Технический аудит · 2026-05-31

hpra.ie

HPRA — Орган по регулированию медицинских продуктов Ирландии

HPRA — регулятор лекарственных средств, медицинского оборудования и ветеринарных препаратов Ирландии. 39 запросов, 10 доменов. GTM за 109 мс до баннера. Monotype шрифты и jQuery CDN до согласия. browser-update.org — скрипт без документации. Политика подробна для регуляторных данных и пуста для веб-данных.

Хронология утечки

+244 мс · до баннера

cookie-cdn.cookiepro.com/otSDKStub.js — CookiePro SDK начинает загрузку.

+245 мс · до баннера

code.jquery.com — jQuery Migrate 3.5.2 и jQuery UI 1.13.2 с внешнего CDN jQuery Foundation.

+246 мс · до баннера

customer.cludo.com — Cludo поиск (search-script.min.js, cludo-search-results.js). Датская платформа.

+266 мс · до баннера

www.googletagmanager.com (GTM-WZ6M8HK3) — GTM-контейнер загружается.

+271 мс · до баннера

fast.fonts.net/t/1.css — Monotype шрифтовой сервис. projectid=a3cc82a1. IP пользователя передаётся на серверы Monotype в США.

+582 мс · до согласия

api.cludo.com/api/v3/3499/15036/websites/publicsettings — Cludo API запрашивает конфигурацию (два запроса). browser-update.org/update.min.js — скрипт оповещения об устаревших браузерах.

Декларация против факта

+ Google Tag Manager (GTM-WZ6M8HK3) — не упомянут — не заявлен

+ Monotype / fast.fonts.net — не упомянут — не заявлен

+ Cludo (customer.cludo.com, api.cludo.com) — не упомянут — не заявлен

+ browser-update.org — не упомянут — не заявлен

+ jQuery CDN (code.jquery.com) — не упомянут — не заявлен

Тайминги передачи

+245 мс code.jquery.com до баннера jQuery Migrate 3.5.2 + jQuery UI 1.13.2. jQuery Foundation. США.

+246 мс customer.cludo.com до баннера Cludo поиск JS. Дания.

+266 мс www.googletagmanager.com до баннера GTM-WZ6M8HK3. США.

+271 мс fast.fonts.net до баннера Monotype шрифты. projectid=a3cc82a1. США.

+375 мс cookie-cdn.cookiepro.com баннер CookiePro otBannerSdk.js. UUID 01926cc0.

+582 мс api.cludo.com до согласия Cludo API publicsettings. x2.

+582 мс browser-update.org до согласия update.min.js. Скрипт устаревших браузеров.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-WZ6M8HK3)
Cludo поисковый движок (customer.cludo.com, api.cludo.com)
Monotype / fast.fonts.net (fast.fonts.net)
browser-update.org (browser-update.org)
jQuery CDN (code.jquery.com)
CookiePro / OneTrust (cookie-cdn.cookiepro.com, geolocation.onetrust.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

GTM (GTM-WZ6M8HK3) загружается на +266 мс. Baннер CookiePro (otBannerSdk.js) появляется на +375 мс. Разрыв: 109 мс. Monotype шрифты (fast.fonts.net) загружаются на +271 мс без согласия, передавая IP пользователя на серверы Monotype в США. browser-update.org/update.min.js загружается на +582 мс без согласия. jQuery CDN (code.jquery.com) — два запроса на +245 мс без согласия. Cludo (+246 мс) и Cludo API (+582 мс) — до и после баннера.
GDPR Art. 6(1) — browser-update.org как незадокументированный внешний домен

browser-update.org — открытый проект оповещения пользователей об устаревших браузерах. Скрипт update.min.js загружается на каждой странице и передаёт данные о браузере пользователя на серверы browser-update.org (немецкий некоммерческий проект, но тем не менее внешний получатель IP). В политике конфиденциальности не упомянут.
GDPR Art. 13(1)(e)

Политика конфиденциальности HPRA детально описывает обработку регуляторных данных (лекарственные препараты, медицинские устройства, профессиональные данные), но не содержит ни одного упоминания веб-технических инструментов: GTM, Monotype, Cludo, browser-update.org, jQuery CDN не упомянуты как получатели данных посетителей сайта.

Контекст

HPRA (Health Products Regulatory Authority) — ирландский регулятор лекарственных препаратов, медицинских устройств, ветеринарных препаратов и косметики. Участвует в Европейской сети регуляторов лекарственных средств (HMA). Sensitivity — high: посетители сайта могут быть медицинскими специалистами, пациентами или лицами, сообщающими о нежелательных реакциях на препараты. HAR: 39 запросов, 10 доменов.

GTM за 109 мс до баннера

GTM-WZ6M8HK3 загружается на +266 мс. CookiePro баннер — на +375 мс. Паттерн идентичен tcd.ie, oireachtas.ie и другим сайтам серии: CMP присутствует, но GTM инициализируется до завершения рендера баннера. Что активирует GTM-контейнер в эти 109 мс — из HAR определить невозможно без аудита содержимого контейнера, но окно существует.

Monotype — корпоративный шрифтовой сервис

fast.fonts.net — Monotype Fonts платформа, корпоративная альтернатива Google Fonts. В отличие от Google Fonts, Monotype является платной подпиской и используется преимущественно организациями с корпоративными лицензиями. Каждый запрос к fast.fonts.net/t/1.css?apiType=css&projectid=a3cc82a1-363c-45d7-bdf2-43868f698a3a передаёт IP-адрес посетителя на американские серверы Monotype. Загружается на +271 мс — до согласия, без упоминания в политике.

browser-update.org — скрипт без риска, но без документации

browser-update.org/update.min.js — открытый инструмент оповещения пользователей об устаревших браузерах. Проект некоммерческий, немецкого происхождения, без явной рекламной или трекинговой функции. Тем не менее каждый запрос передаёт IP-адрес и user-agent на внешние серверы. Скрипт возвращает статус 304 (Not Modified), что означает наличие кешированной версии — браузер посетителя уже обращался к этому серверу ранее. В политике конфиденциальности не упомянут.

jQuery CDN — решаемая зависимость

jQuery Migrate 3.5.2 и jQuery UI 1.13.2 загружаются с code.jquery.com (+245 мс). Локальная копия jQuery 3.7.1 уже хостится на www.hpra.ie/ResourcePackages/HPRA/assets/dist/hpra/css/jquery.min.js. Отдельные jQuery-плагины (Migrate, UI) загружаются с внешнего CDN, тогда как основная библиотека — локально. Это неконсистентное решение: перенести jQuery Migrate и UI локально является тривиальной задачей.

Политика: подробная для регуляторных данных, пустая для веб

Политика конфиденциальности детально и корректно описывает обработку данных в регуляторном контексте: правовые основания по Art. 6(1)(a)(c)(e), специальные категории по Art. 9(1)(i), передача данных европейским регуляторным партнёрам, хранение. Ни одного слова о веб-технических инструментах. GTM, Monotype, Cludo, browser-update.org и jQuery CDN — все без упоминания.

Ни один из 39 запросов не устанавливает cookie через Set-Cookie.

Вывод

hpra.ie воспроизводит стандартный паттерн ирландской серии: CMP присутствует, GTM опережает баннер. Специфика — необычный состав внешних зависимостей: Monotype вместо Google Fonts, browser-update.org, Cludo. Ни один из этих инструментов не задокументирован в политике, ориентированной исключительно на регуляторные данные. Для органа, регулирующего продукты, влияющие на здоровье граждан, полнота документации о данных посетителей сайта является не менее важной, чем точность регуляторных записей.

Доказательство

Оригинал (разбор)

HAR-файл: ie/hpra-ie-2026-05-31.har

SHA-256: 09f01c7a7bff94416475dd809875a223682f0ff8b9668d228c5470b375284fda

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом hpra.ie.

2. Обстоятельства
Я посетил сайт hpra.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-WZ6M8HK3) загружается на +266 мс. Baннер CookiePro (otBannerSdk.js) появляется на +375 мс. Разрыв: 109 мс. Monotype шрифты (fast.fonts.net) загружаются на +271 мс без согласия, передавая IP пользователя на серверы Monotype в США. browser-update.org/update.min.js загружается на +582 мс без согласия. jQuery CDN (code.jquery.com) — два запроса на +245 мс без согласия. Cludo (+246 мс) и Cludo API (+582 мс) — до и после баннера.

2) browser-update.org — открытый проект оповещения пользователей об устаревших браузерах. Скрипт update.min.js загружается на каждой странице и передаёт данные о браузере пользователя на серверы browser-update.org (немецкий некоммерческий проект, но тем не менее внешний получатель IP). В политике конфиденциальности не упомянут.

3) Политика конфиденциальности HPRA детально описывает обработку регуляторных данных (лекарственные препараты, медицинские устройства, профессиональные данные), но не содержит ни одного упоминания веб-технических инструментов: GTM, Monotype, Cludo, browser-update.org, jQuery CDN не упомянуты как получатели данных посетителей сайта.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/hpra-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — browser-update.org как незадокументированный внешний домен; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]