Технический аудит · 2026-05-14

tervisekassa.ee

Касса здравоохранения Эстонии

Государственное учреждение, управляющее обязательным медицинским страхованием Эстонии. Оплата медицинских услуг, льготы, стоматология, беременность и здоровье ребёнка, электронный портал здоровья. Сайт сам называет свои данные особой категорией по ст. 9 GDPR.

Хронология утечки

+214 мс · cdn.jsdelivr.net

Скрипт плагина баннера согласия (cookiesjsr-preloader) грузится с CDN на Cloudflare США до того, как баннер появился на экране. Статус 200, реальная передача. В политике не задекларирован.

+229 мс · fonts.googleapis.com

Google Fonts (Open Sans, Noto Sans). Каждый запрос передаёт IP пользователя в Google LLC, США. Статус 200. В политике не упомянут.

+282 мс · fonts.gstatic.com

CDN Google для шрифтовых файлов, IP сервера в США. Статус 200. До любого согласия. В политике не упомянут.

хостинг Cloudflare США

Сервер сайта (172.67.183.114) — Cloudflare, США. Каждый HTTP-запрос проходит через инфраструктуру американской компании: IP, User-Agent, URL, время визита. Отчёты об ошибках уходят на a.nel.cloudflare.com.

Декларация против факта

✓ Siteimprove / nmstat (Дания) — заявлен

✓ Google Tag Manager → Facebook Pixel / _fbp — заявлен

✓ YouTube / VISITOR_INFO1_LIVE, YSC — заявлен

✓ _grecaptcha, cookiesjsr, hc, SSESS — заявлен

✓ Power BI (вскользь, без указания передачи Microsoft) — заявлен

+ Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — загружены до согласия — не заявлен

+ cdn.jsdelivr.net — плагин баннера через Cloudflare США — не заявлен

+ Cloudflare как хостинг (172.67.183.114) + NEL (a.nel.cloudflare.com) + Insights в CSP — не заявлен

+ AWS eu-north-1 (юрисдикция США через AWS Inc.) — не заявлен

+ Tableau (Salesforce, США) — не заявлен

+ TEHIK (*.tehik.ee) — как отдельный получатель не назван — не заявлен

+ unpkg.com, cdnjs.cloudflare.com, npmcdn.com — не заявлен

Тайминги передачи

+214 мс cdn.jsdelivr.net (cookiesjsr-preloader) прошёл Cloudflare США — до появления баннера

+229 мс fonts.googleapis.com (Open Sans / Noto Sans) прошёл IP пользователя передан в Google США

+275 мс cdn.jsdelivr.net (cookiesjsr.min.js) прошёл до согласия

+282 мс fonts.gstatic.com (Noto Sans woff2) прошёл Google США, до согласия

Зафиксированные трекеры

Google reCAPTCHA (в «обязательных»)
Google Fonts
Cloudflare (хостинг + NEL + Insights)
Google Analytics (G-0FEP5VSTYR, consentMode:false)

Зафиксированные нарушения

GDPR Art. 7(4)

Google reCAPTCHA включён в категорию «обязательные» с пометкой «всегда активна» — отказ технически заблокирован. Согласие не является свободным.
GDPR Art. 6(1), Art. 5(1)(a)

cdn.jsdelivr.net (+214 мс), fonts.googleapis.com (+229 мс), fonts.gstatic.com (+282 мс) запускаются до любого взаимодействия с баннером. Реальная передача, статус 200.
GDPR Art. 13(1)(e)

Не задекларированы реальные получатели данных: Google Fonts, cdn.jsdelivr.net, Cloudflare (хостинг + NEL + Insights), AWS, Tableau, TEHIK как отдельный получатель, unpkg.com, cdnjs.cloudflare.com, npmcdn.com.
GDPR Art. 13(1)(f)

Механизм передачи данных в США (SCC, adequacy decision, иное) не указан ни для Google, ни для Cloudflare, ни для AWS.
GDPR Chapter V

Передача данных в США через хостинг Cloudflare, Google Fonts и NEL без указания правового механизма.
GDPR Art. 9

На сайте организации, обрабатывающей данные о здоровье как основную деятельность, незадекларированные процессоры работают до согласия. В сессии с возможной аутентификацией eID для доступа к Terviseportaal — без отдельного правового основания.

Если говорить по существу

Tervisekassa работает с данными, которые сама политика называет особой категорией: данные о здоровье, финансовые данные, особые категории персональных данных по ст. 9 GDPR. Открыл сайт, записал трафик, проанализировал HAR-файл. 300 запросов за сессию, 6 уникальных доменов. И на этом сайте о здоровье незадекларированные американские процессоры работают раньше, чем пользователь успевает что-либо нажать.

Баннер: почти правильно, но с дырой

Баннер согласия здесь лучше, чем на mil.ee, transpordiamet.ee или valitsus.ee. Три кнопки: настройки, «отказать всё» и «принять всё». Кнопка отказа существует. Структура категорий правильная — необязательные категории по умолчанию выключены, как и требует ст. 7 GDPR.

Но есть деталь. В категорию «обязательные куки» включён _grecaptcha — Google reCAPTCHA со сроком жизни 180 дней. Категория помечена «всегда активна», снять её невозможно. Это тот же тёмный паттерн, что был зафиксирован на mil.ee. Google reCAPTCHA — не эстонский сервис, а американская корпорация, и технические альтернативы существуют. Включение Google в «обязательные» с блокировкой отказа — это нарушение ст. 7(4): согласие не свободно, если его нельзя отозвать без последствий.

Что происходит до согласия

Старт страницы зафиксирован в логе. Дальше — по таймингам.

На +214 мс грузится cdn.jsdelivr.net — скрипт самого плагина баннера согласия, хостится на сервере Cloudflare в США. Загрузка происходит ещё до того, как баннер появился на экране. Статус 200, реальная передача. В политике cdn.jsdelivr.net не задекларирован.

На +229 мс — fonts.googleapis.com. Google Fonts запрашивает шрифты Open Sans и Noto Sans. Каждый такой запрос передаёт IP-адрес пользователя в Google LLC, США. Статус 200. В политике Google Fonts не упомянут.

На +282 мс — fonts.gstatic.com, CDN Google для шрифтовых файлов, сервер в США. Статус 200.

Всё это произошло до того, как пользователь нажал любую кнопку. Без согласия. На сайте, который сам себя называет обработчиком данных о здоровье.

Архитектура хостинга

Сервер tervisekassa.ee — IP 172.67.183.114 — это Cloudflare, США. Каждый HTTP-запрос к сайту Кассы здоровья Эстонии проходит через инфраструктуру американской компании. Cloudflare видит IP пользователя, User-Agent, посещаемые URL и время визита. В заголовках ответа сервер отдаёт server: cloudflare, идентификатор запроса cf-ray и report-to с адресом a.nel.cloudflare.com — отчёты об ошибках сети уходят в США. Cloudflare как процессор данных в политике не упомянут, правовой механизм передачи в США не указан.

Что разрешено сайту самому себе

В заголовке Content-Security-Policy сайт перечисляет, какие внешние ресурсы он разрешает себе загружать. Среди них Meta (*.facebook.net, *.facebook.com), Google Analytics, Google Tag Manager, Cloudflare Insights, Siteimprove (Дания), AWS eu-north-1, Tableau (Salesforce), CDN США (unpkg.com, cdnjs.cloudflare.com, npmcdn.com), а также эстонский TEHIK и кроссворды ristsonad.ee. CSP применяется в боевом режиме — есть block-all-mixed-content, нет суффикса Report-Only. То есть это не теоретическая возможность, а активное разрешение загружать всё перечисленное в любой момент.

В HTML главной страницы через конфигурацию cookiesjsr обнаружен идентификатор Google Analytics G-0FEP5VSTYR с параметром consentMode:false — GA активируется только после согласия. В записанной сессии согласие не давалось, поэтому передач в Google Analytics в HAR нет. Это правильное поведение — но только при условии, что задекларированный список получателей соответствует реальному. Здесь не соответствует.

Расхождение политики и реальности

В политике (последнее обновление 06.03.2026) задекларированы SSESS, cookiesjsr, hc, _grecaptcha в обязательных, Siteimprove/nmstat в аналитических с указанием датского адреса, Google Tag Manager и Facebook Pixel в маркетинговых, YouTube в видео, и вскользь упомянут Power BI без указания, что данные могут уходить Microsoft.

Не задекларированы реально работающие или разрешённые получатели: Google Fonts, cdn.jsdelivr.net, Cloudflare как хостинг и NEL, AWS eu-north-1, Tableau, TEHIK как отдельный получатель, Insights в CSP, unpkg.com, cdnjs.cloudflare.com, npmcdn.com. Это нарушение ст. 13(1)(e): субъект данных должен знать всех получателей своих данных.

reCAPTCHA уводит в Google

Внизу страницы политики и под формой обратной связи стоит надпись о том, что сайт защищён reCAPTCHA и действуют политика конфиденциальности и условия Google. Слова «политика конфиденциальности» и «условия» — кликабельные ссылки, ведущие прямо на google.com. Тот же паттерн, что был зафиксирован на inforegister.ee: пользователь, пытающийся узнать политику обработки собственных данных, перенаправляется в Google. Браузер передаёт заголовок Referer с адресом страницы политики Tervisekassa — Google получает, кто пришёл, откуда, когда и что читал.

Контекст, который меняет всё

Tervisekassa — это не интернет-магазин. Это организация, которая обрабатывает данные о медицинских случаях каждого застрахованного, о выписанных рецептах, о стоматологическом лечении, о беременности и здоровье ребёнка, о медицинских услугах за рубежом, о больничных и страховых выплатах. В собственной политике она прямо называет это особыми категориями персональных данных по ст. 9 GDPR — самый высокий уровень защиты, предусмотренный законом.

На главной есть раздел «Мои данные: Портал здоровья» — прямой переход к личным медицинским данным гражданина. В сессии, где гражданин авторизуется через ID-карту или Mobile-ID, работают незадекларированные процессоры в США: Cloudflare как хостинг, Google Fonts, AWS в CSP. Это требует отдельного правового обоснования по ст. 9 — которого нет.

Вывод

По баннеру Tervisekassa старается: есть кнопка отказа, категории по умолчанию выключены, Google Analytics не стреляет без согласия. Но всё это перечёркивается тем, что происходит раньше любого клика. Шрифты Google, плагин баннера с американского CDN и сам хостинг на Cloudflare передают данные посетителя в США до согласия — на сайте, который по собственному определению обрабатывает особую категорию данных о здоровье.

Доказательство

Оригинал (разбор)

HAR-файл: ee/tervisekassa-ee-2026-05-14.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом tervisekassa.ee.

2. Обстоятельства
Я посетил сайт tervisekassa.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 14.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google reCAPTCHA включён в категорию «обязательные» с пометкой «всегда активна» — отказ технически заблокирован. Согласие не является свободным.

2) cdn.jsdelivr.net (+214 мс), fonts.googleapis.com (+229 мс), fonts.gstatic.com (+282 мс) запускаются до любого взаимодействия с баннером. Реальная передача, статус 200.

3) Не задекларированы реальные получатели данных: Google Fonts, cdn.jsdelivr.net, Cloudflare (хостинг + NEL + Insights), AWS, Tableau, TEHIK как отдельный получатель, unpkg.com, cdnjs.cloudflare.com, npmcdn.com.

4) Механизм передачи данных в США (SCC, adequacy decision, иное) не указан ни для Google, ни для Cloudflare, ни для AWS.

5) Передача данных в США через хостинг Cloudflare, Google Fonts и NEL без указания правового механизма.

6) На сайте организации, обрабатывающей данные о здоровье как основную деятельность, незадекларированные процессоры работают до согласия. В сессии с возможной аутентификацией eID для доступа к Terviseportaal — без отдельного правового основания.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/tervisekassa.ee/

3. Нарушенные положения
GDPR Art. 7(4); GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f); GDPR Chapter V; GDPR Art. 9

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]