Технический аудит · 2026-04-13

rus.err.ee

Общественное вещание, новости для русскоязычной аудитории

Государственное общественное вещание, финансируемое налогоплательщиками. Пока читатель читает новости, Chartbeat фиксирует каждую секунду его поведения, Gemius строит профиль аудитории, Mux отслеживает просмотр видео. Ни один из этих трекеров не упомянут в политике. А система согласия сама выставила «только необходимые» — не спросив пользователя.

Хронология утечки

+258–259 мс · до согласия

Google Fonts (+258 мс, статус 200) — 191 078 байт в Google, реальная передача. Mux/Litix (src.litix.io, +259 мс) — американская аналитика видео: что смотришь, как долго, когда останавливаешь.

+3592–4269 мс · до согласия

Chartbeat (+3592 мс) — американская аналитика медиа в реальном времени: что читают, как долго, куда кликают. GTM (+4263 мс) — контейнер для любых скриптов. Gemius (+4269 мс) — польская платформа измерения аудитории.

Согласие, противоречащее себе

errCookieConsent = necessary установлен системой автоматически, до любого взаимодействия. Но аналитические куки _gfp_64b (Gemius), _cb и _chartbeat2 (Chartbeat) уже стоят на домене .err.ee со сроком до 2027 года. Это не технические куки — это трекеры, установленные до согласия.

Декларация против факта

✓ Данные аккаунтов, комментариев, архивных заказов — заявлен

+ Chartbeat — аналитика чтения, кука до 2027 — не заявлен

+ Gemius — профиль аудитории, кука до 2027 — не заявлен

+ Mux / Litix — аналитика видео — не заявлен

+ Google Tag Manager, Google Fonts — не заявлен

Тайминги передачи

+258 мс fonts.gstatic.com прошёл Google Fonts, 191 078 байт в Google (США). Реальная передача

+259 мс src.litix.io (Mux) заблокирован Аналитика видео, статус 0 — попытка зафиксирована

+3592 мс static.chartbeat.com заблокирован Аналитика чтения в реальном времени, статус 0. Куки _cb, _chartbeat2 уже стоят

+4269 мс ee.hit.gemius.pl заблокирован Измерение аудитории, 12 предупреждений Tracking Prevention. Кука _gfp_64b стоит

Зафиксированные трекеры

Chartbeat
Gemius
Mux / Litix
Google Tag Manager
Google Fonts
Cloudflare Insights (заблокирован)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Gemius, Chartbeat и Mux запускаются до согласия. Аналитические куки (_gfp_64b, _cb, _chartbeat2) установлены автоматически до любого взаимодействия, срок до 2027 года.
GDPR Art. 7, Recital 32

errCookieConsent = necessary установлен системой без участия пользователя — это не согласие. Система сама записала решение в браузер до спроса, при этом аналитические куки Chartbeat и Gemius уже стоят. Система согласия противоречит сама себе.
GDPR Art. 13(1)(e)

Gemius, Chartbeat, Mux/Litix и Google Tag Manager не задекларированы в политике конфиденциальности. Политика описывает только данные аккаунтов, комментариев и архивных заказов.
GDPR Art. 13(1)(f), Chapter V

Механизм трансграничной передачи в США не указан ни для одного получателя. Google Fonts — 191 078 байт в Google без согласия. Передача без правового основания.
GDPR Art. 5(1)(a)

Политика описывает только аккаунтовые данные — реальный список обработчиков в шесть раз шире.

Контекст

rus.err.ee — русская редакция Eesti Rahvusringhääling (ERR), эстонского общественного вещания. Государственное СМИ, финансируемое из бюджета страны: новости, аналитика, культура для русскоязычной аудитории Эстонии. HAR: 226 запросов за сессию, 99 ошибок в консоли.

Что запускается до согласия

При загрузке страницы, до любого взаимодействия: Google Fonts (+258 мс, статус 200) передаёт в Google 191 078 байт. Mux/Litix (+259 мс) — американская аналитика видео, фиксирует что и как долго смотришь. Chartbeat (+3592 мс) — американская аналитика медиа в реальном времени: что читают, как долго, куда кликают. Google Tag Manager (+4263 мс) — контейнер для любых скриптов. Gemius (+4269 мс) — польская платформа измерения аудитории, 12 предупреждений Tracking Prevention. Cloudflare Insights (+618 мс) — заблокирован браузером, но запрос инициирован.

Согласие, которое противоречит себе

Система согласия ERR установила куку errCookieConsent со значением necessary автоматически — до любого взаимодействия пользователя. Система сама решила, что пользователь согласен только на необходимые куки, и записала это в браузер без спроса. При этом аналитические куки уже установлены: _gfp_64b (Gemius, идентификатор пользователя, до 2027), _cb и _chartbeat2 (Chartbeat, идентификатор читателя и данные сессии, до 2027) — все на домене .err.ee. Это не технические куки, а трекеры. Согласие говорит «только необходимое», реальность — аналитика уже работает.

Политика молчит о трекерах

Политика конфиденциальности описывает данные пользовательских аккаунтов, комментариев и архивных заказов. О трекерах на сайте — ни слова: Gemius, Chartbeat, Mux/Litix, Google Tag Manager не упомянуты нигде. Реальный список обработчиков примерно в шесть раз шире того, что заявлено. Пользователь читает новости на государственном медиапортале — и за это время Chartbeat фиксирует каждую секунду его поведения, Gemius строит профиль аудитории, Mux отслеживает просмотр видео. Всё без ведома читателя и без правового основания.

Вывод

Государственное СМИ финансируется налогоплательщиками, и читатель доверяет ему как источнику информации. Это доверие предполагает, что его данные защищены хотя бы на базовом уровне. Здесь же Chartbeat знает, что читает каждый пользователь rus.err.ee и как долго; Gemius строит профиль аудитории; Mux фиксирует каждый просмотр видео. Читатель об этом не знает — политика конфиденциальности ему этого не говорит. А система согласия, вместо того чтобы спросить, сама поставила галочку «только необходимое» поверх уже работающих трекеров.

Доказательство

Оригинал (разбор)

HAR-файл: ee/rus-err-ee-2026-04-13.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом rus.err.ee.

2. Обстоятельства
Я посетил сайт rus.err.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Gemius, Chartbeat и Mux запускаются до согласия. Аналитические куки (_gfp_64b, _cb, _chartbeat2) установлены автоматически до любого взаимодействия, срок до 2027 года.

2) errCookieConsent = necessary установлен системой без участия пользователя — это не согласие. Система сама записала решение в браузер до спроса, при этом аналитические куки Chartbeat и Gemius уже стоят. Система согласия противоречит сама себе.

3) Gemius, Chartbeat, Mux/Litix и Google Tag Manager не задекларированы в политике конфиденциальности. Политика описывает только данные аккаунтов, комментариев и архивных заказов.

4) Механизм трансграничной передачи в США не указан ни для одного получателя. Google Fonts — 191 078 байт в Google без согласия. Передача без правового основания.

5) Политика описывает только аккаунтовые данные — реальный список обработчиков в шесть раз шире.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/rus.err.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7, Recital 32; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]