EUGDPR Audit
RU EN
Технический аудит · 2026-05-31

hiqa.ie

HIQA — Орган по качеству здравоохранения и информации Ирландии
IE

HIQA — регулятор качества здравоохранения Ирландии. 81 запрос, 8 доменов. GA4 отправляет collect запрос до баннера Cookiebot. Campaign Monitor (12 запросов) загружает форму email-подписки без согласия. Два GTM ID параллельно. Шрифты, Font Awesome — локально. Документ в архиве — не cookie policy.

Хронология утечки

+67 мс · до баннера
consent.cookiebot.com/uc.js — Cookiebot SDK. Одновременно начинает загрузку GTM/gtag модуль Drupal.
+92 мс · до баннера
www.googletagmanager.com/gtag/js?id=G-L4D89K6CE0 — GA4 скрипт загружается. Параллельно: www.googletagmanager.com/gtm.js?id=GTM-T5LKDTW — GTM-контейнер.
+214–219 мс · Cookiebot
consentcdn.cookiebot.com — configuration.js, settings.json, bc-v4.min.html, cc.js. Cookiebot баннер инициализируется.
+497 мс · до согласия
region1.google-analytics.com/g/collect — GA4 трекинговый запрос: tid=G-L4D89K6CE0, gtm=45je65r2v883400750. Данные уходят в США.
+514 мс · до согласия
cmemailmarketing.co.uk — 12 запросов: Campaign Monitor iframe с формой подписки полностью загружается. jQuery, Bootstrap DatePicker, cm-canvas.js, Form.js.
+977 мс · до согласия
cdnjs.cloudflare.com — Font Awesome 4.7.0 CSS. Cloudflare CDN.

Декларация против факта

+ Google Analytics GA4 (G-L4D89K6CE0) — не упомянут в предоставленном документе — не заявлен
+ Google Tag Manager (GTM-T5LKDTW) — не упомянут — не заявлен
+ Campaign Monitor (cmemailmarketing.co.uk) — не упомянут — не заявлен
+ Cookiebot — не упомянут — не заявлен
+ jsDelivr, Cloudflare cdnjs — не упомянуты — не заявлен

Тайминги передачи

+92 мс www.googletagmanager.com до баннера gtag/js GA4 G-L4D89K6CE0 + GTM-T5LKDTW. США.
+216 мс consent.cookiebot.com баннер Cookiebot cc.js. UUID d924c445.
+497 мс region1.google-analytics.com до согласия GA4 g/collect. gcs=G100. США.
+514 мс cmemailmarketing.co.uk до согласия Campaign Monitor iframe. 12 запросов. Великобритания.
+977 мс cdnjs.cloudflare.com до согласия Font Awesome 4.7.0 CSS. Cloudflare.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

HIQA (Health Information and Quality Authority) — ирландский орган, инспектирующий и регулирующий качество медицинских и социальных услуг: больниц, домов престарелых, учреждений для детей. HAR: 81 запрос, 8 доменов. 59 запросов к www.hiqa.ie — шрифты Roboto, Roboto Condensed, Font Awesome и иконки HIQA хостятся локально. Sensitivity — high.

Два GTM ID параллельно

На +92 мс загружаются два запроса к www.googletagmanager.com: gtag/js?id=G-L4D89K6CE0 (прямое подключение GA4 через gtag) и gtm.js?id=GTM-T5LKDTW (GTM-контейнер). Drupal-модуль google_tag обеспечивает оба подключения. Наличие двух параллельных GA4-интеграций — через gtag и через GTM — нестандартная конфигурация, которая может приводить к двойной отправке событий. GA4 отправляет полный трекинговый запрос на region1.google-analytics.com (+497 мс) до завершения инициализации Cookiebot баннера.

Campaign Monitor — 12 запросов до согласия

На +514 мс главная страница HIQA загружает встроенный iframe формы email-подписки с cmemailmarketing.co.uk/su885809414/frm5. Campaign Monitor — британская CRM и email-маркетинговая платформа. Iframe загружает полный стек веб-приложения: Modernizr, jQuery, Bootstrap DatePicker, cm-canvas.js, Common.js, Form.js, spinner.gif — 12 запросов итого. Каждый запрос передаёт IP-адрес посетителя на серверы Campaign Monitor в Великобритании. Форма подписки на рассылку является функциональностью, которую посетитель активирует по желанию — но iframe загружается при каждом посещении главной страницы, вне зависимости от намерений посетителя и без его согласия.

Документ в архиве — не cookie policy

Предоставленный ODP-документ содержит текст «HIQA Protected Disclosures Policy» — процедуру подачи защищённых раскрытий (whistleblowing). Это не cookie policy и не privacy notice для веб-сайта. Оценить соответствие декларируемых практик фактической архитектуре по предоставленному документу невозможно.

Архитектурная дисциплина в части шрифтов

HIQA разместила все шрифты локально: Roboto v29, Roboto Condensed v24 (три начертания), кастомный иконочный шрифт hiqa.ttf, Font Awesome 6.x webfonts — всё на www.hiqa.ie. Это правильное решение для шрифтов, которое устраняет передачу IP-адресов Google. Контраст с Cloudflare cdnjs (+977 мс) для Font Awesome 4.7.0 тем более заметен: старая версия того же FA загружается с внешнего CDN.

Set-Cookie — ноль

Ни один из 81 запроса не устанавливает cookie через Set-Cookie.

Вывод

hiqa.ie допускает нарушения на двух уровнях: аналитическом (GA4 до Cookiebot баннера) и функциональном (Campaign Monitor iframe при каждом посещении без согласия). Для органа, инспектирующего качество услуг и соблюдение стандартов в здравоохранении, несоответствие собственного сайта стандартам GDPR является институциональным противоречием. Исправление Campaign Monitor требует одного шага: переместить iframe за consent-баннер или заменить его на статическую форму с lazy-load.

Доказательство
Оригинал (разбор)
HAR-файл: ie/hiqa-ie-2026-05-31.har
SHA-256: eec43542db868927ff8768402ffbb3426d5c5fc18dd718581dca878bdbc26fa2
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данныхdataprotection.ie 

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом hiqa.ie.

2. Обстоятельства
Я посетил сайт hiqa.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GA4 (G-L4D89K6CE0, gtag/js) загружается на +92 мс. GTM (GTM-T5LKDTW, gtm.js) загружается одновременно (+92 мс). GA4 отправляет трекинговый запрос region1.google-analytics.com/g/collect на +497 мс. Cookiebot cc.js загружается на +216 мс, но баннер инициализируется позже GA4 collect запроса. Пользователь уже отслеживается GA4 до завершения баннера согласия.

2) На +514 мс cmemailmarketing.co.uk загружает встроенный iframe с формой подписки на рассылку HIQA. 12 запросов к серверам Campaign Monitor в Великобритании: Modernizr, jQuery, CSS, Bootstrap DatePicker, cm-canvas.js, Common.js, Form.js. Campaign Monitor — британская CRM/email-маркетинговая платформа. Персональные данные посетителей (IP, user-agent, fingerprint) передаются при каждой загрузке главной страницы — до согласия.

3) Документ в архиве — HIQA Protected Disclosures Policy — не является cookie policy или privacy notice для веб-сайта. Конкретные веб-технические инструменты (GA4, GTM, Campaign Monitor) не задокументированы ни в одном из доступных документов.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/hiqa-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — Campaign Monitor форма подписки до согласия; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]