EUGDPR Audit
RU EN

Andmekaitse Inspektsioon (aki.ee)

Igor Kuzmin→ AKI · 2026-04-14
Официальное уведомление (ametlik teatis) о нарушениях GDPR на сайте самой AKI — aki.ee. По HAR-анализу (12.04.2026, 18:51 UTC, 249 запросов, сессия №19): Cloudflare Insights передаёт данные в США без согласия (+0,24с, статус 200, 8× за сессию); Matomo (statistika.rik.ee) запускается до согласия (+0,26с, 8×); browser-update.org (сторонний сервис США) грузит скрипты без согласия и без декларации (+0,52с, 8×); механизм согласия отсутствует полностью (ст.7 — в HAR ни одной consent-cookie); browser-update.org не указан в политике (ст.13(1)(e)); передача Cloudflare в США без SCC (ст.13(1)(f), гл.V); ст.5(2) и 24 — AKI как контролёр не выполняет обязанности, исполнения которых требует от других. Отдельно: CSP настроен в режиме report-only — нарушения логируются, но скрипты не блокируются (регулятор видит нарушения и не вмешивается). Пять требований: убрать Cloudflare Insights и browser-update.org либо обеспечить законность обработки; внедрить рабочий механизм согласия (ст.7, EDPB 05/2020); раскрыть всех фактических получателей и механизм передачи (ст.13(1)(e),(f)); провести официальный аудит госсайтов и опубликовать результаты в течение 90 дней; дать письменный ответ в 30 дней.
Igor Kuzmin→ AKI · 2026-04-29
Дополнительное уведомление (järelteatis) по saada.rik.ee — порталу, на который AKI перенаправила подачу жалоб после уведомления 14.04. Хронология: около 28.04 прямая ссылка подачи жалобы на aki.ee убрана, пользователей перенаправляют на saada.rik.ee через сервис аутентификации TARA. HAR saada.rik.ee (29.04.2026, 16:34 UTC, 153 запроса) выявил по сути те же нарушения GDPR, что и в первом уведомлении. Вывод: на уведомление о нарушениях AKI ответила перенаправлением жалоб на другой портал, который сам нарушает те же статьи.
Igor Kuzmin→ AKI · 2026-05-15
Напоминание (järelteavitus): 30-дневный срок ответа на уведомление 14.04 истёк, AKI не дала никакого ответа — ни по существу, ни подтверждающего. Истечение срока без ответа — нарушение ст.57(1)(a): надзорный орган обязан осуществлять надзор и в отношении самого себя как контролёра. Повторены все пять требований от 14.04.
AKI→ AKI · 2026-05-18
AKI (письмо № 2.2-10/26/1560-4, юрист Agnes Järvela, по поручению генерального директора): подтверждён приём обращений от 14.04, 29.04 и 14.05 по сайтам aki.ee и saada.rik.ee. Обращения квалифицированы как märgukirjad (уведомления в порядке закона о märgukiri, а не жалобы по GDPR); по этому закону ответ даётся в 15 дней, при сложности срок продлевается до двух месяцев. Срок ответа продлён до 29.06.2026 в связи с необходимостью выяснения обстоятельств.