EUGDPR Audit
RU EN
Технический аудит · 2026-05-31

irishrail.ie

Iarnród Éireann — Irish Rail, национальная железнодорожная компания Ирландии
IE

Irish Rail — национальная железнодорожная компания Ирландии. 120 запросов, 12 доменов. GTM до Cookiebot баннера. Microsoft Clarity активируется через GTM и записывает сессии до согласия. Cookiebot через GTM — структурное противоречие: CMP зависит от контейнера, который должна контролировать.

Хронология утечки

+159 мс · до баннера
fonts.googleapis.com — Poppins + Roboto. IP пользователя уходит на серверы Google в США.
+196 мс · до баннера
fonts.gstatic.com — Roboto woff2 файл. Google серверы, США.
+404 мс · до баннера
graphql.kontent.ai — Kentico Kontent CMS GraphQL API. 4 запроса к headless CMS. Чехия/США.
+416 мс · до баннера
www.googletagmanager.com (GTM-5VXGQ2F) — GTM-контейнер загружается.
+442 мс · до баннера
consent.cookiebot.com (implementation=gtm) — Cookiebot SDK через GTM. Баннер начинает инициализацию.
+443 мс · до баннера
www.clarity.ms/tag/pxcge18pnn — Microsoft Clarity активируется через GTM немедленно после его загрузки.
+495 мс · Cookiebot конфигурация
consentcdn.cookiebot.com — настройки баннера. cc.js — Cookiebot баннер появляется.
+638 мс · до согласия
scripts.clarity.ms/0.8.64/clarity.js — полный агент Clarity загружается.
+746 мс · до согласия
y.clarity.ms/collect — Clarity отправляет первый трекинговый запрос. Два запроса collect до любого согласия.

Декларация против факта

Performance & Analytics cookies — категория задекларирована — заявлен
Targeting & Advertising cookies — категория задекларирована — заявлен
+ Google Tag Manager (GTM-5VXGQ2F) — не упомянут поимённо — не заявлен
+ Microsoft Clarity (pxcge18pnn) — не упомянут — не заявлен
+ Google Fonts (fonts.googleapis.com) — не упомянут — не заявлен
+ Kentico Kontent (graphql.kontent.ai) — не упомянут — не заявлен

Тайминги передачи

+416 мс www.googletagmanager.com до баннера GTM-5VXGQ2F. США.
+442 мс consent.cookiebot.com до баннера Cookiebot uc.js implementation=gtm. Дания.
+443 мс www.clarity.ms до баннера Clarity tag/pxcge18pnn. Через GTM. США.
+638 мс scripts.clarity.ms до согласия Clarity.js v0.8.64. Запись сессий. США.
+746 мс y.clarity.ms до согласия Clarity collect. Данные поведения. x2.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Iarnród Éireann — Irish Rail — государственная железнодорожная компания Ирландии, дочернее предприятие CIÉ. Управляет пассажирскими и грузовыми перевозками по всей стране. HAR: 120 запросов, 12 доменов. 52 запроса к www.irishrail.ie, 50 к journeyplanner.irishrail.ie (собственный HAFAS-планировщик маршрутов), 2 к connect.irishrail.ie (реальное время станций) — остальные 16 к восьми внешним доменам.

Cookiebot через GTM — архитектурное противоречие

Cookiebot подключён с параметром implementation=gtm, что означает Cookiebot управляется через Google Tag Manager. Это распространённый способ интеграции, но он создаёт структурную проблему: GTM загружается на +416 мс, а Cookiebot через него — на +442 мс. В течение этих 26 мс GTM-контейнер активен без ограничений. Именно в этом окне активируется Microsoft Clarity (+443 мс) — через тот же GTM-контейнер.

Фундаментальное противоречие: инструмент согласия (Cookiebot) зависит от контейнера (GTM), который должна контролировать. Корректная реализация требует, чтобы Cookiebot загружался до GTM и блокировал его теги до получения согласия.

Microsoft Clarity — запись сессий до согласия

Microsoft Clarity с ID pxcge18pnn активируется через GTM на +443 мс. clarity.js загружается на +638 мс. Два запроса y.clarity.ms/collect уходят на +746 мс — до отображения полностью загруженного баннера и до любого взаимодействия пользователя с ним. Clarity записывает клики, движения мыши и скроллинг посетителей для построения тепловых карт и воспроизведения сессий. Это расширенная обработка поведенческих данных, для которой требуется явное согласие. В Cookie Policy Irish Rail Microsoft Clarity не упомянут.

Kentico Kontent GraphQL

graphql.kontent.ai — GraphQL API headless CMS Kentico Kontent (чешская компания). Четыре запроса на +404 мс загружают контент страницы. Каждый запрос передаёт IP-адрес посетителя на серверы Kontent. Технически это CMS-инфраструктура, а не трекер, но как внешний получатель данных посетителей сайта не упомянут в политике.

Set-Cookie — ноль

Ни один из 120 запросов не устанавливает cookie через Set-Cookie.

Вывод

irishrail.ie нарушает принцип согласия через архитектурное решение: Cookiebot через GTM означает, что GTM запускается до CMP, а не после. Microsoft Clarity записывает сессии пользователей до согласия. Cookie Policy описывает три категории cookies без конкретных имён провайдеров. Исправление требует изменения архитектуры интеграции: Cookiebot должен загружаться напрямую, независимо от GTM, и блокировать GTM до согласия — а не наоборот.

Доказательство
Оригинал (разбор)
HAR-файл: ie/irishrail-ie-2026-05-31.har
SHA-256: df305f2a0ec546ab1767f7e0e4f0d413824071e261dcbbcab2406fe661f17996
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данныхdataprotection.ie 

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом irishrail.ie.

2. Обстоятельства
Я посетил сайт irishrail.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-5VXGQ2F) загружается на +416 мс. Microsoft Clarity активируется через GTM на +443 мс (www.clarity.ms/tag/pxcge18pnn) и загружает clarity.js на +638 мс. Clarity отправляет трекинговый запрос y.clarity.ms/collect (+746 мс). Cookiebot баннер (cc.js) появляется позже +495 мс, но активное взаимодействие пользователя с баннером не зафиксировано до запуска Clarity. Cookiebot подключён через GTM (implementation=gtm) — это означает GTM должен быть инициализирован до Cookiebot, создавая структурное противоречие.

2) Microsoft Clarity — инструмент записи сессий и тепловых карт. pxcge18pnn — ID проекта Irish Rail. Clarity отправляет collect запрос (+746 мс) с данными о поведении пользователя: кликах, скроллинге, движениях мыши — до какого-либо подтверждённого согласия. Запись сессий без согласия нарушает Art. 6(1).

3) Cookie Policy описывает три категории: Strictly Necessary, Performance & Analytics, Targeting & Advertising — без идентификации конкретных получателей. Microsoft Clarity, GTM, Google Fonts, Kentico Kontent не упомянуты поимённо.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/irishrail-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — Microsoft Clarity до согласия; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]