Технический аудит · 2026-05-31

cro.ie

Реестр компаний Ирландии — государственный орган регистрации предприятий

Государственный реестр компаний Ирландии — 30 запросов, 5 доменов. GA collect уходит за 26 мс до Complianz CMP. UserWay (виджет доступности) без согласия. Политика явно исключает данные реестра компаний из сферы GDPR — корректная правовая позиция.

Хронология утечки

+155 мс · до баннера

GA4 gtag.js (G-J5Q235KJ2S) — загружается.

+251 мс · до баннера

GA4 collect — данные о посещении уходят в Google, США.

+256 мс · до баннера

UserWay (cdn.userway.org) — виджет доступности. США.

Декларация против факта

+ UserWay (cdn.userway.org) — не заявлен

Тайминги передачи

+155 мс www.googletagmanager.com до баннера GA4 G-J5Q235KJ2S — gtag

+251 мс region1.google-analytics.com до баннера GA4 collect — за 26 мс до Complianz

+256 мс cdn.userway.org до баннера UserWay виджет доступности. США

Зафиксированные трекеры

Google Analytics GA4 (G-J5Q235KJ2S)
Google Tag Manager (gtag/js)
UserWay (cdn.userway.org) — виджет доступности
Complianz GDPR Premium (WordPress плагин)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

GA4 gtag.js (+155 мс) и GA collect (+251 мс) загружаются до Complianz CMP (+277 мс). Данные о посещении уходят в Google (США) за 26 мс до появления баннера согласия.
GDPR Art. 6(1)

UserWay (cdn.userway.org/widget.js, +256 мс) — американский сервис виджета доступности (AccessiBe Group). Загружается без согласия. Передаёт IP посетителя в США.

Контекст

Companies Registration Office (CRO) — ирландский государственный реестр компаний. Принимает уставные документы, регистрирует предприятия, публикует данные о директорах и акционерах. Под надзором DPC. WordPress сайт с Complianz GDPR Premium плагином. Cloudflare WAF. HAR: 30 запросов, 5 доменов.

Правовая позиция политики — корректная

Политика конфиденциальности явно разграничивает: данные подаваемые в CRO по Companies Act 2014 и Registration of Business Names Act 1963 — публичные по закону и не подпадают под Data Protection Acts. Это юридически грамотная позиция: публичный реестр компаний по определению содержит данные доступные всем. Политика распространяется только на данные которые пользователь добровольно предоставляет при использовании сайта (поиск, оплата).

GA раньше Complianz — 26 мс

GA4 collect уходит на +251 мс. Complianz готов на +277 мс. Разрыв 26 мс — минимальный, но достаточный для того чтобы первый pageview ушёл без согласия. Complianz GDPR Premium поддерживает блокировку скриптов до согласия — настройка cookieblocker.min.css уже подключена, но GA4 не заблокирован.

UserWay — виджет доступности

cdn.userway.org — UserWay, американский виджет доступности (WCAG compliance). Добавляет панель инструментов для людей с ограниченными возможностями: изменение шрифта, контраста, курсора. Передаёт IP посетителя в США без согласия. Европейская альтернатива: AccessMonster (ЕС) или самостоятельная реализация WCAG без внешнего JavaScript.

CSP — GA явно разрешён

content-security-policy: default-src 'self' https://www.google-analytics.com https://www.googletagmanager.com... — Google Analytics явно прописан в CSP. Это означает что подключение GA осознанное, а не случайное.

Вывод

CRO — государственный реестр с корректной правовой позицией в политике. GA collect опережает Complianz на 26 мс — техническая проблема решаемая в настройках плагина. UserWay без согласия — отдельное замечание. Приоритет: заблокировать GA через Complianz cookieblocker до согласия.

Доказательство

Оригинал (разбор)

HAR-файл: ie/cro-ie-2026-05-31.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом cro.ie.

2. Обстоятельства
Я посетил сайт cro.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GA4 gtag.js (+155 мс) и GA collect (+251 мс) загружаются до Complianz CMP (+277 мс). Данные о посещении уходят в Google (США) за 26 мс до появления баннера согласия.

2) UserWay (cdn.userway.org/widget.js, +256 мс) — американский сервис виджета доступности (AccessiBe Group). Загружается без согласия. Передаёт IP посетителя в США.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ie-cro-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 6(1)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]