Технический аудит · 2026-05-31

ibec.ie

Ibec — Ирландская конфедерация бизнеса и работодателей

Ирландская конфедерация бизнеса и работодателей — лоббистская организация, представляющая крупный бизнес. 72 запроса, 16 доменов. Datadog RUM (19 запросов) и GTM загружаются за 126 мс до OneTrust SDK и за 365 мс до баннера. Facebook SDK и Google Ads до согласия.

Хронология утечки

+251 мс · до баннера

cdnjs.cloudflare.com — Font Awesome 4.7.0 CSS.

+252 мс · до баннера

use.typekit.net — Adobe Typekit CSS. Шрифтовой сервис Adobe, США.

+256 мс · до баннера

assets.juicer.io — Juicer embed.js и embed.css. Социальный агрегатор.

+276 мс · до баннера

www.datadoghq-browser-agent.com/eu1/v4/datadog-rum.js — Datadog RUM агент загружается.

+278 мс · до баннера

www.googletagmanager.com (GTM-P8PZS84) — GTM-контейнер.

+279 мс · до баннера

browser-intake-datadoghq.com — первый Datadog запрос (CSP-отчёт, статус 415).

+281 мс · до баннера

p.typekit.net — Typekit телеметрия посещения. account=hjl5fnd. США.

+374 мс · до баннера

rum.browser-intake-datadoghq.eu — первый успешный RUM запрос (статус 202). Datadog начинает запись сессии.

+409 мс · до баннера

pagead2.googlesyndication.com — Google Ads conversion pixel. page_view event через GTM.

+415 мс · до баннера

connect.facebook.net — Facebook SDK (два запроса). Meta серверы, США.

+511 мс · до баннера

www.juicer.io/api/page_views — Juicer трекинг просмотров страницы. США.

Декларация против факта

+ Datadog RUM — не упомянут в доступной политике — не заявлен

+ Google Tag Manager (GTM-P8PZS84) — не упомянут — не заявлен

+ Google Ads (pagead2.googlesyndication.com) — не упомянут — не заявлен

+ Facebook SDK (connect.facebook.net) — не упомянут — не заявлен

+ Adobe Typekit (use.typekit.net) — не упомянут — не заявлен

+ Juicer (www.juicer.io) — не упомянут — не заявлен

+ LinkedIn (media.licdn.com) — не упомянут — не заявлен

Тайминги передачи

+276 мс www.datadoghq-browser-agent.com до баннера Datadog RUM eu1. США/ЕС.

+278 мс www.googletagmanager.com до баннера GTM-P8PZS84. США.

+374 мс rum.browser-intake-datadoghq.eu до баннера Datadog RUM данные сессии. EU endpoint.

+402 мс cdn.cookielaw.org OneTrust SDK otSDKStub.js. OneTrust UUID 83cb9a8f.

+409 мс pagead2.googlesyndication.com до баннера Google Ads ccm/collect. page_view. США.

+415 мс connect.facebook.net до баннера Facebook SDK en_US. США.

+511 мс www.juicer.io до баннера Juicer /api/page_views. США.

+617 мс cdn.cookielaw.org баннер OneTrust otBannerSdk.js — баннер виден.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-P8PZS84)
Google Ads / DoubleClick (pagead2.googlesyndication.com)
Facebook SDK (connect.facebook.net)
Datadog RUM (www.datadoghq-browser-agent.com, browser-intake-datadoghq.com, rum.browser-intake-datadoghq.eu)
Adobe Typekit (use.typekit.net, p.typekit.net)
Juicer социальный агрегатор (www.juicer.io, assets.juicer.io)
LinkedIn медиа (media.licdn.com)
OneTrust CMP (cdn.cookielaw.org, geolocation.onetrust.com)
Cloudflare cdnjs (cdnjs.cloudflare.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

Datadog RUM (www.datadoghq-browser-agent.com/eu1/v4/datadog-rum.js) загружается на +276 мс и немедленно начинает отправку данных (+279 мс первый запрос к browser-intake-datadoghq.com, +374 мс первый RUM запрос к rum.browser-intake-datadoghq.eu). GTM (GTM-P8PZS84) загружается на +278 мс. Typekit на +252 мс. Juicer на +256 мс. Facebook SDK на +415 мс. Google Ads (pagead2.googlesyndication.com) на +409 мс. OneTrust SDK загружается на +402 мс — после Datadog, GTM, Typekit и Juicer. Баннер (otBannerSdk.js) появляется на +617 мс — когда большинство трекеров уже работают более 300 мс.
GDPR Art. 6(1) — Datadog RUM как приоритетный трекер

Datadog Real User Monitoring — инструмент мониторинга производительности и UX, записывающий сессионные данные: время загрузки, клики, ошибки, XHR-запросы. Генерирует 19 запросов к datadoghq доменам. Запросы к browser-intake-datadoghq.com возвращают статус 415 (Unsupported Media Type) — CSP-отчёты, которые сервер отклоняет, но сам RUM-трафик к rum.browser-intake-datadoghq.eu проходит успешно (статус 202). Всё до согласия.
GDPR Art. 13(1)(e)

Политика конфиденциальности ссылается на Cookies Policy как отдельный документ, не предоставленный в архиве. В доступном тексте политики Datadog, Facebook SDK, Google Ads, Juicer, Adobe Typekit, LinkedIn не упомянуты поимённо.

Контекст

Ibec (Irish Business and Employers Confederation) — крупнейшая лоббистская и работодательская организация Ирландии, представляющая около 7 500 компаний. HAR: 72 запроса, 16 доменов. 15 запросов к собственным доменам (www.ibec.ie + cdn.ibec.ie) — остальные 57 к четырнадцати внешним доменам.

Datadog RUM — 19 запросов, первым до согласия

Самый активный внешний домен в сессии — не Google и не Facebook, а Datadog: 19 запросов к трём datadoghq-доменам. Datadog Real User Monitoring записывает поведение пользователя в браузере: время загрузки страниц, клики, XHR-запросы, ошибки JS, сетевые задержки. Загружается на +276 мс — раньше GTM (+278 мс) и за 341 мс до баннера OneTrust (+617 мс).

Запросы к browser-intake-datadoghq.com возвращают статус 415 — это CSP-отчёты, которые сервер отклоняет из-за несоответствия Content-Type. Сам RUM-трафик к rum.browser-intake-datadoghq.eu проходит успешно (202). Ibec использует EU endpoint Datadog, что снижает риск трансатлантической передачи данных, но не устраняет факт записи сессии без согласия.

GTM раньше OneTrust — структурная проблема

GTM-P8PZS84 загружается на +278 мс. OneTrust SDK — на +402 мс. 124 мс — промежуток, в течение которого GTM-контейнер активен и запускает теги: через него активируются Google Ads (+409 мс) и Facebook SDK (+415 мс). Оба до завершения инициализации баннера (+617 мс). Это та же структурная проблема, что и на других сайтах серии: OneTrust присутствует, но не контролирует GTM.

Facebook SDK и Google Ads без согласия

connect.facebook.net — Facebook/Meta SDK — загружается на +415 мс (два запроса). pagead2.googlesyndication.com/ccm/collect — Google Ads conversion pixel — на +409 мс с параметром en=page_view. Оба через GTM, оба до отображения баннера. Политика конфиденциальности Ibec не упоминает ни Facebook, ни Google Ads как получателей данных посетителей сайта.

Ни один из 72 запросов не устанавливает cookie через Set-Cookie. Datadog, Facebook и Google Ads работают через параметры запросов и localStorage без cookies — что делает их менее видимыми для стандартных cookie-аудитов.

Вывод

ibec.ie воспроизводит системный паттерн ирландской серии — OneTrust присутствует, но не контролирует скрипты, инициализирующиеся раньше баннера — с дополнительным элементом: Datadog RUM как первый и самый активный внешний трекер, о котором политика конфиденциальности не содержит ни слова. Семь внешних получателей данных не задокументированы в доступной политике. Cookies Policy как отдельный документ не предоставлена.

Доказательство

Оригинал (разбор)

HAR-файл: ie/ibec-ie-2026-05-31.har

SHA-256: 7528c09145484cdb9707ea0f947d6e0f87fb3d917ad8f834f385a186581e1cef

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ibec.ie.

2. Обстоятельства
Я посетил сайт ibec.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Datadog RUM (www.datadoghq-browser-agent.com/eu1/v4/datadog-rum.js) загружается на +276 мс и немедленно начинает отправку данных (+279 мс первый запрос к browser-intake-datadoghq.com, +374 мс первый RUM запрос к rum.browser-intake-datadoghq.eu). GTM (GTM-P8PZS84) загружается на +278 мс. Typekit на +252 мс. Juicer на +256 мс. Facebook SDK на +415 мс. Google Ads (pagead2.googlesyndication.com) на +409 мс. OneTrust SDK загружается на +402 мс — после Datadog, GTM, Typekit и Juicer. Баннер (otBannerSdk.js) появляется на +617 мс — когда большинство трекеров уже работают более 300 мс.

2) Datadog Real User Monitoring — инструмент мониторинга производительности и UX, записывающий сессионные данные: время загрузки, клики, ошибки, XHR-запросы. Генерирует 19 запросов к datadoghq доменам. Запросы к browser-intake-datadoghq.com возвращают статус 415 (Unsupported Media Type) — CSP-отчёты, которые сервер отклоняет, но сам RUM-трафик к rum.browser-intake-datadoghq.eu проходит успешно (статус 202). Всё до согласия.

3) Политика конфиденциальности ссылается на Cookies Policy как отдельный документ, не предоставленный в архиве. В доступном тексте политики Datadog, Facebook SDK, Google Ads, Juicer, Adobe Typekit, LinkedIn не упомянуты поимённо.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ibec-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — Datadog RUM как приоритетный трекер; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]