EUGDPR Audit
RU EN
Технический аудит · 2026-05-26

aws.at

Австрийское агентство экономического развития
AT

Австрийское агентство экономического развития — 20 запросов, 2 домена. fast.fonts.net (Monotype, США) загружает шрифты при каждом визите — IP уходит в США без декларации. Matomo задекларирован с cookie-баннером — в HAR не появился.

Хронология утечки

+275 мс · fast.fonts.net
fast.fonts.net/cssapi загружает конфигурацию шрифтового проекта. IP передаётся в Monotype (США).
+505 мс · 3 WOFF2-файла
fast.fonts.net/dv2 отдаёт три WOFF2-файла шрифтов. Итого 5 запросов к внешнему CDN за сессию.
Итог сессии
15 запросов к www.aws.at, 5 к fast.fonts.net. Matomo в HAR не появился — consent-gate держит.

Декларация против факта

Matomo — задекларирован с cookie-баннером, в HAR отсутствует — заявлен
Microsoft Bookings — для записи на встречи, задекларирован — заявлен
+ fast.fonts.net (Monotype) — внешний шрифтовой CDN, передача IP в США, в политике отсутствует — не заявлен

Тайминги передачи

+275 мс fast.fonts.net 304 Monotype/Fonts.com CDN. Cloudflare-backed. Данные в США, в политике отсутствует.
+505 мс fast.fonts.net 304 3 WOFF2-файла. Каждый запрос — отдельная передача IP в США.

Зафиксированные нарушения

Контекст

Austria Wirtschaftsservice GmbH (aws) — государственное агентство экономического развития, распределяет субсидии и гарантии для австрийского бизнеса по поручению федерального правительства. HAR: 20 запросов, 2 домена.

fast.fonts.net — шрифты из США без декларации

fast.fonts.net — CDN Monotype Imaging Inc. (Woburn, Massachusetts, USA), коммерческий провайдер веб-шрифтов. При каждом открытии страницы 5 запросов к нему: конфигурация CSS шрифтового проекта и три WOFF2-файла. Каждый запрос передаёт IP-адрес посетителя в США. В политике конфиденциальности aws этот сервис не упоминается — ни под именем Monotype, ни под именем Fonts.com, ни как «внешний шрифтовой CDN».

Matomo держится за баннером

Политика описывает Matomo с opt-in consent-gate и cookie-баннером. В HAR Matomo не появился — система согласия работает. Это правильная архитектура для аналитики, которую aws описывает без consent-gate не обошлось бы.

Вывод

aws корректно задокументировала Matomo и реализовала consent-gate. Но использование внешнего шрифтового CDN с передачей данных в США без декларации в политике — точечный, но реальный пробел для агентства, которое само выдаёт субсидии на цифровизацию австрийского бизнеса.

Доказательство
Оригинал (разбор)
HAR-файл: at/aws-at-2026-05-26.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данныхподать жалобу онлайн → 

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом aws.at.

2. Обстоятельства
Я посетил сайт aws.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) fast.fonts.net (Monotype/Fonts.com) загружает CSS конфигурацию и 3 WOFF2-файла шрифтов с серверов в США при каждом посещении. IP-адрес передаётся в Monotype Imaging Inc. (Woburn, MA, USA) без декларации в политике конфиденциальности.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-aws-at/

3. Нарушенные положения
GDPR Art. 13, Art. 44 ff.

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]