Технический аудит · 2026-05-31

irishimmigration.ie

ISD — Immigration Service Delivery, Министерство юстиции Ирландии

Иммиграционная служба Ирландии — ключевой ресурс для беженцев, заявителей на убежище и мигрантов. 129 запросов, 11 доменов. Matomo и Hotjar загружаются за 498 мс до Cookie Script. Hotjar классифицирован как 'functionality cookie'. Weglot поддерживает 13 языков — и передаёт данные до согласия.

Хронология утечки

+204 мс · до Cookie Script

cdn.matomo.cloud — Matomo JS для irishimmigration.matomo.cloud. Аналитика без согласия.

+205 мс · до Cookie Script

use.fontawesome.com/releases/v5.8.1 — Font Awesome Pro CSS. Лицензионный CDN Adobe/Fonticons. США.

+206 мс · до Cookie Script

static.hotjar.com (hotjar-1600802) — Hotjar агент записи сессий загружается.

+227–364 мс · до Cookie Script

fonts.gstatic.com — Lato woff2 (8 файлов). Google серверы, США.

+327 мс · до Cookie Script

script.hotjar.com — Hotjar основной модуль. Запись сессий активируется.

+333 мс · до Cookie Script

cdn.weglot.com — флаги 13 языков (BR, UA, FR, PL, DE, CN, RU, ES, IE, SA, TR, IN, PK). Weglot CDN.

+346 мс · до Cookie Script

irishimmigration.matomo.cloud/matomo.php — Matomo трекинговый запрос: idsite=1, action_name=Home.

+392 мс · до Cookie Script

api.weglot.com/pageviews — Weglot фиксирует просмотр страницы с API-ключом.

+393 мс · до Cookie Script

fonts.googleapis.com — Roboto + Lato. Google серверы, США.

Декларация против факта

✓ Hotjar — упомянут как 'functionality cookie' (классификация неточна) — заявлен

+ Matomo Cloud (irishimmigration.matomo.cloud) — не упомянут — не заявлен

+ Weglot (cdn.weglot.com, api.weglot.com) — не упомянут — не заявлен

+ Font Awesome Pro (use.fontawesome.com) — не упомянут — не заявлен

+ Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — не упомянуты — не заявлен

Тайминги передачи

+204 мс cdn.matomo.cloud до Cookie Script Matomo Cloud JS. idsite=1.

+205 мс use.fontawesome.com до Cookie Script Font Awesome Pro v5.8.1. США.

+206 мс static.hotjar.com до Cookie Script Hotjar 1600802. Запись сессий.

+333 мс cdn.weglot.com до Cookie Script Weglot флаги 13 языков. Франция.

+346 мс irishimmigration.matomo.cloud до Cookie Script Matomo matomo.php. Трекинговый запрос.

+392 мс api.weglot.com до Cookie Script Weglot pageviews API. Передача данных.

+702 мс cdn.cookie-script.com Cookie Script CMP. Разрыв от первого трекера: 498 мс.

Зафиксированные трекеры

Matomo Cloud (cdn.matomo.cloud, irishimmigration.matomo.cloud)
Hotjar (static.hotjar.com, script.hotjar.com)
Weglot — переводчик (cdn.weglot.com, api.weglot.com)
Font Awesome Pro CDN (use.fontawesome.com)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Cookie Script CMP (cdn.cookie-script.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

Matomo Cloud (+204 мс) и Hotjar (+206 мс) загружаются до Cookie Script (+702 мс). Разрыв 498 мс. Matomo отправляет трекинговые запросы на +346 мс и повторно позже — до завершения инициализации Cookie Script баннера. Hotjar загружает три JS-модуля (+206, +327, +564 мс) до Cookie Script. Google Fonts (+393 мс) и Font Awesome Pro (+205 мс) загружаются без согласия. Weglot CDN (+333 мс) — флаги 13 языков — передаёт IP на серверы Weglot до Cookie Script.
GDPR Art. 5(1)(a) — неточная классификация Hotjar

Политика конфиденциальности классифицирует Hotjar как «functionality cookie», описывая функциональные cookies как инструменты для «remember visitor information, language, timezone». Hotjar — это инструмент записи сессий и тепловых карт, записывающий клики, движения мыши и скроллинг пользователей. По классификации EDPB Hotjar относится к аналитическим cookies, требующим согласия. Классификация как функциональный cookie ошибочна и может вводить пользователя в заблуждение относительно характера обработки данных.
GDPR Art. 13(1)(e)

Политика упоминает Hotjar (как functionality cookie). Matomo, Weglot, Font Awesome Pro и Google Fonts не упомянуты как получатели данных посетителей сайта.

Контекст

Immigration Service Delivery (ISD) — подразделение Министерства юстиции, управляющее иммиграционными заявками, разрешениями на проживание и гражданством. Сайт поддерживает 13 языков через Weglot: португальский, украинский, французский, польский, немецкий, китайский, русский, испанский, ирландский, арабский, турецкий, хинди, урду. Посетители — в том числе беженцы, заявители на убежище и мигранты в уязвимом правовом положении. Sensitivity — high. HAR: 129 запросов, 11 доменов.

498 мс между первым трекером и баннером

Matomo Cloud загружается на +204 мс. Cookie Script появляется на +702 мс. За эти 498 мс активируются: Matomo JS (+204 мс), Font Awesome Pro (+205 мс), Hotjar (+206 мс), Weglot CDN с 13 флагами (+333 мс), Matomo trекинговый запрос (+346 мс), Weglot pageviews API (+392 мс), Google Fonts (+393 мс). К моменту появления Cookie Script Hotjar уже записывает действия пользователя, Matomo отправил первый трекинговый hit, Weglot зафиксировал просмотр страницы на своих серверах.

Политика конфиденциальности категоризирует Hotjar как «functionality cookie» наряду с инструментами для запоминания языка и часового пояса. Это юридически неточная классификация. Hotjar — инструмент записи сессий: он фиксирует все клики, движения мыши, скроллинг и поведение конкретного посетителя для воспроизведения сессии и построения тепловых карт. EDPB Guidelines 05/2020 (раздел 3.4) относят инструменты измерения и анализа поведения пользователей к аналитическим cookies, требующим предварительного согласия. Функциональные cookies — категория, освобождённая от требования согласия при соблюдении условия строгой необходимости для запрошенной услуги — не включает инструменты записи сессий.

Weglot — многоязычность и данные

Weglot поддерживает 13 языков интерфейса: это критически важная функция для иммиграционного сайта, посетители которого зачастую не читают по-английски. При каждом посещении главной страницы Weglot загружает 13 SVG-флагов с cdn.weglot.com (+333 мс) и отправляет запрос api.weglot.com/pageviews (+392 мс) с API-ключом, фиксируя просмотр страницы на серверах Weglot во Франции. Оба запроса происходят до Cookie Script. Weglot в политике не упомянут.

Важен контекст: языки включают украинский, арабский, русский, польский, урду — языки основных потоков вынужденной миграции в Ирландию. Данные об использовании этих языковых настроек могут в совокупности характеризовать национальное происхождение посетителя — категорию, чувствительную по Art. 9 GDPR.

Ни один из 129 запросов не устанавливает cookie через Set-Cookie.

Вывод

irishimmigration.ie обрабатывает заявления граждан из наиболее уязвимых групп — беженцев, заявителей на убежище, нелегальных мигрантов, стремящихся легализоваться. Все трекеры — Matomo, Hotjar, Weglot — активируются до Cookie Script. Hotjar записывает поведение посетителей сайта иммиграционной службы без согласия. Для этой аудитории принцип согласия имеет особое значение: люди, чей правовой статус зависит от государственных решений, не должны автоматически становиться объектами трекинга при обращении к государственным ресурсам.

Доказательство

Оригинал (разбор)

HAR-файл: ie/irishimmigration-ie-2026-05-31.har

SHA-256: e9a1cbec9b538bb0c9e64b38d64f9a3269764a781b071e1b9da6cb1ee58085ef

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом irishimmigration.ie.

2. Обстоятельства
Я посетил сайт irishimmigration.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Matomo Cloud (+204 мс) и Hotjar (+206 мс) загружаются до Cookie Script (+702 мс). Разрыв 498 мс. Matomo отправляет трекинговые запросы на +346 мс и повторно позже — до завершения инициализации Cookie Script баннера. Hotjar загружает три JS-модуля (+206, +327, +564 мс) до Cookie Script. Google Fonts (+393 мс) и Font Awesome Pro (+205 мс) загружаются без согласия. Weglot CDN (+333 мс) — флаги 13 языков — передаёт IP на серверы Weglot до Cookie Script.

2) Политика конфиденциальности классифицирует Hotjar как «functionality cookie», описывая функциональные cookies как инструменты для «remember visitor information, language, timezone». Hotjar — это инструмент записи сессий и тепловых карт, записывающий клики, движения мыши и скроллинг пользователей. По классификации EDPB Hotjar относится к аналитическим cookies, требующим согласия. Классификация как функциональный cookie ошибочна и может вводить пользователя в заблуждение относительно характера обработки данных.

3) Политика упоминает Hotjar (как functionality cookie). Matomo, Weglot, Font Awesome Pro и Google Fonts не упомянуты как получатели данных посетителей сайта.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/irishimmigration-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 5(1)(a) — неточная классификация Hotjar; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]