EUGDPR Audit
RU EN
Технический аудит · 2026-04-22

riigihanked.riik.ee

Государственная платформа публичных закупок Эстонии
EE

Эталон. Государственная платформа публичных закупок на миллионы евро, сложная система с входом по ID-карте — и ноль внешних трекеров. 33 запроса и тишина. Этот сайт доказывает: соблюдать GDPR технически возможно, недорого и без отказа от функциональности.

Хронология утечки

Загрузка страницы
Все 33 запроса — исключительно к riigihanked.riik.ee. Ноль запросов к Google, Microsoft, Cloudflare, DoubleClick, browser-update.org. Ноль внешних доменов.
Баннер согласия
Отсутствует — потому что нечего спрашивать. Если не собираешь данные, не нужно просить разрешения. Три куки, все собственные: lang, SRVID, XSRF-TOKEN.
Вход через eID
Web eID присутствует (token-signing-page-script.js). Но рядом с аутентификацией — ни одного стороннего трекера: Clarity не пишет сессию, Google не фиксирует визит, Cloudflare не ставит _cf_bm.

Контекст

riigihanked.riik.ee — государственная платформа публичных закупок Эстонии. Здесь размещаются все тендеры страны, работают компании, госструктуры и подрядчики. Здесь — государственные деньги и государственная ответственность. HAR: 33 запроса за сессию.

Чистый результат

Все 33 запроса — исключительно к собственному домену. Ноль запросов к Google, Microsoft, Cloudflare, DoubleClick, browser-update.org. Ноль внешних доменов. Куки в браузере только три, все собственные: lang (язык интерфейса), SRVID (идентификатор сервера), XSRF-TOKEN (защита от межсайтовых запросов). Никаких _ga, _cf_bm, _fbp.

Заголовки безопасности — реально работающие

Content-Security-Policy: default-src 'self' — жёсткая политика, только собственный домен, без исключений. Strict-Transport-Security — принудительный HTTPS. X-Frame-Options: DENY — защита от clickjacking. X-Content-Type-Options: nosniff. Это главное отличие от valitsus.ee, где CSP стоит в режиме report-only (нарушения видят, данные пропускают). Здесь CSP реально блокирует: попытка загрузить внешний скрипт не логируется — она блокируется.

eID без трекеров

Web eID присутствует — интеграция входа по ID-карте. Но в отличие от kriis.ee, valitsus.ee и siseministeerium.ee, рядом с аутентификацией нет ни одного стороннего трекера. Microsoft Clarity не пишет сессию, Google не фиксирует визит, Cloudflare не ставит куки в браузер. Это корректная реализация — так и должно быть.

Почему это важно

Сайт доказывает одну простую вещь: соблюдать GDPR технически возможно. Это не сложно, не дорого и не требует отказа от функциональности. Государственный сайт, сложная платформа, публичные закупки на миллионы евро — и ноль внешних трекеров. Когда другое ведомство говорит «это технически необходимо», riigihanked.riik.ee опровергает этот аргумент: тот же домен riik.ee, те же государственные требования, та же аудитория, другой выбор.

Вывод

Проблема не техническая — проблема в решении. Кто-то решил подключить Google AdSense к сайту регистрации автомобилей, кто-то оставил Microsoft Clarity на портале кризисной готовности, кто-то написал «данные не передаются за пределы ЕС» и подключил семь американских получателей. А кто-то решил не делать ничего из этого — и его HAR-файл выглядит вот так: 33 запроса и тишина.

Доказательство
Оригинал (разбор)
HAR-файл: ee/riigihanked-riik-ee-2026-04-22.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.