EUGDPR Audit
RU EN
Технический аудит · 2026-05-26

graz.at

Официальный сайт города Грац
AT

Официальный сайт Граца — 42 запроса, 6 доменов. datareporter.eu CMP есть. Но Siteimprove отправляет трекинг-пинг раньше баннера — политика при этом прямо указывает согласие как основание.

Хронология утечки

+107 мс · datareporter CMP
webcachex-eu.datareporter.eu загружает CMP-лоадер. Параллельно с ним — Siteimprove.
+201 мс · Siteimprove
ssl.siteimprove.com/js/siteanalyze_89418.js — скрипт загружен. Баннер ещё не показан.
+202 мс · datareporter баннер
webcache-eu.datareporter.eu загружает banner.css и banner.js — баннер только начинает рендериться.
+315 мс · datareporter пинг
c.datareporter.eu — событие показа баннера зафиксировано.
+361 мс · Siteimprove пинг
89418.global.siteimproveanalytics.io — трекинг с URL, ref, title, resolution=1536x864. До согласия.

Декларация против факта

Siteimprove Analytics — задекларирован, Art. 6(1)(a), серверы в Дании, в HAR до согласия — заявлен

Тайминги передачи

+201 мс ssl.siteimprove.com 200 Siteimprove Analytics загружен параллельно с CMP.
+361 мс 89418.global.siteimproveanalytics.io 200 Трекинг-пинг: URL, referrer, title, screen resolution. До согласия.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Stadt Graz — второй по величине город Австрии. HAR: 42 запроса, 6 доменов. Политика конфиденциальности детальная — отдельные разделы для Siteimprove, ArcGIS, Streamdiver, social media.

Гонка между CMP и трекером

datareporter.eu CMP и Siteimprove загружаются практически одновременно — с разницей в 94 мс. CMP загружает баннер (banner.css + banner.js) на +202 мс, Siteimprove уже готов на +201 мс. Трекинг-пинг уходит на +361 мс — баннер в этот момент только рендерится, пользователь ничего ещё не нажал. Politика Stadt Graz прямо указывает: правовое основание — согласие (Art. 6(1)(a)). Факт: трекинг до согласия.

Что передаёт пинг

Запрос к 89418.global.siteimproveanalytics.io содержит: полный URL страницы, referrer, title страницы («Stadt Graz - Willkommen in Graz») и разрешение экрана (1536x864). Это достаточно для создания профиля посетителя даже без cookies.

Вывод

Грац — третий австрийский муниципальный портал после Wien и с паттерном Siteimprove-до-согласия. Политика корректная, CMP установлен — но техническая реализация не соответствует задекларированному правовому основанию.

Доказательство
Оригинал (разбор)
HAR-файл: at/graz-at-2026-05-26.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данныхподать жалобу онлайн → 

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом graz.at.

2. Обстоятельства
Я посетил сайт graz.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Siteimprove загружается на +201 мс и отправляет трекинг-пинг с URL, referrer и разрешением экрана на +361 мс. datareporter.eu CMP инициализируется параллельно — баннер не успел появиться. Политика явно указывает Art. 6(1)(a) как правовое основание для Siteimprove.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-graz-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), TKG § 165

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]