Технический аудит · 2026-04-12

sotsiaalkindlustusamet.ee

Департамент социального страхования

Сайт, куда обращаются самые уязвимые граждане — пенсионеры, люди с инвалидностью, семьи с детьми, жертвы преступлений. Cookie-баннер есть, но YouTube начинает передавать данные через 62 мс после загрузки баннера — до того, как человек его увидел.

Хронология утечки

+12696 мс · загрузка баннера

Cookie-баннер (eu_cookie_compliance) загружается — но ещё не показан пользователю. Первый случай в серии, когда баннер вообще есть.

За сессию

YouTube — 50 запросов, 5 POST с данными о поведении, jnn-pa.googleapis.com (WAA anti-bot, идентификация). Google Fonts — 15 запросов. CSP блокирует Cloudflare, DoubleClick, Siteimprove, browser-update.org (статус 0).

Декларация против факта

✓ AddThis (__atuvc, __atuvs) — закрыт Oracle в 2023, в HAR ноль запросов — заявлен

✓ Принцип минимальности обработки данных — заявлен

✓ «IP-адреса не связываются с идентифицирующей информацией» — заявлен

+ YouTube — 50 запросов, 5 POST с поведенческими данными — не заявлен

+ Google Fonts — 15 запросов, IP в США — не заявлен

+ Cloudflare CDN — cdnjs, Bootstrap-datepicker — не заявлен

Тайминги передачи

+12696 мс cookie-bar.js (eu_cookie_compliance) прошёл Баннер загружен, но ещё не показан

+12758 мс youtube.com прошёл Передача данных через 62 мс после баннера. 50 запросов за сессию

за сессию jnn-pa.googleapis.com/GenerateIT прошёл YouTube WAA — идентификация пользователя, 5 запросов

за сессию fonts.gstatic.com прошёл Шрифт Roboto. IP в Google (США), 15 запросов

Зафиксированные трекеры

YouTube (стандартный режим)
Google Fonts
Cloudflare CDN (cdnjs)
browser-update.org (заблокирован CSP)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

YouTube (50 запросов) и Google Fonts (15 запросов) запускаются до получения реального согласия пользователя.
GDPR Art. 7

Cookie-баннер присутствует формально, но данные YouTube передаются через 62 мс после загрузки скрипта баннера — до того, как баннер показан пользователю.
GDPR Art. 13(1)(e)

YouTube не упомянут в политике как получатель данных (50 запросов в HAR, 5 POST-запросов с данными о поведении). Siteimprove и Google задекларированы неполно. При этом задекларирован AddThis, который закрыт Oracle в 2023 году.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США не указан. Privacy Shield аннулирован.
GDPR Art. 5(1)(a)

Политика обновлена 08.12.2025, но содержит несуществующий AddThis как активного получателя данных — спустя 30 месяцев после его закрытия. Декларация не проверяется на соответствие реальной работе сайта.

Контекст

Департамент социального страхования Эстонии: пенсии, пособия семьям с детьми, выплаты людям с инвалидностью, компенсации жертвам преступлений. Сюда обращаются самые уязвимые граждане страны. HAR — два файла, 14 доменов.

Что сделано — и чего нет

Cookie-баннер существует (eu_cookie_compliance) — первый случай в серии, когда баннер вообще есть. CSP блокирует Cloudflare, DoubleClick, Siteimprove и browser-update.org (все статус 0). Но YouTube встроен в стандартном режиме (обычный youtube.com, не youtube-nocookie.com): 50 запросов, пять видео без privacy-enhanced mode. Запросы youtube.com/youtubei/v... — это не загрузка видео, а POST-запросы, передающие данные о поведении обратно в YouTube, пять раз за сессию. Плюс jnn-pa.googleapis.com/GenerateIT (YouTube WAA — идентификация устройства и среды), Google Fonts (15 запросов) и Cloudflare CDN.

Убийственный тайминг

Cookie-баннер загружается на +12696 мс. YouTube начинает передачу данных на +12758 мс. Разница — 62 миллисекунды. Баннер загружен, но ещё не показан пользователю; человек ничего не выбрал, а YouTube уже получает данные. Баннер есть. Согласия нет. Данные ушли.

Декларация против факта — пять противоречий

Политика обновлена 08.12.2025 — свежий документ, который должен отражать реальность. Но: YouTube (50 запросов) в политике не упомянут вовсе. Политика заявляет, что IP не связывается с личностью — а IP передаётся в Google при каждом запросе шрифта и каждом кадре YouTube. Политика декларирует AddThis (cookies __atuvc, __atuvs) — сервис, закрытый Oracle в 2023 году, спустя 30 месяцев после закрытия. Политика торжественно провозглашает принцип минимальности — при этом работает YouTube WAA anti-bot идентификация на странице о пенсионных выплатах.

Мёртвый AddThis в свежей политике — это не техническая ошибка, а доказательство, что политику обновляют формально (меняют даты, правят формулировки), но реальную проверку соответствия декларации и фактической работы сайта не проводят. Для регулятора или суда это конкретный датированный факт: 30 месяцев между закрытием сервиса и обновлением политики, в котором он всё ещё указан.

Вывод

Чем торжественнее написана политика, тем сильнее удар, когда HAR показывает обратное. Сайт заявляет принцип минимальности — и встраивает YouTube без privacy-mode. Заявляет прозрачность — и не упоминает YouTube как получателя. Заявляет, что не связывает IP с личностью — и передаёт IP в Google, который делает это профессионально. Политика фиксирует намерение, HAR фиксирует факт. Между ними — разрыв, и этот разрыв ложится на плечи самых незащищённых пользователей.

Доказательство

Оригинал (разбор)

HAR-файл: ee/sotsiaalkindlustusamet-ee-2026-04-12.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом sotsiaalkindlustusamet.ee.

2. Обстоятельства
Я посетил сайт sotsiaalkindlustusamet.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 12.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) YouTube (50 запросов) и Google Fonts (15 запросов) запускаются до получения реального согласия пользователя.

2) Cookie-баннер присутствует формально, но данные YouTube передаются через 62 мс после загрузки скрипта баннера — до того, как баннер показан пользователю.

3) YouTube не упомянут в политике как получатель данных (50 запросов в HAR, 5 POST-запросов с данными о поведении). Siteimprove и Google задекларированы неполно. При этом задекларирован AddThis, который закрыт Oracle в 2023 году.

4) Механизм передачи данных в США не указан. Privacy Shield аннулирован.

5) Политика обновлена 08.12.2025, но содержит несуществующий AddThis как активного получателя данных — спустя 30 месяцев после его закрытия. Декларация не проверяется на соответствие реальной работе сайта.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/sotsiaalkindlustusamet.ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]