EUGDPR Audit
RU EN
Технический аудит · 2026-05-13

efta.int

EFTA — межправительственная торговая организация
EU-INSTITUTIONS

Торговая ассоциация Норвегии, Исландии, Лихтенштейна и Швейцарии. Datawrapper вместо Flourish — немецкая GDPR-совместимая альтернатива. Но Matomo Cloud с HeatmapSessionRecording без согласия, Google CSE приносит рекламную инфраструктуру.

Хронология утечки

+242 мс · баннер
Cookiesjsr (Drupal модуль) — CMP начинает загружаться с собственного сервера.
+276 мс · до баннера
Google CSE (cse.google.com) — поиск по сайту через Google. Данные в Google, США.
+301 мс · до баннера
Matomo Cloud (eftaint.matomo.cloud) — аналитика. Новая Зеландия/США.
+421 мс · до согласия
Matomo HeatmapSessionRecording — запись тепловых карт. До взаимодействия с баннером.
+461 мс · до согласия
Datawrapper (datawrapper.dwcdn.net) — интерактивные карты и графики. Германия.
+1918 мс · до согласия
Google Ad Traffic Quality (ep1.adtrafficquality.google) — рекламная инфраструктура через CSE.
+2802 мс · до согласия
Google Ads (pagead2.googlesyndication.com) — рекламный скрипт через CSE.

Декларация против факта

+ Matomo Cloud HeatmapSessionRecording — не заявлен
+ Google Custom Search Engine — не заявлен
+ Google Ad Traffic Quality — не заявлен
+ Google Ads (через CSE) — не заявлен

Тайминги передачи

+276 мс cse.google.com до баннера Google CSE поиск. США
+301 мс eftaint.matomo.cloud до баннера Matomo Cloud + HeatmapSessionRecording
+1918 мс ep1.adtrafficquality.google до согласия Google рекламная инфраструктура через CSE

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Европейская ассоциация свободной торговли (EFTA) — межправительственная организация объединяющая Исландию, Лихтенштейн, Норвегию и Швейцарию. Управляет зоной свободной торговли, администрирует Соглашение о ЕЭП. Не является институцией ЕС, но тесно связана с европейским правом. Подпадает под GDPR как организация обрабатывающая данные граждан ЕС. Сайт на Drupal. HAR: 267 запросов, 11 доменов.

Datawrapper — правильный выбор для визуализаций

datawrapper.dwcdn.net — Datawrapper, немецкая платформа для интерактивных графиков и карт (Datawrapper GmbH, Берлин). В отличие от Flourish (американская), Datawrapper работает в ЕС и соблюдает GDPR. 20 запросов за сессию: две интерактивные карты — Roboto шрифт с собственного CDN Datawrapper (static.dwcdn.net), данные в формате CSV. Это осознанный выбор европейской альтернативы — тот же принцип что PeerTube у ENISA.

Matomo Cloud + HeatmapSessionRecording

eftaint.matomo.cloud (+301 мс) — облачная Matomo (InnoCraft, Новая Зеландия), как у Суда ЕС. Но EFTA идёт дальше: на +421 мс загружается HeatmapSessionRecording/configs.php — модуль записи тепловых карт и сессий. Это означает что сайт не просто считает посещения — он записывает движения мыши и клики каждого посетителя. Heatmap & Session Recording требует явного согласия по GDPR. Активируется до появления баннера.

Google CSE — поиск с рекламой

Google Custom Search Engine (+276 мс) встроен для поиска по сайту. Но CSE в рекламном режиме приносит с собой Google Ad Traffic Quality (adtrafficquality.google) и Google Ads (pagead2.googlesyndication.com). EFTA — некоммерческая торговая организация, реклама Google появляется как побочный эффект бесплатного CSE. Решение: платный Google CSE без рекламы или собственный поиск (Typesense, Meilisearch).

Cookiesjsr — CMP но не блокирует

Drupal модуль Cookies/CookiesJSR (cookiesjsr) — это добросовестная попытка реализовать CMP. Но загружается на +242 мс, Google CSE на +276 мс, Matomo на +301 мс — всё до готовности баннера. Конфигурация не блокирует трекеры до согласия.

Вывод

EFTA сделала правильный выбор в части визуализаций — Datawrapper вместо Flourish. Но Matomo Cloud с HeatmapSessionRecording без согласия, Google CSE приносящий рекламную инфраструктуру, и Cookiesjsr не блокирующий трекеры — три конкретных точки для исправления. Self-hosted Matomo без HeatmapSessionRecording, платный CSE и правильная конфигурация CMP решат все три.

Доказательство
Оригинал (разбор)
HAR-файл: eu/efta-int-2026-05-13.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данныхedps.europa.eu 

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом efta.int.

2. Обстоятельства
Я посетил сайт efta.int и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Cookiesjsr (собственный CMP) загружается на +242 мс, но Google CSE (+276 мс) и Matomo Cloud (+301 мс) запускаются раньше чем баннер готов. Баннер не блокирует трекеры.

2) Matomo Cloud HeatmapSessionRecording активируется без согласия — запрос configs.php на +421 мс. Запись тепловых карт и сессий требует явного согласия по GDPR.

3) Google Ad Traffic Quality (adtrafficquality.google) и Google Ads (googlesyndication.com) появляются в контексте Google Custom Search. EFTA — некоммерческая организация, рекламная инфраструктура активируется через CSE.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-efta-int/

3. Нарушенные положения
GDPR Art. 7; GDPR Art. 6(1); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]