EUGDPR Audit
RU EN
Технический аудит · 2026-05-26

bildung.gv.at

Федеральное министерство образования Австрии
AT

Федеральное министерство образования — 44 запроса, 2 домена, оба bildung.gv.at. Ноль внешних запросов. Политика описывает Siteimprove — CSP его блокирует. Moodle-портал с жёстким CSP.

Хронология утечки

+0 мс · загрузка
Все запросы к www.bildung.gv.at и bildung.gv.at (apex, изображения IDP). Ноль внешних.
Итог сессии
44 запроса, 2 домена. Siteimprove заблокирован CSP — данные не ушли.

Декларация против факта

Siteimprove Analytics — задекларирован в политике, заблокирован CSP, в HAR отсутствует — заявлен

Зафиксированные нарушения

Контекст

Bundesministerium für Bildung (BMB) — федеральное министерство образования Австрии. Портал bildung.gv.at работает на Moodle (eduportal). HAR: 44 запроса, 2 домена.

Строгий CSP держит

CSP: default-src 'self' — один из самых жёстких профилей в австрийской серии. Разрешены только собственные домены, плюс tube.virtuelle-ph.at для медиа. Siteimprove (siteimproveanalytics.com) в этот список не входит — и в HAR не появился. Данные не ушли.

Политика vs реальность

Политика конфиденциальности описывает Siteimprove Analytics как действующий инструмент с cookies на серверах в Дании. Это либо устаревшая информация, либо Siteimprove работает только на других поддоменах министерства. В любом случае политика не отражает актуальную конфигурацию главной страницы.

Moodle-платформа для педагогов

Структура сайта — Moodle с кастомной темой eduportal и плагинами (bipidp, eduthek, faq). Интеграция с ID Austria через IDP. Портал обслуживает учителей и школьников — аудитория, для которой минимизация данных особенно важна.

Вывод

44 запроса, 2 домена, ноль внешних сервисов в HAR. CSP делает свою работу. Severity 0 — несмотря на расхождение в политике: данные фактически не уходят.

Доказательство
Оригинал (разбор)
HAR-файл: at/bildung-gv-at-2026-05-26.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данныхподать жалобу онлайн → 

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bildung.gv.at.

2. Обстоятельства
Я посетил сайт bildung.gv.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика конфиденциальности описывает Siteimprove Analytics как действующий инструмент — в HAR он не появился. CSP (`default-src 'self'`) блокирует внешние домены. Политика не обновлена и расходится с фактической конфигурацией.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-bildung-gv-at/

3. Нарушенные положения
GDPR Art. 13

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]