Технический аудит · 2026-05-26

oeaw.ac.at

Австрийская академия наук

Австрийская академия наук — 65 запросов, 4 домена. Piwik self-hosted и Cloudflare Insights запускаются без согласия и без декларации в политике. Cloudflare — данные в США без указания правового основания.

Хронология утечки

+1049 мс · Cloudflare email-decode

Cloudflare скрипт email-decode.min.js загружается с www.oeaw.ac.at (self-hosted копия).

+1054 мс · Cloudflare Insights

static.cloudflareinsights.com/beacon.min.js — внешний запрос без согласия. Данные уходят в Cloudflare (США).

+1826 мс · Piwik

piwik.oeaw.ac.at/piwik.js — Piwik self-hosted. Без согласия.

+2867 мс · трекинг-пинг

piwik.php: action_name=Österreichische Akademie der Wissenschaften, idsite=1. До согласия.

Итог сессии

65 запросов. 60 — www.oeaw.ac.at, 2 — piwik.oeaw.ac.at, 2 — oeaw.ac.at (редиректы), 1 — cloudflareinsights.com.

Декларация против факта

+ Piwik/Matomo — в политике отсутствует — не заявлен

+ Cloudflare Insights — в политике отсутствует, данные в США — не заявлен

Тайминги передачи

+1054 мс static.cloudflareinsights.com 200 Cloudflare Insights beacon. Данные в США, правовое основание не задекларировано.

+1826 мс piwik.oeaw.ac.at 200 Piwik self-hosted. Данные остаются в инфраструктуре ÖAW.

+2867 мс piwik.oeaw.ac.at 204 Трекинг-пинг: idsite=1, без согласия.

Зафиксированные трекеры

Piwik/Matomo (piwik.oeaw.ac.at, self-hosted)
Cloudflare Insights (static.cloudflareinsights.com)

Зафиксированные нарушения

GDPR Art. 6(1)(a), Art. 13, TKG § 165

Piwik загружается через 1826 мс и отправляет трекинг-пинг на 2867 мс без согласия. Политика конфиденциальности не упоминает веб-аналитику, Piwik или Cloudflare Insights.
GDPR Art. 44 ff.

Cloudflare Insights (static.cloudflareinsights.com) загружается на 1054 мс. Данные передаются в Cloudflare Inc. (США). Ни правовое основание, ни механизм передачи в третью страну не задекларированы.

Контекст

ÖAW (Österreichische Akademie der Wissenschaften) — главная научная академия Австрии, основана в 1847 году, около 60 исследовательских институтов. HAR: 65 запросов, 4 домена.

Два трекера, ноль деклараций

Piwik self-hosted на piwik.oeaw.ac.at — данные остаются в инфраструктуре академии. Cloudflare Insights (static.cloudflareinsights.com) — данные уходят в Cloudflare Inc. (США). Оба запускаются без согласия. Политика конфиденциальности — общий документ о правах субъектов данных и принципах обработки, о веб-аналитике сайта не говорит ничего.

Cloudflare Insights — незадекларированная передача в США

Cloudflare Insights используется как инструмент производительности и аналитики. При этом beacon.min.js загружается с внешнего домена Cloudflare, и данные обрабатываются на серверах Cloudflare в США. Ни правовое основание для этой обработки, ни механизм передачи данных в третью страну (SCC, DPF) в политике не указаны.

Вывод

Академия, исследующая в том числе вопросы права и этики, отправляет данные в два трекера без согласия — один в собственной инфраструктуре, один в США — и не упоминает ни один из них в политике конфиденциальности.

Доказательство

Оригинал (разбор)

HAR-файл: at/oeaw-ac-at-2026-05-26.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом oeaw.ac.at.

2. Обстоятельства
Я посетил сайт oeaw.ac.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Piwik загружается через 1826 мс и отправляет трекинг-пинг на 2867 мс без согласия. Политика конфиденциальности не упоминает веб-аналитику, Piwik или Cloudflare Insights.

2) Cloudflare Insights (static.cloudflareinsights.com) загружается на 1054 мс. Данные передаются в Cloudflare Inc. (США). Ни правовое основание, ни механизм передачи в третью страну не задекларированы.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-oeaw-ac-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), Art. 13, TKG § 165; GDPR Art. 44 ff.

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]