Технический аудит · 2026-05-31

seai.ie

Агентство устойчивой энергетики Ирландии

Агентство устойчивой энергетики — государственный орган, обрабатывающий заявки на жилищные гранты, финансовые и медицинские данные граждан. 70 запросов, 12 доменов. DoubleClick Floodlight — рекламный пиксель ремаркетинга — активируется без согласия. Плюс GA4, Genesys чат, New Relic. Семь получателей данных в политике не упомянуты.

Хронология утечки

+82 мс · до баннера

www.seai.ie/modules/contrib/google_tag/gtag.js и gtm.js — модуль Drupal Google Tag Manager загружается в составе основного JS-бандла.

+89 мс · до баннера

cdnjs.cloudflare.com — moment.js и moment-timezone с Cloudflare CDN.

+113 мс · до баннера

fonts.googleapis.com — Google Fonts (Open Sans). IP пользователя передаётся на серверы Google в США.

+126 мс · до баннера

www.googletagmanager.com (GTM-W4CXSS6) — GTM-контейнер загружается.

+346 мс · до баннера

www.googletagmanager.com — gtag/js GA4 G-E4HE7YKWT5 активируется через GTM.

+459 мс · до баннера

www.googletagmanager.com — gtag/destination DC-9943193. DoubleClick Floodlight активируется через GTM.

+519 мс · до баннера

region1.google-analytics.com/g/collect — GA4 трекинговый запрос. США.

+558 мс · до баннера

apps.mypurecloud.ie — Genesys Cloud чат (22 запроса). Американская платформа, ирландский домен.

+613–660 мс · до баннера

ade.googlesyndication.com — два запроса DoubleClick Floodlight: src=9943193, type=landi0, cat=seai-003. Рекламный пиксель ремаркетинга на государственном сайте.

+1582 мс · до баннера

js-agent.newrelic.com и bam.eu01.nr-data.net — New Relic SPA агент загружается и отправляет данные о сессии. Два запроса мониторинга производительности.

Декларация против факта

✓ Web Chat — упомянут в политике как способ сбора данных — заявлен

✓ Cookies Policy — упомянута как отдельный документ (не предоставлен) — заявлен

+ Google Tag Manager (GTM-W4CXSS6) — не упомянут — не заявлен

+ Google Analytics GA4 (G-E4HE7YKWT5) — не упомянут — не заявлен

+ Google DoubleClick Floodlight (DC-9943193) — не упомянут — не заявлен

+ Genesys Cloud (apps.mypurecloud.ie) — не упомянут поимённо — не заявлен

+ New Relic (js-agent.newrelic.com, bam.eu01.nr-data.net) — не упомянут — не заявлен

+ Google Fonts (fonts.googleapis.com) — не упомянут — не заявлен

+ Cloudflare cdnjs — не упомянут — не заявлен

Тайминги передачи

+126 мс www.googletagmanager.com до баннера GTM-W4CXSS6. США.

+346 мс www.googletagmanager.com до баннера GA4 G-E4HE7YKWT5 через GTM. США.

+459 мс www.googletagmanager.com до баннера DoubleClick DC-9943193 через GTM. США.

+519 мс region1.google-analytics.com до баннера GA4 g/collect. США.

+558 мс apps.mypurecloud.ie до баннера Genesys Cloud чат. 22 запроса. США/IE.

+613 мс ade.googlesyndication.com до баннера DoubleClick Floodlight пиксель. cat=seai-003. США.

+1582 мс js-agent.newrelic.com до баннера New Relic SPA агент. США.

+1605 мс bam.eu01.nr-data.net до баннера New Relic данные сессии. EU endpoint.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-W4CXSS6)
Google Analytics GA4 (G-E4HE7YKWT5, region1.google-analytics.com)
Google DoubleClick Floodlight (DC-9943193, ade.googlesyndication.com)
Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
Genesys Cloud чат (apps.mypurecloud.ie, api-cdn.mypurecloud.ie)
New Relic APM (js-agent.newrelic.com, bam.eu01.nr-data.net)
Cloudflare cdnjs (cdnjs.cloudflare.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

GTM (GTM-W4CXSS6) загружается на +126 мс без согласия. Через GTM активируются: GA4 (G-E4HE7YKWT5, +346 мс), DoubleClick Floodlight (DC-9943193, +459 мс) — рекламный пиксель ремаркетинга. GA4 отправляет полный трекинговый запрос (+519 мс), DoubleClick — два пиксельных запроса к ade.googlesyndication.com (+613, +660 мс). Всё до согласия.
GDPR Art. 6(1) — рекламный ремаркетинг на государственном энергетическом сайте

DoubleClick Floodlight (DC-9943193, cat=seai-003) — инструмент отслеживания конверсий и ремаркетинга Google Ads. Активируется без согласия на главной странице государственного органа. Параметр npa=1 присутствует в запросе (Non-Personalized Ads), но передача данных к ade.googlesyndication.com происходит вне зависимости от этого флага.
GDPR Art. 6(1)

Genesys Cloud чат (apps.mypurecloud.ie, 22 запроса) и New Relic APM (js-agent.newrelic.com, bam.eu01.nr-data.net, 3 запроса) загружаются без согласия. Genesys — американская компания (Salesforce экосистема). New Relic — американская компания мониторинга производительности, передаёт данные о сессии на bam.eu01.nr-data.net.
GDPR Art. 13(1)(e)

Политика конфиденциальности (январь 2026) упоминает Web Chat и Cookies Policy как ссылку, но не называет поимённо ни одного из внешних сервисов: GTM, GA4, DoubleClick, Genesys, New Relic, Cloudflare cdnjs, Google Fonts — все без раскрытия в политике. Семь получателей данных не задокументированы.

Контекст

SEAI (Sustainable Energy Authority of Ireland) — государственное агентство, управляющее жилищными грантами на энергоэффективность, обрабатывающее финансовые данные, данные о недвижимости и в отдельных случаях медицинские данные граждан. HAR: 70 запросов, 12 доменов. Sensitivity — high: пользователи сайта могут быть заявителями на гранты, передающими финансовые и жилищные данные. 24 запроса к собственному www.seai.ie, 9 к CDN seaiprod.prod.acquia-sites.com — остальные 37 к десяти внешним доменам.

DoubleClick Floodlight на государственном сайте

На +459 мс через GTM активируется gtag/destination?id=DC-9943193 — DoubleClick Floodlight, инструмент отслеживания конверсий Google Ads. На +613 и +660 мс уходят два пиксельных запроса к ade.googlesyndication.com с параметрами src=9943193, type=landi0, cat=seai-003. Floodlight — это рекламный инструмент ремаркетинга: он помечает посетителей сайта для последующего показа таргетированной рекламы в сети Google. Параметр npa=1 (Non-Personalized Ads) присутствует в запросе, однако передача данных на рекламные серверы Google происходит вне зависимости от него. Использование рекламного пикселя ремаркетинга на главной странице государственного органа, обрабатывающего заявки на жилищные гранты, без согласия пользователей — наиболее серьёзное нарушение в этом HAR.

Genesys Cloud — 22 запроса без согласия

Чат-виджет Genesys Cloud (американская компания, платформа customer engagement) генерирует 22 запроса к apps.mypurecloud.ie и api-cdn.mypurecloud.ie при первой загрузке страницы без согласия. Политика упоминает «Web Chat function» как способ сбора персональных данных, но не называет Genesys как платформу и не объясняет, что чат-виджет инициализируется для каждого посетителя при загрузке страницы, вне зависимости от того, намерен ли пользователь им воспользоваться.

New Relic — мониторинг производительности без согласия

На +1582 мс загружается js-agent.newrelic.com/nr-spa-1.301.0.min.js — агент мониторинга производительности New Relic. На +1605 и +2302 мс уходят запросы к bam.eu01.nr-data.net с идентификатором NRJS-63ad9662344bba3672e, данными о транзакции и временными метками. New Relic собирает технические данные о производительности браузера и сессии. В политике конфиденциальности не упомянут.

Ни один из 70 запросов не устанавливает cookie через Set-Cookie. Трекеры работают через fingerprinting и параметры запросов. Это не снижает объём передаваемых данных, но делает их менее видимыми для стандартных cookie-аудитов.

Вывод

seai.ie обрабатывает заявки граждан на жилищные гранты — это контекст, требующий высокого стандарта защиты данных. Фактическая архитектура включает рекламный пиксель ремаркетинга (DoubleClick Floodlight), двойную аналитику (GTM + GA4), чат-платформу (Genesys), мониторинг (New Relic) и Google Fonts — все без согласия и без раскрытия в политике. Политика конфиденциальности (январь 2026) отсылает к отдельной Cookie Policy, которая не была предоставлена в архиве. Семь внешних получателей данных в доступной документации не упомянуты.

Доказательство

Оригинал (разбор)

HAR-файл: ie/seai-ie-2026-05-31.har

SHA-256: ccb72e6fded036aed30dfbdc8cdd3e85782fa219e5235eee8990fac53fe59abd

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом seai.ie.

2. Обстоятельства
Я посетил сайт seai.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM (GTM-W4CXSS6) загружается на +126 мс без согласия. Через GTM активируются: GA4 (G-E4HE7YKWT5, +346 мс), DoubleClick Floodlight (DC-9943193, +459 мс) — рекламный пиксель ремаркетинга. GA4 отправляет полный трекинговый запрос (+519 мс), DoubleClick — два пиксельных запроса к ade.googlesyndication.com (+613, +660 мс). Всё до согласия.

2) DoubleClick Floodlight (DC-9943193, cat=seai-003) — инструмент отслеживания конверсий и ремаркетинга Google Ads. Активируется без согласия на главной странице государственного органа. Параметр npa=1 присутствует в запросе (Non-Personalized Ads), но передача данных к ade.googlesyndication.com происходит вне зависимости от этого флага.

3) Genesys Cloud чат (apps.mypurecloud.ie, 22 запроса) и New Relic APM (js-agent.newrelic.com, bam.eu01.nr-data.net, 3 запроса) загружаются без согласия. Genesys — американская компания (Salesforce экосистема). New Relic — американская компания мониторинга производительности, передаёт данные о сессии на bam.eu01.nr-data.net.

4) Политика конфиденциальности (январь 2026) упоминает Web Chat и Cookies Policy как ссылку, но не называет поимённо ни одного из внешних сервисов: GTM, GA4, DoubleClick, Genesys, New Relic, Cloudflare cdnjs, Google Fonts — все без раскрытия в политике. Семь получателей данных не задокументированы.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/seai-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — рекламный ремаркетинг на государственном энергетическом сайте; GDPR Art. 6(1); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]