Технический аудит · 2026-05-26

holcim.at

Австрийское подразделение глобального производителя стройматериалов

Holcim Австрия — 63 запроса, 8 доменов. GTM и GA4 стартуют до согласия. Google Fonts — 8 запросов к Google (США) без согласия. Elfsight виджет не задекларирован. CMP-модуль есть в коде, но ничего не блокирует.

Хронология утечки

+109 мс · Google Fonts

fonts.googleapis.com — 8 запросов CSS для Material Icons. IP передаётся в Google (США) без согласия.

+114 мс · Elfsight

static.elfsight.com/platform/platform.js загружается. Не задекларирован в политике.

+145 мс · GTM

www.googletagmanager.com/gtm.js?id=GTM-TWQSH47V — Google Tag Manager загружен до согласия.

+797 мс · OpenStreetMap

tile.openstreetmap.org — 9 тайлов карты. IP передаётся в OSM-инфраструктуру.

+922 мс · GA4

Google Analytics 4 (G-NLF2NM0R7E) загружен через GTM.

+1027 мс · Elfsight пинг

core.service.elfsight.com — регистрация виджета с URL страницы.

+1535 мс · GA4 пинг

region1.google-analytics.com — трекинг-пинг GA4 до согласия.

Декларация против факта

✓ Google Analytics / GTM — упомянуты в политике, в HAR до согласия — заявлен

✓ Matomo — задекларирован с согласием, в HAR отсутствует — заявлен

✓ OpenStreetMap — упомянут косвенно для карт — заявлен

+ Elfsight — в политике отсутствует — не заявлен

+ Google Fonts — загрузка с googleapis.com в политике не упоминается — не заявлен

Тайминги передачи

+109 мс fonts.googleapis.com 200 8 запросов. Google (США) получает IP без согласия.

+145 мс www.googletagmanager.com 200 GTM без согласия.

+1535 мс region1.google-analytics.com 204 GA4 трекинг-пинг до согласия.

Зафиксированные трекеры

Google Analytics 4 (G-NLF2NM0R7E)
Google Tag Manager (GTM-TWQSH47V)
Google Fonts (fonts.googleapis.com)
Elfsight (static.elfsight.com)

Зафиксированные нарушения

GDPR Art. 6(1)(a), TKG § 165

GTM загружается через 145 мс, GA4 отправляет трекинг-пинг на 1535 мс — до любого согласия. eu_cookie_compliance (Drupal CMP) присутствует в коде, но не блокирует трекеры.
GDPR Art. 44 ff.

Google Fonts загружается 8 раз с fonts.googleapis.com (серверы Google, США) без согласия. Передача IP в США при каждом посещении.
GDPR Art. 13

Elfsight (static.elfsight.com, core.service.elfsight.com) загружается и пингует без согласия. В политике конфиденциальности не упоминается.

Контекст

Holcim (Österreich) GmbH — австрийское подразделение швейцарского концерна Holcim (цемент, бетон, строительные материалы). Сайт на Drupal. HAR: 63 запроса, 8 доменов.

CMP есть, блокировки нет

На сайте установлен Drupal-модуль eu_cookie_compliance — в HAR видны его CSS и JS. Но GTM загружается на +145 мс — раньше, чем любой баннер мог появиться. GA4 отправляет пинг на +1535 мс. Технически CMP-модуль присутствует, но не настроен как autoblocker.

Google Fonts — 8 запросов без согласия

Material Icons загружаются через fonts.googleapis.com — 8 отдельных запросов при каждом открытии страницы. Каждый передаёт IP в Google (США). В политике это не задекларировано.

Elfsight незадекларирован

static.elfsight.com и core.service.elfsight.com — виджет-платформа (скорее всего, социальные ленты или отзывы). Загружается и пингует с URL страницы. В политике конфиденциальности не упоминается.

Вывод

CMP установлен — но работает как уведомление, а не как блокировщик. GTM, GA4, Google Fonts и Elfsight работают до согласия. Это типичная картина Drupal-сайта с модулем GDPR-compliance, не подключённым к реальной блокировке трекеров.

Доказательство

Оригинал (разбор)

HAR-файл: at/holcim-at-2026-05-26.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом holcim.at.

2. Обстоятельства
Я посетил сайт holcim.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM загружается через 145 мс, GA4 отправляет трекинг-пинг на 1535 мс — до любого согласия. eu_cookie_compliance (Drupal CMP) присутствует в коде, но не блокирует трекеры.

2) Google Fonts загружается 8 раз с fonts.googleapis.com (серверы Google, США) без согласия. Передача IP в США при каждом посещении.

3) Elfsight (static.elfsight.com, core.service.elfsight.com) загружается и пингует без согласия. В политике конфиденциальности не упоминается.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-holcim-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), TKG § 165; GDPR Art. 44 ff.; GDPR Art. 13

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]