EUGDPR Audit
RU EN
Технический аудит · 2026-04-11

riigikogu.ee

Высший законодательный орган Эстонии
EE

Сайт органа, который принимает законы — в том числе законы о защите персональных данных. Google Tag Manager запускается на +2,7 секунды, а баннер согласия — только на +173 секунды. Разрыв 170,5 секунды: всё это время Google уже получает данные о визите, пока пользователь даже не видел баннера.

Хронология утечки

+2,6–2,7 сек · до баннера
Google reCAPTCHA (+2,6 сек, 42 запроса к gstatic.com и 26 к google.com) и GTM (GTM-5BFRTZC, +2,7 сек) запускаются. Данные уходят в США. Баннера ещё нет.
+173 сек · баннер согласия
Плагин GDPR загружается почти через 3 минуты. Есть кнопка «Отклонить все» (это лучше, чем у многих), но категория «Функциональные» включена по умолчанию — предустановленный переключатель недействителен.
+173,3 сек · после баннера
Cloudflare Insights (6 запросов) и AddToAny (2 запроса) передают данные в США. Google Fonts — 46 запросов, каждый передаёт IP в Google. Ни один не задекларирован.

Декларация против факта

Cloudflare (_cf_bm, _cfuvid) — заявлен
Google Analytics (_ga, _gid, _gat) — заявлен
PHPSESSID — заявлен
+ Google Tag Manager (GTM-5BFRTZC) — не заявлен
+ Google reCAPTCHA — 68 запросов за сессию — не заявлен
+ Cloudflare Insights, AddToAny, Google Fonts (46 запросов) — не заявлен
+ Реальные Google cookies — _Secure-1PSID, SAPISID, NID (745 байт), HSID и др. — не заявлен

Тайминги передачи

+2,6 сек www.gstatic.com / www.google.com прошёл Google reCAPTCHA — 42 + 26 запросов за сессию
+2,7 сек www.googletagmanager.com прошёл GTM-5BFRTZC — за 170 сек до баннера. Данные в США
+173,2 сек плагин GDPR (баннер) прошёл Баннер появляется через 173 секунды. Разрыв с GTM — 170,5 сек
+173,3 сек static.cloudflareinsights.com прошёл Cloudflare Insights, 6 запросов. В политике отсутствует
+173,3 сек AddToAny прошёл Кнопки «поделиться», 2 запроса в США. В политике отсутствует

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

riigikogu.ee — официальный сайт высшего законодательного органа Эстонии. HAR: 587 запросов за сессию, 7 уникальных внешних доменов, 129 сторонних запросов. Это сайт органа, который принимает законы — в том числе законы о защите персональных данных.

Баннер согласия — лучше, но с дефектом

На сайте есть кнопки «Принять», «Отклонить все» и «Сохранить» — кнопка отказа существует, и это лучше, чем на mil.ee. Но категория «Функциональные куки» включена по умолчанию: переключатель зелёный без каких-либо действий пользователя. По Art. 7(2) и Art. 4(11) согласие должно быть активным действием, а предварительно установленные переключатели недействительны — это прямо подтверждено решением Суда ЕС по делу Planet49 (2019). Дополнительно категория «Производительность» (куда входит Google Analytics) описана как «не сохраняющая личные данные», что юридически неверно: GA передаёт IP и присваивает уникальный идентификатор, и то и другое — персональные данные.

Разрыв в 170 секунд

Google Tag Manager (GTM-5BFRTZC) запускается на +2,7 секунды после загрузки, reCAPTCHA — на +2,6 секунды (42 запроса к gstatic.com, 26 к google.com). А баннер согласия (плагин GDPR) загружается только на +173 секунды — почти через три минуты. GTM и reCAPTCHA опережают появление баннера на 170,5 секунды. Пока пользователь читает страницу и ещё не видел никакого баннера, Google уже получил данные о его визите. После взаимодействия с баннером добавляются Cloudflare Insights, AddToAny и Google Fonts (46 запросов, каждый передаёт IP в Google) — ни один не задекларирован.

Декларация против факта

В политике куки задекларированы Cloudflare (_cf_bm, _cfuvid), Google Analytics (_ga, _gid, _gat) и PHPSESSID. Отсутствуют: Google Tag Manager, reCAPTCHA, Cloudflare Insights, AddToAny, Google Fonts и реальный полный список Google cookies (_Secure-1PSID, _Secure-3PSID, SAPISID, NID — 745 байт, HSID, APISID, SID, SSID, SIDCC) — ни один не указан. По Art. 13(1)(e) субъект данных должен знать всех получателей своих данных.

Контекст eID

На сайте Парламента интегрирована эстонская электронная идентификация — граждане могут авторизоваться через ID-карту или Mobile-ID. В той же сессии, где гражданин входит под своим реальным именем, работают незадекларированные трекеры Google, а GTM запускается за 170 секунд до баннера согласия. Это требует отдельного правового обоснования по Art. 9 GDPR.

Вывод

Эстония учит весь мир цифровому государству — другие страны приезжают за опытом, журналисты пишут статьи, конференции и награды. И на сайте Парламента этой страны Google получает данные посетителей за 170 секунд до того, как те видят баннер согласия. GTM на +2,7 сек, плагин GDPR на +173,2 сек — разрыв 170,5 секунды, это просто арифметика, и в этом сила HAR-файла. Страна, которая экспортирует цифровое государство, должна уметь настроить баннер согласия на сайте собственного Парламента.

Доказательство
Оригинал (разбор)
HAR-файл: ee/riigikogu-ee-2026-04-11.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом riigikogu.ee.

2. Обстоятельства
Я посетил сайт riigikogu.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 11.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Категория «Функциональные куки» включена по умолчанию — переключатель зелёный без действий пользователя. Предварительно установленное согласие недействительно (дело Суда ЕС Planet49, 2019).

2) Google Tag Manager (GTM-5BFRTZC, +2,7 сек) и reCAPTCHA (+2,6 сек) запускаются за 170 секунд до загрузки баннера согласия.

3) Ложное утверждение об анонимности: категория «Производительность» (куда входит Google Analytics) описана как «не сохраняющая личные данные». GA передаёт IP и присваивает уникальный идентификатор — оба являются персональными данными.

4) GTM, reCAPTCHA, Cloudflare Insights, AddToAny, Google Fonts и реальные Google cookies (_Secure-1PSID, _Secure-3PSID, SAPISID, NID, HSID, APISID, SID, SSID, SIDCC) не задекларированы.

5) Механизм передачи данных в Google и Cloudflare (США) не указан для каждого получателя.

6) На сайте интегрирована Web eID (ID-карта, Mobile-ID). В той же сессии, где гражданин входит под реальным именем, работают незадекларированные трекеры Google. Требует отдельного правового обоснования.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/riigikogu.ee/

3. Нарушенные положения
GDPR Art. 7(2), Art. 4(11); GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 9 (потенциально)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]