Технический аудит · 2026-05-31

dublincity.ie

Дублинский городской совет — муниципалитет столицы Ирландии

Муниципалитет столицы Ирландии. 47 запросов, 5 доменов. Cookiebot корректно блокирует трекеры до согласия — ни Google, ни Matomo в HAR нет. Но политика конфиденциальности описывает Matomo, которого больше нет, и молчит о Cookiebot, который есть. Три внешних домена не упомянуты.

Хронология утечки

+56 мс · до баннера

consent.cookiebot.com/uc.js — Cookiebot SDK загружается. Первый и единственный внешний трекинговый домен до баннера.

+75–182 мс · до баннера

dcc-cspreport.enovation.ie/csp-report-dccdrupal.php — шесть POST-запросов CSP-репортинга. Enovation — ирландский разработчик, обслуживающий DCC. CSP-репорты содержат технические данные браузера, но не персональные данные пользователя в обычном смысле.

+59 мс · до баннера

cdn.jsdelivr.net — js-cookie библиотека. Один запрос.

Блокировка до согласия

Ни Google Analytics, ни Matomo, ни GTM, ни рекламные пиксели в HAR не зафиксированы. Set-Cookie — ноль. Cookiebot выполняет функцию блокировки корректно.

Декларация против факта

✓ Matomo Analytics — упомянут в политике конфиденциальности (2023) — заявлен

+ Cookiebot (consent.cookiebot.com, consentcdn.cookiebot.com) — не упомянут — не заявлен

+ Enovation CSP-репортинг (dcc-cspreport.enovation.ie) — не упомянут — не заявлен

+ jsDelivr (cdn.jsdelivr.net) — не упомянут — не заявлен

Тайминги передачи

+56 мс consent.cookiebot.com до баннера Cookiebot SDK uc.js. Дания/ЕС.

+59 мс cdn.jsdelivr.net до баннера js-cookie v3.0.5. CDN open-source.

+75 мс dcc-cspreport.enovation.ie до баннера CSP-репортинг. POST. Enovation IE.

+109 мс consentcdn.cookiebot.com баннер Cookiebot конфигурация. UUID 1a8c2f02.

+112 мс consent.cookiebot.com баннер Cookiebot cc.js — баннер отрендерен.

Зафиксированные трекеры

Cookiebot CMP (consent.cookiebot.com, consentcdn.cookiebot.com)
Enovation CSP-репортинг (dcc-cspreport.enovation.ie)
jsDelivr CDN (cdn.jsdelivr.net)

Зафиксированные нарушения

GDPR Art. 13(1)(e)

Политика конфиденциальности заявляет использование Matomo Analytics. В HAR Matomo отсутствует полностью. Cookiebot, dcc-cspreport.enovation.ie и cdn.jsdelivr.net загружаются при каждой сессии — ни один из трёх в политике не упомянут. Реальный состав внешних зависимостей и задекларированный в политике не совпадают.
GDPR Art. 5(1)(a) — прозрачность

Политика последний раз обновлялась 20 апреля 2023 года и описывает архитектуру, не соответствующую текущей реализации сайта: Matomo задекларирован, но не используется; Cookiebot как платформа согласия не упомянут.

Контекст

Dublin City Council — муниципалитет столицы Ирландии, предоставляющий городские услуги более чем миллиону жителей. HAR: 47 запросов, 5 доменов. Из 35 запросов к собственному www.dublincity.ie остальные 12 уходят к четырём внешним доменам.

Что работает правильно

Cookiebot с UUID 1a8c2f02-9b85-438c-8717-4a7f5f3afae6 корректно выполняет функцию блокировки до согласия. В HAR не зафиксировано ни Google Analytics, ни GTM, ни Matomo, ни рекламных пикселей — ничего, что обычно составляет нарушения у государственных сайтов ирландской серии. Set-Cookie — ноль. Архитектура согласия функционирует так, как должна: трекеры заблокированы до выбора пользователя.

Политика 2023 года и архитектура 2026 года

Политика конфиденциальности обновлялась последний раз 20 апреля 2023 года. В ней задокументировано использование Matomo Analytics — инструмента веб-аналитики с открытым исходным кодом. В HAR от мая 2026 года Matomo отсутствует полностью: ни одного запроса к matomo.cloud, matomo.php или аналогичным эндпоинтам.

Одновременно политика не упоминает Cookiebot — платформу управления согласием, которая реально работает на сайте и устанавливает соединения с consent.cookiebot.com и consentcdn.cookiebot.com при каждой сессии. Cookiebot — датская компания, входящая в группу Usercentrics; её платформа обрабатывает данные о согласии пользователей, включая IP-адреса и идентификаторы устройств.

Результат: задокументированная в политике система (Matomo) не работает, а реально работающая система (Cookiebot) не задокументирована.

CSP-репортинг через enovation.ie

Шесть POST-запросов к dcc-cspreport.enovation.ie/csp-report-dccdrupal.php — это механизм Content Security Policy reporting: браузер отправляет отчёты о нарушениях CSP-политики сайта на внешний эндпоинт. Enovation — ирландская компания, разрабатывающая и обслуживающая Drupal-платформу DCC. CSP-репорты содержат технические данные о браузере и нарушенных директивах, но не идентифицирующие персональные данные пользователя в стандартном смысле. Тем не менее как внешний обработчик Enovation не упомянут в политике конфиденциальности ни как получатель, ни как процессор данных.

Вывод

dublincity.ie демонстрирует редкую для ирландской серии картину: механизм согласия реально работает, трекеры до согласия не запускаются. Нарушение одно, но показательное: политика конфиденциальности описывает инструменты, которых нет, и молчит об инструментах, которые есть. Для муниципалитета с обязательствами перед миллионом жителей точность документации — не формальность. Исправление техническое: обновить политику, убрав Matomo и добавив Cookiebot и Enovation в список обработчиков данных.

Доказательство

Оригинал (разбор)

HAR-файл: ie/dublincity-ie-2026-05-31.har

SHA-256: 0a2c1125687df2143176749a1c49e84f5c966c15d497425661e86389e340fe2b

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом dublincity.ie.

2. Обстоятельства
Я посетил сайт dublincity.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика конфиденциальности заявляет использование Matomo Analytics. В HAR Matomo отсутствует полностью. Cookiebot, dcc-cspreport.enovation.ie и cdn.jsdelivr.net загружаются при каждой сессии — ни один из трёх в политике не упомянут. Реальный состав внешних зависимостей и задекларированный в политике не совпадают.

2) Политика последний раз обновлялась 20 апреля 2023 года и описывает архитектуру, не соответствующую текущей реализации сайта: Matomo задекларирован, но не используется; Cookiebot как платформа согласия не упомянут.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/dublincity-ie/

3. Нарушенные положения
GDPR Art. 13(1)(e); GDPR Art. 5(1)(a) — прозрачность

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]