Технический аудит · 2026-05-31

cso.ie

Центральное статистическое управление Ирландии

Государственный орган статистики — тот, кто по роду деятельности обязан понимать данные лучше всех. HAR: 122 запроса, 11 доменов. Google Tag Manager загружается до согласия. Семь внешних CDN не упомянуты в политике конфиденциальности. Семь из восьми внешних сервисов — американские компании.

Хронология утечки

+125 мс · до баннера

code.highcharts.com, cdn.jsdelivr.net, cdn.datatables.net, code.jquery.com — внешние CDN начинают загрузку одновременно с ресурсами самого сайта.

+126 мс · до баннера

www.googletagmanager.com (G-M5K0ZBH6F8) и cdnjs.cloudflare.com — GTM загружается немедленно, без ожидания согласия.

+154–264 мс · до баннера

fonts.googleapis.com и fonts.gstatic.com — Google Fonts загружает два семейства шрифтов (Roboto Slab, Roboto), передавая IP пользователя на серверы Google.

Set-Cookie — ноль

Ни один из 122 запросов не устанавливает cookie через Set-Cookie. Cookies отсутствуют и в запросах. GTM загружен, но cookie не зафиксированы в HAR.

Декларация против факта

✓ Google Analytics — упомянут в политике конфиденциальности — заявлен

✓ Highcharts (__cfduid) — упомянут в политике конфиденциальности — заявлен

+ jsDelivr (cdn.jsdelivr.net) — не упомянут — не заявлен

+ cdnjs.cloudflare.com — не упомянут — не заявлен

+ code.jquery.com — не упомянут — не заявлен

+ maxcdn.bootstrapcdn.com — не упомянут — не заявлен

+ cdn.datatables.net — не упомянут — не заявлен

+ cdn.cso.ie — не упомянут — не заявлен

+ fonts.googleapis.com / fonts.gstatic.com — не упомянуты — не заявлен

Тайминги передачи

+125 мс code.highcharts.com до баннера Highcharts 9.3.3 — библиотека графиков. США.

+126 мс cdn.jsdelivr.net до баннера jsDelivr — 46 запросов. CDN open-source библиотек.

+126 мс www.googletagmanager.com до баннера GTM с ID G-M5K0ZBH6F8. США.

+126 мс cdnjs.cloudflare.com до баннера Cloudflare CDN — cookieconsent2.

+127 мс code.jquery.com до баннера jQuery CDN. США.

+128 мс cdn.datatables.net до баннера DataTables CDN — 7 запросов.

+153 мс maxcdn.bootstrapcdn.com до баннера BootstrapCDN. Font Awesome 4.7.0.

+154 мс fonts.googleapis.com до баннера Google Fonts — Roboto Slab + Roboto. США.

+264 мс fonts.gstatic.com до баннера Google Fonts файлы шрифтов. США.

Зафиксированные трекеры

Google Tag Manager / Google Analytics (www.googletagmanager.com)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
jsDelivr CDN (cdn.jsdelivr.net)
cdnjs / Cloudflare (cdnjs.cloudflare.com)
Highcharts CDN (code.highcharts.com)
jQuery CDN (code.jquery.com)
BootstrapCDN / MaxCDN (maxcdn.bootstrapcdn.com)
DataTables CDN (cdn.datatables.net)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Tag Manager (www.googletagmanager.com) загружается на +126 мс — до любого взаимодействия пользователя с баннером согласия. Google Fonts (fonts.googleapis.com, fonts.gstatic.com) загружаются на +154–264 мс без согласия, передавая IP-адрес пользователя на серверы Google в США.
GDPR Art. 13(1)(e)

Политика конфиденциальности упоминает Google Analytics и один cookie от Highcharts (__cfduid). Семь внешних CDN-доменов в политике не упомянуты: jsDelivr, cdnjs.cloudflare.com, code.highcharts.com, code.jquery.com, maxcdn.bootstrapcdn.com, cdn.datatables.net, cdn.cso.ie. Получатели данных не раскрыты в полном объёме.
GDPR Art. 5(1)(c) — минимизация данных

46 запросов к jsDelivr и 7 к cdn.datatables.net загружают библиотеки визуализации (Chart.js, Leaflet, Highcharts, PapaParse, Turf.js) на всех посетителей главной страницы. Эти ресурсы относятся к инструментам визуализации и могут не требоваться при просмотре главной страницы.

Контекст

CSO (Central Statistics Office) — государственный орган Ирландии, отвечающий за сбор, обработку и публикацию официальной статистики. Находится в Корке. HAR: 122 запроса, 11 доменов. Из них 53 запроса к собственному www.cso.ie, 2 к cdn.cso.ie — и 67 к девяти внешним доменам, семь из которых американские.

Google Tag Manager до согласия

На отметке +126 мс, раньше любого взаимодействия пользователя с баннером, загружается www.googletagmanager.com с ID G-M5K0ZBH6F8. GTM — это контейнер: он может активировать Google Analytics, пиксели ремаркетинга и другие скрипты в зависимости от конфигурации тега. Факт загрузки GTM до согласия означает передачу IP-адреса пользователя на серверы Google в США без правового основания по Art. 6(1) GDPR.

Google Fonts без согласия

На +154 мс — fonts.googleapis.com, на +264 мс — fonts.gstatic.com. Загружаются два семейства шрифтов: Roboto Slab и Roboto. Каждый запрос к серверам Google передаёт IP-адрес посетителя. Начиная с решения Мюнхенского суда (2022) и последующих позиций немецких и австрийских надзорных органов, подключение Google Fonts без согласия и без локального хостинга рассматривается как нарушение Art. 6(1). Оба шрифта можно размещать локально — технического препятствия нет.

Семь внешних CDN вне политики

Политика конфиденциальности CSO упоминает ровно двух получателей данных: Google Analytics и Highcharts (с пояснением о cookie __cfduid от Cloudflare). Семь других внешних доменов — jsDelivr, cdnjs.cloudflare.com, code.jquery.com, maxcdn.bootstrapcdn.com, cdn.datatables.net, fonts.googleapis.com, fonts.gstatic.com — в политике не упомянуты. По Art. 13(1)(e) субъект данных должен получить информацию обо всех получателях или категориях получателей его данных. Семь неупомянутых доменов — это семь неназванных получателей.

Архитектурный выбор

46 запросов к jsDelivr загружают стек визуализации: Chart.js, Leaflet, Highcharts, PapaParse, Turf.js, Moment.js, Esri Leaflet и собственный PxWidget CSO. Эти библиотеки обслуживают интерактивные инфографики и карты — функциональность, которая реально нужна на страницах с визуализацией. На главной странице их загрузка означает, что все посетители, включая тех, кто пришёл за новостями или контактами, оставляют след в логах девяти внешних серверов. Технически это вопрос ленивой загрузки: библиотеки можно подключать только на страницах, где они используются.

При всей внешней нагрузке ни один из 122 запросов в HAR не устанавливает cookie через Set-Cookie. Cookies отсутствуют и в исходящих запросах. GTM загружен, но cookie в HAR не зафиксированы — возможно, блокировка реализована на уровне конфигурации GTM. Это частично смягчает картину, но не устраняет факт загрузки внешних ресурсов до согласия.

Вывод

CSO — государственный орган, работающий с данными по роду деятельности. Политика конфиденциальности составлена в 2020 году и не отражает реальный состав внешних зависимостей сайта: из девяти внешних доменов упомянуты два. Google Tag Manager загружается до согласия. Google Fonts передаёт IP-адреса на серверы в США без согласия. Cookie при этом не устанавливаются — это фиксируемый факт. Исправление требует трёх шагов: перенос GTM за баннер согласия, локальный хостинг шрифтов, обновление политики конфиденциальности с полным списком получателей.

Доказательство

Оригинал (разбор)

HAR-файл: ie/cso-ie-2026-05-31.har

SHA-256: 3564c7d61ac788dbdf41e4d18efd8bcb56c949bead9106fec9a2607871fc5d42

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом cso.ie.

2. Обстоятельства
Я посетил сайт cso.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager (www.googletagmanager.com) загружается на +126 мс — до любого взаимодействия пользователя с баннером согласия. Google Fonts (fonts.googleapis.com, fonts.gstatic.com) загружаются на +154–264 мс без согласия, передавая IP-адрес пользователя на серверы Google в США.

2) Политика конфиденциальности упоминает Google Analytics и один cookie от Highcharts (__cfduid). Семь внешних CDN-доменов в политике не упомянуты: jsDelivr, cdnjs.cloudflare.com, code.highcharts.com, code.jquery.com, maxcdn.bootstrapcdn.com, cdn.datatables.net, cdn.cso.ie. Получатели данных не раскрыты в полном объёме.

3) 46 запросов к jsDelivr и 7 к cdn.datatables.net загружают библиотеки визуализации (Chart.js, Leaflet, Highcharts, PapaParse, Turf.js) на всех посетителей главной страницы. Эти ресурсы относятся к инструментам визуализации и могут не требоваться при просмотре главной страницы.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/cso-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e); GDPR Art. 5(1)(c) — минимизация данных

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]