EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

fiec.eu

Европейская федерация строительной отрасли
BE

Сайт FIEC — Европейской федерации строительной отрасли (Брюссель), зонтичной структуры над 32 национальными федерациями, включая итальянскую Federcostruzioni. 99 запросов, 11 доменов. Баннера согласия нет вовсе, а два встроенных видео в обычном режиме YouTube подключают рекламную инфраструктуру Google уже в первую секунду визита.

Хронология утечки

+0–200 мс · загрузка и шрифты Google
Сайт на Concrete CMS. В общем потоке подгружаются шрифты Google и Font Awesome с внешнего CDN.
+267–277 мс · два обычных embed YouTube
Загружаются два встроенных видео через обычный домен www.youtube.com/embed (не приватный). Баннера согласия на странице нет.
+438–839 мс · reCAPTCHA
Полностью разворачивается Google reCAPTCHA (api.js, anchor, bframe) — ещё один сервис Google на странице.
+907–1218 мс · рекламная инфраструктура Google
Дважды (по числу видео) устанавливается связь с рекламной инфраструктурой Google: googleads.g.doubleclick.net/pagead/id и static.doubleclick.net/instream/ad_status.js. Это происходит без запуска видео.
+2550–5152 мс · трекинг и аттестация YouTube
Уходят трекинг-пинги YouTube (generate_204), запросы аттестации Google (jnn-pa.googleapis.com) и журналирование событий. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ YouTube (обычный режим) — не заявлен
+ Google DoubleClick — не заявлен
+ Google reCAPTCHA — не заявлен
+ Google Fonts — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.fiec.eu — сайт FIEC, Европейской федерации строительной отрасли со штаб-квартирой в Брюсселе, объединяющей 32 национальные федерации, включая итальянскую Federcostruzioni, которая разбиралась ранее в этой серии. Сделан на Concrete CMS. В замере 99 обращений к 11 доменам. Это первый бельгийский сайт в подборке, добавленный по итальянской теме через отраслевую связь. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Случай показателен тем, что европейский зонтик ведёт себя не лучше, а скорее хуже своего итальянского участника: здесь подключается полноценная рекламная инфраструктура Google, и всё это без единого баннера согласия.

Кто получает данные

Тут был замечен: Google.

Был ли баннер согласия

Баннера нет вовсе — никакого механизма согласия на странице не обнаружено. И здесь есть прямая нестыковка с документом: политика пишет, что cookie помещаются на устройство «как только вы согласитесь», то есть подразумевает шаг получения согласия. Но шага этого на сайте просто нет: ничего не спрашивается, а трекеры грузятся сразу.

Обычный YouTube тянет рекламную инфраструктуру Google

Главное. На странице два встроенных видео, и подключены они в обычном режиме YouTube, а не в приватном. Разница принципиальна: приватный режим откладывает обращение к Google до запуска видео, обычный — обращается сразу. Здесь уже на первой секунде, без всякого воспроизведения, дважды устанавливается связь с рекламной инфраструктурой Google. Следом идут трекинг-пинги YouTube и запросы аттестации Google. Добавим к этому reCAPTCHA и шрифты Google — и получается, что практически все внешние обращения сайта ведут к одной компании.

Куда уходят данные — в Google, США

Из значимых получателей здесь только Google, во множестве лиц: видео, рекламная инфраструктура, защита форм, шрифты, аттестация. Все эти обращения передают IP-адрес посетителя в США. В политике конкретного раздела о передаче за пределы ЕС нет, а сами сервисы не названы. Чинится стандартно: приватный режим для видео, перенос шрифтов на свой сервер и честное описание оставшегося в документе.

Семейное сходство

Стоит отметить связь с уже разобранным. Итальянская Federcostruzioni, входящая в эту же федерацию, грешила тем же — обычным режимом YouTube и отсутствием реального согласия. Европейский зонтик повторяет ту же привычку и добавляет к ней полную рекламную инфраструктуру DoubleClick. То есть это не особенность одного сайта, а общий стиль работы для всего отраслевого семейства.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Обращение к рекламной инфраструктуре при загрузке встроенного видео — это поведение обычного режима YouTube, а не отдельно настроенная реклама на сайте; но результат для посетителя один и тот же — данные уходят в Google до какого-либо действия. reCAPTCHA, вероятно, защищает форму на сайте. Содержимое cookie в облегчённой выгрузке напрямую не видно. Замер охватывает главную страницу.

Вывод

Сайт брюссельской европейской федерации работает без единого баннера согласия, а два встроенных видео в обычном режиме YouTube подключают рекламную инфраструктуру Google в первую же секунду — вместе с reCAPTCHA, шрифтами и аттестацией Google. Практически все внешние получатели здесь сводятся к одной компании за океаном. Политика при этом описывает лишь общие «статистические cookie» и даже подразумевает шаг согласия, которого на сайте нет. Главное, что должен вынести читатель: и национальная федерация, и её европейский зонтик собраны по одному образцу — встроенное видео в обычном режиме без спроса, — только на уровне Европы к этому добавляется ещё и рекламная машина Google.

Доказательство
Оригинал (разбор)
HAR-файл: be/fiec-eu-2026-06-15.har
SHA-256: bc76838ed01f661a74f881214889f7197903d216aa753e20b04f45f56bf8228f
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: APD — Орган по защите данных Бельгииподать жалобу онлайн → 

Кому: APD — Орган по защите данных Бельгии
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом fiec.eu.

2. Обстоятельства
Я посетил сайт fiec.eu и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Механизма согласия на сайте нет вообще. При этом два встроенных видео подключены в обычном режиме YouTube (не приватном), и уже на +907 мс устанавливается связь с рекламной инфраструктурой Google (googleads.g.doubleclick.net/pagead/id и static.doubleclick.net/instream/ad_status.js — дважды, по числу видео), независимо от того, запускал ли пользователь воспроизведение. Параллельно активны reCAPTCHA и трекинг-пинги YouTube. Любопытная деталь: сама политика пишет, что cookie ставятся «как только вы согласитесь», — но баннера, который бы спрашивал это согласие, на сайте нет.

2) Политика описывает cookie обобщённо — «traffic log cookies для статистического анализа» — и не называет ни YouTube, ни DoubleClick, ни reCAPTCHA, ни Google Fonts. Все эти сервисы принадлежат Google (США), и обращения к ним передают IP-адрес посетителя за пределы ЕС. Конкретного раздела о такой передаче в политике нет.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/fiec-eu/

3. Нарушенные положения
Art. 6(1)(a) GDPR — реклама Google с первой секунды, без согласия; Art. 13(1)(e) и Art. 13(1)(f) GDPR — получатели не названы, IP уходит в США

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]