EUGDPR Audit
RU EN
Технический аудит · 2026-05-31

hse.ie

HSE — Исполнительный орган системы здравоохранения Ирландии
IE

HSE — национальная система здравоохранения Ирландии, обрабатывающая медицинские данные 5 миллионов граждан. 41 запрос, 8 доменов. GTM и Piwik Pro загружаются за 221 мс до баннера OneTrust. Политика декларирует анонимизированную аналитику без передачи за пределы EEA, не называя конкретных инструментов.

Хронология утечки

+354 мс · до баннера
cdn.cookielaw.org/otSDKStub.js — OneTrust SDK начинает загрузку.
+373 мс · до баннера
www.googletagmanager.com (GTM-MCBHRV) — GTM загружается.
+383 мс · до баннера
hse.containers.piwik.pro — Piwik Pro container faf9825a загружается без согласия.
+594 мс · баннер
cdn.cookielaw.org/otBannerSdk.js — OneTrust баннер отображается. GTM и Piwik Pro уже работают 221 мс.
+644 мс · до согласия
www.google.com/recaptcha/api.js — Google reCAPTCHA v2 инициализируется на главной странице.
+706–1955 мс · до согласия
www.gstatic.com — 5 запросов reCAPTCHA ресурсов. fonts.gstatic.com — Roboto (2 файла woff2) через reCAPTCHA.
+768 мс · до согласия
hse.containers.piwik.pro/privacy-widgets.json — Piwik Pro загружает конфигурацию privacy widgets.

Декларация против факта

Google — упомянут в контексте геолокации ('shared with Google') — заявлен
Анонимизированная аналитика — упомянута в общих терминах — заявлен
Cookies Statement — упомянут как отдельный документ — заявлен
+ Google Tag Manager (GTM-MCBHRV) — не упомянут — не заявлен
+ Piwik Pro (hse.containers.piwik.pro) — не упомянут — не заявлен
+ Google reCAPTCHA (www.google.com, www.gstatic.com) — не упомянут — не заявлен
+ Google Fonts (fonts.gstatic.com) — не упомянут — не заявлен

Тайминги передачи

+354 мс cdn.cookielaw.org OneTrust SDK otSDKStub.js. UUID 0980e13c.
+373 мс www.googletagmanager.com до баннера GTM-MCBHRV. США.
+383 мс hse.containers.piwik.pro до баннера Piwik Pro container faf9825a. Польша/ЕС.
+594 мс cdn.cookielaw.org баннер OneTrust otBannerSdk.js — баннер виден.
+644 мс www.google.com до согласия reCAPTCHA v2 render=explicit. США.
+768 мс hse.containers.piwik.pro до согласия Piwik Pro privacy-widgets.json.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

HSE (Health Service Executive) — исполнительный орган системы здравоохранения Ирландии. Управляет больницами, первичной медицинской помощью, психическим здоровьем, общественным здравоохранением. Обрабатывает медицинские данные, данные о психическом здоровье, индивидуальные идентификаторы здоровья (IHI) и PPS-номера около 5 миллионов граждан. Sensitivity — high. HAR: 41 запрос, 8 доменов. 17 запросов к CDN assets.hse.ie, 1 к www.hse.ie — остальные 23 к шести внешним доменам.

GTM и Piwik Pro до согласия

OneTrust SDK загружается одновременно с первыми ресурсами страницы (+354 мс). GTM-MCBHRV появляется на +373 мс. Piwik Pro — на +383 мс. Баннер OneTrust завершает загрузку на +594 мс. 221 мс — промежуток, в течение которого оба аналитических инструмента инициализируются без согласия пользователя.

Piwik Pro — польская компания, один из ведущих европейских поставщиков аналитики, позиционирующий себя как GDPR-совместимую альтернативу Google Analytics. HSE использует собственный Piwik Pro container (hse.containers.piwik.pro), что означает данные обрабатываются на инфраструктуре, настроенной под HSE. Тем не менее активация до согласия нарушает ePrivacy Regulations вне зависимости от GDPR-позиционирования провайдера.

reCAPTCHA на главной странице

Google reCAPTCHA v2 (render=explicit) инициализируется на главной странице HSE на +644 мс. Это необычно: reCAPTCHA обычно загружается на страницах с формами, а не на главных страницах. Возможное объяснение — reCAPTCHA подключена глобально через GTM или шаблон страницы и не ограничена страницами с формами. 8 запросов к Google серверам (www.google.com, www.gstatic.com) и загрузка шрифта Roboto через fonts.gstatic.com происходят без согласия.

Политика: корректная по структуре, неполная по содержанию

Политика конфиденциальности HSE структурирована профессионально: отдельный DPO, права субъектов данных, политика хранения. В части веб-данных политика заявляет анонимизацию IP-адресов и отсутствие передачи данных за пределы EEA. Piwik Pro — польская компания с EU-инфраструктурой — технически соответствует последнему утверждению. Но ни Piwik Pro, ни GTM, ни reCAPTCHA не названы поимённо. Политика описывает эффект («анонимизированные данные»), не описывая инструменты. По Art. 13(1)(e) субъект данных имеет право знать конкретных получателей, а не только категории обработки.

Set-Cookie — ноль

Ни один из 41 запроса не устанавливает cookie через Set-Cookie.

Вывод

hse.ie — сайт, обрабатывающий данные о здоровье пяти миллионов граждан — допускает инициализацию GTM и Piwik Pro за 221 мс до отображения баннера согласия. По сравнению с другими сайтами ирландской серии архитектура HSE относительно сдержана: 8 доменов, нет рекламных сетей, нет Facebook, нет DoubleClick. Нарушения носят процедурный характер: порядок загрузки и неполнота документации. Исправление требует одного изменения: загружать GTM и Piwik Pro после завершения инициализации OneTrust баннера, а не параллельно с его SDK.

Доказательство
Оригинал (разбор)
HAR-файл: ie/hse-ie-2026-05-31.har
SHA-256: 47ea7e0a3019364d02bd73c21464f21dae1ef67c2049603caa7177114bcdb05e
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данныхdataprotection.ie 

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом hse.ie.

2. Обстоятельства
Я посетил сайт hse.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-MCBHRV) загружается на +373 мс. Piwik Pro (hse.containers.piwik.pro) — на +383 мс. OneTrust баннер (otBannerSdk.js) появляется на +594 мс. Разрыв между первым трекером и баннером: 221 мс. Оба инструмента аналитики активируются до любого взаимодействия пользователя с баннером согласия. Сайт HSE обрабатывает медицинские данные, данные о психическом здоровье и идентификационные данные пациентов.

2) Политика конфиденциальности заявляет: «We collect website analytics data that is anonymised and aggregated» и «We do not transfer any other personal data about you outside the EEA». Piwik Pro — польская компания, Piwik Pro Analytics Suite обрабатывает данные на EU-серверах. GTM активируется до согласия. Политика не называет ни Piwik Pro, ни GTM, ни reCAPTCHA как конкретных получателей данных.

3) Политика описывает аналитику в общих категориях без идентификации получателей. Google (через GTM и reCAPTCHA), Piwik Pro — не упомянуты поимённо. Cookies Statement упомянут как отдельный документ — не предоставлен в архиве.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/hse-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 5(1)(a) — прозрачность; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]