EUGDPR Audit
RU EN
Технический аудит · 2026-05-13

eca.europa.eu

ECA — независимый финансовый контролёр Европейского союза
EU-INSTITUTIONS

Независимый финансовый контролёр ЕС — 5 доменов. Шрифты Open Sans захосчены на static.eca.europa.eu — ноль Google Fonts. Matomo Cloud (Новая Зеландия) вместо self-hosted. CSP раскрывает дополнительные зависимости: gestmax.fr, Zscaler, New Relic.

Хронология утечки

+638 мс · загрузка
static.eca.europa.eu — Bootstrap, CSS, JS, шрифты. Собственный субдомен.
+640 мс
webtools.europa.eu — стандартные компоненты ЕС.
+792 мс · без согласия
cdn.matomo.cloud + eca.matomo.cloud — Matomo Cloud. InnoCraft, Новая Зеландия.

Декларация против факта

+ Matomo Cloud (eca.matomo.cloud) — не заявлен

Тайминги передачи

+792 мс eca.matomo.cloud без согласия Matomo Cloud — InnoCraft, Новая Зеландия

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Европейский суд аудиторов (ECA) — независимый внешний аудитор ЕС, проверяет доходы и расходы Союза, публикует ежегодные доклады о финансовом управлении. Регулируется Regulation (EU) 2018/1725. HAR: 174 запроса, 5 доменов, 2 страницы.

Шрифты на static.eca.europa.eu — правильно

ECA захостил Open Sans на собственном субдомене: static.eca.europa.eu/webcharter-internet/current/css/fonts/OpenSans/. Четыре начертания (Regular, Semibold, Bold, Light) плюс собственный ECA-icons шрифт — всё с собственного сервера. Ноль Google Fonts. Это именно то что EBA, ERC и EDA должны сделать со своими шрифтами.

Matomo Cloud — та же проблема что у Суда ЕС

eca.matomo.cloud (+792 мс) — облачная Matomo (InnoCraft Ltd., Веллингтон, Новая Зеландия). Три запроса за сессию. Как у Суда ЕС и EFTA — cloud вместо self-hosted. Self-hosted Matomo на analytics.eca.europa.eu решил бы проблему — исходный код открытый, EBA уже показал как это делается.

CSP — зависимости на других страницах

CSP ECA раскрывает сервисы которые не появились в этой сессии, но разрешены на других страницах:

gestmax.fr — французская платформа для управления кандидатами (ATS/HR). Вероятно используется на страницах вакансий ECA. Французская компания, данные в ЕС — приемлемо.

gateway.zscalertwo.net — Zscaler, американский cloud security gateway. Используется как сетевой прокси для проверки трафика. Данные проходят через американскую инфраструктуру безопасности.

https://js-agent.newrelic.com и *.nr-data.net — New Relic APM, американская платформа мониторинга производительности. Не появился в этой сессии — но CSP разрешает.

frame-ancestors — Microsoft 365

CSP frame-ancestors содержит длинный список Microsoft-доменов: teams.microsoft.com, skype.com, powerapps.com, yammer.com, office.com, onedrive.live.com. ECA встраивает страницы в Microsoft 365 — вероятно для внутреннего использования сотрудниками. Это не трекинг, но показывает глубокую интеграцию с американской облачной инфраструктурой Microsoft.

Вывод

ECA сделал правильно с шрифтами — Open Sans на собственном субдомене, ноль Google Fonts. Matomo Cloud вместо self-hosted — единственное фиксируемое нарушение в этом HAR. CSP указывает на Zscaler и New Relic на других страницах. Self-hosted Matomo переводит основную страницу в зелёную зону.

Доказательство
Оригинал (разбор)
HAR-файл: eu/eca-europa-eu-2026-05-13.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данныхedps.europa.eu 

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом eca.europa.eu.

2. Обстоятельства
Я посетил сайт eca.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Matomo Cloud (+792 мс) — InnoCraft Ltd. (Новая Зеландия). Данные аналитики Суда аудиторов ЕС передаются третьей стороне за пределами ЕС без согласия. Как у Суда ЕС — cloud вместо self-hosted.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-eca-europa-eu/

3. Нарушенные положения
Regulation 2018/1725 Art. 5, Art. 48

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]