Технический аудит · 2026-05-31

etenders.gov.ie

eTenders — государственная электронная тендерная платформа Ирландии

Государственная тендерная платформа Ирландии — обрабатывает PPSN (аналог ИНН), финансовые данные и тендерную документацию организаций. 44 запроса, 4 домена. Никакой аналитики, никакого GTM. Единственные нарушения — Google Fonts и Cloudflare cdnjs без согласия. Нет cookie-баннера вообще.

Хронология утечки

+272 мс · без баннера

cdnjs.cloudflare.com — gijgo 1.7.0 CSS (UI-компонент выбора дат). Cloudflare CDN. Единственный запрос к Cloudflare.

+309 мс · без баннера

fonts.googleapis.com — два запроса: Roboto Slab (300,400,700) + Roboto (100,300,400,500,700), и Source Code Pro. IP пользователя уходит на серверы Google в США.

+328 мс · без баннера

fonts.gstatic.com — Roboto woff2 файл. Google серверы, США.

Нет аналитики, нет трекеров

Ни Google Analytics, ни GTM, ни рекламных пикселей. Нет cookie-баннера. Set-Cookie — ноль. Font Awesome размещён локально (/epps/css/bt/font-awesome.min.css). jQuery, Bootstrap, moment.js — все локально.

Декларация против факта

+ Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — не упомянуты в GDPR Statement — не заявлен

+ Cloudflare cdnjs (cdnjs.cloudflare.com) — не упомянут — не заявлен

Тайминги передачи

+272 мс cdnjs.cloudflare.com без баннера gijgo 1.7.0 CSS. Cloudflare CDN.

+309 мс fonts.googleapis.com без баннера Roboto Slab + Roboto + Source Code Pro. США.

+328 мс fonts.gstatic.com без баннера Roboto woff2. Google серверы. США.

Зафиксированные трекеры

Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Cloudflare cdnjs (cdnjs.cloudflare.com)

Зафиксированные нарушения

GDPR Art. 6(1); ePrivacy Regulations (SI 336/2011)

Google Fonts (fonts.googleapis.com) загружается на +309 мс без согласия: два семейства шрифтов (Roboto Slab + Roboto, Source Code Pro). fonts.gstatic.com загружает woff2-файл на +328 мс. IP-адрес пользователя передаётся на серверы Google в США. Нет cookie-баннера, нет механизма согласия.
GDPR Art. 13(1)(e)

GDPR Statement (май 2023) описывает только регистрационные и тендерные данные. Google Fonts и Cloudflare cdnjs как получатели технических данных посетителей не упомянуты. Механизм cookie-согласия на сайте отсутствует полностью.

Контекст

eTenders (www.etenders.gov.ie) — официальная электронная тендерная платформа Ирландии, администрируемая Office of Government Procurement (OGP). Через платформу все государственные органы публикуют тендерные объявления, поставщики подают заявки и тендерную документацию. При регистрации собираются имя, адрес, телефон, email, и в отдельных случаях PPSN (Personal Public Services Number — ирландский аналог ИНН). Sensitivity — high. HAR: 44 запроса, 4 домена.

Самая чистая архитектура в серии

etenders.gov.ie демонстрирует архитектурный подход, редкий среди ирландских государственных сайтов: нет Google Analytics, нет Google Tag Manager, нет рекламных пикселей, нет Hotjar, нет Clarity, нет социальных агрегаторов. Font Awesome 4.7.0 размещён локально (/epps/css/bt/font-awesome.min.css, /epps/fonts/bt/fontawesome-webfont.woff2). jQuery 1.11.3, Bootstrap, moment.js, htmx — все хостятся на собственном домене. Из 44 запросов 40 уходят к www.etenders.gov.ie.

Платформа разработана и хостируется European Dynamics — греческим IT-поставщиком с дата-центром в Афинах. GDPR Statement прямо указывает: данные не передаются за пределы EEA.

Два нарушения — минимальный масштаб

Единственные внешние домены: Google Fonts (два запроса к fonts.googleapis.com, один к fonts.gstatic.com) и Cloudflare cdnjs (один запрос — gijgo 1.7.0 CSS, UI-компонент выбора дат). Оба передают IP-адрес посетителя на внешние серверы без согласия и без cookie-баннера. Нет механизма согласия вообще: ни OneTrust, ни Cookiebot, ни собственного баннера.

Технически оба нарушения устраняются одним шагом: разместить Roboto Slab, Roboto и Source Code Pro локально (как уже сделано с Font Awesome), заменить Cloudflare cdnjs на локальную копию gijgo. Это та же задача, которую команда European Dynamics уже решила для всех остальных библиотек.

GDPR Statement (май 2023) детально описывает обработку регистрационных и тендерных данных: правовые основания, совместные контроллеры, права субъектов данных, процедуры хранения. Это содержательный документ для платформы, обрабатывающей деловые данные. Он полностью молчит о технической стороне — каждый незарегистрированный посетитель, просматривающий тендерные объявления, передаёт свой IP-адрес Google и Cloudflare, и это нигде не задокументировано.

Ни один из 44 запросов не устанавливает cookie через Set-Cookie. Cookies отсутствуют и в исходящих запросах.

Вывод

etenders.gov.ie — лучший показатель минимализма в ирландской серии: два внешних домена, оба не трекеры, нет аналитики, нет GTM, все библиотеки локально. Нарушения существуют, но носят технический характер: три запроса к Google и один к Cloudflare заменяются локальным хостингом за один день работы. Для государственной платформы, обрабатывающей финансовые данные и PPSN, эта архитектурная дисциплина является эталоном.

Доказательство

Оригинал (разбор)

HAR-файл: ie/etenders-gov-ie-2026-05-31.har

SHA-256: 8eb1beac3e690cdb511f1a50d3a2b78e31c14dc1f9d095091eb76c8937a3301b

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом etenders.gov.ie.

2. Обстоятельства
Я посетил сайт etenders.gov.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (fonts.googleapis.com) загружается на +309 мс без согласия: два семейства шрифтов (Roboto Slab + Roboto, Source Code Pro). fonts.gstatic.com загружает woff2-файл на +328 мс. IP-адрес пользователя передаётся на серверы Google в США. Нет cookie-баннера, нет механизма согласия.

2) GDPR Statement (май 2023) описывает только регистрационные и тендерные данные. Google Fonts и Cloudflare cdnjs как получатели технических данных посетителей не упомянуты. Механизм cookie-согласия на сайте отсутствует полностью.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/etenders-gov-ie/

3. Нарушенные положения
GDPR Art. 6(1); ePrivacy Regulations (SI 336/2011); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]