Технический аудит · 2026-05-04

prokuratuur.ee

Орган уголовного преследования

Орган уголовного преследования, работающий с данными о подозреваемых, жертвах и свидетелях (ст.10 GDPR). Политика прямо заявляет: «данные посетителей не собираются». HAR фиксирует 116 запросов к Google за одну сессию — рекорд серии. Ни на одном предыдущем сайте Google не получал столько данных за один сеанс.

Хронология утечки

+1253 мс · при загрузке

www.google.com (статус 200), следом maps.googleapis.com и maps.gstatic.com (+1472 мс). Карта офиса Прокуратуры встроена через Google Maps стандартно — без lazy loading, без privacy-режима, автоматически.

116 запросов к Google за сессию

maps.googleapis.com — 77 запросов, www.google.com — 29, Google Fonts — 10. IP, браузер, время, поведение на карте — всё уходит в Google. Рекорд серии.

Декларация против факта

✓ Google Analytics (_ga, _gid, _gat) — нет в HAR — заявлен

✓ AddThis (__atuvc, __atuvs) — закрыт Oracle в 2023, нет в HAR — заявлен

✓ «Сбор информации по посетителям не ведётся» — заявлен

+ Google Maps API — 116 запросов к Google за сессию — не заявлен

+ Google Fonts — IP в США — не заявлен

Тайминги передачи

+1253 мс www.google.com прошёл 29 запросов за сессию, статус 200

+1472 мс maps.googleapis.com прошёл 77 запросов. Публичный API-ключ виден в HTML — платный аккаунт Maps Platform

за сессию fonts.googleapis.com + gstatic прошёл Google Fonts, 10 запросов. IP в США

при загрузке statistika.rik.ee (Matomo) прошёл Аналитика на государственном сервере RIK — это плюс

Зафиксированные трекеры

Google Maps API
Google Fonts
Matomo (statistika.rik.ee)
Cloudflare CDN (cdnjs)
Cloudflare Insights (заблокирован)
browser-update.org (заблокирован)

Зафиксированные нарушения

GDPR Art. 5(1)(a)

Прямое противоречие. Политика заявляет: «Сбор информации по посетителям сайта Прокуратуры не ведётся». HAR: 116 запросов к Google за один сеанс при каждом посещении страницы.
GDPR Art. 6(1)

116 передач данных в Google без правового основания. Google Maps встроен стандартным способом, загружается автоматически при открытии страницы, без согласия.
GDPR Art. 7

Механизм согласия отсутствует. Ноль consent-запросов, ноль Set-Cookie.
GDPR Art. 13(1)(e)

Google Maps не задекларирован как получатель. Google Analytics задекларирован (_ga, _gid, _gat), но в HAR отсутствует. AddThis задекларирован, но закрыт Oracle в мае 2023.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США (Google) не указан. Передача без SCC незаконна.

Контекст

Riigiprokuratuur — Прокуратура Эстонии, орган уголовного преследования: расследует преступления, предъявляет обвинения, представляет государство в суде. Работает с данными о подозреваемых, жертвах и свидетелях. Это контекст ст.10 GDPR — данные о судимостях и уголовных делах, особо чувствительная категория. HAR: 229 запросов, 10 доменов.

Что сделано правильно

Аналитика — Matomo на государственном сервере statistika.rik.ee (5 запросов, статус 200), данные остаются в Эстонии. Cloudflare Insights и browser-update.org заблокированы CSP (статус 0). Но есть нюанс: за statistika.rik.ee отвечает RIK — тот самый, чей собственный сайт rik.ee передаёт данные в Google через 30 запросов Google Fonts за сессию, а политика декларирует Cloudflare и AddThis, которых нет, и молчит о Google Fonts, который есть. Один оператор, два стандарта.

Рекорд серии — 116 запросов к Google

Карта офиса Прокуратуры встроена через Google Maps стандартным способом: без lazy loading, без согласия, без privacy-режима, загружается автоматически при открытии страницы. maps.googleapis.com — 77 запросов, www.google.com — 29, Google Fonts — 10. Итого 116 запросов к Google за один сеанс — больше, чем на любом другом сайте серии. IP пользователя, браузер, время и поведение на карте Google получает при каждом посещении. Публичный API-ключ виден в HTML — это не бесплатный embed, а платный аккаунт Google Maps Platform, то есть осознанная коммерческая интеграция.

Декларация против факта — три расхождения

Политика обновлена в 2023 году, детальная и хорошо структурированная — и тем точнее каждое расхождение. Она прямо заявляет: «Сбор информации по посетителям сайта Прокуратуры не ведётся, и их данные не публикуются» — против 116 запросов к Google в HAR. Декларирует Google Analytics (_ga, _gid, _gat) — которого в HAR нет ни одного запроса. Декларирует AddThis (__atuvc, __atuvs) — сервис, закрытый Oracle в мае 2023, за три месяца до обновления политики.

След Oracle

AddThis принадлежал Oracle, купившему его в 2016 году: кнопки «поделиться» на миллионах сайтов собирали данные о поведении и передавали в Oracle Data Cloud — один из крупнейших в мире брокеров данных (профили на миллиарды людей, тысячи атрибутов на профиль). Oracle закрыл AddThis в мае 2023, но собранные через него данные остались в профилях Oracle Data Cloud, и ни один государственный сайт, использовавший AddThis, не уведомил пользователей о судьбе их данных. Опасность здесь в невидимости: Google виден пользователю, а Oracle работает в тени через партнёрские сети. Тот же мёртвый AddThis в политике встречается у sotsiaalkindlustusamet.ee и president.ee — государственный шаблон, копируемый без проверки актуальности.

Решение — одна замена

Google Maps заменяется на OpenStreetMap + Leaflet.js — европейскую альтернативу с открытым кодом: бесплатно, ноль передачи в Google, ноль API-ключей, ноль из 116 запросов. Используется тысячами европейских госпорталов именно ради GDPR-соответствия.

Вывод

Политика Прокуратуры говорит: данные посетителей сайта не собираются. HAR говорит: 116 запросов к Google за одну сессию, при каждом посещении страницы. Одно предложение против ста шестнадцати строк данных. На сайте органа уголовного преследования, в контексте ст.10, это не формальность, а вопрос доверия к тому, кто обвиняет от имени государства.

Доказательство

Оригинал (разбор)

HAR-файл: ee/prokuratuur-ee-2026-05-04.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом prokuratuur.ee.

2. Обстоятельства
Я посетил сайт prokuratuur.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 04.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Прямое противоречие. Политика заявляет: «Сбор информации по посетителям сайта Прокуратуры не ведётся». HAR: 116 запросов к Google за один сеанс при каждом посещении страницы.

2) 116 передач данных в Google без правового основания. Google Maps встроен стандартным способом, загружается автоматически при открытии страницы, без согласия.

3) Механизм согласия отсутствует. Ноль consent-запросов, ноль Set-Cookie.

4) Google Maps не задекларирован как получатель. Google Analytics задекларирован (_ga, _gid, _gat), но в HAR отсутствует. AddThis задекларирован, но закрыт Oracle в мае 2023.

5) Механизм передачи данных в США (Google) не указан. Передача без SCC незаконна.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/prokuratuur.ee/

3. Нарушенные положения
GDPR Art. 5(1)(a); GDPR Art. 6(1); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]