EUGDPR Audit
RU EN
Технический аудит · 2026-05-09

president.ee

Канцелярия Президента Эстонии
EE

Один из самых чистых сайтов в серии: 38 запросов, ноль аналитики и рекламы. Единственный внешний элемент — Google reCAPTCHA на форме обращений к Президенту, и именно о ней политика молчит.

Хронология утечки

Загрузка главной страницы
Ноль внешних трекеров. Нет Google Analytics, Tag Manager, DoubleClick, Cloudflare Insights, Google Fonts. Иконки соцсетей — локальные.
Баннер согласия
Отсутствует полностью. Ноль consent-запросов, ноль Set-Cookie.
+251330 мс · форма обращения
reCAPTCHA v2 активируется при переходе на контактную форму: 7 запросов к recaptcha.net, 10 к gstatic.com. В Google уходят IP, User-Agent, cookie _GRECAPTCHA, движения мыши, fingerprint.

Декларация против факта

Hotjar (нет в HAR) — заявлен
Google Analytics (нет в HAR) — заявлен
Google Maps (нет в HAR) — заявлен
Facebook (нет в HAR) — заявлен
Twitter (нет в HAR) — заявлен
+ Google reCAPTCHA v2 — реально работает, передаёт данные, не упомянута ни разу — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Высший государственный институт страны. Глава государства подписывает законы, ратифицирует международные договоры, назначает высших должностных лиц. Через контактную форму граждане пишут петиции и личные обращения к Президенту — нередко по чувствительным темам.

Что сделано правильно

Самый компактный HAR в этой серии после eesti.ee — всего 38 запросов. Никакого Google Tag Manager, Google Analytics, DoubleClick, Cloudflare Insights, browser-update.org или Google Fonts. Ноль рекламных сетей, иконки соцсетей локальные, внешних скриптов при загрузке главной страницы нет. Один из самых чистых сайтов в серии.

Единственный внешний элемент — reCAPTCHA

reCAPTCHA v2 (Google) появляется только при переходе на форму обращения к Президенту — на +251330 мс от старта, не при загрузке главной. Публичный Site Key виден в HTML. Всего 7 запросов к recaptcha.net и 10 к gstatic.com.

При каждом использовании reCAPTCHA передаёт в Google: IP-адрес, User-Agent, cookie _GRECAPTCHA (уникальный идентификатор сессии), поведенческие паттерны (движения мыши, тайминги кликов), fingerprint браузера и историю взаимодействия с другими сервисами Google, если пользователь в них авторизован.

Декларация против факта

Политика конфиденциальности заявляет, что куки собирают Hotjar и Google Analytics, а данные получают Google Maps, Facebook и Twitter. В HAR нет ни одного запроса ни к одному из этих сервисов. При этом reCAPTCHA — которая реально работает и реально передаёт данные — в политике не упомянута ни разу.

Это зеркальная ситуация относительно sotsiaalkindlustusamet.ee: там политика декларировала мёртвый сервис (AddThis), здесь — декларирует сервисы, которых нет, и молчит о том, который есть.

Отдельно политика утверждает: «IP-адреса не связываются с идентифицирующей информацией». Но reCAPTCHA передаёт IP в Google, а Google связывает IP с профилями пользователей профессионально. То, что Канцелярия Президента не связывает, не означает, что не связывает Google. Та же формулировка встречается у oiguskantsler.ee и sotsiaalkindlustusamet.ee — это государственный шаблон.

reCAPTCHA против альтернатив

reCAPTCHA — не единственный способ защиты форм от спама. Существуют hCaptcha (европейская, GDPR-compliant), Friendly Captcha (немецкая, данные остаются в ЕС) и простой honeypot (скрытое поле, ноль внешних запросов — используется на eesti.ee). Выбор именно Google reCAPTCHA для формы обращений к главе государства — осознанное решение передавать данные граждан в американскую корпорацию в момент их обращения.

Вывод

Технически сайт почти образцовый — и тем заметнее единственная проблема. Гражданин, пишущий петицию или личное обращение Президенту, в момент отправки передаёт свои поведенческие данные и fingerprint в Google. Политика об этом не говорит ни слова, хотя подробно перечисляет сервисы, которых на сайте нет.

Доказательство
Оригинал (разбор)
HAR-файл: ee/president-ee-2026-05-09.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом president.ee.

2. Обстоятельства
Я посетил сайт president.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 09.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google reCAPTCHA не задекларирована как получатель данных. При этом в политике указаны Hotjar, Google Analytics, Google Maps, Facebook, Twitter — ни одного из них в HAR нет.

2) Механизм передачи данных в США (SCC или иной) не указан. recaptcha.net — серверы Google в США.

3) Поведенческие данные и fingerprint браузера передаются в Google без согласия при заполнении формы обращения к Президенту.

4) Механизм согласия отсутствует. Баннера согласия на сайте нет вообще.

5) Передача данных в США без указания правового инструмента.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/president.ee/

3. Нарушенные положения
GDPR Art. 13(1)(e); GDPR Art. 13(1)(f); GDPR Art. 6(1); GDPR Art. 7; GDPR Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]