mil.ee — Силы обороны Эстонии
Зафиксированные трекеры
- Google reCAPTCHA Enterprise
- Cloudflare Insights
- Microsoft Edge Translator
- Cookiebot (Usercentrics)
- Google Analytics
- YouTube
Зафиксированные нарушения
- GDPR Art. 7Отсутствует равнозначная кнопка "Отклонить все". Две кнопки "Allow Selection" и "Allow All" ведут к передаче данных. Отказ одним кликом невозможен.
- GDPR Art. 7(4), Art. 4(11)Принудительное согласие. Google reCAPTCHA Enterprise обозначена как "Necessary", отказ технически заблокирован сообщением "Mandatory — cannot be deselected".
- GDPR Art. 6(1), Art. 5(1)(a)Google reCAPTCHA Enterprise и Cloudflare Insights запускаются за +0,3 сек до загрузки баннера согласия. Данные уходят в США до любого взаимодействия пользователя.
- GDPR Art. 13(1)(e)Microsoft (22 запроса к edge.microsoft.com), Cloudflare Insights и реальные cookies Google (_Secure-1PSID, _Secure-3PSID, SAPISID, NID, HSID, APISID) не задекларированы в Cookie Declaration.
- GDPR Art. 13(1)(f)Механизм передачи данных в США (SCC или иной) не указан для каждого получателя.
- GDPR Chapter VПередача данных в Microsoft и Google в США без явного указания правового механизма.
- GDPR Art. 9 (потенциально)Обработка в сессии с eID-аутентификацией (ID-карта, Mobile-ID) без надлежащего правового основания. Потенциальная возможность связать рекламный профиль с реальной личностью гражданина.
Контекст
Сайт государственного военного ведомства. Стандарт соответствия должен быть выше, чем у частного интернет-магазина.
Что происходит до согласия
Google reCAPTCHA Enterprise — +0,3 сек. Данные уходят в США через 0,3 секунды после открытия сайта. До любого взаимодействия с баннером.
Cloudflare Insights — +0,3 сек. Аналитический маяк, фиксирующий поведение пользователя. Передаёт данные в США. В Cookie Declaration отсутствует.
Баннер согласия появляется позже. К этому моменту два американских сервиса уже получили данные о визите.
Что происходит после нажатия “Allow”
Google reCAPTCHA Enterprise продолжает работу — 16 запросов к google.com и gstatic.com. Платная корпоративная версия: Министерство обороны платит Google за сервис и передаёт данные посетителей.
Cookiebot (Usercentrics) — 16 запросов к consent.cookiebot.com и consentcdn.cookiebot.com. Сам инструмент управления согласием передаёт данные о согласии третьей стороне в США/Данию.
Microsoft — 22 запроса к edge.microsoft.com. Сервис перевода Edge Translator. Содержимое страниц передавалось в Microsoft для перевода. В Cookie Declaration отсутствует полностью.
Расхождения с Cookie Declaration
В декларации заявлены: Cloudflare (технические), Google reCAPTCHA, Google Analytics (статистика), YouTube (маркетинг).
Отсутствуют: Microsoft (22 запроса), Cloudflare Insights (аналитика — отдельный продукт от технического Cloudflare), реальный полный список Google cookies — ни один не задекларирован.
Это нарушение Art. 13(1)(e): субъект данных должен знать всех получателей своих данных.
Контекст eID
На сайте интегрирована эстонская электронная идентификация (ID-карта, Mobile-ID). В той же сессии, где гражданин может авторизоваться через eID, работают незадекларированные трекеры Google и Microsoft. Потенциальная возможность связать рекламный профиль с реальной личностью гражданина требует отдельного правового обоснования по Art. 9 GDPR.
Вывод
Это не частный интернет-магазин. Это сайт государственного военного ведомства. Стандарт соответствия должен быть выше. Картина — та же, что у коммерческих сайтов.