Венский университет — 34 запроса, 4 домена, все univie.ac.at. Matomo self-hosted на собственных поддоменах — хорошо. Но запускается без явного согласия, а HeatmapSessionRecording фиксирует поведение пользователей на странице.
Хронология утечки
Декларация против факта
Тайминги передачи
Зафиксированные трекеры
- Matomo (self-hosted, два инстанса)
- Matomo HeatmapSessionRecording
Зафиксированные нарушения
-
GDPR Art. 6(1)(a), TKG § 165Matomo запускается через 6650 мс после загрузки страницы. Consent-скрипты загружаются на +628 мс, но в HAR нет признаков того, что баннер был показан и согласие получено до запуска трекера. HeatmapSessionRecording активирован — это запись сессий пользователей.
Контекст
Universität Wien — крупнейший университет Австрии, основан в 1365 году, около 90 000 студентов. HAR: 34 запроса, 4 домена.
Инфраструктура своя
34 запроса, все к поддоменам univie.ac.at. Ноль внешних сервисов — ни Google, ни Meta, ни CDN. Шрифты Inter и Source Serif 4 захостированы локально. Matomo развёрнут на двух собственных поддоменах: matomo.univie.ac.at и startmatomo.univie.ac.at.
Matomo без явного согласия
Consent-скрипты загружаются на +628 мс, но Matomo запускается на +6650 мс без видимого баннера согласия в HAR. Политика конфиденциальности (октябрь 2022) описывает общие основания обработки данных, но не упоминает Matomo по имени и не указывает конкретное правовое основание для веб-аналитики на сайте. Два параллельных инстанса трекера — возможно, A/B конфигурация или миграция — увеличивают объём собираемых данных.
HeatmapSessionRecording
Оба инстанса Matomo активируют плагин HeatmapSessionRecording — инструмент для записи движений мыши, кликов и прокрутки пользователей. Это выходит за рамки простой аналитики посещаемости: фиксируется поведение конкретного посетителя на странице. В политике конфиденциальности это не упоминается.
Вывод
Архитектурно — образцово: ноль внешних зависимостей, всё self-hosted. Но Matomo с HeatmapSessionRecording запускается до того, как пользователь мог выразить согласие, а политика конфиденциальности 2022 года не отражает ни сам инструмент, ни запись сессий.
Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →
Кому: DSB — Австрийский орган по защите данных От: [Ваше имя], [контактный email] 1. Предмет жалобы Я подаю жалобу в отношении обработки моих персональных данных сайтом univie.ac.at. 2. Обстоятельства Я посетил сайт univie.ac.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее: 1) Matomo запускается через 6650 мс после загрузки страницы. Consent-скрипты загружаются на +628 мс, но в HAR нет признаков того, что баннер был показан и согласие получено до запуска трекера. HeatmapSessionRecording активирован — это запись сессий пользователей. Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-univie-ac-at/ 3. Нарушенные положения GDPR Art. 6(1)(a), TKG § 165 4. Требование Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR. 5. Приложения Полная доказательная база — HAR-файл, контрольная сумма SHA-256 и цитата из политики конфиденциальности сайта, документирующая указанное противоречие — опубликована и проверяема по ссылке в пункте 2 выше. [Дата] [Подпись/имя]