Технический аудит · 2026-05-31

supremecourt.ie

Верховный суд Ирландии — Courts Service

Верховный суд Ирландии — высший орган судебной власти государства. 48 запросов, 8 доменов — все Google. Политика прямо заявляет: Google Analytics отключён до согласия. HAR фиксирует GA4 и GTM при первой загрузке без согласия. Google Maps без согласия — 10 запросов.

Хронология утечки

+2571 мс · до баннера

fonts.googleapis.com — три семейства шрифтов (Material Symbols, Lato, Merriweather). IP пользователя уходит на серверы Google в США.

+2572 мс · до баннера

www.googletagmanager.com (gtag/js?id=G-RR6DNWRHZ8) — GTM с GA4 ID загружается без согласия.

+2573 мс · до баннера

supremecourt.ie/ResourcePackages/cookies-manager/cookies-manager.js — собственный менеджер cookies загружается. Баннер ещё не отображён.

+2618 мс · до баннера

www.googletagmanager.com (gtm.js?id=GTM-WFCZMFWN) — основной GTM-контейнер загружается.

+2811 мс · до баннера

www.google.com/maps/embed — Google Maps iframe загружается без согласия.

+3116–3312 мс · до баннера

maps.gstatic.com и maps.googleapis.com — 10 запросов: Maps JS API, geometry, search, main, common, util, map, places, StaticMapService. Все без согласия.

+7870 мс

region1.google-analytics.com/g/collect — GA4 трекинговый запрос: tid=G-RR6DNWRHZ8, gtm=45je65r2. Set-Cookie — ноль во всей сессии.

Декларация против факта

✓ Google Analytics — упомянут в политике как 'disabled by default unless you accept cookies' — заявлен

✓ Google Maps — упомянут косвенно через описание функциональности — заявлен

✓ YouTube — упомянут в разделе 'Other third-party cookies' — заявлен

+ Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — не упомянут — не заявлен

+ GTM-WFCZMFWN — GTM-контейнер не упомянут поимённо — не заявлен

Тайминги передачи

+2571 мс fonts.googleapis.com до баннера Material Symbols + Lato + Merriweather. США.

+2572 мс www.googletagmanager.com до баннера gtag/js GA4 G-RR6DNWRHZ8. США.

+2618 мс www.googletagmanager.com до баннера GTM-WFCZMFWN контейнер. США.

+2621 мс fonts.gstatic.com до баннера Lato woff2 файлы. США.

+2811 мс www.google.com до баннера Google Maps embed iframe. США.

+3116 мс maps.gstatic.com до баннера Maps API init_embed.js. США.

+3122 мс maps.googleapis.com до баннера Maps JS API + geometry + search + main. США.

+7870 мс region1.google-analytics.com без согласия GA4 g/collect. Полный трекинговый запрос. США.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-WFCZMFWN)
Google Analytics GA4 (G-RR6DNWRHZ8, region1.google-analytics.com)
Google Maps (maps.googleapis.com, maps.gstatic.com)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

Google Tag Manager (GTM-WFCZMFWN) и Google Fonts загружаются на +2571–2572 мс — при первой загрузке страницы, без согласия пользователя. GA4 (G-RR6DNWRHZ8) активируется через GTM и отправляет трекинговый запрос на region1.google-analytics.com (+7870 мс). Политика конфиденциальности заявляет, что Google Analytics отключён по умолчанию до принятия cookies. HAR фиксирует запуск GTM и GA4 без какого-либо взаимодействия пользователя с баннером.
GDPR Art. 6(1), Art. 44–46 — передача данных в третьи страны

Google Maps загружается на +2811–3312 мс (10 запросов к maps.googleapis.com, maps.gstatic.com) без согласия. Google Maps передаёт IP-адрес пользователя и использует API-ключ сайта при каждой загрузке страницы — вне зависимости от того, взаимодействовал ли пользователь с картой. Данные уходят на серверы Google в США.
GDPR Art. 5(1)(a) — законность и прозрачность

Политика конфиденциальности явно указывает: «We use Google Analytics to collect anonymised information (disabled by default unless you accept cookies)». Это утверждение не соответствует факту: GA4 активируется через GTM без принятия cookies.

Контекст

Верховный суд Ирландии (Supreme Court) — высший орган судебной власти государства. Сайт управляется Courts Service — организацией, ответственной за администрирование судебной системы страны. HAR: 48 запросов, 8 доменов. Все восемь внешних доменов принадлежат Google. Пользователи сайта — в том числе участники судебных разбирательств, ищущие информацию о своих делах.

Политика говорит «отключён» — HAR фиксирует обратное

Политика конфиденциальности Courts Service прямо указывает: «We use Google Analytics to collect anonymised information (disabled by default unless you accept cookies)». Это конкретное утверждение о техническом факте, поддающемся проверке.

HAR фиксирует: GTM с идентификатором GA4 G-RR6DNWRHZ8 загружается на +2572 мс при первой загрузке страницы. Основной GTM-контейнер GTM-WFCZMFWN — на +2618 мс. GA4 отправляет полный трекинговый запрос на region1.google-analytics.com на +7870 мс с параметрами tid=G-RR6DNWRHZ8, gtm=45je65r2. Никакого взаимодействия пользователя с баннером согласия в промежутке не зафиксировано. Cookies не установлены.

Заявление политики не соответствует техническому факту. Это нарушение принципа прозрачности по Art. 5(1)(a): субъект данных получает недостоверную информацию о фактической обработке его данных.

Google Maps — 10 запросов без согласия

На главной странице размещена встроенная карта Google Maps. При загрузке страницы без какого-либо взаимодействия пользователя с картой или баннером согласия инициируется 10 запросов к серверам Google: iframe Maps embed (+2811 мс), Maps JS API с библиотеками geometry, search, main, common, util, map, places (+3116–3259 мс), StaticMapService (+3312 мс). Каждый запрос передаёт IP-адрес пользователя на серверы Google в США. Встроенная карта Google Maps без режима согласия или замены на статическое изображение является стандартным источником нарушений Art. 6(1) — это подтверждено решениями надзорных органов Австрии, Германии и Франции.

Google Fonts — три семейства шрифтов

На +2571 мс загружаются три семейства шрифтов с fonts.googleapis.com: Material Symbols, Lato, Merriweather. Все три можно разместить локально. Каждый запрос к серверам Google передаёт IP-адрес посетителя. В политике конфиденциальности Google Fonts не упомянут.

Ни один из 48 запросов не устанавливает cookie через Set-Cookie. Тем не менее чувствительность сайта оценена как высокая: пользователи Верховного суда могут быть участниками судебных дел, жертвами преступлений или лицами, ищущими правовую защиту. Передача данных об их посещениях в Google без согласия имеет иной характер риска, чем аналогичное нарушение на коммерческом сайте.

Вывод

supremecourt.ie нарушает собственную документированную политику: Google Analytics задекларирован как отключённый по умолчанию, но активируется при первой загрузке страницы. Google Maps генерирует 10 запросов к серверам Google без согласия. Google Fonts передаёт IP-адреса на три внешних запроса. Исправление требует: переноса GTM за баннер согласия, замены встроенной Google Maps на статическое изображение или lazy-load с блокировкой до согласия, локального хостинга шрифтов, и обновления политики с корректным описанием фактической архитектуры.

Доказательство

Оригинал (разбор)

HAR-файл: ie/supremecourt-ie-2026-05-31.har

SHA-256: c11f4f25c6b8baaa5d98566d012ba57e2fbf7c8a25db6f66838e15fe19ffc9a3

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом supremecourt.ie.

2. Обстоятельства
Я посетил сайт supremecourt.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager (GTM-WFCZMFWN) и Google Fonts загружаются на +2571–2572 мс — при первой загрузке страницы, без согласия пользователя. GA4 (G-RR6DNWRHZ8) активируется через GTM и отправляет трекинговый запрос на region1.google-analytics.com (+7870 мс). Политика конфиденциальности заявляет, что Google Analytics отключён по умолчанию до принятия cookies. HAR фиксирует запуск GTM и GA4 без какого-либо взаимодействия пользователя с баннером.

2) Google Maps загружается на +2811–3312 мс (10 запросов к maps.googleapis.com, maps.gstatic.com) без согласия. Google Maps передаёт IP-адрес пользователя и использует API-ключ сайта при каждой загрузке страницы — вне зависимости от того, взаимодействовал ли пользователь с картой. Данные уходят на серверы Google в США.

3) Политика конфиденциальности явно указывает: «We use Google Analytics to collect anonymised information (disabled by default unless you accept cookies)». Это утверждение не соответствует факту: GA4 активируется через GTM без принятия cookies.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/supremecourt-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1), Art. 44–46 — передача данных в третьи страны; GDPR Art. 5(1)(a) — законность и прозрачность

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]