Технический аудит · 2026-05-13

eba.europa.eu

EBA — надзорный орган ЕС в банковской сфере

Банковский надзорный орган ЕС — 7 доменов. Matomo на собственном субдомене analytics.eba.europa.eu — осознанный выбор в пользу европейской аналитики. Но Google Fonts загружается без согласия, Flourish передаёт данные в США.

Хронология утечки

+5796 мс · без согласия

Google Fonts (fonts.googleapis.com) — Open Sans. IP в Google, США. Без баннера.

+5812 мс · без согласия

Matomo (analytics.eba.europa.eu) — собственный поддомен EBA. Данные остаются в инфраструктуре EBA.

+5919 мс

webtools.europa.eu — общие компоненты ЕС.

+17345 мс

Flourish (public.flourish.studio) — SVG-визуализация с американских серверов.

Декларация против факта

+ Google Fonts (fonts.googleapis.com) — не заявлен

+ Flourish (public.flourish.studio) — не заявлен

Тайминги передачи

+5796 мс fonts.googleapis.com без согласия Open Sans. IP в Google, США

+5812 мс analytics.eba.europa.eu без согласия Matomo — собственный субдомен EBA

+17345 мс public.flourish.studio без согласия Flourish визуализация. США

Зафиксированные трекеры

Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Flourish (public.flourish.studio)

Зафиксированные нарушения

GDPR Art. 6(1), Regulation 2018/1725 Art. 5

Google Fonts (+5796 мс) загружается без согласия. IP посетителя передаётся в Google (США) при каждом открытии страницы. Баннер согласия отсутствует.
Regulation 2018/1725 Art. 15

Flourish (public.flourish.studio) — американская платформа визуализации данных Canopy Lab Ltd. Загружает SVG-графику с американских серверов. Не является инфраструктурой ЕС. Механизм передачи данных не указан.

Контекст

European Banking Authority (EBA) — надзорный орган ЕС в банковской сфере, разрабатывает единые стандарты для банков ЕС. Регулируется Regulation (EU) 2018/1725. HAR: 89 запросов, 7 доменов. Сессия включала переход между несколькими страницами — отсюда повторяющиеся запросы.

Matomo — правильный выбор

EBA использует Matomo (analytics.eba.europa.eu) — европейскую open-source аналитическую платформу, развёрнутую на собственном субдомене. Данные об аналитике остаются на серверах EBA и не передаются третьим сторонам. Это именно та архитектура которую рекомендует EDPS для институций ЕС: аналитика без передачи данных внешним получателям. В этой серии — редкий осознанный выбор.

Google Fonts — простое исправление

Несмотря на Matomo, EBA загружает Google Fonts (fonts.googleapis.com) — Open Sans и Kumbh Sans. IP посетителя уходит в Google (США) при каждом открытии страницы, без согласия. Самохостинг шрифтов устранил бы единственную передачу данных в США.

Flourish — американская визуализация

public.flourish.studio — CDN платформы Flourish (Canopy Lab Ltd., Лондон, с серверами в США) для интерактивных графиков и визуализаций. EBA использует Flourish для отображения данных о банковском секторе ЕС. IP посетителя передаётся в американскую инфраструктуру при просмотре этих визуализаций. Для агентства обрабатывающего чувствительные финансовые данные — нежелательная зависимость.

tools.eba.europa.eu

Флаги государств ЕС загружаются с собственного поддомена tools.eba.europa.eu — правильная самостоятельная инфраструктура для статических ресурсов.

Вывод

EBA ближе к правильной архитектуре чем большинство коммерческих сайтов серии: Matomo на собственном субдомене, инфраструктура europa.eu. Но Google Fonts и Flourish создают две точки передачи данных в США без согласия и без баннера. Самохостинг шрифтов и замена Flourish на европейскую альтернативу (Datawrapper, размещённый локально) решают обе проблемы.

Доказательство

Оригинал (разбор)

HAR-файл: eu/eba-europa-eu-2026-05-13.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данных — edps.europa.eu

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом eba.europa.eu.

2. Обстоятельства
Я посетил сайт eba.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (+5796 мс) загружается без согласия. IP посетителя передаётся в Google (США) при каждом открытии страницы. Баннер согласия отсутствует.

2) Flourish (public.flourish.studio) — американская платформа визуализации данных Canopy Lab Ltd. Загружает SVG-графику с американских серверов. Не является инфраструктурой ЕС. Механизм передачи данных не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-eba-europa-eu/

3. Нарушенные положения
GDPR Art. 6(1), Regulation 2018/1725 Art. 5; Regulation 2018/1725 Art. 15

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]