Технический аудит · 2026-05-31

gov.ie

gov.ie — официальный портал правительства Ирландии

gov.ie — главный портал правительства Ирландии. 15 запросов, 3 домена — все ирландские. Нет Google, нет GTM, нет рекламных сетей. Шрифты, иконки, CSS — всё локально на assets.gov.ie. Единственный внешний трекер — государственная Matomo-инстанция. Активируется без баннера согласия.

Хронология утечки

+49 мс · загрузка

assets.gov.ie — все ресурсы: Lato woff2 (400, 700), Material Symbols woff2, CSS дизайн-системы, JS модули. Всё локально.

+76 мс · без баннера

track.analytics.services.gov.ie/tr4ck3rj — Matomo JS загружается. Государственный домен analytics.services.gov.ie.

+123 мс · без баннера

track.analytics.services.gov.ie/tr4ck3rp — Matomo трекинговый запрос: idsite=1, action_name=Government of Ireland: Welcome to gov.ie, полный URL. Нет cookie-баннера.

Декларация против факта

✓ Matomo Analytics — подробно задокументирован с описанием cookieless режима — заявлен

✓ Риск захвата PII через поисковую строку — явно предупреждён в политике — заявлен

Тайминги передачи

+76 мс track.analytics.services.gov.ie без баннера Matomo JS tr4ck3rj. Государственный домен. idsite=1.

+123 мс track.analytics.services.gov.ie без баннера Matomo PHP tr4ck3rp. Трекинговый запрос. Cookieless.

Зафиксированные трекеры

Государственная Matomo-инстанция (track.analytics.services.gov.ie)

Зафиксированные нарушения

GDPR Art. 7; ePrivacy Regulations (SI 336/2011) — cookieless tracking без согласия

track.analytics.services.gov.ie/tr4ck3rj загружается на +76 мс и отправляет трекинговый запрос /tr4ck3rp на +123 мс — при первой загрузке страницы, без баннера согласия и без какого-либо взаимодействия пользователя. Политика декларирует cookieless tracking без PII. Тем не менее сам факт передачи данных о посещении (IP, user-agent, URL, временные метки) на внешний сервер происходит до согласия. ePrivacy Regulations распространяются не только на cookies, но и на любой доступ к терминальному оборудованию пользователя или хранение информации о нём.
GDPR Art. 5(1)(a) — прозрачность

Политика предупреждает: Matomo «may capture and store any PII entered using the search feature on gov.ie. This can occur if users include names, email addresses, or other personal data in their search queries». Это честное раскрытие риска, редкое среди проверенных сайтов серии. Однако наличие этого риска при отсутствии баннера и механизма opt-in усиливает нарушение: пользователь не может отказаться от аналитики до начала взаимодействия с сайтом.

Контекст

gov.ie — центральный информационный портал правительства Ирландии, управляемый Департаментом государственных расходов, инфраструктуры, реформы публичной службы и цифровизации. HAR: 15 запросов, 3 домена. 12 запросов к assets.gov.ie (государственный CDN для статических ресурсов), 1 к www.gov.ie, 2 к track.analytics.services.gov.ie.

Архитектурная дисциплина

gov.ie демонстрирует государственную архитектуру, созданную под требования приватности: шрифты Lato и Material Symbols хостятся на assets.gov.ie, а не на Google Fonts. CSS дизайн-системы, все JS-модули, иконки — локально. Нет Google Tag Manager, нет Google Analytics, нет Facebook, нет CDN сторонних библиотек. Единственное внешнее соединение — государственная Matomo-инстанция на домене analytics.services.gov.ie.

Matomo без баннера — системный выбор

Политика конфиденциальности описывает Matomo честно и детально: cookieless tracking, отсутствие PII в стандартных запросах, анонимизация IP. Это значительно лучше, чем большинство сайтов ирландской серии, где аналитика не упомянута вовсе. Но Matomo запускается при первой загрузке страницы — нет баннера, нет opt-in механизма, нет возможности отказаться до начала отслеживания.

Это та же модель, что у revenue.ie и OGCIO: государственная инфраструктура, cookieless режим, добросовестная документация — но активация до согласия. Cookieless tracking не освобождает от требования ePrivacy Regulations: директива и её ирландская имплементация (SI 336/2011) распространяются на любой доступ к информации о терминальном оборудовании пользователя или хранение информации о нём, вне зависимости от использования cookies.

Раскрытие риска PII в поиске

Особого внимания заслуживает следующий абзац политики: Matomo «may capture and store any PII entered using the search feature on gov.ie. This can occur if users include names, email addresses, or other personal data in their search queries. We advise users not to enter personal or sensitive information into the search bar». Это редкий случай, когда государственный орган честно предупреждает о конкретном риске захвата персональных данных через аналитический инструмент. Такая прозрачность заслуживает фиксации. Одновременно это делает отсутствие механизма opt-in более заметным: пользователь предупреждён о риске, но не имеет возможности от него защититься техническим способом.

Ни один из 15 запросов не устанавливает cookie через Set-Cookie. Matomo работает в полностью cookieless режиме — это соответствует задекларированной политике.

Вывод

gov.ie — главный портал правительства страны — воплощает государственную архитектуру приватности: локальные ресурсы, собственная аналитическая инфраструктура, честная и детальная политика. Единственное нарушение — отсутствие механизма opt-in для Matomo — носит процедурный характер и совпадает с системным выбором, сделанным для всей платформы gov.ie. Из всех ирландских государственных сайтов серии gov.ie ближе всего к правильной архитектуре: остаётся один шаг — добавить баннер согласия перед Matomo запросом.

Доказательство

Оригинал (разбор)

HAR-файл: ie/gov-ie-2026-05-31.har

SHA-256: 617f9e13b7eda3cc02fe6ab131229fc4d8d5b37fc7783d2b3917c981b4c15387

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом gov.ie.

2. Обстоятельства
Я посетил сайт gov.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) track.analytics.services.gov.ie/tr4ck3rj загружается на +76 мс и отправляет трекинговый запрос /tr4ck3rp на +123 мс — при первой загрузке страницы, без баннера согласия и без какого-либо взаимодействия пользователя. Политика декларирует cookieless tracking без PII. Тем не менее сам факт передачи данных о посещении (IP, user-agent, URL, временные метки) на внешний сервер происходит до согласия. ePrivacy Regulations распространяются не только на cookies, но и на любой доступ к терминальному оборудованию пользователя или хранение информации о нём.

2) Политика предупреждает: Matomo «may capture and store any PII entered using the search feature on gov.ie. This can occur if users include names, email addresses, or other personal data in their search queries». Это честное раскрытие риска, редкое среди проверенных сайтов серии. Однако наличие этого риска при отсутствии баннера и механизма opt-in усиливает нарушение: пользователь не может отказаться от аналитики до начала взаимодействия с сайтом.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/gov-ie/

3. Нарушенные положения
GDPR Art. 7; ePrivacy Regulations (SI 336/2011) — cookieless tracking без согласия; GDPR Art. 5(1)(a) — прозрачность

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]