EUGDPR Audit
RU EN
Технический аудит · 2026-05-31

pa.media

PA Media Group — британское национальное информационное агентство
IE

Национальное информационное агентство Великобритании. 72 запроса, 19 доменов. Termly заявлен как блокировщик до согласия — HAR показывает восемь трекеров, активированных раньше или одновременно с загрузкой баннера. Google Ads, LinkedIn, Twitter, Hotjar, Pardot, Clarity — все до согласия. Плюс один неидентифицируемый домен.

Хронология утечки

+86 мс · до баннера
pro.fontawesome.com — Font Awesome Pro (три запроса). Внешний CDN шрифтов.
+88 мс · до баннера
cdnjs.cloudflare.com — iframe-resizer. Cloudflare CDN.
+92 мс · до баннера
widget.superchat.de — чат-виджет Superchat загружается немедленно.
+113 мс · до баннера
www.googletagmanager.com (GTM-WDCHHZ) — контейнер тегов запущен.
+170 мс · до баннера
fonts.googleapis.com — Google Fonts (Noto Serif). IP пользователя уходит на серверы Google.
+312 мс · баннер начинает загрузку
app.termly.io/resource-blocker (autoBlock=on) — Termly CMP начинает инициализацию. К этому моменту GTM уже работает 200 мс.
+318–362 мс · до/во время баннера
Через GTM активируются: Google Ads AW-1009477198 (+318 мс), Google Ads AW-11504754099 (+319 мс), GA4 G-ESM5SQ98CM (+346 мс), LinkedIn Insight (+348 мс), Hotjar (+350 мс), Twitter Pixel (+351 мс), Pardot aid=315511 (+356 мс), Microsoft Clarity (+357 мс), secure.7-operation.com (+358 мс), Google ccm/collect (+362 мс).
+486–693 мс
pagead2.googlesyndication.com — три запроса Google Ads conversion. region1.google-analytics.com — GA4 трекинговый запрос с полным fingerprint браузера.

Декларация против факта

Google Analytics — упомянут в политике — заявлен
Pardot — упомянут в политике — заявлен
Hotjar — упомянут в политике (заявлен как 'based inside the EU') — заявлен
Twitter — упомянут в политике — заявлен
Facebook — упомянут в политике — заявлен
+ Google Ads (AW-1009477198, AW-11504754099) — не упомянут поимённо — не заявлен
+ Microsoft Clarity — не упомянут — не заявлен
+ secure.7-operation.com — не упомянут, владелец неидентифицирован — не заявлен
+ Superchat (widget.superchat.de) — не упомянут — не заявлен
+ pro.fontawesome.com — не упомянут — не заявлен
+ LinkedIn Insight — не упомянут (LinkedIn упомянут только в контексте соцсетей) — не заявлен

Тайминги передачи

+113 мс www.googletagmanager.com до баннера GTM-WDCHHZ — контейнер. США.
+312 мс app.termly.io баннер инициализируется Termly resource-blocker. autoBlock=on.
+318 мс www.googletagmanager.com до согласия Google Ads AW-1009477198. США.
+319 мс www.googletagmanager.com до согласия Google Ads AW-11504754099. США.
+346 мс www.googletagmanager.com до согласия GA4 G-ESM5SQ98CM. США.
+348 мс snap.licdn.com до согласия LinkedIn Insight Tag. США.
+350 мс static.hotjar.com до согласия Hotjar 3334206. Запись сессии. ЕС/США.
+351 мс static.ads-twitter.com до согласия Twitter/X Ads пиксель. США.
+356 мс pi.pardot.com до согласия Pardot/Salesforce aid=315511. США.
+357 мс www.clarity.ms до согласия Microsoft Clarity omjxj42f0d. США.
+358 мс secure.7-operation.com до согласия Неидентифицированный JS-скрипт 813407.js.
+693 мс region1.google-analytics.com до согласия GA4 g/collect — полный трекинговый запрос. США.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

PA Media Group — британское национальное информационное агентство, основанное в 1868 году. Обслуживает новостные редакции Великобритании и Ирландии. Штаб-квартира в Лондоне. HAR: 72 запроса, 19 доменов. 31 запрос — к собственному pa.media, остальные 41 — к 18 внешним доменам.

Termly с autoBlock=on — и восемь трекеров до согласия

Сайт использует Termly в режиме resource-blocker с параметром autoBlock=on — это должно означать автоматическую блокировку скриптов до получения согласия. HAR показывает иную картину.

GTM-WDCHHZ загружается на +113 мс. Termly начинает инициализацию на +312 мс — спустя 200 мс после запуска GTM-контейнера. За промежуток между +318 мс и +362 мс через GTM активируются девять внешних сервисов: два Google Ads, GA4, LinkedIn Insight, Hotjar, Twitter/X Pixel, Pardot, Microsoft Clarity, secure.7-operation.com. Баннер согласия в этот момент ещё загружается. Пользователь не сделал никакого выбора.

Termly с autoBlock=on не заблокировал ни один из девяти трекеров. Либо GTM-контейнер сконфигурирован так, что обходит блокировщик, либо порядок загрузки скриптов на странице не соответствует задокументированной архитектуре согласия.

secure.7-operation.com — неидентифицированный домен

На +358 мс загружается secure.7-operation.com/js/813407.js. Домен не имеет публичной страницы, не раскрывает владельца, в политике конфиденциальности PA Media не упомянут. Характер обработки данных этим скриптом из HAR неустановим. По Art. 13(1)(e) субъект данных должен знать всех получателей своих данных; анонимный домен этому требованию не соответствует.

Политика конфиденциальности: частичное соответствие

Политика упоминает Google Analytics, Pardot, Hotjar, Twitter, Facebook. Hotjar охарактеризован как «аналитический провайдер based inside the EU» — фактически Hotjar имеет офисы на Мальте, но обрабатывает данные на серверах AWS в США. Google Ads (два отдельных ID), Microsoft Clarity, LinkedIn Insight, Superchat, secure.7-operation.com в политике не упомянуты.

Set-Cookie — ноль

При 19 активных внешних доменах ни один из 72 запросов в HAR не зафиксировал Set-Cookie. Cookies отсутствуют и в исходящих запросах. Трекеры работают через fingerprinting и параметры URL без установки cookies — это не делает обработку данных менее реальной, но делает её менее очевидной для стандартных инструментов анализа cookies.

Вывод

pa.media использует Termly как инструмент управления согласием, но конфигурация не предотвращает запуск трекеров до согласия. Девять внешних сервисов — включая рекламные пиксели LinkedIn, Twitter, Google Ads и инструмент записи сессий Hotjar — активируются в промежутке 318–362 мс после загрузки страницы, когда баннер согласия ещё не отрендерился. Присутствие неидентифицированного домена secure.7-operation.com добавляет нарушение Art. 13. Архитектура требует исправления порядка загрузки: GTM должен запускаться только после фиксации выбора пользователя в Termly, а не параллельно с его загрузкой.

Доказательство
Оригинал (разбор)
HAR-файл: ie/pa-media-2026-05-31.har
SHA-256: 36f940ee5186a8eeda28f3815109269d13b7bc319cf6a446a4fae335115fa747
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данныхdataprotection.ie 

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом pa.media.

2. Обстоятельства
Я посетил сайт pa.media и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-WDCHHZ) загружается на +113 мс. Через GTM активируются два Google Ads ID (AW-1009477198 на +318 мс, AW-11504754099 на +319 мс), GA4 (G-ESM5SQ98CM на +346 мс), LinkedIn Insight (+348 мс), Hotjar (+350 мс), Twitter Pixel (+351 мс), Pardot (+356 мс), Microsoft Clarity (+357 мс), secure.7-operation.com (+358 мс) — все до появления и взаимодействия с баннером Termly. Termly resource-blocker загружается на +312 мс, но не предотвращает запуск трекеров.

2) Termly задекларирован как инструмент управления согласием с параметром autoBlock=on. Однако HAR фиксирует, что восемь трекеров активируются раньше завершения загрузки Termly баннера (+312 мс) или одновременно с ним. Механизм блокировки до согласия не функционирует.

3) secure.7-operation.com — домен без публичной идентификации владельца, загружающий JS-скрипт (813407.js). В политике конфиденциальности не упомянут. Характер обработки данных этим доменом неустановим из HAR.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/pa-media/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; ePrivacy Regulations; GDPR Art. 5(1)(e) — ограничение хранения; Art. 13

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]