Технический аудит · 2026-04-21

siseministeerium.ee

Полиция, погранохрана, миграция, гражданство

Министерство, курирующее полицию, погранохрану, миграцию и гражданство. Его политика куки — зеркало наоборот: она декларирует сервисы, которых на сайте нет (Google Analytics, AddThis, Facebook), и молчит о тех, что реально работают (Matomo, Cloudflare). Документ, описывающий параллельную реальность.

Хронология утечки

+0 мс · до согласия

Cloudflare RUM (cdn-cgi/rum) — статус 204, поведенческая аналитика, данные в США, 4 запроса за сессию. В политике отсутствует.

+141 сек · до согласия

piwik.smit.ee/matomo.js (статус 200, данные переданы), i.ytimg.com (YouTube-превью, IP в Google), static.cloudflareinsights.com (статус 200), browser-update.org (+142 сек, статус 304). Ни один не задекларирован.

Декларация против факта

✓ Google Analytics (_ga, _gid, _gat) — ноль запросов в HAR — заявлен

✓ AddThis (__atuvc, __atuvs) — ноль запросов — заявлен

✓ Facebook, LinkedIn, Twitter — ноль запросов — заявлен

+ Matomo (piwik.smit.ee) — работает, 2 запроса — не заявлен

+ Cloudflare RUM (+0 мс) и Cloudflare Insights — данные в США — не заявлен

+ browser-update.org, cookies _cf_bm / cf_clearance — не заявлен

Тайминги передачи

+0 мс cdn-cgi/rum (Cloudflare RUM) прошёл Поведенческая аналитика, статус 204, 4 запроса. Данные в США

+141 622 мс piwik.smit.ee (Matomo) прошёл Matomo на сервере RIA. Статус 200, данные переданы. В политике нет

+141 721 мс static.cloudflareinsights.com прошёл Cloudflare Insights, статус 200, данные в США

+142 070 мс browser-update.org прошёл Статус 304. Тот же скрипт, что на AKI, epa.ee, emta.ee, transpordiamet.ee

Зафиксированные трекеры

Cloudflare RUM
Cloudflare Insights
Matomo (piwik.smit.ee)
browser-update.org
YouTube (превью)

Зафиксированные нарушения

GDPR Art. 5(1)(a)

Политика декларирует несуществующие сервисы (Google Analytics, AddThis, Facebook, LinkedIn, Twitter — ноль запросов в HAR) и умалчивает о реально работающих (Matomo, Cloudflare Insights, Cloudflare RUM, browser-update.org). Документ не соответствует реальности ни в одном направлении.
GDPR Art. 6(1), Art. 5(1)(a)

Cloudflare RUM (+0 мс), Matomo, Cloudflare Insights и browser-update.org запускаются без согласия пользователя.
GDPR Art. 7(3), Art. 7(4), Recital 32

Кнопки «Reject All» нет — три кнопки, ни одна не является равнозначным отказом. «Необходимые куки» заблокированы, вендоры не названы.
GDPR Art. 13(1)(e)

Реальные получатели не задекларированы: Matomo (piwik.smit.ee), Cloudflare RUM, Cloudflare Insights, browser-update.org, cookies _cf_bm и cf_clearance (Cloudflare Bot Management).
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США (Cloudflare) не указан.
GDPR Art. 9 (контекст eID)

Интеграция Web eID (token-signing-page-script.js). В сессии, где гражданин входит под реальным именем, работают незадекларированные трекеры — browser-update.org, Matomo, Cloudflare Insights.

Контекст

siseministeerium.ee — официальный сайт Министерства внутренних дел Эстонии, ведомства, которое курирует полицию, погранохрану, внутреннюю безопасность, миграцию и гражданство. Через этот сайт граждане взаимодействуют с государством по вопросам, напрямую касающимся их правового статуса. HAR: 45 запросов, 6 доменов.

Что задекларировано — и чего нет

В политике куки указаны: has_js, Google Analytics (_ga, _gid, _gat), AddThis (__atuvc, __atuvs), а в разделе третьих сторон — Google, Facebook, LinkedIn, Twitter. Открываем HAR: Google Analytics — ноль запросов, AddThis — ноль, Facebook/LinkedIn/Twitter — ноль. Все задекларированные сервисы не работают. Зато работают те, которых в политике нет: Cloudflare RUM (с +0 мс, 4 запроса, США), Matomo (piwik.smit.ee, статус 200, данные переданы), Cloudflare Insights (статус 200, США), browser-update.org (статус 304), YouTube-превью (IP в Google). В браузере установлены _cf_bm (Cloudflare Bot Management) и cf_clearance — тоже не задекларированы.

Зеркало наоборот

Большинство сайтов в серии не декларируют то, что работает, — это нарушение, но понятное: забыли, не обновили. Здесь иначе. Политика описывает сервисы, которых на сайте нет, и молчит о тех, которые есть. Пользователь читает документ и ошибается дважды: думает, что Google Analytics собирает его данные — нет; думает, что Matomo не существует — а он работает; думает, что Cloudflare не ставит куки — а _cf_bm уже в браузере. Это не пробел в документации — это документ, который описывает параллельную реальность.

Контекст eID

На сайте интегрирована Web eID (token-signing-page-script.js) — вход по ID-карте или Mobile-ID. В той же сессии, где гражданин потенциально входит под своим реальным именем, работают browser-update.org, Matomo и Cloudflare Insights — все незадекларированные. Это требует отдельного обоснования по Art. 9 GDPR: обрабатываются данные, позволяющие связать поведение на сайте с реальной личностью.

Вывод

Это Министерство внутренних дел: полиция, погранслужба, гражданство, миграция. Политика куки декларирует Google Analytics, которого нет, не упоминает Matomo, который есть, и молчит о Cloudflare Bot Management, который ставит куки в браузер каждого посетителя. По GDPR это нарушение принципа прозрачности — причём нарушение в обе стороны сразу: документ вводит в заблуждение и тем, что обещает, и тем, о чём молчит.

Доказательство

Оригинал (разбор)

HAR-файл: ee/siseministeerium-ee-2026-04-21.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом siseministeerium.ee.

2. Обстоятельства
Я посетил сайт siseministeerium.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 21.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика декларирует несуществующие сервисы (Google Analytics, AddThis, Facebook, LinkedIn, Twitter — ноль запросов в HAR) и умалчивает о реально работающих (Matomo, Cloudflare Insights, Cloudflare RUM, browser-update.org). Документ не соответствует реальности ни в одном направлении.

2) Cloudflare RUM (+0 мс), Matomo, Cloudflare Insights и browser-update.org запускаются без согласия пользователя.

3) Кнопки «Reject All» нет — три кнопки, ни одна не является равнозначным отказом. «Необходимые куки» заблокированы, вендоры не названы.

4) Реальные получатели не задекларированы: Matomo (piwik.smit.ee), Cloudflare RUM, Cloudflare Insights, browser-update.org, cookies _cf_bm и cf_clearance (Cloudflare Bot Management).

5) Механизм передачи данных в США (Cloudflare) не указан.

6) Интеграция Web eID (token-signing-page-script.js). В сессии, где гражданин входит под реальным именем, работают незадекларированные трекеры — browser-update.org, Matomo, Cloudflare Insights.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/siseministeerium.ee/

3. Нарушенные положения
GDPR Art. 5(1)(a); GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7(3), Art. 7(4), Recital 32; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 9 (контекст eID)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]