EUGDPR Audit
RU EN
Технический аудит · 2026-05-05

lasteabi.ee

Государственная линия помощи детям и подросткам
EE

Государственная линия помощи детям в кризисных ситуациях. Matomo запускается в нулевую миллисекунду — без баннера, без согласия. Политика конфиденциальности скопирована с сайта Департамента социального страхования и не упоминает реальных получателей данных.

Хронология утечки

+0 мс · при загрузке
Matomo (matomo.tehik.ee) — первый запрос сессии. Аналитика на эстонском сервере TEHIK запускается немедленно, без согласия.
+408 мс · до согласия
Google Fonts (fonts.gstatic.com) — шрифт Jost, 2 запроса. IP пользователя в Google, США.
Баннер согласия
Отсутствует. Ноль consent-запросов за сессию более 2 минут.
+5175 мс · до согласия
Siteimprove Analytics (siteimproveanalytics.com) — статус 0, заблокирован. Cloudflare Insights (static.cloudflareinsights.com) — статус 0, заблокирован.
+5176 мс · до согласия
fonts.googleapis.com — повторная загрузка шрифтов при переходе между страницами.

Декларация против факта

Siteimprove — упомянут в политике (cookie nmstat) — заявлен
Cloudflare (__cf_bm, _cfuvid) — упомянут как необходимый — заявлен
AddThis (__atuvc, __atuvs) — задекларирован, но закрыт Oracle в 2023 — заявлен
+ Matomo (matomo.tehik.ee) — не упомянут в политике — не заявлен
+ Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — не упомянут — не заявлен

Тайминги передачи

+0 мс matomo.tehik.ee до согласия Первый запрос сессии. 4 раза за сессию
+408 мс fonts.gstatic.com до согласия Google Fonts Jost. IP в США
+5175 мс siteimproveanalytics.com заблокирован Статус 0. Прописан, но не выполнился
+5364 мс static.cloudflareinsights.com заблокирован Статус 0. Прописан, но не выполнился

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

lasteabi.ee — государственная линия помощи детям и подросткам Эстонии, управляемая Sotsiaalkindlustusamet (Департамент социального страхования). Сайт предназначен для детей и подростков в кризисных ситуациях: насилие, буллинг, психологические проблемы, семейные конфликты. Инфраструктура размещена на серверах TEHIK (Министерство финансов). HAR: 195 запросов, 8 доменов, сессия длительностью более 2 минут с переходами между страницами.

Matomo с нулевой секунды

Первый запрос сессии — matomo.tehik.ee/piwik/matomo.js — инициируется в нулевую миллисекунду. Раньше любого контента страницы. Matomo работает на сервере TEHIK — это государственная эстонская инфраструктура, что само по себе лучше чем Google Analytics. Но запуск аналитики без согласия на сайте предназначенном для детей в кризисе — это нарушение независимо от того, где находится сервер. Matomo загружается 4 раза за сессию при каждом переходе между страницами.

Баннер согласия — отсутствует полностью

За сессию длительностью более 2 минут и несколько переходов между страницами — ноль consent-запросов, ноль Set-Cookie ответов. Баннера нет вообще. Это не технический сбой — это архитектурное решение.

Google Fonts

fonts.gstatic.com (+408 мс) — шрифт Jost, 2 запроса при первой загрузке и повторно при каждом переходе. IP пользователя передаётся в Google (США) при каждой странице. Для ребёнка, открывающего сайт за помощью, это означает что Google знает о каждом его визите на детскую линию помощи.

Siteimprove и Cloudflare — заблокированы

Siteimprove Analytics (+5175 мс) и Cloudflare Insights (+5364 мс) прописаны в коде, но возвращают статус 0 — не выполнились. Это частичная защита через CSP или блокировщик. Политика упоминает Siteimprove (cookie nmstat) и Cloudflare (__cf_bm, _cfuvid) как необходимые. Siteimprove заблокирован — в HAR не передал данные.

Политика скопирована с sotsiaalkindlustusamet.ee

Все cookies в политике указаны с источником www.sotsiaalkindlustusamet.ee — это сайт Департамента социального страхования, а не lasteabi.ee. Точная аналогия с riigikontroll.ee, где политика была скопирована с Министерства финансов. Политика декларирует AddThis (__atuvc, __atuvs) — сервис, закрытый Oracle в мае 2023 года. Matomo и Google Fonts — фактические получатели данных — в политике не упомянуты.

Контекст ст. 8 GDPR

GDPR Art. 8 устанавливает специальные требования к обработке данных детей. Сайт адресован несовершеннолетним в уязвимом состоянии — именно тем, кто ищет помощь в ситуации насилия или кризиса. Обработка их данных без согласия и без специальных мер защиты требует отдельного правового обоснования, которого в политике нет.

Вывод

Государственная детская линия помощи запускает аналитику в нулевую миллисекунду и передаёт IP каждого ребёнка в Google при каждом переходе между страницами. Баннера согласия нет. Политика конфиденциальности скопирована с другого сайта и не описывает реальных получателей данных. eesti.ee доказывает что государственный сайт может работать без единого внешнего трекера. Для детской линии помощи это не опция — это обязательство.

Доказательство
Оригинал (разбор)
HAR-файл: ee/lasteabi-ee-2026-05-05.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом lasteabi.ee.

2. Обстоятельства
Я посетил сайт lasteabi.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 05.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Matomo запускается в нулевую миллисекунду сессии — до любого взаимодействия. Google Fonts загружается на +408 мс. Баннер согласия отсутствует полностью.

2) Механизм согласия отсутствует. Ноль consent-запросов, ноль Set-Cookie ответов за всю сессию длительностью более 2 минут.

3) Сайт предназначен для детей и подростков, находящихся в кризисных ситуациях. Обработка их данных без согласия и без специальных мер защиты нарушает требования к обработке данных несовершеннолетних.

4) Политика конфиденциальности декларирует Siteimprove, AddThis и Cloudflare. Matomo (matomo.tehik.ee) и Google Fonts не упомянуты как получатели данных. AddThis задекларирован, но закрыт Oracle в 2023 году.

5) Google Fonts передаёт IP пользователя в Google (США). Siteimprove — датская компания, данные обрабатываются частично в США. Механизм передачи не указан.

6) Политика конфиденциальности последний раз обновлялась 08.12.2025 и содержит ссылки на источник www.sotsiaalkindlustusamet.ee — сайт Департамента социального страхования, а не lasteabi.ee. Аналогия с риигиконтролль: политика скопирована без адаптации.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/lasteabi-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 8; GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]