Технический аудит · 2026-04-29

saada.rik.ee

Подача официальных заявлений, в т.ч. жалоб в AKI

Портал, через который гражданин подаёт официальные заявления — в том числе жалобы в Инспекцию по защите данных на нарушения GDPR. Человек, который хочет защитить свои данные от передачи в Google и Amazon, заходит сюда — и через 223 миллисекунды его IP уходит в Amazon, через 242 — в Google. До любого согласия.

Хронология утечки

+223 мс · до согласия

cdn.form.io (сервер AmazonS3, CDN Amazon CloudFront, США) загружает CSS на каждой из 7 страниц. Статус 200, реальная передача.

+242 мс · до согласия

fonts.googleapis.com — шрифты Roboto, Lato, Nunito Sans, Roboto Slab. Каждый запрос передаёт IP в Google (США). 28 запросов за сессию. Следом fonts.gstatic.com (+365 мс).

Декларация против факта

+ form.io — Amazon AWS / CloudFront (США), не задекларирован — не заявлен

+ Google Fonts — fonts.googleapis.com, fonts.gstatic.com, IP в США — не заявлен

+ Cloudflare CDN — cdnjs.cloudflare.com — не заявлен

Тайминги передачи

+223 мс cdn.form.io прошёл Amazon AWS / CloudFront, США. CSS на 7 страницах. Статус 200

+242 мс fonts.googleapis.com прошёл Google Fonts, 28 запросов. IP в США

+365 мс fonts.gstatic.com прошёл CDN шрифтов Google, 14 запросов. Данные в США

+9235 мс cdnjs.cloudflare.com прошёл Cloudflare CDN, библиотека flatpickr, 4 запроса. Данные в США

Зафиксированные трекеры

form.io (Amazon AWS / CloudFront)
Google Fonts
Cloudflare CDN (cdnjs)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

cdn.form.io (AWS), fonts.googleapis.com, fonts.gstatic.com, cdnjs.cloudflare.com запускаются за 223–9235 мс до любого согласия пользователя.
GDPR Art. 7

Механизм согласия отсутствует как таковой — нет баннера, нет настроек, нет выбора. Ноль cookie за всю сессию.
GDPR Art. 13(1)(e)

Google (шрифты), Amazon (cdn.form.io / CloudFront) и Cloudflare (cdnjs) не задекларированы как получатели данных.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США не указан ни для одного получателя — ни SCC, ни adequacy decision.

Контекст

saada.rik.ee — портал подачи заявлений Центра регистров и информационных систем Эстонии (RIK). Через него граждане подают официальные заявления в государственные органы, в том числе жалобы в Инспекцию по защите данных (AKI) на нарушения GDPR. HAR: 153 запроса, 4 внешних домена.

Контекст важен: 14 апреля 2026 года AKI получил официальное уведомление о нарушениях на собственном сайте aki.ee. Около 28 апреля прямая форма подачи жалоб с aki.ee исчезла, и пользователей перенаправили на saada.rik.ee. 29 апреля был записан трафик этого портала.

Что происходит до согласия

Через 223 миллисекунды после старта cdn.form.io (сервер AmazonS3, CDN Amazon CloudFront, США) загружает CSS-файл — реальная передача, на каждой из 7 страниц сессии. Через 242 мс fonts.googleapis.com отправляет IP пользователя в Google: четыре шрифта на каждой странице, 28 запросов за сессию. Следом fonts.gstatic.com и Cloudflare CDN. Баннер согласия отсутствует полностью — ни одного запроса к системам управления согласием, ни одного cookie. Всё это происходит до того, как человек успел прочитать страницу.

Декларация против факта

В политике конфиденциальности не указаны реальные получатели данных: Google (шрифты), Amazon (form.io / CloudFront) и Cloudflare (cdnjs) — нарушение Art. 13(1)(e). Механизм передачи в США не указан ни для одного из них — ни SCC, ни adequacy decision (Art. 13(1)(f)).

Вывод

Это архитектурное противоречие: механизм подачи жалоб на нарушения GDPR сам нарушает GDPR. Человек, который хочет защитить свои данные от передачи в Google и Amazon, заходит на этот портал — и в течение 223 миллисекунд его IP уходит в Amazon, через 242 — в Google, без согласия. eesti.ee и edpb.europa.eu доказывают, что правильная архитектура возможна: только локальные домены, строгая CSP, ноль внешних трекеров. Технических отговорок нет — есть только решения. Портал, через который гражданин подаёт жалобу на нарушение своих данных, должен начинаться с собственного кода.

Доказательство

Оригинал (разбор)

HAR-файл: ee/saada-rik-ee-2026-04-29.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом saada.rik.ee.

2. Обстоятельства
Я посетил сайт saada.rik.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) cdn.form.io (AWS), fonts.googleapis.com, fonts.gstatic.com, cdnjs.cloudflare.com запускаются за 223–9235 мс до любого согласия пользователя.

2) Механизм согласия отсутствует как таковой — нет баннера, нет настроек, нет выбора. Ноль cookie за всю сессию.

3) Google (шрифты), Amazon (cdn.form.io / CloudFront) и Cloudflare (cdnjs) не задекларированы как получатели данных.

4) Механизм передачи данных в США не указан ни для одного получателя — ни SCC, ни adequacy decision.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/saada.rik.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]