Технический аудит · 2026-03-15

mil.ee

Силы обороны Эстонии

Сайт военного ведомства передаёт данные посетителей в США ещё до того, как человек нажал «согласен» — и в той же сессии работает вход по eID.

Хронология утечки

+0,3 сек · до согласия

Google reCAPTCHA Enterprise и Cloudflare Insights уже отправили данные в США. Баннер ещё не показан.

После «Allow»

Microsoft Edge Translator — 22 запроса, Cookiebot — 16, reCAPTCHA — 16. В декларации не указаны.

Декларация против факта

✓ Cloudflare (технические) — заявлен

✓ Google reCAPTCHA — заявлен

✓ Google Analytics — заявлен

✓ YouTube — заявлен

+ Microsoft Edge — 22 запроса — не заявлен

+ Cloudflare Insights — отдельный аналитический продукт — не заявлен

+ Google cookies — _Secure-1PSID, SAPISID, NID и др., ни один не указан — не заявлен

Зафиксированные трекеры

Google reCAPTCHA Enterprise
Cloudflare Insights
Microsoft Edge Translator
Cookiebot (Usercentrics)
Google Analytics
YouTube

Зафиксированные нарушения

GDPR Art. 7

Отсутствует равнозначная кнопка "Отклонить все". Две кнопки "Allow Selection" и "Allow All" ведут к передаче данных. Отказ одним кликом невозможен.
GDPR Art. 7(4), Art. 4(11)

Принудительное согласие. Google reCAPTCHA Enterprise обозначена как "Necessary", отказ технически заблокирован сообщением "Mandatory — cannot be deselected".
GDPR Art. 6(1), Art. 5(1)(a)

Google reCAPTCHA Enterprise и Cloudflare Insights запускаются за +0,3 сек до загрузки баннера согласия. Данные уходят в США до любого взаимодействия пользователя.
GDPR Art. 13(1)(e)

Microsoft (22 запроса к edge.microsoft.com), Cloudflare Insights и реальные cookies Google (_Secure-1PSID, _Secure-3PSID, SAPISID, NID, HSID, APISID) не задекларированы в Cookie Declaration.
GDPR Art. 13(1)(f)

Механизм передачи данных в США (SCC или иной) не указан для каждого получателя.
GDPR Chapter V

Передача данных в Microsoft и Google в США без явного указания правового механизма.
GDPR Art. 9 (потенциально)

Обработка в сессии с eID-аутентификацией (ID-карта, Mobile-ID) без надлежащего правового основания. Потенциальная возможность связать рекламный профиль с реальной личностью гражданина.

Контекст eID

На сайте интегрирована эстонская электронная идентификация (ID-карта, Mobile-ID). В той же сессии, где гражданин может авторизоваться через eID, работают незадекларированные трекеры Google и Microsoft. Потенциальная возможность связать рекламный профиль с реальной личностью гражданина требует отдельного правового обоснования по Art. 9 GDPR.

Вывод

Это не частный интернет-магазин. Это сайт государственного военного ведомства. Стандарт соответствия должен быть выше. Картина — та же, что у коммерческих сайтов.

Доказательство

Оригинал (разбор)

HAR-файл: ee/mil-ee-2026-03-15.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом mil.ee.

2. Обстоятельства
Я посетил сайт mil.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.03.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Отсутствует равнозначная кнопка "Отклонить все". Две кнопки "Allow Selection" и "Allow All" ведут к передаче данных. Отказ одним кликом невозможен.

2) Принудительное согласие. Google reCAPTCHA Enterprise обозначена как "Necessary", отказ технически заблокирован сообщением "Mandatory — cannot be deselected".

3) Google reCAPTCHA Enterprise и Cloudflare Insights запускаются за +0,3 сек до загрузки баннера согласия. Данные уходят в США до любого взаимодействия пользователя.

4) Microsoft (22 запроса к edge.microsoft.com), Cloudflare Insights и реальные cookies Google (_Secure-1PSID, _Secure-3PSID, SAPISID, NID, HSID, APISID) не задекларированы в Cookie Declaration.

5) Механизм передачи данных в США (SCC или иной) не указан для каждого получателя.

6) Передача данных в Microsoft и Google в США без явного указания правового механизма.

7) Обработка в сессии с eID-аутентификацией (ID-карта, Mobile-ID) без надлежащего правового основания. Потенциальная возможность связать рекламный профиль с реальной личностью гражданина.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/mil-ee/

3. Нарушенные положения
GDPR Art. 7; GDPR Art. 7(4), Art. 4(11); GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f); GDPR Chapter V; GDPR Art. 9 (потенциально)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]