Технический аудит · 2026-05-31

enterprise.gov.ie

Министерство предпринимательства, туризма и занятости Ирландии

Министерство предпринимательства Ирландии. 41 запрос, 9 доменов. Два аналитических инструмента одновременно — Google Analytics и Matomo Cloud — запускаются до согласия. UA-65332340-1: Universal Analytics, отключённый Google три года назад. Политика декларирует opt-in; HAR фиксирует иное.

Хронология утечки

+212 мс · до баннера

ajax.googleapis.com и fonts.googleapis.com — jQuery UI и Google Fonts загружаются немедленно с серверов Google в США.

+213 мс · до баннера

www.googletagmanager.com (UA-65332340-1) — Google Tag Manager загружается без согласия. ID Universal Analytics — протокол, отключённый Google в июле 2023.

+213 мс · до баннера

code.jquery.com — jQuery 3.6.1 и jQuery Migrate с внешнего CDN.

+236 мс · до баннера

cdn.matomo.cloud — Matomo Analytics JS загружается параллельно с GTM.

+255 мс · до баннера

fonts.gstatic.com — файлы шрифта PT Sans загружаются с серверов Google.

+360 мс · до баннера

www.google-analytics.com (analytics.js) — Google Analytics скрипт выполняется.

+362 мс · до баннера

enterprisegov.matomo.cloud/matomo.php — первый трекинговый ping Matomo: фиксирует название страницы, idsite=13.

+2992 мс

enterprisegov.matomo.cloud/matomo.php — второй запрос Matomo с параметрами формы (fa_vid, fa_id, fa_fv). Set-Cookie — ноль во всей сессии.

Декларация против факта

✓ Matomo Analytics — упомянут в политике конфиденциальности — заявлен

✓ Analytical cookies — категория задекларирована с opt-out — заявлен

+ Google Tag Manager (UA-65332340-1) — не упомянут поимённо — не заявлен

+ Google Analytics (analytics.js) — не упомянут поимённо — не заявлен

+ ajax.googleapis.com — не упомянут — не заявлен

+ code.jquery.com — не упомянут — не заявлен

+ fonts.googleapis.com / fonts.gstatic.com — не упомянуты — не заявлен

Тайминги передачи

+212 мс ajax.googleapis.com до баннера jQuery UI 1.11.1 с Google CDN. США.

+212 мс fonts.googleapis.com до баннера Google Fonts — PT Sans. США.

+213 мс www.googletagmanager.com до баннера GTM UA-65332340-1. Universal Analytics. США.

+213 мс code.jquery.com до баннера jQuery 3.6.1 + jQuery Migrate.

+236 мс cdn.matomo.cloud до баннера Matomo Analytics JS. EU-облако InnoCraft.

+255 мс fonts.gstatic.com до баннера PT Sans woff2. Google серверы. США.

+360 мс www.google-analytics.com до баннера analytics.js — Universal Analytics. США.

+362 мс enterprisegov.matomo.cloud до баннера matomo.php — трекинговый ping. idsite=13.

Зафиксированные трекеры

Google Tag Manager / Google Analytics (www.googletagmanager.com, www.google-analytics.com)
Matomo Cloud (cdn.matomo.cloud, enterprisegov.matomo.cloud)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Google Ajax CDN (ajax.googleapis.com)
jQuery CDN (code.jquery.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Tag Manager (UA-65332340-1) загружается на +213 мс без согласия. Google Analytics (analytics.js) запускается на +360 мс без согласия. Matomo Cloud (matomo.js) загружается на +236 мс и отправляет трекинговый запрос (matomo.php) на +362 мс — до любого взаимодействия пользователя с баннером. Google Fonts (fonts.googleapis.com) загружается на +212 мс, передавая IP пользователя на серверы Google в США.
GDPR Art. 7; ePrivacy Regulations (SI 336/2011)

Политика декларирует категории «Analytical», «Functional», «YouTube», «Communications» как требующие согласия через переключатели. Однако Google Analytics и Matomo Cloud активируются немедленно при загрузке страницы — до какого-либо взаимодействия с баннером согласия. Механизм opt-in не функционирует для аналитических инструментов.
GDPR Art. 13(1)(e)

Политика упоминает Matomo Analytics. Google Tag Manager, Google Analytics, ajax.googleapis.com, code.jquery.com, fonts.googleapis.com, fonts.gstatic.com в политике не поимённо раскрыты как получатели данных. UA-65332340-1 — Universal Analytics ID (устаревший протокол GA, отключённый Google в июле 2023); его присутствие в HAR указывает на устаревшую конфигурацию GTM.

Контекст

Министерство предпринимательства, туризма и занятости Ирландии (DETE) — государственный орган, курирующий политику в области бизнеса, занятости и туризма. HAR: 41 запрос, 9 доменов. Из 29 запросов к собственному enterprise.gov.ie остальные 12 уходят к восьми внешним доменам, семь из которых американские.

Два аналитических инструмента — оба до согласия

Сайт использует одновременно Google Analytics и Matomo Cloud. Оба запускаются при первой загрузке страницы, до любого взаимодействия с баннером:

GTM с ID UA-65332340-1 загружается на +213 мс. www.google-analytics.com/analytics.js выполняется на +360 мс. Matomo JS с cdn.matomo.cloud — на +236 мс, первый трекинговый запрос matomo.php — на +362 мс.

Политика конфиденциальности описывает Matomo и декларирует аналитические cookies как категорию с opt-out — то есть формально предполагает, что аналитика включена по умолчанию, а пользователь может отказаться. Это само по себе противоречит принципу opt-in, требуемому ePrivacy Regulations для нестрого необходимых cookies. Но HAR показывает, что даже механизм opt-out не функционирует: оба инструмента активируются немедленно, не ожидая никакого решения пользователя.

Universal Analytics — три года как отключён

ID UA-65332340-1 — это идентификатор Universal Analytics, предыдущего поколения Google Analytics. Google официально отключил Universal Analytics в июле 2023 года. Запрос к www.google-analytics.com/analytics.js в HAR от мая 2026 года указывает на конфигурацию GTM, которая не обновлялась более трёх лет. Что именно происходит на стороне Google с этими запросами — передаются ли данные, игнорируются ли — из HAR определить невозможно. Факт: скрипт загружается, запрос уходит на серверы Google в США.

Google Fonts и Ajax CDN

На +212 мс загружаются fonts.googleapis.com (PT Sans) и ajax.googleapis.com (jQuery UI 1.11.1). Оба — серверы Google в США. Google Fonts передаёт IP пользователя при каждом запросе; шрифты и jQuery UI можно размещать локально без потери функциональности. code.jquery.com добавляет ещё два запроса к серверам jQuery Foundation.

При всей активности восьми внешних доменов ни один из 41 запроса в HAR не устанавливает cookie через Set-Cookie. Это частично смягчает картину, но не устраняет факт передачи IP-адресов и поведенческих данных внешним сервисам до согласия.

Вывод

enterprise.gov.ie нарушает принцип opt-in на двух уровнях: архитектурном (аналитика активируется до согласия) и документационном (GTM и Google Analytics не упомянуты в политике поимённо). Параллельное использование двух аналитических инструментов — Google Analytics и Matomo — при нефункционирующем механизме согласия, устаревший Universal Analytics ID и пять неупомянутых внешних доменов формируют полный набор типичных нарушений GDPR для государственного сайта. Исправление требует: переноса всей аналитики за баннер согласия, перехода с UA на GA4 или отказа от Google Analytics в пользу Matomo с локальным хостингом, локального размещения шрифтов и jQuery, обновления политики.

Доказательство

Оригинал (разбор)

HAR-файл: ie/enterprise-gov-ie-2026-05-31.har

SHA-256: 6b1326be610a37a9863b1ae364e5ca5d1383e24ddfe94e45def0a735703270a1

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом enterprise.gov.ie.

2. Обстоятельства
Я посетил сайт enterprise.gov.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager (UA-65332340-1) загружается на +213 мс без согласия. Google Analytics (analytics.js) запускается на +360 мс без согласия. Matomo Cloud (matomo.js) загружается на +236 мс и отправляет трекинговый запрос (matomo.php) на +362 мс — до любого взаимодействия пользователя с баннером. Google Fonts (fonts.googleapis.com) загружается на +212 мс, передавая IP пользователя на серверы Google в США.

2) Политика декларирует категории «Analytical», «Functional», «YouTube», «Communications» как требующие согласия через переключатели. Однако Google Analytics и Matomo Cloud активируются немедленно при загрузке страницы — до какого-либо взаимодействия с баннером согласия. Механизм opt-in не функционирует для аналитических инструментов.

3) Политика упоминает Matomo Analytics. Google Tag Manager, Google Analytics, ajax.googleapis.com, code.jquery.com, fonts.googleapis.com, fonts.gstatic.com в политике не поимённо раскрыты как получатели данных. UA-65332340-1 — Universal Analytics ID (устаревший протокол GA, отключённый Google в июле 2023); его присутствие в HAR указывает на устаревшую конфигурацию GTM.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/enterprise-gov-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]