Технический аудит · 2026-05-26

parlament.gv.at

Австрийский парламент

Австрийский парламент — 84 запроса, 1 домен. Matomo self-hosted загружается через 91 мс и пингует на 241 мс. Политика прямо говорит: только с согласия. Согласия нет.

Хронология утечки

+91 мс · Matomo скрипты

pdpiwik.js и piwik/piwik.js загружаются с www.parlament.gv.at одновременно с CSS. Баннера согласия нет.

+241 мс · трекинг-пинг

piwik.php отправляет POST с action_name=Startseite и idsite=1. Данные о визите зафиксированы до любого выбора пользователя.

Итог сессии

84 запроса, 1 домен. Ноль внешних сервисов. Matomo — единственный трекер, self-hosted.

Декларация против факта

✓ Matomo — задекларирован в политике, явно указано 'Mit Ihrer Einwilligung', в HAR до согласия — заявлен

Тайминги передачи

+91 мс www.parlament.gv.at/piwik/piwik.js 200 Matomo скрипт загружается без согласия.

+241 мс www.parlament.gv.at/piwik/piwik.php 204 Трекинг-пинг: action_name=Startseite, idsite=1. До согласия.

Зафиксированные трекеры

Matomo/Piwik (self-hosted)

Зафиксированные нарушения

GDPR Art. 6(1)(a), TKG § 165

Matomo (Piwik) запускается через 91 мс после загрузки страницы и отправляет трекинг-пинг на +241 мс. Политика конфиденциальности прямо указывает: «Mit Ihrer Einwilligung setzt die Parlamentswebseite ein Cookie von Matomo» — то есть только с согласия. Согласия нет, трекер работает.

Контекст

Österreichisches Parlament — законодательный орган Австрии, Nationalrat и Bundesrat. Parlamentsdirektion — административный аппарат. HAR: 84 запроса, 1 домен.

Политика говорит «с согласия» — код говорит иначе

Политика конфиденциальности парламента написана аккуратно: отдельный раздел «Webanalyse-Cookie» прямо указывает, что Matomo запускается только с согласия пользователя, IP анонимизируется, данные хранятся на серверах Parlamentsdirektion. Ни слова о внешних получателях.

В HAR — другое: pdpiwik.js загружается на +91 мс, piwik.js следом, трекинг-пинг уходит на +241 мс. Consent-баннера в сессии нет. Разрыв между задекларированным и реализованным — точный и задокументированный.

Self-hosted, но до согласия

Matomo развёрнут полностью на собственной инфраструктуре парламента — /piwik/ на том же домене. Данные не уходят третьим сторонам, IP анонимизируется. Архитектурно — правильно. Но запуск до согласия при явном декларировании обратного делает это нарушением, которое сам парламент зафиксировал в собственной политике.

Вывод

84 запроса, 1 домен, ноль внешних зависимостей. Matomo self-hosted — хорошее решение. Но австрийский парламент нарушает собственную политику конфиденциальности: трекер запускается без согласия, которое политика называет обязательным условием.

Доказательство

Оригинал (разбор)

HAR-файл: at/parlament-gv-at-2026-05-26.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом parlament.gv.at.

2. Обстоятельства
Я посетил сайт parlament.gv.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Matomo (Piwik) запускается через 91 мс после загрузки страницы и отправляет трекинг-пинг на +241 мс. Политика конфиденциальности прямо указывает: «Mit Ihrer Einwilligung setzt die Parlamentswebseite ein Cookie von Matomo» — то есть только с согласия. Согласия нет, трекер работает.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-parlament-gv-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), TKG § 165

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]