EUGDPR Audit
RU EN
Технический аудит · 2026-05-31

garda.ie

An Garda Síochána — национальная полицейская служба Ирландии
IE

An Garda Síochána — национальная полиция Ирландии. 65 запросов, 6 доменов. Twitter виджет и Facebook SDK загружаются на +184 мс. GTM на +235 мс. Нет cookie-баннера. Implied consent: «By using this website, you consent». Шрифты, jQuery, Bootstrap, Font Awesome — всё локально. Политика описывает GA, которого нет в HAR.

Хронология утечки

+179 мс · без баннера
www.garda.ie/includes/js/cookies.js — собственный cookie-скрипт загружается. Баннер не появляется.
+179 мс · без баннера
fonts.googleapis.com — Open Sans (300, 400, 600, 700, 800). IP пользователя передаётся на серверы Google в США.
+184 мс · без баннера
platform.twitter.com/widgets.js — Twitter виджет загружается. Лента твитов An Garda Síochána.
+184 мс · без баннера
connect.facebook.net/en_US/sdk.js — Facebook SDK. Социальные кнопки на сайте полиции.
+222 мс · без баннера
fonts.gstatic.com — Open Sans woff2. Google серверы, США.
+235 мс · без баннера
www.googletagmanager.com (GTM-PDJWCBG) — GTM-контейнер. Нет cookie-баннера ни до, ни после.

Декларация против факта

Google Analytics — упомянут в политике с implied consent — заявлен
+ Google Tag Manager (GTM-PDJWCBG) — не упомянут — не заявлен
+ Twitter widgets (platform.twitter.com) — не упомянут — не заявлен
+ Facebook SDK (connect.facebook.net) — не упомянут — не заявлен
+ Google Fonts (fonts.googleapis.com) — не упомянут — не заявлен

Тайминги передачи

+179 мс fonts.googleapis.com без баннера Open Sans 5 начертаний. США.
+184 мс platform.twitter.com без баннера Twitter widgets.js. США.
+184 мс connect.facebook.net без баннера Facebook SDK en_US. США.
+222 мс fonts.gstatic.com без баннера Open Sans woff2. США.
+235 мс www.googletagmanager.com без баннера GTM-PDJWCBG. США.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

An Garda Síochána — национальная полицейская служба Ирландии. Сайт является официальным каналом коммуникации: пресс-релизы, информация об исчезнувших людях, предупреждения о преступлениях, контакты участков. Посетители сайта — в том числе жертвы преступлений, свидетели, уязвимые граждане. Sensitivity — high. HAR: 65 запросов, 6 доменов. 60 запросов к www.garda.ie.

Что сделано правильно

Техническая дисциплина в части локальных ресурсов: jQuery 3.6.0, jQuery Migrate, jQuery UI 1.13.3, Bootstrap 4.6.2, Moment.js, SweetAlert2, Font Awesome 4.6.3 — все размещены локально. Собственные шрифты OWL Carousel, изображения, JS-модули — всё на www.garda.ie. Нет рекламных сетей, нет аналитических платформ помимо GTM.

Twitter и Facebook — социальные виджеты без согласия

На главной странице сайта полиции размещены виджеты Twitter (лента публикаций) и кнопки Facebook. Оба загружаются на +184 мс при первом открытии страницы. Twitter platform.twitter.com/widgets.js и Facebook connect.facebook.net/en_US/sdk.js — каждый передаёт IP-адрес посетителя на серверы Meta и X Corp. в США без согласия. Эти виджеты технически можно реализовать через статические ссылки на профили без загрузки внешних SDK — это устранило бы передачу данных.

Implied consent — восьмой год нарушения

Политика содержит: «By using this website, you consent to the processing of data about you by Google in the manner and for the purposes set out above». Эта формула была стандартной до GDPR (2018). Сейчас это прямое нарушение Art. 7(1): согласие должно быть свободным, конкретным, информированным и выраженным недвусмысленным подтверждающим действием. Продолжение использования сайта не является согласием. Национальная полиция публикует эту формулу восьмой год после вступления GDPR в силу.

GTM без GA в HAR

Политика описывает Google Analytics с cookies _ga и _gid — типичные cookie Universal Analytics. В HAR запросов к www.google-analytics.com, analytics.js или region1.google-analytics.com не зафиксировано. GTM (GTM-PDJWCBG) загружается, но GA-трафик в HAR отсутствует. Возможно, конфигурация GTM изменена, но политика не обновлена. Либо GA активируется иначе и не попал в HAR данной сессии.

Место на шкале ирландской серии

garda.ie обрабатывает публикации об исчезнувших людях и жертвах преступлений — 12 фотографий разыскиваемых лиц загружены на первой странице. Посетители в этом контексте могут быть в острой ситуации. Передача их данных в Facebook и Twitter без согласия при обращении к государственному правоохранительному ресурсу является нарушением с особым институциональным весом.

Set-Cookie — ноль

Ни один из 65 запросов не устанавливает cookie через Set-Cookie.

Вывод

garda.ie воспроизводит паттерн military.ie: implied consent, GTM без баннера, политика описывает устаревшую архитектуру. Специфика — Twitter и Facebook SDK на сайте полиции, посетители которого нередко обращаются в чувствительных обстоятельствах. Исправление стандартное: убрать implied consent, добавить cookie-баннер перед GTM, заменить Twitter/Facebook виджеты статическими ссылками, разместить шрифты локально, обновить политику.

Доказательство
Оригинал (разбор)
HAR-файл: ie/garda-ie-2026-05-31.har
SHA-256: 354e091d996cfbbe95332ec45a863e9aad68ec6a81d85d17b781acf2d678050f
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данныхdataprotection.ie 

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом garda.ie.

2. Обстоятельства
Я посетил сайт garda.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (fonts.googleapis.com, Open Sans) загружается на +179 мс. Twitter widgets.js (platform.twitter.com) — на +184 мс. Facebook SDK (connect.facebook.net/en_US/sdk.js) — на +184 мс. GTM (GTM-PDJWCBG) — на +235 мс. Нет cookie-баннера. Нет механизма согласия. Собственный cookies.js (+179 мс) — модуль без функции баннера, видимого в HAR. Все четыре внешних сервиса активируются при первой загрузке страницы без какого-либо взаимодействия пользователя.

2) Политика конфиденциальности содержит: «By using this website, you consent to the processing of data about you by Google in the manner and for the purposes set out above». Implied consent — согласие через продолжение использования сайта — прямо противоречит GDPR Art. 7(1): согласие должно быть выражено активным действием, предшествующим обработке данных. Это та же формула, что у military.ie, последний раз актуальная до мая 2018 года.

3) Политика упоминает Google Analytics. Twitter widgets, Facebook SDK и GTM не упомянуты. Политика описывает Google Analytics с cookies _ga, _gid — это Universal Analytics. В HAR GTM активен, GA-запросов к analytics.js не зафиксировано. Политика не соответствует реальной архитектуре.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/garda-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 7 — implied consent; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]