Технический аудит · 2026-05-31

oireachtas.ie

Дом Ойрехтас — Национальный парламент Ирландии

Национальный парламент Ирландии. 65 запросов, 8 доменов. BrowseAloud — инструмент доступности для людей с дислексией — загружается без согласия (13 запросов). GTM и Typekit — до OneTrust баннера. Посетители, нуждающиеся в инструменте доступности, не могут отказаться от BrowseAloud.

Хронология утечки

+178 мс · до баннера

cdn.cookielaw.org/otSDKStub.js — OneTrust SDK начинает инициализацию.

+184 мс · до баннера

www.browsealoud.com/plus/scripts/3.1.0/ba.js — BrowseAloud загружается. Инструмент доступности Texthelp Ltd.

+220 мс · до баннера

www.googletagmanager.com (GTM-WZGNX43) — GTM-контейнер загружается.

+224 мс · до баннера

cdn.cookielaw.org — конфигурация согласия (UUID fd3050bd). OneTrust ещё не отображён.

+227–229 мс · до баннера

use.typekit.net — 6 файлов шрифтов Adobe Typekit (kit evl7qdb). Серверы Adobe, США.

+490 мс · до согласия

p.typekit.net/p.gif — Adobe Typekit телеметрия: kit=evl7qdb, account=2826389, host=www.oireachtas.ie. Adobe фиксирует посещение.

+517–845 мс · до согласия

www.browsealoud.com — 11 дополнительных запросов: version.json, urlinfo, sri.json, browsealoud.js, 8 модульных JS-файлов.

Декларация против факта

+ BrowseAloud / Texthelp (www.browsealoud.com) — не упомянут поимённо в доступной политике — не заявлен

+ Google Tag Manager (GTM-WZGNX43) — не упомянут — не заявлен

+ Adobe Typekit (use.typekit.net, p.typekit.net) — не упомянут — не заявлен

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-WZGNX43)
Adobe Typekit (use.typekit.net, p.typekit.net)
BrowseAloud / Texthelp (www.browsealoud.com, plus.browsealoud.com)
OneTrust CMP (cdn.cookielaw.org, geolocation.onetrust.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

BrowseAloud (www.browsealoud.com) загружается на +184 мс — до завершения инициализации OneTrust баннера (+484 мс otBannerSdk.js). GTM (GTM-WZGNX43) загружается на +220 мс. Adobe Typekit шрифты — на +227–229 мс. Adobe Typekit телеметрия (p.typekit.net/p.gif) — на +490 мс. Все до отображения баннера согласия. OneTrust SDK загружается первым (+178 мс), однако BrowseAloud и GTM инициализируются до завершения рендера баннера.
GDPR Art. 6(1) — BrowseAloud как вектор несогласованной передачи данных

BrowseAloud — инструмент доступности для лиц с нарушениями чтения и дислексией (Texthelp Ltd, Великобритания). Генерирует 13 запросов к www.browsealoud.com и plus.browsealoud.com, включая /js/urlinfo/www.oireachtas.ie.js (идентификация сайта) и загрузку 9 модульных JS-файлов. Загружается полностью до взаимодействия пользователя с баннером. Пользователи, нуждающиеся в инструменте доступности, не имеют возможности отказаться от передачи данных Texthelp, не потеряв доступ к функции.
GDPR Art. 13(1)(e)

Политика конфиденциальности ссылается на отдельный cookie notice, не предоставленный в архиве. В доступном тексте политики BrowseAloud, Adobe Typekit, GTM не упомянуты поимённо.

Контекст

Houses of the Oireachtas — двухпалатный Национальный парламент Ирландии: Dáil Éireann (нижняя палата) и Seanad Éireann (верхняя палата). Сайт является официальным ресурсом парламентской документации, дебатов и законодательства. HAR: 65 запросов, 8 доменов. 31 запрос к www.oireachtas.ie, остальные 34 — к семи внешним доменам.

BrowseAloud — доступность против согласия

BrowseAloud от Texthelp Ltd — инструмент доступности для пользователей с дислексией, слабовидящих и лиц с нарушениями чтения. Он преобразует текст в речь и предоставляет вспомогательные функции навигации. Его размещение на сайте парламента — это инклюзивная практика, направленная на обеспечение доступа к законодательной информации для граждан с ограниченными возможностями.

Технически BrowseAloud загружается при каждом посещении страницы: +184 мс ba.js, затем ещё 11 запросов к серверам Texthelp в Великобритании, завершающихся на +845 мс. Итого 13 запросов, передающих IP-адрес и данные о браузере на серверы Texthelp, до какого-либо взаимодействия пользователя с баннером OneTrust. Посетители, которым BrowseAloud необходим как инструмент доступности, не имеют возможности использовать его, не согласившись на передачу данных — потому что никакого выбора им не предлагается: BrowseAloud инициализируется до показа баннера. Это создаёт ситуацию, при которой именно наиболее уязвимая категория пользователей сайта лишена права выбора в отношении обработки своих данных.

GTM и Typekit — до баннера

GTM-WZGNX43 загружается на +220 мс. OneTrust баннер завершает инициализацию на +484 мс — через 264 мс после GTM. Что именно активирует GTM-контейнер в этом промежутке — из HAR не определить, но окно существует. Adobe Typekit (kit evl7qdb, account 2826389) загружает шрифты на +227–229 мс и фиксирует телеметрию посещения через p.typekit.net/p.gif на +490 мс. Adobe получает данные о каждом посещении сайта парламента без согласия пользователей.

Политика — структура без содержания

Доступная политика конфиденциальности — это комплексный документ по data protection governance: DPIA, записи обработки, процедуры нарушений. В нём есть ссылка на Website Privacy Notice и на отдельный cookie notice — оба как внешние документы, не предоставленные в архиве. В доступном тексте ни BrowseAloud, ни GTM, ни Typekit не упомянуты.

Ни один из 65 запросов не устанавливает cookie через Set-Cookie.

Вывод

oireachtas.ie ставит перед собой правильную задачу — инклюзивность через BrowseAloud — и реализует её технически некорректно с точки зрения GDPR: инструмент доступности загружается до согласия, создавая парадоксальную ситуацию, при которой наименее защищённые пользователи лишены права выбора в отношении своих данных. Решение существует: BrowseAloud можно инициализировать только после взаимодействия пользователя с баннером, выделив его в отдельную категорию согласия с чётким объяснением, что отказ от неё отключает инструмент чтения. GTM и Typekit требуют стандартного переноса за баннер.

Доказательство

Оригинал (разбор)

HAR-файл: ie/oireachtas-ie-2026-05-31.har

SHA-256: ccd009dba8cd2e7952dfdd81712a9e211bee61ac7fb8ad0cb44cc3589b69e249

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом oireachtas.ie.

2. Обстоятельства
Я посетил сайт oireachtas.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) BrowseAloud (www.browsealoud.com) загружается на +184 мс — до завершения инициализации OneTrust баннера (+484 мс otBannerSdk.js). GTM (GTM-WZGNX43) загружается на +220 мс. Adobe Typekit шрифты — на +227–229 мс. Adobe Typekit телеметрия (p.typekit.net/p.gif) — на +490 мс. Все до отображения баннера согласия. OneTrust SDK загружается первым (+178 мс), однако BrowseAloud и GTM инициализируются до завершения рендера баннера.

2) BrowseAloud — инструмент доступности для лиц с нарушениями чтения и дислексией (Texthelp Ltd, Великобритания). Генерирует 13 запросов к www.browsealoud.com и plus.browsealoud.com, включая /js/urlinfo/www.oireachtas.ie.js (идентификация сайта) и загрузку 9 модульных JS-файлов. Загружается полностью до взаимодействия пользователя с баннером. Пользователи, нуждающиеся в инструменте доступности, не имеют возможности отказаться от передачи данных Texthelp, не потеряв доступ к функции.

3) Политика конфиденциальности ссылается на отдельный cookie notice, не предоставленный в архиве. В доступном тексте политики BrowseAloud, Adobe Typekit, GTM не упомянуты поимённо.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/oireachtas-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — BrowseAloud как вектор несогласованной передачи данных; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]