Технический аудит · 2026-04-22

valitsus.ee

Кабинет министров, вершина исполнительной власти

Сайт Правительства Эстонской Республики — вершина исполнительной власти. Политика гласит: данные не передаются за пределы ЕС. HAR фиксирует семь получателей, все в США, первый — через 214 миллисекунд после открытия страницы. А CSP стоит в режиме наблюдения: сайт видит нарушения собственной политики безопасности и намеренно их не блокирует.

Хронология утечки

+214–220 мс · до согласия

Google Analytics (G-WT1CNY0WH3, статус 204) — данные в США. DoubleClick (+216 мс) и GTM (+220 мс) — следом. Всё до нажатия любой кнопки.

+961–1212 мс · до согласия

Microsoft Clarity (y.clarity.ms) — сессионный рекордер, 16 запросов. Второй аккаунт GA (G-NC12LRH413, +1212 мс). Оба — в США.

Декларация против факта

✓ Политика: «не передаём данные за пределы ЕС» (10.04.2025) — заявлен

✓ Cookies: has_js, _ga, _gid, _gat, __atuvc, __atuvs — заявлен

✓ AddThis — в HAR ноль запросов, не работает — заявлен

+ Google Analytics — два аккаунта (G-WT1CNY0WH3, G-NC12LRH413) — не заявлен

+ Microsoft Clarity, DoubleClick, Cloudflare Insights, browser-update.org — не заявлен

+ Cookies _cf_bm, cf_clearance, _ga_NC12LRH413, _ga_WT1CNY0WH3 — не заявлен

Тайминги передачи

+214 мс region1.analytics.google.com прошёл GA аккаунт G-WT1CNY0WH3, статус 204. Данные в США

+216 мс stats.g.doubleclick.net прошёл DoubleClick, статус 204. Данные в США

+961 мс y.clarity.ms прошёл Microsoft Clarity — сессионный рекордер, 16 запросов в США

+1212 мс region1.google-analytics.com прошёл Второй аккаунт GA G-NC12LRH413 — владелец неизвестен

+3637 мс browser-update.org прошёл Седьмой сайт подряд в серии. Статус 200

Зафиксированные трекеры

Google Analytics (два аккаунта GA4)
DoubleClick
Google Tag Manager
Microsoft Clarity (сессионный рекордер)
Cloudflare Insights
browser-update.org

Зафиксированные нарушения

GDPR Art. 5(1)(a)

Прямое противоречие. Политика (обновлена 10.04.2025) утверждает: «Riigikantselei не обрабатывает и не передаёт данные за пределы ЕС/ЕЭП». HAR фиксирует 7 получателей в США (GA, DoubleClick, Clarity, Cloudflare), передача со статусом 204 и таймингами.
GDPR Art. 6(1), Art. 5(1)(a)

GA (+214 мс), DoubleClick (+216 мс), GTM (+220 мс), Microsoft Clarity (+961 мс), Cloudflare Insights (+3160 мс), browser-update.org (+3637 мс) запускаются до любого согласия.
GDPR Art. 7(3), Art. 7(4), Recital 32

Кнопки «Reject All» нет. Принуждённое согласие: «Необходимые куки» заблокированы, вендоры не названы. cookie-agreed-categories = ["functional"] не предотвращает передачу данных в GA и Clarity.
GDPR Art. 5(1)(b)

Два параллельных аккаунта GA4 (G-WT1CNY0WH3 и G-NC12LRH413) без указания цели обработки для каждого. Владелец второго из публичных данных неизвестен.
GDPR Art. 13(1)(e)

Реальные получатели не задекларированы: Microsoft Clarity, DoubleClick, Cloudflare Insights, browser-update.org, cookies _cf_bm, _ga_NC12LRH413, _ga_WT1CNY0WH3. AddThis задекларирован, но в HAR ноль запросов.
GDPR Art. 13(1)(f), Chapter V

Механизм передачи данных в США (Google, Microsoft, Cloudflare) не указан — и прямо противоречит заявлению политики об отсутствии передачи за пределы ЕС.

Контекст

valitsus.ee — официальный сайт кабинета министров Эстонии: решения правительства, состав министерств, государственная политика. Это не ведомство, а вершина исполнительной власти страны. HAR: 103 запроса, 12 внешних доменов.

Политика — одна фраза

Государственная канцелярия (Riigikantselei) опубликовала политику обработки данных, обновлённую 10.04.2025. В ней написано: «Riigikantselei не обрабатывает и не передаёт ваши персональные данные за пределы Европейского Союза / Европейского экономического пространства». Открываем HAR. До нажатия любой кнопки: Google Analytics на +214 мс (статус 204, данные в США), DoubleClick на +216 мс, GTM на +220 мс, Microsoft Clarity на +961 мс (16 запросов), второй аккаунт GA на +1212 мс, Cloudflare Insights на +3160 мс, browser-update.org на +3637 мс. Семь получателей. Все в США. Политика говорит обратное.

Два аккаунта Google Analytics

HAR фиксирует два отдельных идентификатора GA4: G-WT1CNY0WH3 (5 передач за сессию) и G-NC12LRH413 (6 передач). Оба cookie установлены (_ga_WT1CNY0WH3, _ga_NC12LRH413), но в политике задекларирован только один _ga. Кому принадлежит второй аккаунт — из публичных данных неизвестно. Тот же паттерн двух анонимных GA-аккаунтов был зафиксирован ранее на emta.ee — там тоже без объяснений.

CSP в режиме наблюдения

В консоли — десятки сообщений: загрузка www.clarity.ms и подключение к y.clarity.ms нарушают Content Security Policy, но политика установлена в режиме report-only — нарушение залогировано, никаких действий не предпринято. CSP установлен, нарушения фиксируются, скрипты продолжают грузиться. Сайт Правительства видит, что Microsoft Clarity и Google Analytics нарушают его собственную политику безопасности, и намеренно их не блокирует. Это не техническая ошибка — это архитектурное решение. Та же ситуация была на сайте AKI.

Вывод

Это сайт Правительства Эстонской Республики. В политике написано: данные не передаются за пределы ЕС. HAR написан иначе — семь получателей, все в США, первый через 214 миллисекунд после открытия страницы. Кто-то принял решение установить CSP и не применять его. Кто-то принял решение написать «не передаём за пределы ЕС» и подключить GA, DoubleClick и Microsoft Clarity. Это не забывчивость — это выбор.

Доказательство

Оригинал (разбор)

HAR-файл: ee/valitsus-ee-2026-04-22.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом valitsus.ee.

2. Обстоятельства
Я посетил сайт valitsus.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 22.04.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Прямое противоречие. Политика (обновлена 10.04.2025) утверждает: «Riigikantselei не обрабатывает и не передаёт данные за пределы ЕС/ЕЭП». HAR фиксирует 7 получателей в США (GA, DoubleClick, Clarity, Cloudflare), передача со статусом 204 и таймингами.

2) GA (+214 мс), DoubleClick (+216 мс), GTM (+220 мс), Microsoft Clarity (+961 мс), Cloudflare Insights (+3160 мс), browser-update.org (+3637 мс) запускаются до любого согласия.

3) Кнопки «Reject All» нет. Принуждённое согласие: «Необходимые куки» заблокированы, вендоры не названы. cookie-agreed-categories = ["functional"] не предотвращает передачу данных в GA и Clarity.

4) Два параллельных аккаунта GA4 (G-WT1CNY0WH3 и G-NC12LRH413) без указания цели обработки для каждого. Владелец второго из публичных данных неизвестен.

5) Реальные получатели не задекларированы: Microsoft Clarity, DoubleClick, Cloudflare Insights, browser-update.org, cookies _cf_bm, _ga_NC12LRH413, _ga_WT1CNY0WH3. AddThis задекларирован, но в HAR ноль запросов.

6) Механизм передачи данных в США (Google, Microsoft, Cloudflare) не указан — и прямо противоречит заявлению политики об отсутствии передачи за пределы ЕС.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/valitsus.ee/

3. Нарушенные положения
GDPR Art. 5(1)(a); GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7(3), Art. 7(4), Recital 32; GDPR Art. 5(1)(b); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]