Технический аудит · 2026-04-10
aki.ee — Эстонский надзорный орган по защите данных
Зафиксированные трекеры
- Cloudflare Insights
- browser-update.org
Зафиксированные нарушения
- GDPR Art. 6(1)Передача данных в Cloudflare (США) без правового основания и без согласия пользователя.
- GDPR Art. 7Баннер согласия отсутствует. Механизм согласия не реализован.
- GDPR Chapter VПередача данных в США. Privacy Shield аннулирован CJEU в 2020 (Schrems II). Правовой механизм не указан.
- GDPR Art. 13Получатели данных не задекларированы. CSP установлен, но намеренно не применяется.
Контекст
Andmekaitse Inspektsioon — государственный регулятор, ответственный за надзор за исполнением GDPR в Эстонии. Закон обязывает регулятор демонстрировать образцовое соответствие тем нормам, которые он применяет к другим.
Зафиксированные находки
- Cloudflare Insights передаёт данные в США без согласия.
- Баннер согласия отсутствует на сайте.
- CSP установлен в HTTP-заголовках, но намеренно сконфигурирован так, что не блокирует фактическую передачу.
Юридическая значимость
Регулятор, который применяет санкции к другим контролёрам за идентичные нарушения, сам не соблюдает те же требования. Это не “техническая мелочь” — это вопрос институциональной легитимности.
См. также раздел Дела — закрытие AKI двух жалоб против AdTech-брокеров (TTD и LiveRamp) в один день, 15.05.2026.
Доказательство
HAR-файл: ee/aki-ee-2026-04-10.har
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.