Технический аудит · 2026-04-13

rik.ee

Центр регистров и информационных систем

RIK сам создал государственный privacy-first сервер Matomo и предлагает его другим порталам как правильную замену Google. А на собственном сайте — рядом с их же Matomo — 30 запросов к серверам Google за сессию. Политика декларирует Cloudflare и AddToAny, которых нет, и молчит о Google и Matomo, которые есть.

Хронология утечки

+8675 мс · до согласия

fonts.googleapis.com (11 запросов) и fonts.gstatic.com (+9126 мс, 19 запросов) — шрифт Roboto. 30 передач IP в Google (США). При каждом из 11 переходов браузер запрашивает CSS шрифта заново.

Что работает / заблокировано

statistika.rik.ee (Matomo) — статус 200, 11 запросов, данные остаются в Эстонии (это плюс). Cloudflare Insights — статус 0, CSP заблокировал. Нет GTM, GA, DoubleClick, browser-update.org.

Декларация против факта

✓ Cloudflare (_cf_bm, _cfuvid) — заблокирован CSP, не работает — заявлен

✓ AddToAny — в HAR ноль запросов, отсутствует — заявлен

✓ «RIK не связывает IP с конкретным посетителем» — заявлен

+ Google Fonts — 30 запросов, IP в США, не упомянут ни разу — не заявлен

+ Matomo (statistika.rik.ee) — работает, но не указан — не заявлен

Тайминги передачи

+8675 мс fonts.googleapis.com прошёл Google Fonts, 11 запросов. IP в Google (США)

+9126 мс fonts.gstatic.com прошёл Шрифт Roboto, 19 запросов. 30 передач IP за сессию

за сессию statistika.rik.ee (Matomo) прошёл Государственный Matomo (Эстония), 11 запросов. В политике не упомянут

при загрузке static.cloudflareinsights.com заблокирован Статус 0 — CSP заблокировал. Но в политике задекларирован как активный

Зафиксированные трекеры

Google Fonts
Matomo (statistika.rik.ee)
Cloudflare Insights (заблокирован CSP)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Fonts (fonts.googleapis.com +8675 мс, fonts.gstatic.com +9126 мс) — 30 запросов за сессию, IP в Google (США) при каждом из 11 переходов между страницами. Баннера согласия нет.
GDPR Art. 13(1)(e) — Google

Google не упомянут в политике ни разу — ни как получатель, ни как третья сторона. При этом 30 передач IP в Google за сессию.
GDPR Art. 13(1)(e) — Matomo

Matomo (statistika.rik.ee, 11 запросов, статус 200) реально работает и собирает данные о посещаемости, но в политике не упомянут — иронично, ведь этот сервер создал и поддерживает сам RIK.
GDPR Art. 5(1)(a) — Cloudflare

Политика декларирует активный Cloudflare (_cf_bm, _cfuvid), но CSP его блокирует (статус 0), cookie не устанавливаются. Декларирован сервис, которого в реальности нет.
GDPR Art. 5(1)(a) — AddToAny

Политика декларирует AddToAny для шаринга, но в HAR ни одного запроса — сервис отсутствует полностью.
GDPR Art. 13(1)(f), Chapter V

Передача данных в США (Google Fonts) без указания механизма. Политика утверждает, что IP не связывается с посетителем — но Google связывает (государственный шаблон, как на president.ee, oiguskantsler.ee, sotsiaalkindlustusamet.ee).

Контекст

RIK — Центр регистров и информационных систем Эстонии, под управлением Министерства юстиции. Управляет критической цифровой инфраструктурой страны: Коммерческий регистр, Регистр населения, электронное судопроизводство, портал жалоб AKI. И — собственным сервером Matomo statistika.rik.ee, который RIK предоставляет другим государственным порталам как privacy-first аналитику взамен Google. HAR: 295 запросов, 5 доменов. Политика утверждена директором 12.01.2024 — свежий, детальный документ, и тем точнее каждое расхождение.

Что сделано правильно

Matomo на собственном государственном сервере (11 запросов, статус 200) — аналитика остаётся в Эстонии. Cloudflare Insights заблокирован CSP (статус 0), данные не ушли. Нет GTM, Google Analytics, DoubleClick, browser-update.org.

Что не сделано — Google Fonts

fonts.googleapis.com (11 запросов) и fonts.gstatic.com (19 запросов) загружают шрифт Roboto с серверов Google в США — 30 передач IP за сессию. При каждом из 11 переходов между страницами браузер запрашивает CSS шрифта заново, и каждый раз IP уходит в Google. Баннера согласия нет.

Политика — пять противоречий

Документ свежий, но не отражает реальность ни в одном направлении. Google не упомянут ни разу, хотя получает данные 30 раз за сессию (Art. 13(1)(e)). Cloudflare задекларирован как активный (_cf_bm, _cfuvid), но CSP его блокирует — cookie в браузере нет. AddToAny задекларирован для шаринга, но в HAR ни одного запроса — сервис отсутствует. Matomo, который реально работает, в политике не упомянут вовсе — особенно иронично, ведь этот сервер создал и поддерживает сам RIK. И отдельно — формулировка «RIK не связывает IP с конкретным посетителем»: то, что не связывает RIK, не означает, что не связывает Google. Та же фраза встречается на president.ee, oiguskantsler.ee и sotsiaalkindlustusamet.ee — это государственный шаблон, кочующий по сайтам.

Вывод

RIK создал государственный Matomo, настроил его, внедрил на rahvastikuregister.ee и oiguskantsler.ee, предлагает другим порталам как правильное решение вместо Google. А на собственном сайте — рядом с их же Matomo — 30 запросов к серверам Google при каждом переходе. Инструмент создан, знания есть, документ подписан директором. Чужие сайты — чисто. Свой — нет.

Доказательство

Оригинал (разбор)

HAR-файл: ee/rik-ee-2026-04-13.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом rik.ee.

2. Обстоятельства
Я посетил сайт rik.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (fonts.googleapis.com +8675 мс, fonts.gstatic.com +9126 мс) — 30 запросов за сессию, IP в Google (США) при каждом из 11 переходов между страницами. Баннера согласия нет.

2) Google не упомянут в политике ни разу — ни как получатель, ни как третья сторона. При этом 30 передач IP в Google за сессию.

3) Matomo (statistika.rik.ee, 11 запросов, статус 200) реально работает и собирает данные о посещаемости, но в политике не упомянут — иронично, ведь этот сервер создал и поддерживает сам RIK.

4) Политика декларирует активный Cloudflare (_cf_bm, _cfuvid), но CSP его блокирует (статус 0), cookie не устанавливаются. Декларирован сервис, которого в реальности нет.

5) Политика декларирует AddToAny для шаринга, но в HAR ни одного запроса — сервис отсутствует полностью.

6) Передача данных в США (Google Fonts) без указания механизма. Политика утверждает, что IP не связывается с посетителем — но Google связывает (государственный шаблон, как на president.ee, oiguskantsler.ee, sotsiaalkindlustusamet.ee).

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/rik.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e) — Google; GDPR Art. 13(1)(e) — Matomo; GDPR Art. 5(1)(a) — Cloudflare; GDPR Art. 5(1)(a) — AddToAny; GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]