EUGDPR Audit
RU EN
Технический аудит · 2026-05-13

acer.europa.eu

ACER — регулятор энергетических рынков Европейского союза
EU-INSTITUTIONS

Регулятор энергетических рынков ЕС — 10 доменов, 5 американских сервисов без согласия. Google reCAPTCHA на главной странице, AddToAny, шрифт Inter с персонального CDN разработчика. Самый насыщенный внешними зависимостями сайт в серии институций ЕС.

Хронология утечки

+262 мс · без согласия
Bootstrap (cdn.jsdelivr.net) — CSS фреймворк с публичного CDN.
+263 мс · без согласия
Google reCAPTCHA (api.js) — немедленно при загрузке. IP в Google, США.
+279 мс · без согласия
rsms.me — шрифт Inter с персонального CDN. 5 woff2-файлов.
+328 мс · без согласия
www.gstatic.com — ресурсы reCAPTCHA. Google, США.
+621 мс · без согласия
cdnjs.cloudflare.com — Popper.js 1.14.3. США.
+673 мс · без согласия
AddToAny (static.addtoany.com) — кнопки «поделиться». США.

Декларация против факта

+ Google reCAPTCHA — не заявлен
+ AddToAny (static.addtoany.com) — не заявлен
+ rsms.me CDN — не заявлен
+ cdn.jsdelivr.net — не заявлен
+ cdnjs.cloudflare.com — не заявлен
+ Google Fonts (через reCAPTCHA) — не заявлен

Тайминги передачи

+263 мс www.google.com без согласия reCAPTCHA api.js — IP в Google, США
+279 мс rsms.me без согласия Inter шрифт с персонального CDN
+673 мс static.addtoany.com без согласия AddToAny share buttons. США

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Agency for the Cooperation of Energy Regulators (ACER) — агентство ЕС координирующее национальных регуляторов энергетических рынков, штаб-квартира в Любляне. Регулируется Regulation (EU) 2018/1725. HAR: 122 запроса, 10 доменов. Сессия включала две страницы.

Разрыв с паттерном институций ЕС

Все предыдущие институции серии — Европол, EDPS, ECDC, EEAS, ЕЦБ, Совет ЕС — использовали исключительно europa.eu инфраструктуру. ACER выбивается: 10 доменов, 5 американских сервисов, ни одного согласия.

Google reCAPTCHA на главной странице

reCAPTCHA загружается на +263 мс при открытии главной страницы — до любого взаимодействия пользователя. Это означает что Google получает IP каждого посетителя сайта регулятора энергетических рынков ЕС независимо от того заполняет ли он форму. Альтернативы для институций ЕС: собственная CAPTCHA (как у bundesheer.at), Cloudflare Turnstile (EU инстанс), или hCaptcha.

rsms.me — персональный CDN

rsms.me — личный сайт и CDN шведского дизайнера Rasmus Andersson, автора шрифта Inter. Это не корпоративная инфраструктура с SLA и гарантиями — это персональный сервер. ACER загружает с него 5 woff2-файлов шрифта Inter при каждом визите. IP посетителей регулятора энергетики ЕС передаётся на персональный сервер частного лица. Решение: самохостинг Inter (файл доступен на GitHub под SIL Open Font License).

AddToAny — кнопки «поделиться»

static.addtoany.com — сервис кнопок социального шаринга. Загружает локализованный модуль для русского языка (locale/ru.js) — значит сессия браузера идентифицирована как русскоязычная. Данные о посещении и языке браузера уходят в AddToAny (США). Функция «поделиться» может быть реализована без внешнего JavaScript.

Вывод

ACER — единственная институция ЕС в серии с нарушениями на уровне главной страницы. Google reCAPTCHA без согласия, AddToAny, шрифт с персонального CDN, Bootstrap и Popper.js с американских CDN. Все проблемы технически решаемы: самохостинг шрифтов и библиотек, замена reCAPTCHA на европейскую альтернативу, удаление AddToAny.

Доказательство
Оригинал (разбор)
HAR-файл: eu/acer-europa-eu-2026-05-13.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данныхedps.europa.eu 

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом acer.europa.eu.

2. Обстоятельства
Я посетил сайт acer.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google reCAPTCHA (+263 мс) загружается при открытии главной страницы без согласия. IP посетителя передаётся в Google (США). Баннер согласия отсутствует.

2) AddToAny (+673 мс) — американский сервис кнопок «поделиться» (AddThis/Oracle). Загружает три скрипта включая локализованный модуль для русского языка. Данные в США, без согласия.

3) rsms.me — персональный CDN шведского дизайнера Rasmus Andersson для шрифта Inter. Не является корпоративной или европейской инфраструктурой. Bootstrap через jsDelivr, Popper.js через Cloudflare cdnjs — все в США.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-acer-europa-eu/

3. Нарушенные положения
Regulation 2018/1725 Art. 5; Regulation 2018/1725 Art. 5; Regulation 2018/1725 Art. 15

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]