eda.europa.eu
Европейское оборонное агентство — 4 домена. Почти чистый результат: Google Fonts единственная внешняя зависимость передающая данные в США. CSP упоминает Typeform и Issuu — потенциальные точки расширения на других страницах.
Хронология утечки
Декларация против факта
Тайминги передачи
Зафиксированные трекеры
- Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Зафиксированные нарушения
-
Regulation 2018/1725 Art. 5Google Fonts (+305 мс) загружается без согласия. IP посетителей сайта оборонного агентства ЕС передаётся в Google (США) при каждом открытии страницы.
Контекст
European Defence Agency (EDA) — агентство ЕС по развитию оборонного потенциала, военных технологий и европейского сотрудничества в сфере обороны. Координирует программы PESCO (Постоянное структурированное сотрудничество). Регулируется Regulation (EU) 2018/1725. HAR: 91 запрос, 4 домена.
Что показал HAR
Четыре домена: eda.europa.eu, www.eda.europa.eu (поддомен с изображениями публикаций), fonts.googleapis.com и fonts.gstatic.com. Ноль трекеров, ноль Set-Cookie. Google Fonts — единственная внешняя зависимость передающая данные за пределы europa.eu.
Интересная деталь: один из запросов загружает изображение документа о критической морской инфраструктуре PESCO (pesco-critical-seabed-infrastructure) — тематика публикации видна в HAR-логе.
CSP — потенциальные точки расширения
Content-Security-Policy разрешает frame-src для нескольких внешних сервисов: https://e.issuu.com/ (американская платформа публикаций), https://form.typefo... (Typeform — американская платформа форм). В этой сессии запросы к ним не зафиксированы, но на других страницах сайта они могут активироваться. Для оборонного агентства ЕС — точки заслуживающие внимания.
Cloudflare как WAF
Как и у Совета ЕС — server: cloudflare. Сетевой трафик проходит через американскую инфраструктуру Cloudflare. На уровне HAR внешних запросов это не видно, но на сетевом уровне данные о посетителях проходят через США.
Google Fonts — одно исправление
Самохостинг Source Sans 3 устранит единственную зафиксированную передачу данных в США. Шрифт доступен на Google Fonts с лицензией SIL OFL — можно скачать и разместить на eda.europa.eu. Одна строка в CSS.
Вывод
Европейское оборонное агентство — почти идеальный результат. Одна внешняя зависимость на уровне HAR: Google Fonts. Самохостинг шрифта переводит сайт в зелёную зону. CSP указывает на потенциальные внешние сервисы на других страницах — Issuu и Typeform — которые стоит проверить отдельно.
Куда подавать: EDPS — Европейский инспектор по защите данных — edps.europa.eu
Кому: EDPS — Европейский инспектор по защите данных От: [Ваше имя], [контактный email] 1. Предмет жалобы Я подаю жалобу в отношении обработки моих персональных данных сайтом eda.europa.eu. 2. Обстоятельства Я посетил сайт eda.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее: 1) Google Fonts (+305 мс) загружается без согласия. IP посетителей сайта оборонного агентства ЕС передаётся в Google (США) при каждом открытии страницы. Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-eda-europa-eu/ 3. Нарушенные положения Regulation 2018/1725 Art. 5 4. Требование Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR. 5. Приложения Полная доказательная база — HAR-файл, контрольная сумма SHA-256 и цитата из политики конфиденциальности сайта, документирующая указанное противоречие — опубликована и проверяема по ссылке в пункте 2 выше. [Дата] [Подпись/имя]