EUGDPR Audit
RU EN
Технический аудит · 2026-05-26

wien.gv.at

Официальный сайт города Вены
AT

Официальный сайт Вены — 40 запросов, 4 домена. Truendo CMP есть, политика конфиденциальности детальная, Adform в коде. Но Siteimprove уходит на внешний сервер через 271 мс — раньше, чем баннер согласия успевает появиться.

Хронология утечки

+271 мс · до согласия
Siteimprove Analytics загружает скрипт с siteimproveanalytics.com. Truendo CMP в этот момент ещё не инициализирован — app_api.pid.js загрузится только через +902 мс.
+315 мс · до согласия
audio.buzzsprout.com отдаёт аудиофайл (206 Partial Content). Встроенный медиаконтент по политике сайта требует согласия — его нет.
+902 мс · Truendo
Truendo CMP завершает инициализацию. Self-hosted: оба скрипта (truendo_cmp.pid.js, app_api.pid.js) загружаются с www.wien.gv.at, внешних запросов к prod-origin.truendo.com нет.
Итог сессии
Adform в HAR отсутствует — на главной не активирован или заблокирован. YouTube, Vimeo, X прописаны в CSP, в HAR не появились. Из 40 запросов 38 — к собственной инфраструктуре (wien.gv.at + assets.wien.gv.at).

Декларация против факта

Siteimprove — описан в политике, Art. 6(1)(e), cookieless — заявлен
Adform — описан в политике, Art. 6(1)(a), маркетинг — заявлен
Buzzsprout — описан в политике, Art. 6(1)(a), встроенный контент — заявлен
Vimeo — описан в политике, Art. 6(1)(a), встроенный контент — заявлен

Тайминги передачи

+271 мс siteimproveanalytics.com 200 Скрипт загружен до согласия. Cookieless tracking на основе Visitor Hash (IP + User-Agent).
+315 мс audio.buzzsprout.com 206 Аудиопоток загружен до согласия. Buzzsprout — США, SCC + EU-US DPF.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

wien.gv.at — официальный портал города Вены, один из крупнейших муниципальных сайтов Австрии. Оператор — Stadt Wien, MA 53 (Kommunikation und Medien). HAR: 40 запросов, 4 домена.

Инфраструктура своя, политика детальная

38 из 40 запросов идут к собственной инфраструктуре: www.wien.gv.at и assets.wien.gv.at — собственный CDN города. Нет Google, нет Meta, нет внешних шрифтов. HSTS с max-age=31536000 и preload. Сервер подписан как «Magistrat der Stadt Wien — Web Gateway». Политика конфиденциальности структурирована по GDPR Art. 13: четыре отдельных раздела обработки, правовые основания, сроки хранения, DPO с контактом.

Siteimprove раньше баннера

Главная проблема одна, но конкретная: Siteimprove Analytics загружается через 271 мс после открытия страницы. Truendo CMP — consent management platform города — завершает инициализацию только через 902 мс. Баннера нет, согласия нет, скрипт уже ушёл на siteimproveanalytics.com и получил 200. Город обосновывает Siteimprove через Art. 6(1)(e) — публичный интерес — и считает его не требующим согласия. Австрийский TKG § 165 требует согласия на любой идентификатор, включая Visitor Hash. Это спорная, но реальная коллизия.

Adform задекларирован, в HAR отсутствует

Adform прописан в CSP (track.adform.net, *.adform.net) и подробно описан в политике как маркетинговый инструмент на основе согласия. В HAR главной страницы — ни одного запроса к Adform. Либо не активирован на главной, либо срабатывает на других страницах после согласия. Это правильная архитектура для инструмента категории Art. 6(1)(a).

Вывод

wien.gv.at — не тот случай, где трекеры прячут или политику не пишут. Политика детальная, инфраструктура преимущественно своя, Truendo CMP есть. Проблема в одном: Siteimprove уходит во внешний мир до того, как система согласия успевает сработать. 271 мс против 902 мс — и это не технический сбой, а архитектурное решение, которое город прикрывает спорной ссылкой на публичный интерес.

Доказательство
Оригинал (разбор)
HAR-файл: at/wien-gv-at-2026-05-26.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данныхподать жалобу онлайн → 

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом wien.gv.at.

2. Обстоятельства
Я посетил сайт wien.gv.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Siteimprove Analytics загружается через 271 мс после открытия страницы — до того, как Truendo CMP успевает инициализироваться и показать баннер согласия. Согласия нет, запрос ушёл.

2) Buzzsprout загружает аудио через 315 мс после открытия — также до согласия. По собственной политике сайта встроенные медиа требуют Art. 6(1)(a).

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-wien-gv-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), TKG § 165; GDPR Art. 6(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]