Технический аудит · 2026-06-06

transport.tallinn.ee

Городской общественный транспорт Таллина

Сайт городского транспорта Таллина — расписания, маршруты, билеты. Google Analytics и Cloudflare Insights запускаются в первые 100 миллисекунд. Баннера согласия нет вообще. Политика конфиденциальности описывает городские учреждения — не сайт.

Хронология утечки

+103 мс · до согласия

Google Fonts (fonts.googleapis.com) — Open Sans, кириллица. IP в Google, США.

+105 мс · до согласия

jQuery UI CDN (code.jquery.com/ui/1.11.4) — библиотека с внешнего CDN. США.

+106 мс · до согласия

Cloudflare Insights (static.cloudflareinsights.com) — статус 200. Аналитический маяк, данные в США.

+123 мс · до согласия

GTM (GTM-N7B2Q9M) — статус 200. Google Tag Manager загружается и активируется.

+722 мс

GA4 (G-2FDPPH1HHD) collect — статус 204. Данные уходят в Google, США.

+1100 мс

OpenStreetMap (a/b/c.tile.openstreetmap.org) — тайлы карты. Серверы в ЕС.

+5731 мс

Повторный GA4 collect — engagement данные о времени на сайте.

Декларация против факта

+ Google Analytics GA4 (G-2FDPPH1HHD) — не заявлен

+ Google Tag Manager (GTM-N7B2Q9M) — не заявлен

+ Google Fonts — не заявлен

+ Cloudflare Insights — не заявлен

+ jQuery CDN (code.jquery.com) — не заявлен

Тайминги передачи

+103 мс fonts.googleapis.com без согласия Open Sans, кириллица. IP в Google, США

+105 мс code.jquery.com без согласия jQuery UI 1.11.4. США

+106 мс static.cloudflareinsights.com без согласия Beacon статус 200. Данные в США

+123 мс www.googletagmanager.com без согласия GTM-N7B2Q9M статус 200

+722 мс region1.analytics.google.com без согласия GA4 G-2FDPPH1HHD collect, статус 204

+1100 мс *.tile.openstreetmap.org без согласия Карта маршрутов. Серверы ЕС

Зафиксированные трекеры

Google Tag Manager (GTM-N7B2Q9M)
Google Analytics GA4 (G-2FDPPH1HHD)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Cloudflare Insights (static.cloudflareinsights.com)
jQuery CDN (code.jquery.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Fonts (+103 мс), jQuery CDN (+105 мс), Cloudflare Insights (+106 мс) и GTM (+123 мс) запускаются немедленно при загрузке страницы. GA collect уходит на +722 мс. Баннер согласия отсутствует полностью.
GDPR Art. 7

Механизм согласия отсутствует. Ноль consent-запросов, ноль Set-Cookie ответов. Google Analytics и Cloudflare Insights собирают данные без какого-либо согласия пользователя.
GDPR Art. 13(1)(e)

Политика конфиденциальности описывает обработку данных городскими учреждениями Таллина в общих чертах. Google Analytics, GTM, Cloudflare Insights, Google Fonts и jQuery CDN не упомянуты как получатели данных.
GDPR Art. 13(1)(f), Chapter V

Google Analytics (G-2FDPPH1HHD) передаёт данные в США. Cloudflare Insights — США. jQuery CDN (code.jquery.com) — США. Механизм передачи не указан.

Контекст

transport.tallinn.ee — официальный сайт городского общественного транспорта Таллина: расписания автобусов, трамваев и троллейбусов, маршруты, информация о билетах. Управляется городским учреждением Tallinna Linnatransport. HAR: 121 запрос, 10 доменов.

Трекеры без согласия

Все внешние сервисы запускаются в первые 130 миллисекунд — задолго до любого взаимодействия пользователя. Баннера согласия нет вообще.

Google Fonts (+103 мс) — Open Sans с кириллицей. IP в Google, США. Показательно что шрифт загружается с поддержкой кириллицы — сайт обслуживает русскоязычных жителей Таллина, и каждый их визит также передаётся в Google.

jQuery UI CDN (+105 мс) — версия 1.11.4 от 2014 года загружается с code.jquery.com. Устаревшая библиотека на внешнем CDN — данные в jQuery Foundation/Fastly (США).

Cloudflare Insights (+106 мс) — аналитический маяк, статус 200, данные уходят. Не заблокирован в отличие от ряда других эстонских сайтов где он статус 0.

GTM (+123 мс, GTM-N7B2Q9M) — загружается и активирует GA4. Collect уходит на +722 мс.

OpenStreetMap — единственный внешний сервис без нарушений: серверы в ЕС, карта работает без идентификации пользователя.

Политика конфиденциальности — не про этот сайт

Политика написана на английском языке и описывает обработку данных городскими учреждениями Таллина в целом: основания обработки, права субъектов, сроки хранения. Это общая политика города, не специфичная для transport.tallinn.ee. Google Analytics, GTM, Cloudflare Insights, Google Fonts и jQuery CDN не упомянуты нигде. Политика декларирует что данные не раскрываются без правового основания — но не описывает что происходит при каждом открытии сайта с расписанием.

jQuery 1.11.4 — дополнительный риск

jQuery UI версии 1.11.4 выпущен в 2014 году и давно не поддерживается. Загрузка устаревшей библиотеки с внешнего CDN — это одновременно проблема GDPR (передача данных в США) и проблема безопасности (известные уязвимости в неподдерживаемых версиях). Оба вопроса решаются переносом библиотеки на собственный сервер.

Вывод

Сайт городского транспорта Таллина не имеет баннера согласия и передаёт данные каждого посетителя в Google и Cloudflare при первом же открытии страницы с расписанием. Политика конфиденциальности не описывает реальных получателей. Карта маршрутов корректно использует OpenStreetMap вместо Google Maps — это осознанный выбор. Тот же уровень осознанности не распространился на аналитику и шрифты.

Доказательство

Оригинал (разбор)

HAR-файл: ee/transport-tallinn-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом transport.tallinn.ee.

2. Обстоятельства
Я посетил сайт transport.tallinn.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (+103 мс), jQuery CDN (+105 мс), Cloudflare Insights (+106 мс) и GTM (+123 мс) запускаются немедленно при загрузке страницы. GA collect уходит на +722 мс. Баннер согласия отсутствует полностью.

2) Механизм согласия отсутствует. Ноль consent-запросов, ноль Set-Cookie ответов. Google Analytics и Cloudflare Insights собирают данные без какого-либо согласия пользователя.

3) Политика конфиденциальности описывает обработку данных городскими учреждениями Таллина в общих чертах. Google Analytics, GTM, Cloudflare Insights, Google Fonts и jQuery CDN не упомянуты как получатели данных.

4) Google Analytics (G-2FDPPH1HHD) передаёт данные в США. Cloudflare Insights — США. jQuery CDN (code.jquery.com) — США. Механизм передачи не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/transport-tallinn-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]