Технический аудит · 2026-05-31

military.ie

Defence Forces Ireland — Вооружённые силы Ирландии

Вооружённые силы Ирландии. 27 запросов, 3 домена. GTM загружается без баннера согласия. Политика описывает Google Analytics с Universal Analytics cookies — отключён Google в 2023 году. Matomo Cloud в HAR возвращает 404. Implied consent — формула, запрещённая GDPR. Шрифты, Bootstrap, иконки — все локально.

Хронология утечки

+529 мс · без баннера

www.military.ie/scripts/cookie.js — собственный скрипт cookies загружается. Баннер не появляется.

+545 мс · без баннера

www.googletagmanager.com (GTM-K8XXBRR) — GTM загружается без согласия.

+545 мс · без баннера

cdn.matomo.cloud/military.matomo.cloud/matomo.js — Matomo Cloud запрос. Статус 404 Not Found — Matomo не настроен.

Нет баннера согласия

Ни OneTrust, ни CookiePro, ни собственный баннер не отображаются. Set-Cookie — ноль. Implied consent через текст политики.

Декларация против факта

✓ Google Analytics (Universal Analytics) — подробно задокументирован с cookie-таблицей — заявлен

✓ WSELB и fe_typo_user — сессионные cookies задокументированы — заявлен

+ Google Tag Manager (GTM-K8XXBRR) — не упомянут — не заявлен

+ Matomo Cloud — не упомянут — не заявлен

Тайминги передачи

+545 мс www.googletagmanager.com без согласия GTM-K8XXBRR. США.

+545 мс cdn.matomo.cloud 404 military.matomo.cloud/matomo.js — Not Found. Сервис не работает.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-K8XXBRR)
Matomo Cloud (cdn.matomo.cloud/military.matomo.cloud — статус 404)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

GTM (GTM-K8XXBRR) загружается на +545 мс без согласия. Нет cookie-баннера — ни OneTrust, ни CookiePro, ни собственного. Собственный cookie.js загружается на +529 мс, но в HAR не зафиксировано установки cookies и отображения баннера. Политика содержит фразу «By continuing to use our website without changing the settings, you are agreeing to our use of cookies» — implied consent (подразумеваемое согласие) прямо противоречит требованиям ePrivacy Regulations и GDPR Art. 7.
GDPR Art. 5(1)(a) — прозрачность; Art. 13

Политика конфиденциальности описывает Google Analytics с cookies _utma, _utmb, _utmz (Universal Analytics). Universal Analytics отключён Google в июле 2023 года. В HAR 2026 года: GTM загружается, GA отсутствует. Matomo Cloud (cdn.matomo.cloud/military.matomo.cloud/matomo.js) возвращает HTTP 404 — сервис не настроен или отключён. Политика описывает несуществующую систему и не отражает реальную архитектуру.
GDPR Art. 7 — implied consent недопустим

«By continuing to use our website without changing the settings, you are agreeing to our use of cookies» — это формула implied consent, запрещённая GDPR и ePrivacy Regulations для нестрого необходимых cookies. Согласие должно быть активным, явным и предшествовать установке cookies или загрузке трекеров.

Контекст

Defence Forces Ireland — Вооружённые силы Ирландии: Армия, Военно-морской флот, Авиационный корпус и Резервные силы. Sensitivity — high: посетители сайта могут быть потенциальными призывниками, действующими военнослужащими или членами их семей. HAR: 27 запросов, 3 домена. 25 запросов к www.military.ie — все ресурсы, включая Bootstrap, шрифты Sintony и Remixicon, хостятся локально.

Политика конфиденциальности содержит фразу: «By continuing to use our website without changing the settings, you are agreeing to our use of cookies». Это implied consent — согласие через продолжение использования сайта. Такая формула прямо противоречит GDPR Art. 7(1): согласие должно быть явным, конкретным, информированным и данным посредством однозначного подтверждающего действия. ePrivacy Regulations дополнительно требуют согласия до установки нестрого необходимых cookies. Implied consent не является правовым основанием с момента вступления GDPR в силу в мае 2018 года. Политика не обновлялась с учётом этих требований.

Три инструмента аналитики — и ни один не работает корректно

Universal Analytics подробно задокументирован в политике: шесть cookies (_utma, _utmb, _utmz, _utmt, _utmc, _utmv) с описанием каждого, срока хранения и назначения. Google отключил Universal Analytics в июле 2023 года. В HAR от мая 2026 года запросов к www.google-analytics.com или analytics.js нет — UA недоступен.

Google Tag Manager (GTM-K8XXBRR) загружается на +545 мс. GTM — контейнер тегов, который мог использоваться для развёртывания GA. В HAR GTM загружается, но его содержимое (какие теги настроены) неизвестно. В политике GTM не упомянут.

Matomo Cloud (cdn.matomo.cloud/military.matomo.cloud/matomo.js) запрашивается на +545 мс и возвращает HTTP 404 Not Found. Это означает, что Matomo Cloud аккаунт для military.matomo.cloud не создан или был удалён. Аналитика не работает, но запрос к внешнему серверу с IP-адресом посетителя происходит при каждом посещении.

Итог: сайт запрашивает три инструмента аналитики. Один устарел и удалён производителем. Второй загружается, но без документации. Третий возвращает 404.

Архитектурная дисциплина

При всех нарушениях military.ie демонстрирует то, что другие сайты серии не делают: все шрифты (Sintony, Remixicon), CSS-фреймворки (Bootstrap) и JavaScript-библиотеки (Swiper) размещены локально. Нет Google Fonts, нет CDN сторонних библиотек, нет рекламных сетей, нет Facebook, нет аналитических платформ с рекламными функциями. Это архитектурный выбор, заслуживающий документирования как хорошая практика — при условии исправления трёх конкретных проблем.

Ни один из 27 запросов не устанавливает cookie через Set-Cookie.

Вывод

military.ie нарушает три самостоятельных принципа: implied consent вместо opt-in (нет баннера), GTM без согласия и без документации, политика описывает несуществующую систему GA и не упоминает реальную GTM. Ни один из этих нарушений не является архитектурно сложным: добавить баннер согласия перед GTM, обновить политику, удалить нерабочий Matomo запрос. При этом сайт правильно выстроил статическую часть архитектуры — все собственные ресурсы локально.

Доказательство

Оригинал (разбор)

HAR-файл: ie/military-ie-2026-05-31.har

SHA-256: 7d2882f38097cd764b71e1032c1ffbd87f8368515aa5e5f617c48a2f6fac42b2

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом military.ie.

2. Обстоятельства
Я посетил сайт military.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-K8XXBRR) загружается на +545 мс без согласия. Нет cookie-баннера — ни OneTrust, ни CookiePro, ни собственного. Собственный cookie.js загружается на +529 мс, но в HAR не зафиксировано установки cookies и отображения баннера. Политика содержит фразу «By continuing to use our website without changing the settings, you are agreeing to our use of cookies» — implied consent (подразумеваемое согласие) прямо противоречит требованиям ePrivacy Regulations и GDPR Art. 7.

2) Политика конфиденциальности описывает Google Analytics с cookies _utma, _utmb, _utmz (Universal Analytics). Universal Analytics отключён Google в июле 2023 года. В HAR 2026 года: GTM загружается, GA отсутствует. Matomo Cloud (cdn.matomo.cloud/military.matomo.cloud/matomo.js) возвращает HTTP 404 — сервис не настроен или отключён. Политика описывает несуществующую систему и не отражает реальную архитектуру.

3) «By continuing to use our website without changing the settings, you are agreeing to our use of cookies» — это формула implied consent, запрещённая GDPR и ePrivacy Regulations для нестрого необходимых cookies. Согласие должно быть активным, явным и предшествовать установке cookies или загрузке трекеров.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/military-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 5(1)(a) — прозрачность; Art. 13; GDPR Art. 7 — implied consent недопустим

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]