EUGDPR Audit
RU EN
Технический аудит · 2026-03-13

telia.ee

Крупнейший телекоммуникационный оператор Эстонии
EE

Крупнейший телеком Эстонии передаёт исикукод клиента в открытом виде в строке URL. Grafana Faro запускается с первой миллисекунды — за 24 секунды до появления баннера согласия. Политика декларирует отсутствие передачи данных за пределы ЕС. HAR фиксирует обратное.

Хронология утечки

+0 мс · до согласия
Grafana Faro (faro-collector-prod-eu-west-0.grafana.net) — первые запросы с нулевой отметки, данные session_start уходят в США. Статус 0 — заблокированы, но инициированы.
+150 мс · до согласия
widget-api.ultimate.ai — чат-виджет, tracking-event. США.
+601 мс · до согласия
res.cloudinary.com — CDN изображений Telia. США.
+3163 мс · до согласия
rum.estpak.ee (TeliaRum) — агент мониторинга Telia. Traces и metrics за всю сессию.
+24483 мс · баннер
Cookiebot загружается — consent.cookiebot.com. Баннер появляется через 24 секунды после старта сессии.
+28689 мс · после согласия
GTM (GTM-5G2M3L) — статус 0, заблокирован.
+30449 мс
iseteenindus.telia.ee — GET-запрос с personalCode=XXXXXXXXXXX в URL. Исикукод в открытом виде.

Декларация против факта

+ Grafana Faro (faro-collector-prod-eu-west-0.grafana.net) — США — не заявлен
+ GTM-5G2M3L (www.googletagmanager.com) — не заявлен
+ ultimate.ai (widget-api.ultimate.ai) — не заявлен
+ TeliaRum (rum.estpak.ee) — не заявлен
+ Cloudinary (res.cloudinary.com) — не заявлен

Тайминги передачи

+0 мс faro-collector-prod-eu-west-0.grafana.net до согласия 14 запросов за сессию. session_start, ошибки, трассировки. США
+150 мс widget-api.ultimate.ai до согласия Чат-виджет, tracking-event. США
+3163 мс rum.estpak.ee до согласия TeliaRum — 11 запросов. Traces и metrics
+24483 мс consent.cookiebot.com баннер Cookiebot загружается — через 24 сек после старта
+28689 мс www.googletagmanager.com заблокирован GTM-5G2M3L — статус 0
+30449 мс iseteenindus.telia.ee передан GET с personalCode в URL — статус 200

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Telia Eesti AS — крупнейший телекоммуникационный оператор Эстонии, дочерняя компания шведского концерна Telia Company AB (Nasdaq Stockholm). Предоставляет услуги мобильной связи, домашнего интернета, телевидения и бизнес-решений. Как телеком-оператор обрабатывает одни из наиболее чувствительных персональных данных: исикукод, платёжную историю, данные о потреблении услуг. HAR: 199 запросов, 14 доменов, сессия в личном кабинете.

Главная находка — исикукод в URL

HAR фиксирует GET-запрос к iseteenindus.telia.ee с исикукодом клиента в открытом виде в строке URL:

/myse-frontend/api/v1/dashboard/grouped-overviews/B2C?customerId=1000001082&countryCode=EE&personalCode=XXXXXXXXXXX

Исикукод — национальный идентификационный номер Эстонии, аналог паспортного номера. Передача в GET-параметре означает: номер виден в серверных логах Telia и всех промежуточных систем, в истории браузера пользователя, потенциально в аналитических системах третьих сторон, загружаемых на сайте. По Art. 5(1)(f) данные должны обрабатываться с обеспечением надлежащей безопасности. По Art. 25 — privacy by design: архитектура системы должна минимизировать риски с момента проектирования.

Grafana до согласия

Первые запросы к faro-collector-prod-eu-west-0.grafana.net (Grafana Faro) инициируются с нулевой отметки сессии — буквально в момент загрузки страницы. Grafana фиксирует session_start, ошибки браузера, трассировки. Серверы Grafana находятся в США. Политика конфиденциальности Telia заявляет об отсутствии передачи данных за пределы ЕС — HAR опровергает это.

Cookiebot (баннер согласия) загружается лишь на +24483 мс — через 24 секунды после старта сессии. К этому моменту Grafana уже инициировала 6 запросов. TeliaRum (rum.estpak.ee) запустился на +3163 мс — тоже до баннера.

GTM и остальные трекеры

GTM (контейнер GTM-5G2M3L) прописан в коде и инициирует запросы на +28689 мс — статус 0, данные не ушли. ultimate.ai (чат-виджет) запускается на +150 мс с tracking-event до согласия. res.cloudinary.com — CDN изображений, 7 запросов, серверы в США. sentry-ingress.estpak.ee — мониторинг ошибок, 3 запроса.

Ни один из перечисленных сервисов не упомянут в политике конфиденциальности Telia как получатель данных.

Вывод

Исикукод в GET-параметре URL — это не настройка аналитики и не баннер согласия. Это архитектурное решение, которое передаёт национальный идентификатор клиента в открытом виде при каждом клике в личном кабинете. Параллельно Grafana инициирует мониторинг до согласия, передавая данные в США вопреки декларации политики конфиденциальности. Telia обрабатывает данные сотен тысяч клиентов — и архитектура B2C портала этого не отражает.

После подачи официальной жалобы в AKI исикукод был убран из GET-параметров URL. Это техническое исправление фиксируется — но не отменяет нарушения, задокументированного в HAR от 13 марта 2026 года. Данные, переданные в открытом виде, не исчезают вместе с патчем. HAR остаётся доказательством того, что происходило.

Доказательство
Оригинал (разбор)
HAR-файл: ee/telia-ee-2026-03-13.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом telia.ee.

2. Обстоятельства
Я посетил сайт telia.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.03.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Исикукод (национальный идентификационный номер) передаётся в открытом виде как GET-параметр в строке URL: personalCode=XXXXXXXXXXX. Виден в серверных логах, истории браузера, аналитических системах третьих сторон.

2) Grafana Faro инициирует запросы с первой миллисекунды сессии — до загрузки баннера согласия Cookiebot, который появляется лишь на +24483 мс. TeliaRum также запускается до согласия.

3) Политика конфиденциальности Telia заявляет об отсутствии передачи данных за пределы ЕС. HAR фиксирует запросы к faro-collector-prod-eu-west-0.grafana.net — серверы Grafana в США.

4) GTM (GTM-5G2M3L), Grafana Faro, ultimate.ai не упомянуты в политике конфиденциальности как получатели данных.

5) Механизм передачи данных в США (Grafana) не указан.

6) Grafana Faro инициирует 14 запросов за сессию, TeliaRum — 11 запросов. Объём мониторинга превышает принцип минимизации данных.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/telia-com/

3. Нарушенные положения
GDPR Art. 5(1)(f), Art. 25; GDPR Art. 6(1), Art. 7; GDPR Art. 5(1)(a), Art. 13(1)(e); GDPR Art. 13(1)(e); GDPR Art. 13(1)(f), Chapter V; GDPR Art. 5(1)(c)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]