Технический аудит · 2026-05-31

tcd.ie

Тринити-колледж Дублин — старейший университет Ирландии

Тринити-колледж Дублин — университет, основанный в 1592 году, обрабатывающий данные студентов, включая медицинские и данные об инвалидности. GTM загружается за 101 мс до OneTrust. YouTube на главной странице без согласия активирует DoubleClick. 70 запросов, 14 доменов.

Хронология утечки

+2594 мс · до баннера

cdnjs.cloudflare.com — tiny-slider CSS. Cloudflare CDN.

+2595 мс · до баннера

www.trumba.com — три изображения календаря событий. Trumba — американский сервис управления расписанием.

+2621 мс · до баннера

www.googletagmanager.com (GTM-KTX8CV) — GTM-контейнер загружается.

+2632 мс · до баннера

www.youtube.com/embed/V1ggffYdjzU — YouTube iframe загружается без согласия.

+3007–3011 мс · до согласия

www.youtube.com — скрипты плеера, CSS, JS (4 запроса). Roboto шрифт через fonts.gstatic.com.

+3123–3293 мс · до согласия

googleads.g.doubleclick.net/pagead/id — DoubleClick рекламная идентификация (два запроса). static.doubleclick.net/instream/ad_status.js.

+5457 мс и +21434 мс

www.youtube.com/youtubei/v1/log_event — YouTube логирует события сессии. jnn-pa.googleapis.com/GenerateIT (+18476 мс) — Google внутренний API. Set-Cookie — ноль.

Декларация против факта

✓ Cookies — упомянуты в политике со ссылкой на Cookie Register и Cookie Policy — заявлен

✓ YouTube — упомянут косвенно через описание медиаконтента — заявлен

+ Google Tag Manager (GTM-KTX8CV) — не упомянут поимённо — не заявлен

+ DoubleClick (googleads.g.doubleclick.net) — не упомянут — не заявлен

+ Trumba (www.trumba.com) — не упомянут — не заявлен

+ Cloudflare cdnjs — не упомянут — не заявлен

+ OneTrust (cdn.cookielaw.org) — не упомянут поимённо — не заявлен

Тайминги передачи

+2621 мс www.googletagmanager.com до баннера GTM-KTX8CV. США.

+2632 мс www.youtube.com до баннера YouTube embed V1ggffYdjzU. 9 запросов.

+2722 мс cdn.cookielaw.org баннер OneTrust otSDKStub.js. UUID 9f346210.

+2740 мс geolocation.onetrust.com баннер OneTrust геолокация для настройки баннера.

+3123 мс googleads.g.doubleclick.net до согласия DoubleClick pagead/id — рекламный идентификатор. США.

+3133 мс static.doubleclick.net до согласия DoubleClick instream/ad_status.js. США.

+18476 мс jnn-pa.googleapis.com без согласия Google внутренний API GenerateIT. США.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-KTX8CV)
YouTube embed (www.youtube.com) — активирует DoubleClick
Google DoubleClick (googleads.g.doubleclick.net, static.doubleclick.net)
Google Fonts через YouTube (fonts.gstatic.com — Roboto)
OneTrust CMP (cdn.cookielaw.org, geolocation.onetrust.com)
Trumba (www.trumba.com) — сервис календаря событий
Cloudflare cdnjs (cdnjs.cloudflare.com)
Terminalfour CDN (pxl-tcdie.terminalfour.net)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

GTM (GTM-KTX8CV) загружается на +2621 мс. OneTrust (cdn.cookielaw.org) загружается на +2722 мс — на 101 мс позже GTM. YouTube embed инициализируется на +2632 мс без согласия и активирует DoubleClick: googleads.g.doubleclick.net/pagead/id (+3123 мс), static.doubleclick.net/instream/ad_status.js (+3133 мс). DoubleClick — рекламная идентификационная система Google — запускается до любого взаимодействия пользователя с баннером OneTrust.
GDPR Art. 6(1) — встроенный YouTube без согласия

YouTube iframe (V1ggffYdjzU) встроен на главную страницу и загружается немедленно при открытии, без ожидания согласия. YouTube загружает собственные скрипты (9 запросов), активирует DoubleClick для идентификации рекламного профиля посетителя, отправляет log_event на +5457 мс и +21434 мс. jnn-pa.googleapis.com GenerateIT запрос на +18476 мс. Всё без согласия пользователя.
GDPR Art. 13(1)(e)

Политика ссылается на Cookie Register и Cookie Policy как отдельные документы, не предоставленные в архиве. Trumba (сервис управления календарём событий, США) загружает изображения с www.trumba.com (+2595 мс) — в политике не упомянут. Cloudflare cdnjs не упомянут.

Контекст

Trinity College Dublin — старейший университет Ирландии, основанный в 1592 году. Обрабатывает данные студентов, включая медицинские данные, данные об инвалидности, результаты психологического консультирования и финансовую информацию. Sensitivity — high. HAR: 70 запросов, 14 доменов. 28 запросов к www.tcd.ie, 8 к CDN pxl-tcdie.terminalfour.net — остальные 34 к двенадцати внешним доменам.

OneTrust приходит на 101 мс позже GTM

Порядок загрузки критичен: GTM-KTX8CV запускается на +2621 мс. OneTrust начинает инициализацию на +2722 мс. 101 мс — промежуток, в течение которого GTM-контейнер активен и может запускать любые настроенные в нём теги без каких-либо ограничений со стороны платформы согласия. Если в GTM настроена аналитика или реклама с триггером «All Pages», они выполнятся до того, как OneTrust успеет заблокировать их. HAR фиксирует именно этот сценарий: YouTube и связанный DoubleClick активируются в этом окне.

YouTube без согласия — и DoubleClick в комплекте

На главной странице университета встроен YouTube-видеоплеер (embed/V1ggffYdjzU). Он загружается на +2632 мс — без согласия, до появления баннера OneTrust. YouTube не является нейтральным медиаплеером: он подключает рекламную инфраструктуру Google. В HAR зафиксированы два запроса к googleads.g.doubleclick.net/pagead/id (+3123 и +3293 мс) — это DoubleClick рекламная идентификация, присваивающая посетителю рекламный идентификатор. static.doubleclick.net/instream/ad_status.js загружается на +3133 мс. Дополнительно: jnn-pa.googleapis.com/$rpc/google.internal.waa.v1.Waa/GenerateIT на +18476 мс — внутренний API Google, связанный с системой верификации рекламного трафика. Всё это происходит на сайте университета, обрабатывающего медицинские данные студентов, без их согласия.

Trumba — незадокументированный сервис событий

На +2595 мс загружаются три изображения с www.trumba.com. Trumba — американский SaaS-сервис управления расписанием событий. Каждый запрос к Trumba передаёт IP-адрес посетителя на американские серверы. В политике конфиденциальности Trumba не упомянут.

Политика ссылается на внешние документы

Политика содержит ссылки на Cookie Register и Cookie Policy как отдельные документы. Ни один из них не предоставлен в архиве. В самой политике конкретные сервисы — GTM, YouTube, DoubleClick, Trumba, OneTrust — не названы поимённо. По Art. 13(1)(e) ссылка на внешний реестр допустима, если реестр актуален и доступен; без проверки самого реестра установить, задокументированы ли там все получатели, невозможно.

Ни один из 70 запросов не устанавливает cookie через Set-Cookie. DoubleClick pagead/id вернул статус 302 (редирект) без установки cookie в HAR — однако сам запрос на идентификацию состоялся.

Вывод

tcd.ie воспроизводит паттерн, характерный для университетских сайтов: YouTube без согласия как наиболее распространённый вектор нарушения, GTM раньше CMP, Trumba без документации. Специфика — характер данных: Тринити-колледж обрабатывает медицинские данные и данные об инвалидности студентов. Это делает нарушение принципа согласия на главной странице не только юридической, но и этической проблемой. Исправление: заменить прямой YouTube embed на privacy-enhanced режим с блокировкой до согласия или статический превью с кликом для активации; перенести GTM за OneTrust; задокументировать Trumba в Cookie Register.

Доказательство

Оригинал (разбор)

HAR-файл: ie/tcd-ie-2026-05-31.har

SHA-256: fcbadbc4891ab34d4ed1e2bd2fcf58e9e8ac1d021e417ba962ad59119775e2f6

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом tcd.ie.

2. Обстоятельства
Я посетил сайт tcd.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-KTX8CV) загружается на +2621 мс. OneTrust (cdn.cookielaw.org) загружается на +2722 мс — на 101 мс позже GTM. YouTube embed инициализируется на +2632 мс без согласия и активирует DoubleClick: googleads.g.doubleclick.net/pagead/id (+3123 мс), static.doubleclick.net/instream/ad_status.js (+3133 мс). DoubleClick — рекламная идентификационная система Google — запускается до любого взаимодействия пользователя с баннером OneTrust.

2) YouTube iframe (V1ggffYdjzU) встроен на главную страницу и загружается немедленно при открытии, без ожидания согласия. YouTube загружает собственные скрипты (9 запросов), активирует DoubleClick для идентификации рекламного профиля посетителя, отправляет log_event на +5457 мс и +21434 мс. jnn-pa.googleapis.com GenerateIT запрос на +18476 мс. Всё без согласия пользователя.

3) Политика ссылается на Cookie Register и Cookie Policy как отдельные документы, не предоставленные в архиве. Trumba (сервис управления календарём событий, США) загружает изображения с www.trumba.com (+2595 мс) — в политике не упомянут. Cloudflare cdnjs не упомянут.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/tcd-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — встроенный YouTube без согласия; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]