eulisa.europa.eu
Агентство управляющее IT-системами Шенгена и EURODAC — Matomo на собственном субдомене, ноль рекламных трекеров. Единственное замечание: YouTube nocookie embed передаёт IP в Google при загрузке страницы до взаимодействия пользователя.
Хронология утечки
Декларация против факта
Тайминги передачи
Зафиксированные нарушения
-
Regulation 2018/1725 Art. 5YouTube nocookie (+2666 мс) загружается без согласия при наличии видео на странице. youtube-nocookie.com не устанавливает cookies без взаимодействия, но IP посетителя передаётся в Google при загрузке embed. Google.com загружает JS (+5372 мс) в контексте YouTube плеера.
Контекст
eu-LISA — агентство ЕС управляющее крупными IT-системами в области внутренней безопасности: Шенгенская информационная система (SIS II), Визовая информационная система (VIS), EURODAC (база данных отпечатков пальцев). Обрабатывает одни из наиболее чувствительных биометрических данных граждан ЕС. Регулируется Regulation (EU) 2018/1725. HAR: 101 запрос, 6 доменов.
Matomo — правильная аналитика
eu-LISA использует Matomo на собственном субдомене (www.eulisa.europa.eu/stats/matomo.php) — 3 запроса за сессию. Данные об аналитике остаются на серверах eu-LISA, не передаются третьим сторонам. Тот же выбор что у EBA. CSP явно разрешает только https://www.eulisa.europa.eu/stats/ для connect-src.
YouTube nocookie — одно замечание
На главной странице присутствует встроенное YouTube видео (youtube-nocookie.com/embed/iY03f0ltYIc). Домен youtube-nocookie.com не устанавливает cookies без нажатия воспроизведения — отсюда название. Но IP посетителя всё равно передаётся в Google при загрузке embed, плюс Google загружает вспомогательный JS (+5372 мс) и шрифт Roboto через YouTube инфраструктуру.
CSP eu-LISA явно прописывает frame-src 'self' https://www.youtube-nocookie.com — это осознанное разрешение. Решение: отложенная загрузка embed (load on click) или замена на собственный хостинг видео.
Агентство управляющее SIS и EURODAC
Публичный сайт агентства которое управляет биометрическими данными миллионов людей — Matomo на собственном субдомене, ноль рекламных трекеров, CSP. Единственная точка передачи данных в американскую инфраструктуру — YouTube embed, и это задокументировано в CSP.
Вывод
eu-LISA близок к идеалу для агентства своего профиля: Matomo вместо Google Analytics, строгий CSP, ноль рекламных трекеров. YouTube nocookie без отложенной загрузки — единственное замечание, технически устранимое за час работы.
Куда подавать: EDPS — Европейский инспектор по защите данных — edps.europa.eu
Кому: EDPS — Европейский инспектор по защите данных От: [Ваше имя], [контактный email] 1. Предмет жалобы Я подаю жалобу в отношении обработки моих персональных данных сайтом eulisa.europa.eu. 2. Обстоятельства Я посетил сайт eulisa.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее: 1) YouTube nocookie (+2666 мс) загружается без согласия при наличии видео на странице. youtube-nocookie.com не устанавливает cookies без взаимодействия, но IP посетителя передаётся в Google при загрузке embed. Google.com загружает JS (+5372 мс) в контексте YouTube плеера. Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eulisa-europa-eu/ 3. Нарушенные положения Regulation 2018/1725 Art. 5 4. Требование Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR. 5. Приложения Полная доказательная база — HAR-файл, контрольная сумма SHA-256 и цитата из политики конфиденциальности сайта, документирующая указанное противоречие — опубликована и проверяема по ссылке в пункте 2 выше. [Дата] [Подпись/имя]