euaa.europa.eu
Агентство по убежищу ЕС — 175 запросов, 5 доменов. Flourish передаёт данные в США без согласия. YouTube встраивается через webtools CRS — механизм отложенного согласия Европейской комиссии. Слабый CSP.
Хронология утечки
Декларация против факта
Тайминги передачи
Зафиксированные трекеры
- Flourish (public.flourish.studio)
Зафиксированные нарушения
-
Regulation 2018/1725 Art. 5Flourish (+1456 мс) загружается без согласия — шрифты и CSS с public.flourish.studio. IP посетителей уходит в американскую инфраструктуру Flourish.
Контекст
European Union Agency for Asylum (EUAA) — агентство ЕС координирующее системы предоставления убежища государств-членов. Обрабатывает чувствительные данные о беженцах и просителях убежища. Регулируется Regulation (EU) 2018/1725. HAR: 175 запросов, 5 доменов. Сессия включала три страницы.
webtools CRS — правильный подход к YouTube
Когда HAR фиксирует YouTube, это обычно означает прямую загрузку без согласия. EUAA использует другой механизм: europa.eu/webtools/crs/iframe?oriurl=youtube.com/embed/.... CRS — Content Rendering Service, инструмент Европейской комиссии который перехватывает встраивание внешнего контента и показывает пользователю запрос согласия перед загрузкой YouTube. Это правильная архитектура — тот же принцип что у youtube-nocookie с отложенной загрузкой, но реализованный централизованно через webtools.
Flourish — та же проблема что у EBA
public.flourish.studio (+1456 мс) загружает шрифты для встроенных визуализаций — Open Sans Bold и Regular. Как и у EBA, Flourish передаёт IP посетителей в американскую инфраструктуру без согласия. Датавиз-платформа Datawrapper (немецкая, DSGVO-совместимая) или self-hosted решение заменило бы Flourish.
Слабый CSP
Content-Security-Policy: report-uri /report-csp-violation — политика содержит только директиву report-uri без каких-либо ограничений. Это означает что CSP настроен в режиме логирования нарушений без реального блокирования. Фактически CSP не работает как защита.
Контекст чувствительности
EUAA координирует обработку данных о беженцах и просителях убежища — одной из наиболее уязвимых групп. Данные о том кто посещает сайт агентства по убежищу могут быть чувствительными сами по себе. Flourish без согласия передаёт в США информацию о каждом визите.
Вывод
EUAA использует webtools CRS для YouTube — это правильное архитектурное решение которое стоит отметить. Flourish без согласия и отсутствующий реальный CSP — два замечания. Самохостинг шрифтов Flourish или замена на европейскую визуализационную платформу решит первую проблему.
Куда подавать: EDPS — Европейский инспектор по защите данных — edps.europa.eu
Кому: EDPS — Европейский инспектор по защите данных От: [Ваше имя], [контактный email] 1. Предмет жалобы Я подаю жалобу в отношении обработки моих персональных данных сайтом euaa.europa.eu. 2. Обстоятельства Я посетил сайт euaa.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее: 1) Flourish (+1456 мс) загружается без согласия — шрифты и CSS с public.flourish.studio. IP посетителей уходит в американскую инфраструктуру Flourish. Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-euaa-europa-eu/ 3. Нарушенные положения Regulation 2018/1725 Art. 5 4. Требование Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR. 5. Приложения Полная доказательная база — HAR-файл, контрольная сумма SHA-256 и цитата из политики конфиденциальности сайта, документирующая указанное противоречие — опубликована и проверяема по ссылке в пункте 2 выше. [Дата] [Подпись/имя]