 — CSP сработала, данные не ушли

за сессию statistika.rik.ee (Matomo) прошёл Matomo на государственном сервере RIK (Эстония) — правильное решение

Зафиксированные трекеры

Google Fonts
Matomo (statistika.rik.ee)
Cloudflare Insights (заблокирован CSP)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Fonts (fonts.googleapis.com +233 мс, fonts.gstatic.com +261 мс) передаёт IP пользователя в Google (США) без согласия. Суд ЕС в 2022 признал именно эту передачу нарушением.
GDPR Art. 7

Механизм согласия отсутствует как таковой. Ни одного consent-запроса за сессию. Передача в Google происходит автоматически при первой загрузке.
GDPR Art. 5(1)(a)

Политика заявляет, что данные доступны канцелярии «только в неперсонифицированном виде». При этом IP (персональные данные по делу Breyer) уходит в Google. Прямое противоречие.
GDPR Art. 12(1), Art. 13(1)(e)

Получатели данных не названы вообще — ни Google, ни Cloudflare, ни Matomo/RIK. Политика абстрактна. Cookie-политика отсутствует полностью, хотя сайт использует cookies через Matomo.
GDPR Art. 13(1)(f), Chapter V

Передача данных в США (Google Fonts) без указания механизма — ни SCC, ни adequacy decision. Privacy Shield аннулирован в 2020.

Контекст

oiguskantsler.ee — сайт Канцлера юстиции Эстонии, конституционного омбудсмена. Это институт, существующий для одной цели — защищать права граждан от произвола государства: проверять соответствие законов Конституции, принимать жалобы от людей, которых обидело государство, консультировать парламент и правительство. Последний внутренний барьер перед судом — орган, к которому обращаются, когда всё остальное не сработало. HAR: 240 запросов, 5 доменов.

Что сделано правильно — и это заслуживает признания

Никакого Google Tag Manager, Google Analytics, DoubleClick, browser-update.org — это уже выгодно отличает сайт от большинства государственных порталов серии. Аналитика ведётся через Matomo на statistika.rik.ee (сервер Центра регистров и информационных систем Эстонии) — данные о посещаемости остаются внутри страны. Cloudflare Insights попытался загрузиться и был заблокирован CSP (статус 0) — редкость в серии, кто-то настроил CSP, и она работает. Иконки соцсетей локальные (.png и .svg с собственного сервера), без запросов к Facebook, LinkedIn или Twitter.

Что не сделано — Google Fonts

fonts.googleapis.com (+233 мс) и fonts.gstatic.com (+261 мс) загружают шрифт Roboto Flex с серверов Google в США. При каждом запросе передаётся IP-адрес пользователя, User-Agent (браузер, ОС, версия), Referer (oiguskantsler.ee) и время запроса. Суд ЕС в 2022 году по делу против немецкого сайта признал именно эту передачу нарушением GDPR и обязал выплатить компенсацию — прецедент существует. Баннера согласия нет, передача в Google происходит автоматически при первой загрузке.

Политика — одна из слабейших в серии

Политика заявляет, что данные доступны канцелярии «только в неперсонифицированном виде», — но IP, передаваемый в Google, по определению является персональными данными (дело Breyer, C-582/14). Получатели данных не названы вообще: ни Google, ни Cloudflare, ни Matomo — только абстрактное «инструмент, который собирает общие данные» (Art. 13(1)(e)). О передаче в США — ни слова (Art. 13(1)(f)). Cookie-политика отсутствует полностью: ни таблицы, ни списка, ни упоминания, хотя сайт использует cookies через Matomo. Для сравнения, sotsiaalkindlustusamet.ee той же вертикали власти имеет полную таблицу cookies — это стандарт, которого здесь нет.

Вывод

Кто заходит на сайт Канцлера юстиции? Человек, у которого проблема с государством: незаконное решение чиновника, нарушение конституционных прав, жалоба на полицию или суд. Сам факт обращения к омбудсмену говорит о ситуации человека — и в этот момент его IP уходит в Google без ведома и согласия. Но решение здесь — одно техническое действие: Roboto Flex можно разместить на собственном сервере за несколько часов, затем обновить политику и назвать получателей по именам. CSP уже работает, Matomo на госсервере — правильно. Один шрифт и одна политика отделяют этот сайт от чистой архитектуры. Тот, кто учит других защищать права граждан, должен начать с собственного сайта.

Доказательство

Оригинал (разбор)

HAR-файл: ee/oiguskantsler-ee-2026-05-02.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом oiguskantsler.ee.

2. Обстоятельства
Я посетил сайт oiguskantsler.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 02.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (fonts.googleapis.com +233 мс, fonts.gstatic.com +261 мс) передаёт IP пользователя в Google (США) без согласия. Суд ЕС в 2022 признал именно эту передачу нарушением.

2) Механизм согласия отсутствует как таковой. Ни одного consent-запроса за сессию. Передача в Google происходит автоматически при первой загрузке.

3) Политика заявляет, что данные доступны канцелярии «только в неперсонифицированном виде». При этом IP (персональные данные по делу Breyer) уходит в Google. Прямое противоречие.

4) Получатели данных не названы вообще — ни Google, ни Cloudflare, ни Matomo/RIK. Политика абстрактна. Cookie-политика отсутствует полностью, хотя сайт использует cookies через Matomo.

5) Передача данных в США (Google Fonts) без указания механизма — ни SCC, ни adequacy decision. Privacy Shield аннулирован в 2020.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/oiguskantsler.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 5(1)(a); GDPR Art. 12(1), Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]