Технический аудит · 2026-05-31

comreg.ie

ComReg — Комиссия по регулированию коммуникаций Ирландии

ComReg — ирландский регулятор, обеспечивающий соблюдение ePrivacy Regulations. 92 запроса, 15 доменов. GTM и DoubleClick загружаются за 1299 мс до баннера согласия. Facebook SDK до баннера. Matomo с двумя HeatmapSessionRecording до баннера. Орган, штрафующий операторов за нарушения ePrivacy, воспроизводит их на собственном сайте.

Хронология утечки

+106 мс · до баннера

www.googletagmanager.com (GTM-TZJZ8KM) — GTM загружается при первых CSS-файлах сайта.

+181 мс · до баннера

ad.doubleclick.net/ccm/s/collect — DoubleClick через GTM. Запрос к рекламным серверам Google, США. Статус 400.

+185 мс · до баннера

www.google.com/ccm/collect — Google конверсионный пиксель через GTM.

+188 мс · до баннера

stackpath.bootstrapcdn.com и netdna.bootstrapcdn.com — Bootstrap 4.3.1 и Font Awesome 3.2.1 CSS с внешних CDN.

+224 мс · до баннера

connect.facebook.net/en_US/sdk.js — Facebook SDK (два запроса). Meta серверы, США.

+270 мс · до баннера

cdn.matomo.cloud — Matomo JS загружается.

+288 мс · до баннера

comreg.matomo.cloud/matomo.php — трекинговый запрос idsite=1. Два HeatmapSessionRecording (trackerid=qX3rwd, TsoeeV) активируются.

+715 мс · до баннера

kit.fontawesome.com (Font Awesome Pro Kit 61d6832619) и ka-p.fontawesome.com — лицензированный Font Awesome Pro.

+843 мс · до баннера

www.google.com/recaptcha + www.gstatic.com — Google reCAPTCHA v3 инициализируется на главной странице.

Декларация против факта

+ Google Tag Manager (GTM-TZJZ8KM) — не упомянут — не заявлен

+ Google DoubleClick (ad.doubleclick.net) — не упомянут — не заявлен

+ Facebook SDK (connect.facebook.net) — не упомянут — не заявлен

+ Matomo Cloud — не упомянут поимённо — не заявлен

+ Matomo HeatmapSessionRecording (x2) — не упомянут — не заявлен

+ Font Awesome Pro Kit (kit.fontawesome.com) — не упомянут — не заявлен

+ Bootstrap CDN (stackpath.bootstrapcdn.com, netdna.bootstrapcdn.com) — не упомянуты — не заявлен

Тайминги передачи

+106 мс www.googletagmanager.com до баннера GTM-TZJZ8KM. США.

+181 мс ad.doubleclick.net до баннера DoubleClick ccm/s/collect. auid=515621196. США. Статус 400.

+224 мс connect.facebook.net до баннера Facebook SDK en_US. США.

+270 мс cdn.matomo.cloud до баннера Matomo Cloud JS. idsite=1.

+288 мс comreg.matomo.cloud до баннера matomo.php + HeatmapSessionRecording x2. trackerid=qX3rwd, TsoeeV.

+843 мс www.google.com до баннера reCAPTCHA v3. Сайт=6Lf_88YZAAAAANG... 6 запросов.

+1123 мс cookie-cdn.cookiepro.com CookiePro OtAutoBlock.js. UUID f0ff9686.

+1405 мс cookie-cdn.cookiepro.com баннер otBannerSdk.js — баннер виден. 1299 мс после GTM.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-TZJZ8KM)
Google DoubleClick (ad.doubleclick.net)
Google reCAPTCHA v3 (www.google.com, www.gstatic.com)
Google Fonts (fonts.gstatic.com — через reCAPTCHA)
Facebook SDK (connect.facebook.net)
Matomo Cloud (cdn.matomo.cloud, comreg.matomo.cloud)
Matomo HeatmapSessionRecording (comreg.matomo.cloud/plugins/)
Font Awesome Pro Kit (kit.fontawesome.com, ka-p.fontawesome.com)
Bootstrap CDN (stackpath.bootstrapcdn.com, netdna.bootstrapcdn.com)
CookiePro / OneTrust (cookie-cdn.cookiepro.com, geolocation.onetrust.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

GTM (GTM-TZJZ8KM) загружается на +106 мс. DoubleClick (ad.doubleclick.net) активируется через GTM на +181 мс. Facebook SDK (connect.facebook.net) — на +224 мс. Matomo Cloud (cdn.matomo.cloud) — на +270 мс, трекинговый запрос на +288 мс. CookiePro OtAutoBlock.js загружается на +1123 мс, баннер — на +1405 мс. Разрыв между первым трекером и баннером: 1299 мс. Весь рекламный и аналитический стек активируется за более чем секунду до появления баннера согласия.
GDPR Art. 6(1) — DoubleClick на сайте регулятора ePrivacy

ad.doubleclick.net/ccm/s/collect — Google DoubleClick рекламный пиксель, активированный через GTM на +181 мс без согласия. Запрос возвращает статус 400 (Bad Request), что может указывать на неверную конфигурацию, но HTTP-запрос с данными браузера к рекламным серверам Google в США состоялся. ComReg — орган, обеспечивающий соблюдение ePrivacy Regulations, — использует рекламный пиксель DoubleClick на главной странице.
GDPR Art. 6(1) — Matomo HeatmapSessionRecording (два экземпляра)

comreg.matomo.cloud активирует два экземпляра HeatmapSessionRecording: trackerid=qX3rwd и trackerid=TsoeeV — на +288 мс без согласия. HeatmapSessionRecording записывает движения мыши, клики и поведение пользователей на странице. В политике конфиденциальности HeatmapSessionRecording не упомянут.
GDPR Art. 13(1)(e)

Политика конфиденциальности ссылается на отдельное Cookie Notice. В доступном тексте политики GTM, DoubleClick, Facebook SDK, Matomo, HeatmapSessionRecording, Font Awesome Pro, Bootstrap CDN не упомянуты поимённо.

Контекст

ComReg (Commission for Communications Regulation) — ирландский регулятор в области электронных коммуникаций, почтовых услуг и радиочастотного спектра. Ключевое полномочие: ComReg обеспечивает соблюдение SI 336/2011 — ирландской имплементации ePrivacy Directive, — именно тех правил, которые устанавливают требование получения согласия до установки нестрого необходимых cookies. HAR: 92 запроса, 15 доменов.

1299 мс между первым трекером и баннером

GTM-TZJZ8KM загружается на +106 мс. CookiePro баннер отображается на +1405 мс. Разрыв — 1299 миллисекунд, в течение которых последовательно активируются: DoubleClick (+181 мс), Google конверсионный пиксель (+185 мс), два Bootstrap CDN (+188 мс), Facebook SDK (+224 мс), Matomo Cloud (+270 мс) с двумя HeatmapSessionRecording (+288 мс), Font Awesome Pro (+715 мс), Google reCAPTCHA (+843 мс). К моменту, когда посетитель видит вопрос о согласии, о нём уже знают Google, Meta, Matomo и ещё шесть внешних сервисов.

Это наибольший разрыв между первым трекером и баннером в ирландской серии.

DoubleClick на сайте регулятора ePrivacy

Запрос к ad.doubleclick.net/ccm/s/collect с параметром auid=515621196 — это Google DoubleClick рекламный пиксель для отслеживания конверсий, активированный через GTM. Запрос возвращает статус 400 (Bad Request), что может означать неверную конфигурацию тега. Тем не менее HTTP-запрос состоялся: данные о браузере посетителя ушли на рекламные серверы Google в США. ComReg — орган, уполномоченный расследовать и штрафовать операторов связи за нарушения ePrivacy — использует рекламный пиксель DoubleClick на главной странице собственного сайта без согласия посетителей.

Matomo с двумя HeatmapSessionRecording

comreg.matomo.cloud активирует два параллельных экземпляра плагина HeatmapSessionRecording: trackerid=qX3rwd и trackerid=TsoeeV. Два независимых трекера записи сессий на одном сайте — нестандартная конфигурация, возможно отражающая два отдельных проекта тепловых карт. Оба активируются на +288 мс, без согласия, без упоминания в политике.

reCAPTCHA v3 на главной странице

Google reCAPTCHA v3 инициализируется на главной странице при каждом посещении (сайт=6Lf_88YZAAAAANG...). reCAPTCHA v3 работает в фоновом режиме, непрерывно анализируя поведение пользователя для оценки риска. 6 запросов к www.google.com, www.gstatic.com и fonts.gstatic.com (Roboto). Технически reCAPTCHA v3 на странице, где нет форм, требующих защиты, является избыточной загрузкой.

Ни один из 92 запросов не устанавливает cookie через Set-Cookie.

Вывод

comreg.ie воспроизводит нарушения ePrivacy в концентрированной форме: 1299 мс разрыв между первым трекером и баннером, DoubleClick без согласия, Facebook SDK без согласия, два HeatmapSessionRecording без согласия и без раскрытия. Орган, обязанный по закону обеспечивать соблюдение этих правил другими субъектами, не соблюдает их на собственном сайте. Это не только юридическое нарушение — это нарушение институционального доверия.

Доказательство

Оригинал (разбор)

HAR-файл: ie/comreg-ie-2026-05-31.har

SHA-256: 925904a7cb4e83bfd9ecadd77670997632faa90f4ff6b83e330fc324f8137288

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом comreg.ie.

2. Обстоятельства
Я посетил сайт comreg.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-TZJZ8KM) загружается на +106 мс. DoubleClick (ad.doubleclick.net) активируется через GTM на +181 мс. Facebook SDK (connect.facebook.net) — на +224 мс. Matomo Cloud (cdn.matomo.cloud) — на +270 мс, трекинговый запрос на +288 мс. CookiePro OtAutoBlock.js загружается на +1123 мс, баннер — на +1405 мс. Разрыв между первым трекером и баннером: 1299 мс. Весь рекламный и аналитический стек активируется за более чем секунду до появления баннера согласия.

2) ad.doubleclick.net/ccm/s/collect — Google DoubleClick рекламный пиксель, активированный через GTM на +181 мс без согласия. Запрос возвращает статус 400 (Bad Request), что может указывать на неверную конфигурацию, но HTTP-запрос с данными браузера к рекламным серверам Google в США состоялся. ComReg — орган, обеспечивающий соблюдение ePrivacy Regulations, — использует рекламный пиксель DoubleClick на главной странице.

3) comreg.matomo.cloud активирует два экземпляра HeatmapSessionRecording: trackerid=qX3rwd и trackerid=TsoeeV — на +288 мс без согласия. HeatmapSessionRecording записывает движения мыши, клики и поведение пользователей на странице. В политике конфиденциальности HeatmapSessionRecording не упомянут.

4) Политика конфиденциальности ссылается на отдельное Cookie Notice. В доступном тексте политики GTM, DoubleClick, Facebook SDK, Matomo, HeatmapSessionRecording, Font Awesome Pro, Bootstrap CDN не упомянуты поимённо.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/comreg-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — DoubleClick на сайте регулятора ePrivacy; GDPR Art. 6(1) — Matomo HeatmapSessionRecording (два экземпляра); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]