EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

www.bis.org

Банк международных расчётов (BIS), Базель
CH

Сайт Банка международных расчётов (BIS), Базель. 41 запрос, 3 домена. Privacy Notice — документ под собственным регламентом организации (не GDPR), упоминающий cookie одной фразой. Фактически работает облачный Matomo с активной записью сессий, и данные уходят внешнему процессору за границу.

Хронология утечки

+0–171 мс · загрузка собственного стека
Собственная система управления контентом BIS. Запросы к собственным интерфейсам данных для главной страницы — меню, публикации, выступления — всё с www.bis.org.
не применимо — баннера нет
Уведомления о согласии на странице не обнаружено. Аналитика и запись сессий отрабатывают независимо от какого-либо выбора пользователя.
+187–231 мс · облачный Matomo и запись сессий
Библиотека загружается с облачного CDN (cdn.matomo.cloud), замер посещения уходит на bis.matomo.cloud (idsite=1, несёт идентификатор посетителя), и сразу следом активируется модуль записи сессий — всё в облачной инфраструктуре Matomo, а не на собственном домене BIS. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ Matomo Cloud / InnoCraft (облачный процессор) — не заявлен
+ Matomo HeatmapSessionRecording — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.bis.org — сайт Банка международных расчётов, международной организации, координирующей центральные банки, со штаб-квартирой в Базеле. У организации особый статус: она работает под собственным внутренним регламентом защиты персональных данных и пользуется иммунитетами, то есть напрямую под европейский регламент или швейцарский закон не подпадает. В замере 41 обращение к трём доменам. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Из-за особого правового статуса я оцениваю этот сайт не по конкретным статьям регламента, а по принципу прозрачности, который организация сама декларирует. И по нему есть к чему присмотреться.

Кто получает данные

Тут был замечен: InnoCraft (Matomo Cloud).

Был ли баннер согласия

Уведомления о согласии на странице нет. Аналитика и запись сессий отрабатывают сразу, независимо от какого-либо выбора пользователя.

Облачный Matomo — данные уходят внешнему процессору

Здесь главное отличие от государственных сайтов итальянской части серии. Там Matomo обычно размещался на собственной или государственной инфраструктуре — данные «оставались в доме». А тут используется облачный Matomo: библиотека грузится с облачного CDN, а замеры уходят на облачный поддомен, которым управляет внешняя компания — оператор сервиса. То есть данные посетителя передаются стороннему процессору за пределами организации. Правовой статус от этого меняется: это уже не внутренняя обработка, а передача внешнему поставщику.

Запись сессий — снова, но в облаке

Помимо обычного замера активен модуль записи сессий — тот самый, что многократно встречался в итальянской части серии. Но здесь он работает не на государственной инфраструктуре, а в коммерческом облаке. Это значит, что запись поведения посетителя — куда он смотрит, как перемещается по странице — уходит внешнему процессору наравне с обычной статистикой. На фоне итальянских госсайтов, где та же запись хотя бы оставалась внутри государственной инфраструктуры, здесь измерение поведения покидает организацию.

Документ и юрисдикция

Privacy Notice у BIS лаконичный. О сборе онлайн-данных он говорит одной общей фразой — упоминает cookie и IP-адрес, — без отдельного раздела о cookie и без названия инструмента. Передачу третьим лицам он описывает обобщённо: организация делится данными с поставщиками и сервис-провайдерами при условии «эквивалентного уровня защиты». Это в принципе покрывает облачного процессора, но не называет его — как не называет и саму запись сессий. Для организации, которая сама обязалась держать стандарт «эквивалентный» лучшим практикам, минимум прозрачности — назвать, кто обрабатывает данные посетителей и что именно записывается.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Об активности записи сессий я сужу по успешному ответу её модуля; содержимое записи в замере не видно. Общая оговорка политики об «эквивалентной защите» формально покрывает использование внешнего процессора, поэтому речь о прозрачности — кто и что, — а не о запрете как таковом. BIS не подпадает напрямую под европейский регламент, и я это учитываю. Идентификатор посетителя виден прямо в замере. Замер охватывает главную страницу.

Вывод

Банк международных расчётов использует облачный Matomo с активной записью сессий, и данные посетителя — включая запись его поведения — уходят внешнему коммерческому процессору за пределы организации. Privacy Notice при этом упоминает cookie одной общей фразой и не называет ни процессора, ни самой записи сессий. Любопытен контраст с итальянской частью серии: модуль записи сессий тот же самый, но там он оставался внутри государственной инфраструктуры, а здесь выходит в коммерческое облако. BIS не связан европейским регламентом напрямую — он живёт по собственному стандарту, — но именно этот стандарт и предполагает, что посетителю стоит назвать, кто за его данными стоит. Главное, что должен вынести читатель: один и тот же технический приём приватнее или рискованнее в зависимости от того, куда уходят данные, — и здесь они уходят дальше, чем у государственных сайтов из той же серии.

Доказательство
Оригинал (разбор)
HAR-файл: ch/www-bis-org-2026-06-15.har
SHA-256: e05055878c34b5174384373b6aff9e6d2a0332c1a0b1ce0c6ce79937107cb357
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы
Кому: [НАЗВАНИЕ РЕГУЛЯТОРА]
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом www.bis.org.

2. Обстоятельства
Я посетил сайт www.bis.org и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Privacy Notice упоминает «онлайн-информацию (например, cookie и IP-адрес)» одной общей фразой, без раздела о cookie и без названия инструмента аналитики или процессора. Передача третьим лицам описана обобщённо — «поставщикам или сервис-провайдерам при эквивалентном уровне защиты». Фактически используется облачный Matomo (внешний SaaS-процессор InnoCraft, Новая Зеландия), а не самостоятельно размещённый инстанс, и дополнительно активен модуль записи сессий (HeatmapSessionRecording, configs.php отвечает 200). Ни конкретный процессор, ни запись сессий в документе не названы.

2) В отличие от государственных сайтов из итальянской части серии, где аналитика и запись сессий оставались в государственной инфраструктуре, здесь и обычный замер, и запись поведения уходят в коммерческое облако за пределами организации. Это передача данных посетителя внешнему процессору, и она покрыта политикой лишь общей оговоркой об «эквивалентном уровне защиты», без указания, кто этот процессор.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/www-bis-org/

3. Нарушенные положения
Принцип прозрачности — процессор и запись сессий не названы; Передача данных внешнему процессору за границу

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]