EUGDPR Audit
RU EN
Технический аудит · 2026-04-12

tai.ee

Национальный институт здравоохранения
EE

Институт хранит данные о том, что человек болел раком, лечился от наркозависимости, когда родился и от чего умерли его близкие. Политика заявляет «не передаём данные третьим лицам» — а Google Analytics получает данные посетителя через 0,37 секунды, ещё до баннера согласия.

Хронология утечки

+0,22 сек · до согласия
Google Tag Manager запускается через две десятых секунды после загрузки. Следом +0,23 сек — AddToAny (кнопки «поделиться»), не упомянут в политике.
+0,37 сек · до согласия
Google Analytics реально отправляет данные на region1.analytics.google.com (ID G-5SZ2******). Баннер ещё на экране, пользователь ничего не нажал — Google уже получил данные.
7 передач за сессию
GA отправил данные на +0,37 / +5,38 / +14,90 / +19,91 / +29,74 / +31,91 / +36,92 сек. Каждый раз — реальный запрос в США.

Декларация против факта

Политика: «не передаём информацию, связанную с куки, третьим лицам» — заявлен
«Куки для анализа посещаемости» — без названий — заявлен
+ Google Analytics — G-5SZ2******, 7 передач за сессию — не заявлен
+ Google Tag Manager — не заявлен
+ AddToAny — попытался обратиться к хранилищу 9 раз на странице о защите данных — не заявлен
+ Google Translate, Google Fonts — не заявлен

Тайминги передачи

+0,22 сек www.googletagmanager.com прошёл Google Tag Manager — до баннера, до согласия
+0,23 сек AddToAny прошёл Кнопки «поделиться». Не упомянут в политике
+0,37 сек region1.analytics.google.com прошёл Google Analytics, ID G-5SZ2******. Реальная передача в США

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

TAI — национальный институт здравоохранения Эстонии, государственное учреждение под Министерством социальных дел. Управляет пятью национальными медицинскими регистрами: реестром рака, беременностей, туберкулёза, наркозависимости и причин смерти. Это не интернет-магазин — это организация, которая хранит данные о самых тяжёлых эпизодах жизни человека.

Прямое противоречие

Официальная политика конфиденциальности TAI заявляет дословно: «Мы не передаём информацию, связанную с куки, третьим лицам». В реальности Google Tag Manager запускается на +0,22 сек, AddToAny на +0,23 сек, а Google Analytics на +0,37 сек реально отправляет данные на region1.analytics.google.com. Баннер согласия ещё на экране, пользователь ничего не нажал — Google уже получил данные. За сессию Google Analytics передал данные 7 раз, каждый раз с идентификатором G-5SZ2******, каждый раз в США.

Деталь, которая бьёт точно в цель

AddToAny пытался получить доступ к хранилищу браузера 9 раз подряд — и всё это происходило на странице «Isikuandmete töötlemine ja andmekaitse», то есть буквально на странице «Обработка персональных данных и защита данных». Браузер попытки заблокировал, но они зафиксированы в консоли.

Что не задекларировано

В политике упомянуты лишь «куки для анализа посещаемости» — без единого названия. Отсутствуют конкретные имена: Google Tag Manager, Google Analytics (G-5SZ2L...), AddToAny, Google Translate, Google Fonts. По Art. 13(1)(e) субъект данных должен знать всех получателей своих данных.

Вывод

Человек, который заходит на tai.ee в поисках информации об онкологии, идентифицируется Google Analytics через 0,37 секунды — до того, как нажал что-либо. Это Art. 9 GDPR, специальная категория данных о здоровье: самый высокий уровень защиты по закону и самый грубый уровень нарушения на практике. Политика обещает обратное тому, что делает сайт.

Доказательство
Оригинал (разбор)
HAR-файл: ee/tai-ee-2026-04-12.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом tai.ee.

2. Обстоятельства
Я посетил сайт tai.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 12.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика прямо заявляет «не передаём информацию, связанную с куки, третьим лицам». Google Analytics передаёт данные 7 раз за сессию. Прямое противоречие декларации.

2) Обработка данных посетителей медицинского государственного сайта без согласия. TAI управляет реестрами рака, беременностей, туберкулёза, наркозависимости и причин смерти — специальная категория данных о здоровье.

3) Google Tag Manager, Google Analytics и AddToAny запускаются за 0,22–0,37 секунды до любого согласия пользователя.

4) Ни один внешний вендор не задекларирован по имени. Упомянуты лишь «куки для анализа посещаемости» без названий.

5) Передача данных в Google (region1.analytics.google.com, США) без указания правового механизма.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/tai.ee/

3. Нарушенные положения
GDPR Art. 5(1)(a); GDPR Art. 9; GDPR Art. 6(1); GDPR Art. 13(1)(e); GDPR Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]