Технический аудит · 2026-04-12

riigikontroll.ee

Высший орган финансового надзора

Высший орган финансового надзора, который аудитирует все государственные структуры, — скопировал политику конфиденциальности у Министерства финансов и не поменял даже название источника cookie. Орган, который проверяет других, сам не прошёл бы собственный аудит.

Хронология утечки

+400 мс · при загрузке

Google Fonts (fonts.googleapis.com) — статус 200, 3 запроса. Следом fonts.gstatic.com (+426 мс) — шрифт Atkinson Hyperlegible. IP пользователя уходит в Google (США).

Заблокировано CSP

GTM (G-NZ5VEKEN0D), Cloudflare Insights, browser-update.org — все статус 0, прописаны в коде, но заблокированы. cdnjs.cloudflare.com — статус 404, но запрос ушёл (IP в Cloudflare).

Декларация против факта

✓ Google Analytics (_ga, _gid, _gat) — нет в HAR, ни одного запроса — заявлен

✓ AddThis (__atuvc, __atuvs) — закрыт Oracle в 2023, нет в HAR — заявлен

✓ Cookie-таблица с источником www.rahandusministeerium.ee — чужой сайт — заявлен

+ Google Fonts — 6 запросов, IP в США, в политике не упомянут — не заявлен

Тайминги передачи

+400 мс fonts.googleapis.com прошёл Google Fonts, 3 запроса, статус 200. Данные в США

+426 мс fonts.gstatic.com прошёл Шрифт Atkinson Hyperlegible, 3 запроса. IP в Google

при загрузке www.googletagmanager.com заблокирован GTM G-NZ5VEKEN0D — прописан, заблокирован CSP, статус 0

при загрузке static.cloudflareinsights.com заблокирован Заблокирован CSP, статус 0

Зафиксированные трекеры

Google Fonts
Google Tag Manager (заблокирован CSP)
Cloudflare Insights (заблокирован CSP)
browser-update.org (заблокирован CSP)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Fonts (fonts.googleapis.com, fonts.gstatic.com — 6 запросов) загружается без правового основания, передавая IP пользователя в Google при каждом переходе между страницами.
GDPR Art. 13(1)(e)

Google Fonts не задекларирован как получатель. AddThis задекларирован, но закрыт Oracle в 2023. Google Analytics задекларирован, но в HAR отсутствует.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США (SCC) не указан.
GDPR Art. 12(1)

Политика конфиденциальности скопирована с сайта Министерства финансов: все cookie в таблице указаны с источником www.rahandusministeerium.ee. Информация не относится к реальному контроллеру.

Контекст

Riigikontroll — высший орган финансового надзора Эстонии, независимый от правительства. Проверяет законность и эффективность использования государственных средств, аудитирует все государственные органы, включая министерства. По сути — орган, который проверяет всех остальных. HAR: 89 запросов, 7 доменов.

Что сделано правильно

CSP работает: три из четырёх внешних сервисов заблокированы. Google Tag Manager (G-NZ5VEKEN0D) прописан, но не выполнился — статус 0. Cloudflare Insights — статус 0, данные не ушли. browser-update.org — статус 0. cdnjs.cloudflare.com вернул 404, но запрос всё равно ушёл, передав IP пользователя в Cloudflare.

Что не сделано

Google Fonts остаётся незаблокированным: fonts.googleapis.com (+400 мс) и fonts.gstatic.com (+426 мс) — 6 запросов, статус 200, шрифт Atkinson Hyperlegible. IP пользователя уходит в Google (США) при каждом переходе между страницами. Баннера согласия нет вообще — ноль consent-запросов, ноль Set-Cookie.

Декларация против факта

Политика декларирует Google Analytics (cookies _ga, _gid, _gat), но в HAR нет ни одного запроса к нему — это уже четвёртый случай в серии, когда заявлен несуществующий GA (после sotsiaalkindlustusamet.ee, rik.ee, president.ee). Декларирует AddThis (__atuvc, __atuvs) — сервис, закрытый Oracle в мае 2023 года. При этом реально работающий Google Fonts в политике не упомянут вовсе, а отдельный пункт утверждает, что в связи с поиском Google никакие данные о пользователе не передаются — формально про поиск верно, но про шрифты, которые передают IP в Google при каждой загрузке страницы, — молчание.

Главная находка — копипаст из Министерства финансов

Все cookie в таблице политики указаны с источником www.rahandusministeerium.ee — это сайт Министерства финансов, а не Государственного контроля. Это не опечатка, а доказательство, что политика была скопирована с сайта Минфина и размещена на riigikontroll.ee без адаптации — не изменили даже название источника cookie. Орган, который проверяет законность действий всех государственных структур, включая само Министерство финансов, использует их же политику как шаблон, не проверив актуальность и не адаптировав под свой сайт. По Art. 12(1) GDPR информация должна быть точной и относящейся к конкретному контроллеру.

Вывод

Технически сайт защищён неплохо — CSP блокирует большинство трекеров. Но политика конфиденциальности оторвана от реальности по всем пунктам: декларирует то, чего нет (GA, AddThis), молчит о том, что есть (Google Fonts), и вдобавок скопирована с чужого сайта. Орган, который аудитирует других, сам не прошёл бы собственный аудит.

Доказательство

Оригинал (разбор)

HAR-файл: ee/riigikontroll-ee-2026-05-24.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом riigikontroll.ee.

2. Обстоятельства
Я посетил сайт riigikontroll.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 12.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (fonts.googleapis.com, fonts.gstatic.com — 6 запросов) загружается без правового основания, передавая IP пользователя в Google при каждом переходе между страницами.

2) Google Fonts не задекларирован как получатель. AddThis задекларирован, но закрыт Oracle в 2023. Google Analytics задекларирован, но в HAR отсутствует.

3) Механизм передачи данных в США (SCC) не указан.

4) Политика конфиденциальности скопирована с сайта Министерства финансов: все cookie в таблице указаны с источником www.rahandusministeerium.ee. Информация не относится к реальному контроллеру.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/riigikontroll.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 12(1)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]