Институты ЕС и НАТО on GDPR Audit

euaa.europa.eu — Агентство ЕС по вопросам убежища

Wed, 13 May 2026 19:46:55 +0200

Контекст

European Union Agency for Asylum (EUAA) — агентство ЕС координирующее системы предоставления убежища государств-членов. Обрабатывает чувствительные данные о беженцах и просителях убежища. Регулируется Regulation (EU) 2018/1725. HAR: 175 запросов, 5 доменов. Сессия включала три страницы.

webtools CRS — правильный подход к YouTube

Когда HAR фиксирует YouTube, это обычно означает прямую загрузку без согласия. EUAA использует другой механизм: europa.eu/webtools/crs/iframe?oriurl=youtube.com/embed/.... CRS — Content Rendering Service, инструмент Европейской комиссии который перехватывает встраивание внешнего контента и показывает пользователю запрос согласия перед загрузкой YouTube. Это правильная архитектура — тот же принцип что у youtube-nocookie с отложенной загрузкой, но реализованный централизованно через webtools.

eua.eu — European University Association

Wed, 13 May 2026 19:45:49 +0200

Контекст

European University Association (EUA) — брюссельская организация объединяющая более 800 университетов и ассоциаций высшего образования в 48 европейских странах. Координирует Болонский процесс, European Research Area, участвует в формировании политики ЕС в области образования. Сайт на Joomla. HAR: 71 запрос, 14 доменов.

Три GA счётчика — один закрыт

GTM загружает три Google Analytics счётчика одновременно: UA (UA-7861994-1), GA4 первый (G-79E3Z8LRM0) и GA4 второй (G-8L37LTBYZ4). Universal Analytics закрыт с 1 июля 2024 года. analytics.js загружается на +2225 мс — почти через два года после закрытия сервиса. Два GA4 счётчика одновременно указывают на накопленный технический долг в конфигурации GTM.

erasmus-plus.ec.europa.eu — Программа Эразмус+

Wed, 13 May 2026 19:45:03 +0200

Контекст

Erasmus+ — флагманская программа ЕС в области образования, обмена студентами и молодёжного сотрудничества. Управляется Европейской комиссией. Сайт на ec.europa.eu инфраструктуре. HAR: 133 запроса, 6 доменов, 2 страницы.

Собственный видеоплеер ЕК

audiovisual.ec.europa.eu/corporateplayer — это собственный Angular-плеер Европейской комиссии для EU Audiovisual Service. Полная замена YouTube: плеер, API для метаданных и глав видео, стриминг видео. Все компоненты на поддоменах europa.eu и ec.europa.eu. Тот же принцип что PeerTube у ENISA — только это централизованное решение всей Комиссии.

erc.europa.eu — Европейский исследовательский совет

Wed, 13 May 2026 19:44:11 +0200

Контекст

European Research Council (ERC) — агентство ЕС финансирующее фундаментальные научные исследования через конкурсные гранты. Финансируется из программы Horizon Europe. Регулируется Regulation (EU) 2018/1725. HAR: 142 запроса, 3 домена, 4 страницы за сессию.

Что показал HAR

Три домена: erc.europa.eu, webtools.europa.eu и fonts.googleapis.com. Ноль трекеров, ноль Set-Cookie ответов. Google Fonts загружается на каждой из четырёх страниц сессии — шрифт Montserrat в полном наборе начертаний (от 100 до 900, курсив). IP посетителя передаётся в Google при каждом переходе.

ema.europa.eu — Европейское агентство по лекарственным средствам

Wed, 13 May 2026 19:43:03 +0200

Контекст

European Medicines Agency (EMA) — агентство ЕС по оценке и надзору за лекарственными препаратами. Регулирует допуск медикаментов на рынок ЕС, ведёт базы данных клинических испытаний и фармаконадзора. Регулируется Regulation (EU) 2018/1725. HAR: 71 запрос, 2 домена.

Что показал HAR

Два домена — www.ema.europa.eu и webtools.europa.eu. Тот же паттерн что у Европола и EDPS: собственная инфраструктура плюс централизованный webtools.europa.eu (21 запрос — CSS темы ЕС, иконки флагов, глобальный баннер, социальные иконки). Ноль внешних трекеров, ноль Set-Cookie ответов.

ecdc.europa.eu — Европейский центр профилактики и контроля заболеваний

Wed, 13 May 2026 19:42:27 +0200

Контекст

European Centre for Disease Prevention and Control (ECDC) — агентство ЕС по эпидемиологическому надзору, штаб-квартира в Стокгольме. Координировало ответ на COVID-19, ведёт мониторинг инфекционных заболеваний в ЕС. Публикует чувствительные данные о вспышках заболеваний и уязвимых группах населения. Регулируется Regulation (EU) 2018/1725. HAR: 98 запросов, 3 сессии страниц, 2 домена.

Что показал HAR

Два домена — www.ecdc.europa.eu и webtools.europa.eu. Три прохода по страницам (запросы повторяются на +6422 и +12394 мс) — сессия включала несколько страниц. Ноль внешних трекеров, ноль Set-Cookie ответов. Стандартный паттерн europa.eu: тема, глобальный баннер (webtools.globan.js), инструмент перевода (webtools.etrans), иконки флагов.

frontex.europa.eu — Frontex

Wed, 13 May 2026 19:41:49 +0200

Контекст

Frontex — Европейское агентство пограничной и береговой охраны, штаб-квартира в Варшаве. Координирует охрану внешних границ ЕС, проводит совместные операции с государствами-членами, обрабатывает данные о лицах пересекающих границу. Регулируется Regulation (EU) 2018/1725 и специальным Regulation (EU) 2019/1896. HAR: 131 запрос, 23 домена.

Самый насыщенный сайт серии институций

На фоне Европейского парламента (2 домена), Европола (2 домена), ЕЦБ (1 домен) и Комиссии (5 доменов) — Frontex с 23 доменами выбивается полностью. Это не техническая небрежность — это сознательные решения: подключить YouTube, Twitter, Google Ads, GTM.

europol.europa.eu — Европол

Wed, 13 May 2026 19:40:57 +0200

Контекст

Europol — агентство ЕС по правоохранительному сотрудничеству, штаб-квартира в Гааге. Координирует борьбу с организованной преступностью, терроризмом, киберпреступностью. Регулируется Regulation (EU) 2018/1725 и специальным Regulation (EU) 2016/794 о Европоле. Надзор — EDPS. HAR: 40 запросов, 2 домена.

Что показал HAR

Два домена — www.europol.europa.eu и webtools.europa.eu. webtools.europa.eu это централизованная инфраструктура Европейской комиссии для общих веб-инструментов, используемая множеством институций ЕС. Оба домена — поддомены europa.eu. Ни одного внешнего запроса, ни одного Set-Cookie ответа.

eda.europa.eu — Европейское оборонное агентство

Wed, 13 May 2026 19:40:32 +0200

Контекст

European Defence Agency (EDA) — агентство ЕС по развитию оборонного потенциала, военных технологий и европейского сотрудничества в сфере обороны. Координирует программы PESCO (Постоянное структурированное сотрудничество). Регулируется Regulation (EU) 2018/1725. HAR: 91 запрос, 4 домена.

Что показал HAR

Четыре домена: eda.europa.eu, www.eda.europa.eu (поддомен с изображениями публикаций), fonts.googleapis.com и fonts.gstatic.com. Ноль трекеров, ноль Set-Cookie. Google Fonts — единственная внешняя зависимость передающая данные за пределы europa.eu.

Интересная деталь: один из запросов загружает изображение документа о критической морской инфраструктуре PESCO (pesco-critical-seabed-infrastructure) — тематика публикации видна в HAR-логе.

enisa.europa.eu — Агентство ЕС по кибербезопасности

Wed, 13 May 2026 19:37:13 +0200

Контекст

European Union Agency for Cybersecurity (ENISA) — агентство ЕС по сетевой и информационной безопасности, штаб-квартира в Афинах. Публикует рекомендации по кибербезопасности, ежегодный отчёт о киберугрозах (ENISA Threat Landscape), методологии для национальных CSIRT. Регулируется Regulation (EU) 2018/1725. HAR: 120 запросов, 5 доменов.

PeerTube — образцовый выбор

Главная находка этого аудита — videos.enisa.europa.eu. Это собственный экземпляр PeerTube, децентрализованной open-source платформы видеохостинга. ENISA хостит видео на собственной инфраструктуре вместо YouTube. При воспроизведении видео данные уходят исключительно на серверы ENISA — никакого Google, никакого YouTube. Локализация на русский язык (ru-RU/player.json) загружается тоже с собственного сервера.

eulisa.europa.eu — eu-LISA

Wed, 13 May 2026 19:36:40 +0200

Контекст

eu-LISA — агентство ЕС управляющее крупными IT-системами в области внутренней безопасности: Шенгенская информационная система (SIS II), Визовая информационная система (VIS), EURODAC (база данных отпечатков пальцев). Обрабатывает одни из наиболее чувствительных биометрических данных граждан ЕС. Регулируется Regulation (EU) 2018/1725. HAR: 101 запрос, 6 доменов.

Matomo — правильная аналитика

eu-LISA использует Matomo на собственном субдомене (www.eulisa.europa.eu/stats/matomo.php) — 3 запроса за сессию. Данные об аналитике остаются на серверах eu-LISA, не передаются третьим сторонам. Тот же выбор что у EBA. CSP явно разрешает только https://www.eulisa.europa.eu/stats/ для connect-src.

acer.europa.eu — Агентство по сотрудничеству энергетических регуляторов

Wed, 13 May 2026 19:36:15 +0200

Контекст

Agency for the Cooperation of Energy Regulators (ACER) — агентство ЕС координирующее национальных регуляторов энергетических рынков, штаб-квартира в Любляне. Регулируется Regulation (EU) 2018/1725. HAR: 122 запроса, 10 доменов. Сессия включала две страницы.

Разрыв с паттерном институций ЕС

Все предыдущие институции серии — Европол, EDPS, ECDC, EEAS, ЕЦБ, Совет ЕС — использовали исключительно europa.eu инфраструктуру. ACER выбивается: 10 доменов, 5 американских сервисов, ни одного согласия.

Google reCAPTCHA на главной странице

reCAPTCHA загружается на +263 мс при открытии главной страницы — до любого взаимодействия пользователя. Это означает что Google получает IP каждого посетителя сайта регулятора энергетических рынков ЕС независимо от того заполняет ли он форму. Альтернативы для институций ЕС: собственная CAPTCHA (как у bundesheer.at), Cloudflare Turnstile (EU инстанс), или hCaptcha.

eba.europa.eu — Европейское банковское управление

Wed, 13 May 2026 19:35:11 +0200

Контекст

European Banking Authority (EBA) — надзорный орган ЕС в банковской сфере, разрабатывает единые стандарты для банков ЕС. Регулируется Regulation (EU) 2018/1725. HAR: 89 запросов, 7 доменов. Сессия включала переход между несколькими страницами — отсюда повторяющиеся запросы.

Matomo — правильный выбор

EBA использует Matomo (analytics.eba.europa.eu) — европейскую open-source аналитическую платформу, развёрнутую на собственном субдомене. Данные об аналитике остаются на серверах EBA и не передаются третьим сторонам. Это именно та архитектура которую рекомендует EDPS для институций ЕС: аналитика без передачи данных внешним получателям. В этой серии — редкий осознанный выбор.

edps.europa.eu — European Data Protection Supervisor

Wed, 13 May 2026 19:34:46 +0200

Контекст

European Data Protection Supervisor (EDPS) — независимый надзорный орган ЕС, контролирующий соблюдение Regulation (EU) 2018/1725 институциями и органами Союза. EDPS назначает членов EDPB, принимает решения по жалобам на институции ЕС, консультирует Комиссию и Парламент по вопросам защиты данных. HAR: 58 запросов, 2 домена.

Что показал HAR

Два домена — www.edps.europa.eu и webtools.europa.eu. Тот же паттерн что у Европола и Европейского парламента: только собственная инфраструктура и централизованный webtools.europa.eu. Ни одного внешнего запроса, ни одного Set-Cookie ответа, ни одного consent-запроса.

edpb.europa.eu — Европейский совет по защите данных

Wed, 13 May 2026 19:34:15 +0200

Контекст

European Data Protection Board (EDPB) — независимый орган ЕС координирующий применение GDPR национальными надзорными органами 30 государств (27 ЕС + 3 ЕЭЗ). Принимает обязательные решения, руководства и рекомендации по GDPR. Регулируется Regulation (EU) 2018/1725. HAR: 111 запросов, 3 домена. Сессия включала несколько страниц.

Что показал HAR

Три домена: www.edpb.europa.eu, webtools.europa.eu и cdn.jsdelivr.net. Ноль трекеров, ноль Set-Cookie ответов. js-cookie загружается 4 раза за сессию (по одному разу на каждой странице) — используется для управления внутренними cookies сайта.

ecb.europa.eu — Европейский центральный банк

Wed, 13 May 2026 19:33:34 +0200

Контекст

Европейский центральный банк (ЕЦБ) — центральный банк еврозоны, ответственный за монетарную политику 20 государств-членов ЕС. Регулируется Regulation (EU) 2018/1725. Публикует данные об инфляции, процентных ставках, статистику еврозоны. HAR: 89 запросов, 1 домен.

Что показал HAR

Один домен — www.ecb.europa.eu. Абсолютно всё загружается с собственного сервера: HTML, CSS, JavaScript, изображения, данные об инфляции в XML (data/inflation.xml). Ни одного внешнего запроса — ни Google Fonts, ни webtools.europa.eu, ни CDN. Ноль Set-Cookie ответов, ноль consent-запросов.

eca.europa.eu — Европейский суд аудиторов

Wed, 13 May 2026 19:31:54 +0200

Контекст

Европейский суд аудиторов (ECA) — независимый внешний аудитор ЕС, проверяет доходы и расходы Союза, публикует ежегодные доклады о финансовом управлении. Регулируется Regulation (EU) 2018/1725. HAR: 174 запроса, 5 доменов, 2 страницы.

Шрифты на static.eca.europa.eu — правильно

ECA захостил Open Sans на собственном субдомене: static.eca.europa.eu/webcharter-internet/current/css/fonts/OpenSans/. Четыре начертания (Regular, Semibold, Bold, Light) плюс собственный ECA-icons шрифт — всё с собственного сервера. Ноль Google Fonts. Это именно то что EBA, ERC и EDA должны сделать со своими шрифтами.

efta.int — Европейская ассоциация свободной торговли

Wed, 13 May 2026 19:31:15 +0200

Контекст

Европейская ассоциация свободной торговли (EFTA) — межправительственная организация объединяющая Исландию, Лихтенштейн, Норвегию и Швейцарию. Управляет зоной свободной торговли, администрирует Соглашение о ЕЭП. Не является институцией ЕС, но тесно связана с европейским правом. Подпадает под GDPR как организация обрабатывающая данные граждан ЕС. Сайт на Drupal. HAR: 267 запросов, 11 доменов.

Datawrapper — правильный выбор для визуализаций

datawrapper.dwcdn.net — Datawrapper, немецкая платформа для интерактивных графиков и карт (Datawrapper GmbH, Берлин). В отличие от Flourish (американская), Datawrapper работает в ЕС и соблюдает GDPR. 20 запросов за сессию: две интерактивные карты — Roboto шрифт с собственного CDN Datawrapper (static.dwcdn.net), данные в формате CSV. Это осознанный выбор европейской альтернативы — тот же принцип что PeerTube у ENISA.

curia.europa.eu — Суд Европейского союза

Wed, 13 May 2026 19:30:25 +0200

Контекст

Суд Европейского союза (Court of Justice of the European Union, CJEU) — высшая судебная инстанция ЕС, толкует право Союза и обеспечивает его единообразное применение. Именно CJEU вынес решения Schrems I (2015) и Schrems II (2020) — признавшие незаконной передачу данных в США без надлежащих гарантий. Регулируется Regulation (EU) 2018/1725. HAR: 76 запросов, 7 доменов. Сессия захватила встроенную трансляцию заседания.

Schrems II и Azure

Решение Schrems II, вынесенное этим же судом в июле 2020 года, признало механизм Privacy Shield недостаточным для передачи данных из ЕС в США. Суд постановил что американское законодательство о слежке не обеспечивает эквивалентный уровень защиты данных европейских граждан.

eeas.europa.eu — Европейская служба внешних действий

Wed, 13 May 2026 19:28:52 +0200

Контекст

European External Action Service (EEAS) — дипломатическая служба Европейского союза, фактически министерство иностранных дел ЕС. Координирует внешнюю политику, управляет делегациями ЕС по всему миру. Регулируется Regulation (EU) 2018/1725. HAR: 71 запрос, 2 домена.

Что показал HAR

Два домена — www.eeas.europa.eu и webtools.europa.eu. Ноль внешних трекеров, ноль Set-Cookie ответов. Паттерн идентичен Европолу и EDPS.

webtools.europa.eu — расширенный набор

EEAS использует более широкий набор компонентов webtools чем другие институции серии. Помимо стандартной темы EU и cookie-блока (webtools.cck.js), подключены webtools.etrans — инструмент машинного перевода Европейской комиссии, позволяющий переводить страницы на все языки ЕС прямо в браузере. Также загружается rest/service-inventory — инвентаризация сервисов webtools. Все компоненты остаются в рамках europa.eu.

commission.europa.eu — Европейская комиссия

Wed, 13 May 2026 19:28:26 +0200

Контекст

Европейская комиссия — исполнительный орган ЕС, инициирует законодательство, управляет бюджетом, контролирует исполнение договоров. Регулируется Regulation (EU) 2018/1725. Является создателем и оператором webtools.europa.eu — централизованной инфраструктуры используемой большинством институций ЕС. HAR: 123 запроса, 5 доменов, 2 страницы.

Все домены — europa.eu

Пять доменов сессии: commission.europa.eu, webtools.europa.eu, ec.europa.eu, europa.eu и cdn.eaec.fpfis.tech.ec.europa.eu. Все — поддомены europa.eu. Ни одного внешнего запроса, ни одного Set-Cookie ответа.

Шрифт Inter на webtools — решение проблемы

EBA, ERC, EDA и другие институции загружают шрифты с Google Fonts. Европейская комиссия загружает Inter Variable (InterVariable.woff2) прямо с webtools.europa.eu/fonts/inter/. Это означает что Комиссия — оператор webtools — захостила шрифт на собственной инфраструктуре. Другие институции могут использовать тот же путь — и некоторые уже используют (EEAS загружает шрифты через webtools, не через Google).

cor.europa.eu — Европейский комитет регионов

Wed, 13 May 2026 19:27:40 +0200

Контекст

Европейский комитет регионов (CoR) — консультативный орган ЕС представляющий региональные и местные власти государств-членов. Консультирует Совет ЕС и Европейский парламент по вопросам затрагивающим регионы. Регулируется Regulation (EU) 2018/1725. HAR: 203 запроса, 6 доменов, 4 страницы за сессию.

Facebook SDK — зачем?

connect.facebook.net/en_US/sdk.js загружается 6 раз за сессию из 4 страниц — на каждой странице плюс дополнительные обращения. Это означает что Facebook SDK встроен в шаблон сайта. CoR — консультативный орган без коммерческой деятельности. Facebook SDK обычно используется для кнопок «поделиться», «войти через Facebook» или пикселя. Ни один из этих сценариев не требует загрузки SDK без согласия.

consilium.europa.eu — Совет Европейского союза

Wed, 13 May 2026 19:26:54 +0200

Контекст

Совет Европейского союза — законодательный орган ЕС представляющий правительства 27 государств-членов. Совместно с Европейским парламентом принимает законодательство ЕС включая GDPR. Регулируется Regulation (EU) 2018/1725. HAR: 62 запроса, 1 домен.

Один домен — абсолютный минимум

62 запроса, все к www.consilium.europa.eu. В отличие от большинства институций серии — даже webtools.europa.eu не используется. Ни одного внешнего запроса, ни одного Set-Cookie ответа. Полная самодостаточность.

Cloudflare — американский WAF

Заголовок server: cloudflare указывает что Совет ЕС использует Cloudflare как CDN и WAF. Это единственная точка где инфраструктура выходит за пределы europa.eu — хотя HAR-запросы идут только к consilium.europa.eu, сетевой трафик проходит через серверы Cloudflare (США). ЕЦБ в аналогичной роли использует Myracloud (Германия). Для органа принимавшего GDPR это архитектурный выбор заслуживающий внимания.

europarl.europa.eu — Европейский парламент

Wed, 13 May 2026 19:25:59 +0200

Контекст

europarl.europa.eu — официальный портал Европейского парламента. Обрабатывает данные граждан ЕС в рамках Regulation (EU) 2018/1725 — специального регламента для институций ЕС, аналога GDPR для публичного сектора Союза. Назначен DPO, ведётся публичный реестр операций обработки данных. HAR: 60 запросов, 2 домена.

Что показал HAR

Два домена — www.europarl.europa.eu и eubudget.europarl.europa.eu. Оба поддомены europa.eu. Ни одного внешнего запроса, ни одного Set-Cookie ответа, ни одного consent-запроса. Шрифты, скрипты, стили — всё с собственной инфраструктуры. Баннера согласия нет — и не должно быть, если cookies не устанавливаются.

ccdcoe.org

Sat, 09 May 2026 00:00:00 +0300

Контекст

CCDCOE — Центр передового опыта НАТО по совместной киберзащите, штаб-квартира в Таллине. Разрабатывает Таллинское руководство по международному праву в киберпространстве, обучает военных специалистов по киберзащите из стран НАТО, проводит Locked Shields — крупнейшие в мире учения по киберзащите.

Что сделано правильно

Из 281 запроса 263 — к собственному серверу ccdcoe.org, вся инфраструктура локальная. Нет внешних шрифтов, нет внешних CDN, нет рекламных сетей. Оба внешних трекера заблокированы: static.cloudflareinsights.com (9 запросов, статус 0) и www.google-analytics.com (9 запросов, статус 0). CSP работает — данные не ушли ни в Cloudflare, ни в Google. Технически нарушения передачи нет.