Технический аудит · 2026-05-13

frontex.europa.eu

Frontex — Европейское агентство пограничной и береговой охраны

Пограничное агентство ЕС — 23 домена, самый насыщенный трекерами сайт в серии институций. YouTube стреляет в +0 мс. UA закрытый в 2024 году всё ещё работает. Google Ads на сайте агентства без коммерческой деятельности.

Хронология утечки

+0 мс · первый запрос

YouTube log_event — ещё до загрузки страницы. Данные в Google.

+224 мс · до баннера

Bootstrap CDN (jsDelivr), cookie-script, jQuery CDN, Cloudflare Turnstile, Twitter виджеты — всё одновременно.

+497 мс · до согласия

Google Fonts — Montserrat и Roboto. США.

+528 мс · до согласия

GTM (GTM-K7BJHN6) — загружается.

+633 мс · до согласия

UA analytics.js — закрыт июль 2024, всё ещё загружается.

+690 мс · до согласия

UA pageview collect — данные уходят в закрытый сервис.

+815 мс

lens.frontex.europa.eu/piwik/piwik.js — собственный Piwik, статус 0 (заблокирован).

+2322 мс

Google Ads DoubleClick (pagead/id) — рекламная инфраструктура.

Декларация против факта

+ Google Analytics UA (закрыт) — не заявлен

+ Google Analytics GA4 — не заявлен

+ Google Ads / DoubleClick — не заявлен

+ YouTube (прямая загрузка) — не заявлен

+ Twitter / X виджеты — не заявлен

+ Bootstrap CDN, jQuery CDN — не заявлен

+ Cloudflare Turnstile — не заявлен

+ Google Fonts — не заявлен

Тайминги передачи

+0 мс www.youtube.com первый запрос log_event до загрузки страницы

+228 мс platform.twitter.com без согласия Twitter виджеты

+528 мс www.googletagmanager.com без согласия GTM-K7BJHN6

+633 мс www.google-analytics.com без согласия UA analytics.js — сервис закрыт 2024

+2322 мс googleads.g.doubleclick.net без согласия Google Ads pagead/id

Зафиксированные трекеры

Google Tag Manager (GTM-K7BJHN6)
Google Analytics UA (www.google-analytics.com) — устаревший
Google Analytics GA4 (G-Y2F9EGZV5D)
Google Ads / DoubleClick (googleads.g.doubleclick.net)
YouTube (прямая загрузка без согласия)
Twitter / X виджеты (platform.twitter.com)
Cloudflare Turnstile (challenges.cloudflare.com)
Google Fonts (fonts.googleapis.com)
Piwik (lens.frontex.europa.eu) — заблокирован
Bootstrap CDN (cdn.jsdelivr.net)
jQuery CDN (code.jquery.com)

Зафиксированные нарушения

Regulation 2018/1725 Art. 5

YouTube log_event (+0 мс) — первый запрос сессии ещё до загрузки страницы. GTM (+528 мс), UA (+633 мс), GA collect (+690 мс), Twitter виджеты (+228 мс), Google Ads (+2322 мс) — всё без согласия. Cookie-script загружается на +226 мс но не блокирует трекеры.
Regulation 2018/1725 Art. 5 — Дополнительно

Google Analytics UA официально закрыт с июля 2024 года. UA analytics.js загружается и отправляет pageview. Google Ads DoubleClick (pagead/id) — рекламная инфраструктура на сайте агентства не ведущего коммерческой деятельности.

Контекст

Frontex — Европейское агентство пограничной и береговой охраны, штаб-квартира в Варшаве. Координирует охрану внешних границ ЕС, проводит совместные операции с государствами-членами, обрабатывает данные о лицах пересекающих границу. Регулируется Regulation (EU) 2018/1725 и специальным Regulation (EU) 2019/1896. HAR: 131 запрос, 23 домена.

Самый насыщенный сайт серии институций

На фоне Европейского парламента (2 домена), Европола (2 домена), ЕЦБ (1 домен) и Комиссии (5 доменов) — Frontex с 23 доменами выбивается полностью. Это не техническая небрежность — это сознательные решения: подключить YouTube, Twitter, Google Ads, GTM.

YouTube +0 мс — до загрузки страницы

Первый запрос в HAR — www.youtube.com/youtubei/v1/log_event на отметке +0 мс. Это означает что YouTube API инициализируется ещё до того как браузер загрузил HTML страницы — видео было предзагружено из предыдущей навигации или кешировано. Данные о просмотре уходят в Google до любого взаимодействия пользователя.

UA после закрытия — снова

Как у ekel.ee и eua.eu — Frontex загружает UA analytics.js (+633 мс) и отправляет pageview collect (+690 мс). UA закрыт с июля 2024 года. Параллельно работает GA4 (G-Y2F9EGZV5D). Два GA-счётчика, один мёртвый.

Google Ads на агентстве ЕС

googleads.g.doubleclick.net/pagead/id (+2322 мс) — это рекламный идентификатор Google, используемый для настройки рекламных аудиторий. Frontex не является коммерческой организацией и не покупает рекламу Google. Появление DoubleClick может означать что он прописан в GTM-контейнере и активируется по умолчанию.

Piwik заблокирован

lens.frontex.europa.eu/piwik/piwik.js (+815 мс) — собственный Piwik Frontex, статус 0 (соединение заблокировано). В отличие от EBA и eu-LISA где Matomo работает корректно — у Frontex self-hosted аналитика заблокирована, но внешние трекеры работают.

Контекст чувствительности

Frontex обрабатывает данные о лицах пересекающих внешние границы ЕС — в том числе данные об убежище, нарушениях границы, биометрические данные. Публичный сайт агентства посещают правозащитники, журналисты, исследователи, люди подавшие жалобы на действия агентства. Twitter виджеты и Google Ads на таком сайте — архитектурные решения заслуживающие отдельного внимания.

Вывод

23 домена, UA закрытый с 2024 года, Google Ads без коммерческой цели, YouTube без согласия, Twitter виджеты — Frontex находится на противоположном полюсе от Европола и ЕЦБ. Всё это подключено через GTM — отключение GTM или правильная конфигурация Consent Mode решила бы большинство проблем. Собственный Piwik уже развёрнут — нужно только починить и убрать внешние трекеры.

Доказательство

Оригинал (разбор)

HAR-файл: eu/frontex-europa-eu-2026-05-13.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: EDPS — Европейский инспектор по защите данных — edps.europa.eu

Кому: EDPS — Европейский инспектор по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом frontex.europa.eu.

2. Обстоятельства
Я посетил сайт frontex.europa.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) YouTube log_event (+0 мс) — первый запрос сессии ещё до загрузки страницы. GTM (+528 мс), UA (+633 мс), GA collect (+690 мс), Twitter виджеты (+228 мс), Google Ads (+2322 мс) — всё без согласия. Cookie-script загружается на +226 мс но не блокирует трекеры.

2) Google Analytics UA официально закрыт с июля 2024 года. UA analytics.js загружается и отправляет pageview. Google Ads DoubleClick (pagead/id) — рекламная инфраструктура на сайте агентства не ведущего коммерческой деятельности.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/eu-frontex-europa-eu/

3. Нарушенные положения
Regulation 2018/1725 Art. 5; Regulation 2018/1725 Art. 5 — Дополнительно

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]