enisa.europa.eu
Агентство кибербезопасности ЕС использует собственный PeerTube сервер для видео — образцовый выбор. Но AddToAny и Cloudflare cdnjs загружаются без согласия. Агентство которое публикует рекомендации по защите данных — само передаёт данные посетителей в США.
Хронология утечки
Декларация против факта
Тайминги передачи
Зафиксированные трекеры
- AddToAny (static.addtoany.com)
- Cloudflare cdnjs (cdnjs.cloudflare.com)
Зафиксированные нарушения
-
Regulation 2018/1725 Art. 5AddToAny (+230 мс) и cdnjs.cloudflare.com (+229 мс) загружаются без согласия при открытии главной страницы. Данные в США. Баннер согласия отсутствует.
Контекст
European Union Agency for Cybersecurity (ENISA) — агентство ЕС по сетевой и информационной безопасности, штаб-квартира в Афинах. Публикует рекомендации по кибербезопасности, ежегодный отчёт о киберугрозах (ENISA Threat Landscape), методологии для национальных CSIRT. Регулируется Regulation (EU) 2018/1725. HAR: 120 запросов, 5 доменов.
PeerTube — образцовый выбор
Главная находка этого аудита — videos.enisa.europa.eu. Это собственный экземпляр PeerTube, децентрализованной open-source платформы видеохостинга. ENISA хостит видео на собственной инфраструктуре вместо YouTube. При воспроизведении видео данные уходят исключительно на серверы ENISA — никакого Google, никакого YouTube. Локализация на русский язык (ru-RU/player.json) загружается тоже с собственного сервера.
Это тот же принцип что у eu-LISA с Matomo — осознанный выбор европейской self-hosted альтернативы вместо американского сервиса.
AddToAny — та же проблема что у ACER
static.addtoany.com (+230 мс) — американский сервис кнопок «поделиться». ENISA использует его на двух страницах сессии. На второй странице (+12107 мс) загружаются отдельные JS-модули для Facebook, Twitter и LinkedIn иконок. Данные о посещении уходят в AddToAny (США) без согласия. То же замечание что у ACER — функция «поделиться» реализуема без внешнего JavaScript.
cdnjs.cloudflare.com — Font Awesome
Font Awesome 6.6.0 загружается с американского CDN Cloudflare (+229 мс). IP посетителя передаётся в США при каждом открытии страницы. Решение: самохостинг Font Awesome (набор SVG-файлов с открытой лицензией).
Ирония контекста
ENISA публикует ежегодные отчёты о киберугрозах и рекомендации по защите данных для организаций ЕС — и одновременно загружает AddToAny и cdnjs без согласия при каждом визите на собственный сайт. PeerTube вместо YouTube показывает что агентство понимает принципы data minimisation — применение этого принципа к остальным сервисам логично продолжило бы начатое.
Вывод
ENISA — сильный результат по структуре: собственный PeerTube, webtools.europa.eu, ноль рекламных трекеров. Два замечания — AddToAny и cdnjs — устранимы самохостингом Font Awesome и удалением скрипта «поделиться».
Куда подавать: EDPS — Европейский инспектор по защите данных — edps.europa.eu
Кому: EDPS — Европейский инспектор по защите данных От: [Ваше имя], [контактный email] 1. Предмет жалобы Я подаю жалобу в отношении обработки моих персональных данных сайтом enisa.europa.eu. 2. Обстоятельства Я посетил сайт enisa.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее: 1) AddToAny (+230 мс) и cdnjs.cloudflare.com (+229 мс) загружаются без согласия при открытии главной страницы. Данные в США. Баннер согласия отсутствует. Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-enisa-europa-eu/ 3. Нарушенные положения Regulation 2018/1725 Art. 5 4. Требование Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR. 5. Приложения Полная доказательная база — HAR-файл, контрольная сумма SHA-256 и цитата из политики конфиденциальности сайта, документирующая указанное противоречие — опубликована и проверяема по ссылке в пункте 2 выше. [Дата] [Подпись/имя]