Технический аудит · 2026-04-21

transpordiamet.ee

Регистрация ТС, водительские права, авиация, мореходство

Сайт ведомства, хранящего данные о каждом автомобиле, водителе, судне и самолёте Эстонии. Официальная политика заявляет: «данные посетителей не обрабатываются». HAR показывает восемь получателей, шесть из них — в США, включая рекламную сеть Google AdSense. Ни один не задекларирован.

Хронология утечки

+0 мс · до согласия

Cloudflare RUM (cdn-cgi/rum) — статус 204, данные в США. Это не защита от DDoS, а поведенческая аналитика: Core Web Vitals, время загрузки, действия пользователя. 19 запросов за сессию.

+76–79 сек · до согласия

GTM (G-MH1BGZZTKV), Cloudflare Insights (20 запр.), YouTube (113 запр.), Google Analytics, Google AdSense (AW-16880467770), DoubleClick (20 запр.), browser-update.org — всё до нажатия любой кнопки баннера.

Декларация против факта

✓ Политика п.4.1: «данные посетителей не обрабатываются» — заявлен

+ Google AdSense — pagead2, рекламная сеть на госсайте — не заявлен

+ DoubleClick — 20 запросов, рекламный профиль — не заявлен

+ Google Analytics, GTM, YouTube (113 запр.), Google Fonts — не заявлен

+ Cloudflare RUM (19 запр.), Cloudflare Insights (20 запр.), browser-update.org — не заявлен

Тайминги передачи

+0 мс cdn-cgi/rum (Cloudflare RUM) прошёл Поведенческая аналитика. Статус 204. 19 запросов. Данные в США

+76 608 мс www.googletagmanager.com прошёл GTM, контейнер G-MH1BGZZTKV. Данные в США

+77 485 мс www.youtube.com прошёл 113 запросов, каждый передаёт IP в Google

+78 377 мс region1.google-analytics.com прошёл Google Analytics. Передача в США зафиксирована

+78 385 мс pagead2.googlesyndication.com прошёл Google AdSense. Аккаунт AW-16880467770, page_view. Рекламный профиль

+79 300 мс googleads.g.doubleclick.net прошёл DoubleClick — рекламный трекер. 20 запросов суммарно

Зафиксированные трекеры

Google AdSense
DoubleClick
Google Analytics
Google Tag Manager
YouTube
Cloudflare RUM
Cloudflare Insights
browser-update.org

Зафиксированные нарушения

GDPR Art. 5(1)(a)

Пункт 4.1 политики заявляет: «Персональные данные посетителей общедоступной части сайта не обрабатываются». В реальности — 8 получателей данных. Политика ложна фактически.
GDPR Art. 6(1)(f), Recital 47

Рекламный трекинг через Google AdSense (AW-16880467770) и DoubleClick на государственном сайте не может опираться на легитимный интерес. Требует явного согласия.
GDPR Art. 6(1), Art. 5(1)(a)

Cloudflare RUM (+0 мс), GTM, GA, AdSense, DoubleClick, YouTube, browser-update.org запускаются до любого согласия пользователя.
GDPR Art. 7(3)

Отсутствует равнозначная кнопка «Отклонить все». Три кнопки баннера ведут к обработке; отказ одним кликом невозможен.
GDPR Art. 7(4), Recital 32

Принуждённое согласие. Категория «Необходимые куки» заблокирована, снять галочку невозможно, ни один вендор не назван.
GDPR Art. 13(1)(e)

Ни один из 8 внешних получателей не задекларирован: GTM, GA, AdSense, DoubleClick, YouTube, Cloudflare RUM, Cloudflare Insights, browser-update.org.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США не указан ни для одного получателя. Передача в Google, Cloudflare, DoubleClick без SCC или adequacy decision.

Контекст

Transpordiamet — Транспортный департамент Эстонии: регистрация транспортных средств, водительские удостоверения, авиация, мореходство. Ведомство хранит данные о каждом автомобиле, водителе, судне и воздушном судне страны. HAR: 308 запросов, 16 внешних доменов.

Официальный документ против реальности

На сайте опубликована политика обработки персональных данных (обновлена 26.05.2023). Пункт 4.1 дословно: «Персональные данные посетителей общедоступной части сайта Департамента не обрабатываются». HAR-файл показывает обратное — восемь получателей данных, шесть из них в США, и все запускаются ещё до нажатия любой кнопки баннера: Cloudflare RUM (+0 мс), GTM, Google Analytics, Google AdSense, DoubleClick, YouTube (113 запросов), Google Fonts, browser-update.org. Это не «не обрабатываются» — это обрабатываются восемью различными получателями, ни один из которых не задекларирован.

pagead2.googlesyndication.com — это не аналитика, а рекламная платформа. Она создаёт рекламный профиль посетителя и работает в связке с DoubleClick для таргетинга. Гражданин приходит зарегистрировать автомобиль — Google узнаёт об этом визите и добавляет событие (page_view, аккаунт AW-16880467770) в рекламный профиль. Согласия на это никто не давал, а политика утверждает, что данные не обрабатываются вообще.

Тёмный паттерн в баннере

Баннер предлагает три кнопки: «Выбрать самому», «Разрешить необходимые», «Разрешить все». Кнопки «Отклонить все» не существует, хотя по Art. 7(3) GDPR отказ должен быть так же прост, как согласие. При нажатии «Выбрать самому» открывается панель с двумя категориями; категория «Необходимые куки» заблокирована — снять галочку невозможно, и ни один вендор в ней не назван. Пользователь соглашается с чем-то, не зная, с чем именно. Это принуждённое согласие по Art. 7(4).

Вывод

Это не интернет-магазин, а сайт государственного ведомства. Официальная политика говорит: данные посетителей не обрабатываются. HAR-файл говорит: восемь получателей, США, рекламная сеть, всё до согласия. Документ и реальность противоречат друг другу прямо — и выбирать, кому верить, не приходится: HAR не врёт.

Доказательство

Оригинал (разбор)

HAR-файл: ee/transpordiamet-ee-2026-04-21.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом transpordiamet.ee.

2. Обстоятельства
Я посетил сайт transpordiamet.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 21.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Пункт 4.1 политики заявляет: «Персональные данные посетителей общедоступной части сайта не обрабатываются». В реальности — 8 получателей данных. Политика ложна фактически.

2) Рекламный трекинг через Google AdSense (AW-16880467770) и DoubleClick на государственном сайте не может опираться на легитимный интерес. Требует явного согласия.

3) Cloudflare RUM (+0 мс), GTM, GA, AdSense, DoubleClick, YouTube, browser-update.org запускаются до любого согласия пользователя.

4) Отсутствует равнозначная кнопка «Отклонить все». Три кнопки баннера ведут к обработке; отказ одним кликом невозможен.

5) Принуждённое согласие. Категория «Необходимые куки» заблокирована, снять галочку невозможно, ни один вендор не назван.

6) Ни один из 8 внешних получателей не задекларирован: GTM, GA, AdSense, DoubleClick, YouTube, Cloudflare RUM, Cloudflare Insights, browser-update.org.

7) Механизм передачи данных в США не указан ни для одного получателя. Передача в Google, Cloudflare, DoubleClick без SCC или adequacy decision.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/transpordiamet.ee/

3. Нарушенные положения
GDPR Art. 5(1)(a); GDPR Art. 6(1)(f), Recital 47; GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7(3); GDPR Art. 7(4), Recital 32; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]