EUGDPR Audit
RU EN
Технический аудит · 2026-05-31

ogcio.gov.ie

Офис главного информационного директора правительства Ирландии
IE

Офис главного информационного директора правительства — орган, отвечающий за цифровую политику всей государственной службы Ирландии. 19 запросов, 6 доменов. GTM без согласия. Государственная Matomo-инстанция отправляет детализированный fingerprint без согласия. Политика описывает анонимный cookieless-трекинг — HAR показывает иное.

Хронология утечки

+505 мс · до баннера
www.googletagmanager.com (G-Y9JG02MH13) — GA4 через GTM загружается без согласия.
+506 мс · до баннера
fonts.googleapis.com — Google Fonts (Lato) загружается, передавая IP пользователя на серверы Google в США.
+510 мс · до баннера
assets.per.gov.ie/consent_management.js — собственный менеджер согласия загружается. Баннер ещё не отображён.
+537 мс · до баннера
fonts.gstatic.com — файлы шрифта Lato woff2. Серверы Google, США.
+577 мс · до баннера
track.analytics.services.gov.ie/tr4ck3rj — Matomo JS загружается. Государственный домен analytics.services.gov.ie.
+588 мс · до баннера
track.analytics.services.gov.ie/tr4ck3rp — Matomo трекинговый POST: idsite=92, _id=d1fd37127747513b, uadata с полным описанием браузера и ОС, разрешение экрана, идентификаторы сессии.

Декларация против факта

Matomo Analytics — упомянут в политике как cookieless, без PII — заявлен
+ Google Tag Manager (G-Y9JG02MH13) — не упомянут — не заявлен
+ Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — не упомянуты — не заявлен

Тайминги передачи

+505 мс www.googletagmanager.com до баннера GTM gtag/js G-Y9JG02MH13. США.
+506 мс fonts.googleapis.com до баннера Google Fonts — Lato. США.
+537 мс fonts.gstatic.com до баннера Lato woff2. Google серверы. США.
+577 мс track.analytics.services.gov.ie до баннера Matomo JS tr4ck3rj. Государственный домен.
+588 мс track.analytics.services.gov.ie до баннера Matomo POST tr4ck3rp. Fingerprint браузера. idsite=92.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

OGCIO (Office of the Government Chief Information Officer) — подразделение Департамента государственных расходов, отвечающее за цифровую политику и ИТ-инфраструктуру всей государственной службы Ирландии. Именно OGCIO управляет платформой gov.ie и FormIE. HAR: 19 запросов, 6 доменов. 13 запросов к assets.per.gov.ie — CDN правительственных ресурсов. Остальные 6 — к четырём внешним доменам.

Государственная Matomo-инстанция и fingerprint до согласия

Политика конфиденциальности описывает Matomo Analytics как «self-hosted» решение, работающее без cookies и без сбора PII. Технически track.analytics.services.gov.ie — это государственная инфраструктура (домен .gov.ie), что принципиально отличает её от сторонних облачных сервисов. Тем не менее запрос, зафиксированный в HAR на +588 мс, содержит: уникальный идентификатор посетителя _id=d1fd37127747513b, идентификатор сессии pv_id=7KN68K, полный uadata с браузером (Chromium 148.0.7778.217, Edge 148.0.3967.96), платформой (Windows 19.0.0), разрешением экрана (1536x864), временными метками и сетевыми таймингами. Совокупность этих параметров образует технический fingerprint, достаточный для отслеживания посетителя. Политика характеризует это как анонимные данные — вопрос о том, являются ли подобные fingerprint-данные «персональными» в смысле GDPR, остаётся дискуссионным, однако передача происходит до любого согласия пользователя.

Google Tag Manager — незадокументированный, без согласия

На +505 мс загружается www.googletagmanager.com/gtag/js?id=G-Y9JG02MH13. GTM в политике конфиденциальности не упомянут ни разу. Это означает, что данные уходят на серверы Google в США без документации и без согласия. Орган, разрабатывающий стандарты цифровой архитектуры для всей государственной службы страны, использует американский рекламный контейнер тегов без раскрытия этого факта в собственной политике.

Google Fonts без согласия и без упоминания

На +506 мс — fonts.googleapis.com (Lato), на +537 мс — fonts.gstatic.com с файлом шрифта. IP пользователя передаётся на серверы Google в США. В политике конфиденциальности Google Fonts не упомянут. Шрифт можно разместить локально на assets.per.gov.ie, где уже хостятся все остальные статические ресурсы сайта.

Set-Cookie — ноль

Ни один из 19 запросов не устанавливает cookie через Set-Cookie. Cookies отсутствуют и в исходящих запросах. Matomo работает в cookieless-режиме — это соответствует заявленной политике. Однако отсутствие cookies не означает отсутствия обработки данных.

Вывод

OGCIO — орган, формирующий стандарты цифровой политики для всей государственной службы Ирландии. Его сайт использует GTM без документации и без согласия, Google Fonts без документации, и активирует Matomo-трекинг с детализированным fingerprint до любого взаимодействия пользователя с баннером. Политика конфиденциальности обновлялась 29 апреля 2026 года — незадолго до даты аудита — и не отражает присутствие GTM. Для органа, публикующего руководства по GDPR-совместимой разработке государственных сервисов, расхождение между документацией и реализацией имеет значение, выходящее за рамки одного сайта.

Доказательство
Оригинал (разбор)
HAR-файл: ie/ogcio-gov-ie-2026-05-31.har
SHA-256: 44e60154fecb4abc2a4d73c2f3186aabbe7fe684a0437788e010964bec10dac2
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данныхdataprotection.ie 

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ogcio.gov.ie.

2. Обстоятельства
Я посетил сайт ogcio.gov.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager (G-Y9JG02MH13) и Google Fonts загружаются на +505–506 мс без согласия. Matomo-трекер (track.analytics.services.gov.ie) отправляет полный fingerprint-запрос на +588 мс без согласия: браузер (Chromium 148, Edge 148), платформа (Windows 19.0.0), разрешение экрана (1536x864), уникальный идентификатор _id=d1fd37127747513b, идентификатор посещения pv_id=7KN68K. Политика заявляет cookieless tracking без PII — но запрос содержит детализированный технический fingerprint.

2) Политика описывает Matomo как cookieless-решение без PII и не упоминает Google Tag Manager. GTM (G-Y9JG02MH13) загружается параллельно с Matomo без согласия. Присутствие GTM в HAR не задокументировано в политике ни в каком виде.

3) Google Fonts (fonts.googleapis.com, fonts.gstatic.com) в политике не упомянуты. GTM и связанный GA4 ID не упомянуты. Три внешних получателя данных из четырёх не задокументированы.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ogcio-gov-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 5(1)(a) — прозрачность; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]