Технический аудит · 2026-05-01

tootukassa.ee

Страхование от безработицы, оценка трудоспособности

Касса по безработице оценивает трудоспособность инвалидов — данные о здоровье, особая категория по ст.9. На сайте встроен Genesys с функцией Cobrowse (совместный просмотр экрана), который ещё и тянет New Relic. Аналитика «своя», но проксируется через Cloudflare в США. А кнопки «Отказать» на баннере просто нет.

Хронология утечки

+265–775 мс · до согласия

Google Fonts (+265 мс, IP в Google, США). Matomo (+766 мс) — поддомен matomo.tootukassa.ee, но сервер на IP Cloudflare (172.66.166.87, США). Genesys (+775 мс, apps.mypurecloud.com, AWS США).

+972–1514 мс · реальная передача

Matomo (+972 мс, статус 204): _id, страница, разрешение экрана, браузер, ОС, устройство. Genesys Messenger + Cobrowse (+1514 мс) — техническая возможность видеть экран пользователя. 26 запросов к Genesys за первые 4 секунды. New Relic подгружается Genesys внутри его скриптов.

Декларация против факта

✓ Matomo — единственный в списке cookie — заявлен

✓ Microsoft Teams, EAS, EESSI — в общем виде — заявлен

✓ «_pk_id не содержит идентифицирующих лицо данных» — заявлен

+ Genesys — 26 запросов, cookies на apps.mypurecloud.de — не заявлен

+ New Relic — субпроцессор, подгружен Genesys — не заявлен

+ Google Fonts — IP в США — не заявлен

+ Cloudflare — фактический процессор собственного Matomo — не заявлен

Тайминги передачи

+265 мс fonts.gstatic.com прошёл Google Fonts, IP в Google (США)

+766 мс matomo.tootukassa.ee прошёл «Свой» поддомен, но сервер Cloudflare (172.66.166.87, США)

+775 мс apps.mypurecloud.com (Genesys) прошёл Платформа контактного центра, AWS США. Статус 304

+972 мс matomo.tootukassa.ee (collect) прошёл Статус 204. _id (13 мес.), IP, ОС, браузер, история страниц

+1514 мс Genesys Messenger + Cobrowse прошёл Cobrowse — совместный просмотр экрана пользователя

Зафиксированные трекеры

Genesys (apps.mypurecloud.com)
New Relic (через Genesys)
Matomo (через Cloudflare US)
Google Fonts

Зафиксированные нарушения

GDPR Art. 7(3), Recital 32

Механизм согласия отсутствует. Кнопки «Sain aru» (Понятно) и «Rohkem infot» (Больше информации) не являются ни согласием, ни отказом. Кнопки «Отказать» нет — сайт предлагает «настроить браузер». Прямо запрещённая EDPB Guidelines 05/2020 практика.
GDPR Art. 6(1), Art. 5(1)(a)

Google Fonts (+265 мс), Matomo через Cloudflare (+766 мс), Genesys (+775 мс), New Relic — все запускаются до любого взаимодействия с баннером.
GDPR Art. 13(1)(e)

Genesys, New Relic, Google Fonts и Cloudflare (как фактический процессор Matomo) не задекларированы. В списке cookie указан только Matomo.
GDPR Art. 28(2)–(4)

Цепочка субпроцессоров: Töötukassa встраивает Genesys, Genesys тянет New Relic. Привлечение субпроцессора New Relic не задокументировано, предварительное письменное согласие контролёра отсутствует.
GDPR Art. 5(1)(a)

Политика заявляет, что _pk_id «не содержит идентифицирующих лицо данных». В HAR Matomo получает уникальный идентификатор (срок 13 месяцев), IP, ОС, браузер, разрешение экрана, историю страниц. По делу Breyer (C-582/14) это персональные данные — утверждение юридически некорректно.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США не указан ни для одного американского получателя (Genesys/AWS, Matomo/Cloudflare, Google, New Relic).
GDPR Art. 9

В сессии регистрации безработного через Web eID работают незадекларированные процессоры из США без отдельного правового основания. Обработка данных о трудоспособности — особая категория.

Контекст

Eesti Töötukassa — Касса по безработице Эстонии. Выплачивает страхование и пособия по безработице, оценивает трудоспособность инвалидов, принимает решения о работе иностранцев. В рамках оценки трудоспособности обрабатывает данные о здоровье — особая категория по ст.9 GDPR. Финансируется в том числе из средств ЕС (NextGenerationEU). HAR: 163 запроса, 6 уникальных доменов. Сервер сайта — в Эстонии (84.50.110.60, Telia Eesti).

Баннер, замаскированный под согласие

Внизу главной страницы — серая полоса: «На сайте используются файлы cookie. Вы можете в любой момент отказаться, изменив настройки браузера». Две кнопки: «Sain aru» (Понятно) и «Rohkem infot» (Больше информации). Кнопки «Отказать» нет, чекбоксов категорий нет — возможности отказаться от cookie на самом сайте не существует. По Recital 32 согласие должно быть активным подтверждающим действием; нажимая «Понятно», пользователь не даёт согласия, а закрывает информационный баннер. Это прямо запрещённая EDPB Guidelines 05/2020 практика — уведомление, выданное за согласие.

Цепочка субпроцессоров

На первый взгляд аналитика «своя» — поддомен matomo.tootukassa.ee. Но сервер отвечает с IP Cloudflare (172.66.166.87), заголовок ответа подтверждает server: cloudflare: аналитика Töötukassa проксируется через инфраструктуру американской компании. Дальше — Genesys (apps.mypurecloud.com, AWS США): платформа контактного центра, 26 запросов за первые 4 секунды, встроенная с функцией Cobrowse (совместный просмотр экрана пользователя). А внутри скриптов Genesys инициируется загрузка New Relic — американского сервиса мониторинга. Töötukassa встраивает Genesys, Genesys тянет New Relic: по ст.28(2) контролёр должен давать предварительное письменное согласие на каждого субпроцессора, по ст.13(1)(e) — субъект должен знать всех получателей. В политике нет ни Genesys, ни New Relic.

Утверждение об анонимности

Политика заявляет: «_pk_id не содержит идентифицирующих лицо данных». В HAR Matomo получает уникальный 16-символьный идентификатор (срок жизни 13 месяцев), IP-адрес, ОС, версию браузера, разрешение экрана, форму устройства и URL посещённых страниц — включая tootuna-registreerimine (регистрацию безработного) и Referer. По делу Суда ЕС Breyer (C-582/14) IP является персональными данными; уникальный идентификатор на 13 месяцев в сочетании с IP и историей — тем более. Утверждение юридически некорректно.

Вывод

Töötukassa хостится в Эстонии и поставила Matomo на собственный поддомен — правильные архитектурные шаги. Но Matomo проксируется через Cloudflare США, Genesys встроен с возможностью видеть экран пользователя и тянет New Relic, Google Fonts работает до согласия, а кнопки отказа на сайте нет. Политика — детальный документ на двух языках, но список процессоров в нём неполный. eesti.ee и riigihanked.riik.ee доказывают, что можно работать без внешних доменов. Здесь же в сессии регистрации безработного — момент, когда человек и так уязвим, — работают незадекларированные процессоры из США.

Доказательство

Оригинал (разбор)

HAR-файл: ee/tootukassa-ee-2026-05-01.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом tootukassa.ee.

2. Обстоятельства
Я посетил сайт tootukassa.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 01.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Механизм согласия отсутствует. Кнопки «Sain aru» (Понятно) и «Rohkem infot» (Больше информации) не являются ни согласием, ни отказом. Кнопки «Отказать» нет — сайт предлагает «настроить браузер». Прямо запрещённая EDPB Guidelines 05/2020 практика.

2) Google Fonts (+265 мс), Matomo через Cloudflare (+766 мс), Genesys (+775 мс), New Relic — все запускаются до любого взаимодействия с баннером.

3) Genesys, New Relic, Google Fonts и Cloudflare (как фактический процессор Matomo) не задекларированы. В списке cookie указан только Matomo.

4) Цепочка субпроцессоров: Töötukassa встраивает Genesys, Genesys тянет New Relic. Привлечение субпроцессора New Relic не задокументировано, предварительное письменное согласие контролёра отсутствует.

5) Политика заявляет, что _pk_id «не содержит идентифицирующих лицо данных». В HAR Matomo получает уникальный идентификатор (срок 13 месяцев), IP, ОС, браузер, разрешение экрана, историю страниц. По делу Breyer (C-582/14) это персональные данные — утверждение юридически некорректно.

6) Механизм передачи данных в США не указан ни для одного американского получателя (Genesys/AWS, Matomo/Cloudflare, Google, New Relic).

7) В сессии регистрации безработного через Web eID работают незадекларированные процессоры из США без отдельного правового основания. Обработка данных о трудоспособности — особая категория.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/tootukassa.ee/

3. Нарушенные положения
GDPR Art. 7(3), Recital 32; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 28(2)–(4); GDPR Art. 5(1)(a); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 9

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]