Технический аудит · 2026-06-03

iizi.ee

Крупнейший страховой брокер Эстонии — часть австрийской группы GrECo

Страховой брокер, работающий с данными о здоровье и финансах клиентов, прямо декларирует отсутствие передачи данных за пределы ЕЭЗ. HAR фиксирует Google Analytics, Facebook SDK и Google Ads — все до баннера согласия, все в США.

Хронология утечки

+82 мс · до согласия

Google Fonts (fonts.googleapis.com) и Google Storage (storage.googleapis.com) — данные в Google, США. Одновременно.

+188 мс · до согласия

Crisp Chat (client.crisp.chat) — чат поддержки, статус 304. WebSocket на +956 мс.

+354 мс · до согласия

Google Analytics (analytics.js) — данные в Google, США.

+355 мс · до согласия

Facebook SDK (connect.facebook.net/et_EE/sdk.js) — данные в Meta, США.

+686 мс · до согласия

Sentry (ingest.de.sentry.io) — мониторинг ошибок, серверы в Германии (ЕС).

+6294 мс · после баннера

GTM (GTM-3Z8T) — загружается. Google Ads и GA collect следом.

+6459 мс

Google Ads (pagead2.googlesyndication.com) — page_view collect. США.

+6644 мс

Google DoubleClick (ade.googlesyndication.com) — retargeting пиксель.

Декларация против факта

✓ Передача данных только внутри ЕЭЗ — декларируется в политике — заявлен

✓ Volitatud töötlejad (IT-toe ja veebimajutusteenuse pakkujad) — общая формулировка — заявлен

+ Google Analytics — США — не заявлен

+ Google Tag Manager — США — не заявлен

+ Google Fonts — США — не заявлен

+ Google Storage (storage.googleapis.com) — США — не заявлен

+ Google Ads / DoubleClick — США — не заявлен

+ Facebook SDK — США — не заявлен

+ Crisp Chat — США — не заявлен

Тайминги передачи

+82 мс fonts.googleapis.com до согласия Google Fonts Open Sans. IP в США

+82 мс storage.googleapis.com до согласия SVG-файлы из Google Storage. США

+188 мс client.crisp.chat до согласия Чат поддержки. WebSocket +956 мс

+354 мс www.google-analytics.com до согласия analytics.js загружен до баннера

+355 мс connect.facebook.net до согласия Facebook SDK et_EE. Meta, США

+1345 мс consent.cookiebot.com баннер Cookiebot появляется

+6294 мс www.googletagmanager.com после баннера GTM-3Z8T загружается

+6459 мс pagead2.googlesyndication.com после баннера Google Ads page_view

+6644 мс ade.googlesyndication.com после баннера DoubleClick retargeting

Зафиксированные трекеры

Google Analytics (www.google-analytics.com, region1.google-analytics.com)
Google Tag Manager (GTM-3Z8T)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Google Storage (storage.googleapis.com)
Google Ads / DoubleClick (pagead2.googlesyndication.com, ade.googlesyndication.com)
Facebook SDK (connect.facebook.net)
Crisp Chat (client.crisp.chat)
Sentry (o4511375299903488.ingest.de.sentry.io)
Cookiebot (consent.cookiebot.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Fonts (+82 мс), Google Storage (+82 мс), Crisp Chat (+188 мс), Google Analytics (+354 мс) и Facebook SDK (+355 мс) запускаются до появления Cookiebot (+1345 мс). Данные уходят в США за более чем секунду до баннера согласия.
GDPR Art. 7

Cookiebot появляется через 1345 мс. К этому моменту пять внешних сервисов уже активированы. После появления баннера GTM (+6294 мс), Google Ads (+6459 мс) и GA collect (+6533 мс) активируются — это может указывать на срабатывание по умолчанию, не требующее явного согласия.
GDPR Art. 13(1)(e)

Политика конфиденциальности (версия от 31.12.2025) декларирует отсутствие передачи данных за пределы ЕЭЗ. HAR фиксирует передачу в США через Google Analytics, Facebook SDK, Google Ads, Crisp Chat, Google Fonts и Google Storage. Ни один из этих получателей не упомянут.
GDPR Art. 5(1)(a), Art. 13(1)(f), Chapter V

Политика прямо заявляет: «Me ei edasta isikuandmeid väljapoole EL/EMP piire» (мы не передаём данные за пределы ЕС/ЕЭЗ). HAR опровергает это для минимум шести американских доменов.
GDPR Art. 9 (потенциально)

IIZI обрабатывает данные о здоровье клиентов (медицинское страхование, п. 3.16 политики). Страховой брокер с данными о здоровье — и Facebook SDK на главной странице без согласия.

Контекст

IIZI Kindlustusmaakler AS — крупнейший страховой брокер Эстонии, часть австрийской группы GrECo. Обрабатывает страховые договоры по всем категориям: КАСКО, ОСАГО, медицинское страхование, страхование имущества. Политика конфиденциальности прямо упоминает обработку данных о здоровье клиентов (п. 3.16). Имеет назначенного DPO (andmekaitse@iizi.ee). Политика обновлена 31.12.2025. HAR: 167 запросов, 17 доменов.

Два документа, одно противоречие

У IIZI два варианта политики конфиденциальности: версия 2024 года (подробная, 5 страниц) и актуальная от 31.12.2025 (сжатая, 4 страницы). Обе декларируют одно и то же: данные не передаются за пределы ЕС/ЕЭЗ.

Актуальная политика (31.12.2025) содержит прямое утверждение: «Me ei edasta isikuandmeid väljapoole Euroopa Liidu/Euroopa Majanduspiirkonna piire» — мы не передаём данные за пределы ЕС/ЕЭЗ. HAR от 3 июня 2026 года опровергает это для минимум шести американских доменов, включая Google Analytics, Facebook SDK и Google Ads.

Трекеры до согласия

Cookiebot появляется на +1345 мс. К этому моменту уже активированы:

+82 мс — Google Fonts (fonts.googleapis.com) и Google Storage (storage.googleapis.com) — SVG-иконки страховых продуктов хранятся в Google Cloud. IP пользователя в Google, США.

+188 мс — Crisp Chat (client.crisp.chat) — чат поддержки. WebSocket-соединение устанавливается на +956 мс, до баннера.

+354 мс — Google Analytics (analytics.js) — старая версия UA загружается до согласия.

+355 мс — Facebook SDK (connect.facebook.net/et_EE/sdk.js) — данные в Meta (США). Эстонская локаль, но серверы американские.

После появления Cookiebot активируются GTM (+6294 мс), Google Ads (+6459 мс) и Google DoubleClick retargeting (+6644 мс). Это может означать что они срабатывают по умолчанию без явного согласия — либо Cookiebot настроен с предварительно выбранными категориями.

Контекст чувствительности

IIZI продаёт медицинское страхование и обрабатывает данные о здоровье клиентов — категория Art. 9 GDPR. Facebook SDK на главной странице страхового брокера, работающего с такими данными, — это не вопрос технической небрежности. Это вопрос архитектурного решения, которое противоречит декларируемому стандарту обработки.

Sentry — исключение

Единственный внешний сервис в этом HAR, который соответствует декларации о ЕЭЗ: Sentry использует европейские серверы (ingest.de.sentry.io — Германия). Это осознанный выбор — EU-инстанс Sentry, а не американский. Тот же выбор мог быть сделан и для аналитики.

Вывод

IIZI имеет DPO, актуальную политику конфиденциальности и Cookiebot. Документация выглядит добросовестно. Но политика декларирует отсутствие передачи данных за пределы ЕЭЗ — а HAR фиксирует Google Analytics, Facebook SDK и Google Ads, все американские, все до согласия. Расхождение между документом и реальностью здесь не техническое — оно прямое и конкретное. Выбор Sentry с EU-серверами показывает что команда умеет делать такие различия. Вопрос в том, применяется ли тот же принцип к остальным сервисам.

Доказательство

Оригинал (разбор)

HAR-файл: ee/iizi-ee-2026-06-03.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом iizi.ee.

2. Обстоятельства
Я посетил сайт iizi.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 03.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (+82 мс), Google Storage (+82 мс), Crisp Chat (+188 мс), Google Analytics (+354 мс) и Facebook SDK (+355 мс) запускаются до появления Cookiebot (+1345 мс). Данные уходят в США за более чем секунду до баннера согласия.

2) Cookiebot появляется через 1345 мс. К этому моменту пять внешних сервисов уже активированы. После появления баннера GTM (+6294 мс), Google Ads (+6459 мс) и GA collect (+6533 мс) активируются — это может указывать на срабатывание по умолчанию, не требующее явного согласия.

3) Политика конфиденциальности (версия от 31.12.2025) декларирует отсутствие передачи данных за пределы ЕЭЗ. HAR фиксирует передачу в США через Google Analytics, Facebook SDK, Google Ads, Crisp Chat, Google Fonts и Google Storage. Ни один из этих получателей не упомянут.

4) Политика прямо заявляет: «Me ei edasta isikuandmeid väljapoole EL/EMP piire» (мы не передаём данные за пределы ЕС/ЕЭЗ). HAR опровергает это для минимум шести американских доменов.

5) IIZI обрабатывает данные о здоровье клиентов (медицинское страхование, п. 3.16 политики). Страховой брокер с данными о здоровье — и Facebook SDK на главной странице без согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/iizi-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(e); GDPR Art. 5(1)(a), Art. 13(1)(f), Chapter V; GDPR Art. 9 (потенциально)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]