Технический аудит · 2026-05-31

centralbank.ie

Центральный банк Ирландии — финансовый регулятор и центральный банк

Центральный банк Ирландии — финансовый регулятор и участник Евросистемы. 50 запросов, 5 доменов. Нет GTM, нет аналитики, нет рекламы. OtAutoBlock не блокирует Cludo и Google Fonts — оба загружаются за 104 мс до баннера. Cookie Policy называет категории, не называя получателей.

Хронология утечки

+74 мс · до баннера

cdn.cookielaw.org/OtAutoBlock.js — OneTrust блокировщик загружается первым.

+75 мс · до баннера

fonts.googleapis.com — Lato (400, 400i, 700, 700i, 900). IP пользователя уходит на серверы Google в США. Через 1 мс после OtAutoBlock.

+76 мс · до баннера

customer.cludo.com — CSS, JS и шрифты Cludo (5 запросов). Датская поисковая платформа для сайтов.

+100 мс · до баннера

cdn.cookielaw.org — конфигурация согласия UUID 01926dd3.

+137 мс · до баннера

geolocation.onetrust.com — OneTrust геолокация.

Декларация против факта

+ Cludo (customer.cludo.com) — не упомянут в Cookie Policy — не заявлен

+ Google Fonts (fonts.googleapis.com) — не упомянут — не заявлен

Тайминги передачи

+74 мс cdn.cookielaw.org до баннера OtAutoBlock.js. OneTrust UUID 01926dd3.

+75 мс fonts.googleapis.com до баннера Lato 5 начертаний. Google серверы. США.

+76 мс customer.cludo.com до баннера Cludo поиск. CSS + JS + шрифты. Дания.

+180 мс cdn.cookielaw.org баннер otBannerSdk.js — баннер виден.

Зафиксированные трекеры

Cludo поисковый движок (customer.cludo.com)
Google Fonts (fonts.googleapis.com)
OneTrust CMP (cdn.cookielaw.org, geolocation.onetrust.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

OneTrust OtAutoBlock.js загружается на +74 мс. Cludo (customer.cludo.com) загружается на +76 мс — через 2 мс после OtAutoBlock, до завершения его инициализации. Google Fonts (fonts.googleapis.com, Lato) — на +75 мс. Баннер OneTrust (otBannerSdk.js) появляется на +180 мс. Оба внешних сервиса загружаются за 104–105 мс до баннера, несмотря на наличие OtAutoBlock.
GDPR Art. 13(1)(e)

Cookie Policy (октябрь 2024) описывает типы cookies (First Party, Third Party, Session) без идентификации конкретных получателей. Cludo (датская компания, поисковый движок) и Google Fonts не упомянуты поимённо. Политика указывает: «Read our full Data Protection Privacy Notice» — последняя также не содержит имён внешних технических провайдеров сайта.

Контекст

Центральный банк Ирландии — независимый финансовый регулятор и участник Европейской системы центральных банков (ESCB/Евросистема). Регулирует банки, страховщиков, инвестиционные фонды и финансовые рынки. HAR: 50 запросов, 5 доменов. 32 запроса к собственному www.centralbank.ie — и 18 к четырём внешним доменам, из которых 11 к OneTrust CDN.

Относительно чистая архитектура

По меркам ирландской серии centralbank.ie демонстрирует сдержанную техническую архитектуру: нет Google Tag Manager, нет Google Analytics, нет Facebook SDK, нет рекламных пикселей, нет Hotjar. Шрифты FontAwesome 4.6.3, Glyphicons и icomoon размещены локально (/Theme/fonts/). Собственный API обменных курсов (/api/exchangerates). Три языка (EN/IE/GA) без внешних CDN. Это технически осознанный выбор минималистичной зависимости.

OtAutoBlock: 2 миллисекунды, которые решают всё

OneTrust OtAutoBlock.js загружается на +74 мс. Google Fonts — на +75 мс. Cludo — на +76 мс. Между загрузкой блокировщика и первыми внешними запросами — 1–2 мс. OtAutoBlock работает следующим образом: он модифицирует атрибуты type у <script> тегов, заменяя text/javascript на заблокированный тип, и восстанавливает их после получения согласия. Для корректной работы блокировщик должен загрузиться и выполниться до парсинга тегов, которые он должен блокировать. 1–2 мс недостаточно: браузер уже начал парсинг HTML и инициировал запросы к внешним ресурсам к моменту выполнения OtAutoBlock. Это структурная проблема порядка загрузки, характерная для многих сайтов с inline-подключением внешних ресурсов.

Cludo — поисковый движок без раскрытия

Cludo — датская SaaS-платформа поиска по сайтам, используемая центральным банком для реализации функции поиска. Загружает CSS, JS и два шрифтовых файла (Source Sans Pro через TTF) с customer.cludo.com. Каждый посетитель главной страницы передаёт IP-адрес и данные о браузере на датские серверы Cludo. В Cookie Policy не упомянут. Функционально Cludo можно сравнить с Lunr.js или Pagefind — статическими альтернативами поиска без внешних зависимостей.

Cookie Policy (октябрь 2024) описывает три типа cookies: First Party, Third Party и Session — и объясняет, как управлять настройками cookies в популярных браузерах. Конкретные получатели данных не названы. По Art. 13(1)(e) субъект данных должен знать получателей или категории получателей — перечисление типов cookies без имён не является достаточным раскрытием.

Ни один из 50 запросов не устанавливает cookie через Set-Cookie.

Вывод

centralbank.ie выстроил технически минималистичную архитектуру — без рекламных сетей, без аналитики третьих сторон, с локальными шрифтами. Два нарушения носят процедурный характер: OtAutoBlock не успевает заблокировать Cludo и Google Fonts из-за порядка загрузки (исправляется переносом внешних скриптов ниже в HTML), и Cookie Policy называет категории без имён получателей (исправляется обновлением документации). Для финансового регулятора, публикующего нормативные требования к защите данных клиентов финансовых организаций, точность собственной документации является стандартом, которому сайт пока не соответствует.

Доказательство

Оригинал (разбор)

HAR-файл: ie/centralbank-ie-2026-05-31.har

SHA-256: 0c0baa76e7608ee9aa467abb678effe95b24bb2e2c3718fef35edc35f78d57fa

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом centralbank.ie.

2. Обстоятельства
Я посетил сайт centralbank.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) OneTrust OtAutoBlock.js загружается на +74 мс. Cludo (customer.cludo.com) загружается на +76 мс — через 2 мс после OtAutoBlock, до завершения его инициализации. Google Fonts (fonts.googleapis.com, Lato) — на +75 мс. Баннер OneTrust (otBannerSdk.js) появляется на +180 мс. Оба внешних сервиса загружаются за 104–105 мс до баннера, несмотря на наличие OtAutoBlock.

2) Cookie Policy (октябрь 2024) описывает типы cookies (First Party, Third Party, Session) без идентификации конкретных получателей. Cludo (датская компания, поисковый движок) и Google Fonts не упомянуты поимённо. Политика указывает: «Read our full Data Protection Privacy Notice» — последняя также не содержит имён внешних технических провайдеров сайта.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/centralbank-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]