EUGDPR Audit
RU EN
Технический аудит · 2026-05-13

erc.europa.eu

ERC — агентство ЕС финансирующее фундаментальные научные исследования
EU-INSTITUTIONS

Европейский исследовательский совет — 142 запроса, 3 домена. Google Fonts (Montserrat) единственная внешняя зависимость передающая данные в США. Загружается на каждой из четырёх страниц сессии.

Хронология утечки

+226 мс · при загрузке
Google Fonts (fonts.googleapis.com) — Montserrat. IP в Google, США. Повторяется на каждой странице.

Декларация против факта

+ Google Fonts (fonts.googleapis.com) — не заявлен

Тайминги передачи

+226 мс fonts.googleapis.com без согласия Montserrat. IP в Google, США

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

European Research Council (ERC) — агентство ЕС финансирующее фундаментальные научные исследования через конкурсные гранты. Финансируется из программы Horizon Europe. Регулируется Regulation (EU) 2018/1725. HAR: 142 запроса, 3 домена, 4 страницы за сессию.

Что показал HAR

Три домена: erc.europa.eu, webtools.europa.eu и fonts.googleapis.com. Ноль трекеров, ноль Set-Cookie ответов. Google Fonts загружается на каждой из четырёх страниц сессии — шрифт Montserrat в полном наборе начертаний (от 100 до 900, курсив). IP посетителя передаётся в Google при каждом переходе.

Google Fonts — единственное исправление

Самохостинг Montserrat устранит единственную передачу данных в США. Montserrat доступен под SIL Open Font License на Google Fonts и на GitHub. EDA, EBA, ENISA и ERC — все используют Google Fonts. Для всех четырёх решение идентично: скачать woff2, разместить на собственном сервере, одна строка в CSS.

Паттерн EDA + ERC

EDA использует Source Sans 3 с Google Fonts, ERC — Montserrat. Оба в остальном соблюдают стандарт europa.eu. Самохостинг шрифтов — минимальное техническое усилие с максимальным эффектом для compliance.

Вывод

ERC — почти идеальный результат. Три домена, ноль трекеров, только webtools.europa.eu и один Google Fonts. Самохостинг Montserrat переводит сайт в зелёную зону.

Доказательство
Оригинал (разбор)
HAR-файл: eu/erc-europa-eu-2026-05-13.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данныхedps.europa.eu 

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом erc.europa.eu.

2. Обстоятельства
Я посетил сайт erc.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Fonts (+226 мс) загружается при открытии каждой страницы без согласия. IP посетителя передаётся в Google (США) 4 раза за сессию из 4 страниц.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-erc-europa-eu/

3. Нарушенные положения
Regulation 2018/1725 Art. 5

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]