EUGDPR Audit
RU EN
Технический аудит · 2026-05-31

ucd.ie

Университетский колледж Дублин — крупнейший университет Ирландии
IE

Университетский колледж Дублин — крупнейший университет Ирландии, 38 000 студентов. 71 запрос, 7 доменов. CookiePro с OtAutoBlock загружается первым, но Juicer и Typekit опережают баннер. Juicer фиксирует page_views без согласия. Adobe Typekit передаёт данные о каждом посещении на серверы Adobe.

Хронология утечки

+108 мс · первый внешний
cookie-cdn.cookiepro.com — OtAutoBlock.js и otSDKStub.js. CookiePro инициализируется первым.
+109 мс · до баннера
use.typekit.net/zbk0nwa.css — Adobe Typekit CSS. Шрифтовой сервис Adobe, передаёт данные о посещении.
+111 мс · до баннера
www.juicer.io/embed/ucd-university-relations — Juicer социальный агрегатор загружает embed-код. Агрегирует посты из Twitter/X, Instagram, LinkedIn.
+145 мс · до баннера
p.typekit.net/p.css — Typekit телеметрия: account_id=403803159, kit=zbk0nwa. Adobe фиксирует факт посещения.
+158 мс · до баннера
www.googletagmanager.com (GTM-P56RDT5) — GTM-контейнер загружается.
+164–165 мс · до баннера
use.typekit.net — 4 файла шрифтов woff2 (af/ пути). Adobe серверы.
+202 мс · баннер начинает рендер
cookie-cdn.cookiepro.com — otBannerSdk.js. К этому моменту Typekit, Juicer и GTM уже работают.
+314–532 мс · до согласия
www.juicer.io — embed.css, embed.js, затем /api/page_views (+532 мс) — Juicer регистрирует просмотр страницы. assets.juicer.io — шрифты Font Awesome и изображения галереи.

Декларация против факта

+ Google Tag Manager (GTM-P56RDT5) — не упомянут в доступной документации — не заявлен
+ Adobe Typekit (use.typekit.net, p.typekit.net) — не упомянут — не заявлен
+ Juicer (www.juicer.io, assets.juicer.io) — не упомянут — не заявлен

Тайминги передачи

+108 мс cookie-cdn.cookiepro.com первый OtAutoBlock.js + otSDKStub.js. CookiePro UUID f638e53d.
+109 мс use.typekit.net до баннера Typekit zbk0nwa CSS. Adobe. США.
+111 мс www.juicer.io до баннера Juicer embed ucd-university-relations. США.
+145 мс p.typekit.net до баннера Typekit телеметрия. account_id=403803159. США.
+158 мс www.googletagmanager.com до баннера GTM-P56RDT5. США.
+419 мс www.juicer.io до согласия Juicer API /api/feeds — лента соцсетей. США.
+532 мс www.juicer.io до согласия Juicer /api/page_views — трекинг просмотра. США.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

University College Dublin — крупнейший университет Ирландии, около 38 000 студентов. Обрабатывает данные студентов, включая медицинские данные, данные о психологическом консультировании, финансовую информацию и данные о работоспособности. HAR: 71 запрос, 7 доменов. 44 запроса к собственному www.ucd.ie, остальные 27 — к шести внешним доменам.

OtAutoBlock не блокирует Typekit и Juicer

CookiePro загружает OtAutoBlock.js первым (+108 мс) — это механизм автоматической блокировки скриптов до согласия. Тем не менее Typekit и Juicer загружаются практически одновременно: +109 мс и +111 мс. Баннер CookiePro завершает рендер на +202 мс (otBannerSdk.js). Таким образом, оба сервиса инициализируются в промежутке между загрузкой OtAutoBlock и завершением инициализации баннера — в 94-миллисекундном окне, когда блокировщик ещё не полностью активен. GTM добавляется на +158 мс в том же окне.

Adobe Typekit — телеметрия каждого посещения

Typekit (Adobe Fonts) — не просто CDN шрифтов. Запрос к p.typekit.net/p.css с параметрами k=zbk0nwa, a=403803159, f=48821.48825.48827.48829 фиксирует факт посещения конкретной страницы в реальном времени. Adobe использует эту телеметрию для проверки лицензионного использования шрифтов и, в зависимости от условий аккаунта, для агрегированной аналитики. Четыре файла шрифтов загружаются с use.typekit.net через закрытые пути (/af/802ad9/..., /af/38ce13/...), привязанные к конкретному аккаунту. Всё до согласия.

Juicer — агрегатор соцсетей с page_views трекером

Juicer.io — сервис агрегации постов из соцсетей (Twitter/X, Instagram, LinkedIn). На главной странице UCD встроена лента ucd-university-relations. Juicer делает 9 запросов: embed-код, CSS, JS, шрифты Font Awesome, API лента (/api/feeds/ucd-university-relations), и — важно — /api/page_views на +532 мс. Последний запрос явно предназначен для отслеживания просмотров страницы и не является необходимым для функциональности агрегатора. Все запросы выполняются без согласия.

Политика — индексная страница

Доступная политика конфиденциальности UCD — это страница-индекс со списком ссылок на отдельные документы: Privacy Statement for main UCD Website, UCD Cookie Policy и другие. Ни один из этих документов не предоставлен в архиве. В доступном тексте ни GTM, ни Typekit, ни Juicer не упомянуты. Оценить соответствие отдельных политик фактической архитектуре без их содержимого невозможно.

Set-Cookie — ноль

Ни один из 71 запроса не устанавливает cookie через Set-Cookie. Cookies отсутствуют и в исходящих запросах.

Вывод

ucd.ie демонстрирует паттерн, характерный для крупных университетских сайтов с несколькими интегрированными сервисами: CMP формально присутствует, но не блокирует сторонние скрипты, успевающие инициализироваться раньше завершения загрузки баннера. Специфика — Adobe Typekit с телеметрией каждого посещения и Juicer с явным page_views трекером. Для университета с 38 000 студентов, обрабатывающего медицинские и психологические данные, принцип согласия на главной странице требует технически корректной реализации, а не формального присутствия CMP.

Доказательство
Оригинал (разбор)
HAR-файл: ie/ucd-ie-2026-05-31.har
SHA-256: cf9cff512479862739009fb1ddddb2cdcbb4e2c6c16748b5e863eeb9caa47f2b
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данныхdataprotection.ie 

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ucd.ie.

2. Обстоятельства
Я посетил сайт ucd.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Adobe Typekit (use.typekit.net) загружается на +109 мс — до инициализации баннера CookiePro. Juicer (www.juicer.io) загружает embed-код на +111 мс и отправляет трекинговый запрос /api/page_views на +532 мс без согласия. GTM (GTM-P56RDT5) загружается на +158 мс. CookiePro OtAutoBlock.js загружается первым (+108 мс), однако Typekit и Juicer инициализируются раньше завершения загрузки баннера (+202 мс otBannerSdk.js, +258 мс конфигурация согласия).

2) Adobe Typekit (p.typekit.net/p.css) фиксирует факт посещения страницы через параметры запроса: account_id=403803159, kit ID zbk0nwa, список шрифтов, user-agent. Это телеметрия использования шрифтов в реальном времени — Adobe собирает данные о каждом посещении страницы с подключённым Typekit. Загружается до согласия.

3) Политика конфиденциальности UCD — это страница-индекс, содержащая только список ссылок на отдельные документы. Cookie Policy упомянута как отдельный документ, не предоставленный в архиве. Juicer, Adobe Typekit, GTM в доступной документации не упомянуты.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ucd-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — Typekit без согласия; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]