EUGDPR Audit
RU EN
Технический аудит · 2026-05-13

curia.europa.eu

Суд ЕС — высшая судебная инстанция Европейского союза
EU-INSTITUTIONS

Суд ЕС транслирует заседания через Microsoft Azure. Matomo Cloud (Новая Зеландия) вместо self-hosted. Сессия захватила прямую трансляцию заседания от 7 мая 2026 года — данные каждого зрителя уходят в американскую инфраструктуру.

Хронология утечки

+216 мс · без согласия
curia.matomo.cloud — Matomo Cloud (InnoCraft, Новая Зеландия). Данные уходят за пределы ЕС.
+295 мс
webtools.europa.eu — общая инфраструктура ЕС.
+308 мс
curia.connectedviews.eu — собственный домен для встроенного плеера заседаний.
+777 мс
amcpwe-curia-cc-apim.azure-api.net — Azure API Management. Данные в Microsoft, США.
+2486 мс
amcpwecuriahls.azurewebsites.net — HLS видеопоток заседания. Azure, США.
+2503 мс
azurefd.net — Azure Front Door CDN. Миниатюры видео. Microsoft, США.

Декларация против факта

+ Matomo Cloud (curia.matomo.cloud — InnoCraft, Новая Зеландия) — не заявлен
+ Microsoft Azure (azure-api.net, azurewebsites.net, azurefd.net) — не заявлен

Тайминги передачи

+216 мс curia.matomo.cloud без согласия Matomo Cloud — InnoCraft, Новая Зеландия
+777 мс azure-api.net без согласия Azure API Management. США
+2486 мс azurewebsites.net без согласия HLS видеопоток. Azure, США

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Суд Европейского союза (Court of Justice of the European Union, CJEU) — высшая судебная инстанция ЕС, толкует право Союза и обеспечивает его единообразное применение. Именно CJEU вынес решения Schrems I (2015) и Schrems II (2020) — признавшие незаконной передачу данных в США без надлежащих гарантий. Регулируется Regulation (EU) 2018/1725. HAR: 76 запросов, 7 доменов. Сессия захватила встроенную трансляцию заседания.

Schrems II и Azure

Решение Schrems II, вынесенное этим же судом в июле 2020 года, признало механизм Privacy Shield недостаточным для передачи данных из ЕС в США. Суд постановил что американское законодательство о слежке не обеспечивает эквивалентный уровень защиты данных европейских граждан.

HAR показывает что сам Суд ЕС транслирует заседания через Microsoft Azure — американскую облачную инфраструктуру. IP каждого зрителя трансляций проходит через azure-api.net, azurewebsites.net и azurefd.net. Данные обрабатываются Microsoft (США) без явного согласия посетителей.

curia.connectedviews.eu — собственный домен, чужая инфраструктура

curia.connectedviews.eu выглядит как собственный домен Суда. Но за ним стоит платформа ConnectedViews — сервис трансляции судебных заседаний, работающий на Microsoft Azure. Домен curia., но данные в Azure.

Matomo Cloud vs self-hosted

EBA и eu-LISA используют self-hosted Matomo на собственных серверах — данные аналитики остаются в инфраструктуре агентства. Суд ЕС использует curia.matomo.cloud — облачную версию управляемую InnoCraft Ltd. (Веллингтон, Новая Зеландия). Это передача аналитических данных третьей стороне за пределами ЕС. Self-hosted Matomo решил бы проблему — исходный код открытый, развернуть можно на собственных серверах.

CSP — широкие разрешения

default-src https://* gap-iab://* wss://* data: blob: 'unsafe-inline' 'unsafe-eval' — это максимально широкий CSP, фактически разрешающий любые HTTPS-запросы. В отличие от Европола с жёстким CSP ограничивающим только self и europa.eu — Суд ЕС разрешает загрузку с любого HTTPS-домена.

Вывод

Суд вынесший Schrems II — сам использует Microsoft Azure для трансляции публичных заседаний и Matomo Cloud за пределами ЕС. Архитектурные решения которые суд признал недостаточными для частного сектора — применяются в собственной инфраструктуре. Self-hosted Matomo и европейская альтернатива для видеотрансляций (как собственный PeerTube у ENISA) решили бы обе проблемы.

Доказательство
Оригинал (разбор)
HAR-файл: eu/curia-europa-eu-2026-05-13.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данныхedps.europa.eu 

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом curia.europa.eu.

2. Обстоятельства
Я посетил сайт curia.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Matomo Cloud (+216 мс) — облачная версия Matomo управляемая InnoCraft Ltd. (Новая Зеландия). В отличие от self-hosted Matomo у EBA и eu-LISA, данные аналитики Суда ЕС передаются третьей стороне за пределами ЕС. Без баннера согласия.

2) Трансляция заседаний Суда ЕС осуществляется через Microsoft Azure: amcpwe-curia-cc-apim.azure-api.net (Azure API Management), amcpwecuriahls.azurewebsites.net (Azure HLS видео), azurefd.net (Azure Front Door CDN). IP каждого зрителя передаётся в Microsoft (США).

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-curia-europa-eu/

3. Нарушенные положения
Regulation 2018/1725 Art. 5, Art. 48; Regulation 2018/1725 Art. 15, Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]