sfi.ie
Фонд науки Ирландии — государственный агент финансирования STEM-исследований. 36 запросов, 6 доменов. GTM загружается за 156 мс до появления менеджера согласия. Политика конфиденциальности датирована 2018 годом — ни один конкретный внешний сервис не назван.
Хронология утечки
Декларация против факта
Тайминги передачи
Зафиксированные трекеры
- Google Tag Manager (www.googletagmanager.com, GTM-K87TNXJ)
- Google Fonts (fonts.googleapis.com, fonts.gstatic.com)
- BootstrapCDN / MaxCDN (maxcdn.bootstrapcdn.com)
- unpkg CDN (unpkg.com)
Зафиксированные нарушения
-
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)Google Tag Manager (GTM-K87TNXJ) загружается на +152 мс без согласия. Google Fonts (fonts.googleapis.com) — два семейства шрифтов (Source Sans Pro, Roboto Slab) — на +119 мс, передавая IP пользователя на серверы Google в США. BootstrapCDN (maxcdn.bootstrapcdn.com) загружается на +119 мс. Инструмент управления согласием (unpkg.com/dept-cookie-management@0.1.6) загружается на +308 мс — спустя 189 мс после запуска GTM.
-
GDPR Art. 13(1)(e)Политика конфиденциальности датирована 9 мая 2018 года и не называет ни одного конкретного внешнего сервиса: ни GTM, ни Google Analytics, ни Google Fonts, ни BootstrapCDN, ни unpkg. Упоминаются только общие категории ('analytics providers', 'search engine providers') без идентификации получателей.
Контекст
SFI (Science Foundation Ireland) — государственный фонд, финансирующий фундаментальные и прикладные исследования в области STEM. Основан в 2003 году. Управляет грантовыми программами для университетов, исследовательских центров и индустриальных партнёров. HAR: 36 запросов, 6 доменов. 25 запросов к собственному www.sfi.ie, остальные 11 — к пяти внешним доменам.
Менеджер согласия загружается после GTM
Сайт использует dept-cookie-management — JavaScript-пакет управления согласием, опубликованный на npm и загружаемый с CDN unpkg.com. Он появляется в HAR на +308 мс. GTM-K87TNXJ загружается на +152 мс. Разрыв — 156 мс, в течение которых GTM-контейнер уже инициализирован и способен активировать любые теги, настроенные в нём. Порядок загрузки инвертирован: инструмент согласия приходит позже инструмента, который он должен контролировать.
Google Fonts — 7 файлов до согласия
На +119 мс загружаются два CSS-запроса к fonts.googleapis.com: Source Sans Pro (100, 200, 300, 400, 600, 700, 900) и Roboto Slab (100, 200, 300, 400). На +164–165 мс — пять woff2-файлов с fonts.gstatic.com. Каждый запрос передаёт IP-адрес посетителя на серверы Google в США. Оба семейства шрифтов — стандартные open-source, доступные для локального хостинга. В политике конфиденциальности Google Fonts не упомянуты.
BootstrapCDN и Font Awesome 4.7.0
Font Awesome 4.7.0 — версия, выпущенная в 2016 году — загружается с maxcdn.bootstrapcdn.com (CDN принадлежит MaxCDN, США). Это ещё один внешний получатель IP-адресов посетителей без упоминания в политике. Иконки Font Awesome, как и шрифты Google, можно разместить локально.
Политика конфиденциальности 2018 года
Политика конфиденциальности датирована 9 мая 2018 года — датой вступления в силу GDPR. За восемь лет сайт изменил архитектуру, добавил GTM-контейнер, подключил внешние CDN — но политика не обновлялась. Она не называет ни одного конкретного получателя данных: вместо имён — категории («analytics providers», «search engine providers»). По Art. 13(1)(e) субъект данных должен получить информацию о конкретных получателях или хотя бы их категориях — обобщённые описания без имён этому требованию не соответствуют.
Set-Cookie — ноль
Ни один из 36 запросов не устанавливает cookie через Set-Cookie. Cookies отсутствуют и в исходящих запросах.
Вывод
sfi.ie воспроизводит паттерн, характерный для ирландской серии: GTM без согласия, Google Fonts без согласия, устаревшая политика без конкретных имён получателей. Специфика — инвертированный порядок загрузки: менеджер согласия появляется на 156 мс позже GTM, что делает концепцию согласия технически бессодержательной. Исправление стандартное: перенести GTM за баннер, разместить шрифты и Font Awesome локально, обновить политику с реальным списком получателей и актуальной датой.
96efa3f34b6601819522360c791c3bb076b3d329cb902f35e712e29126624770Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie
Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]
1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом sfi.ie.
2. Обстоятельства
Я посетил сайт sfi.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:
1) Google Tag Manager (GTM-K87TNXJ) загружается на +152 мс без согласия. Google Fonts (fonts.googleapis.com) — два семейства шрифтов (Source Sans Pro, Roboto Slab) — на +119 мс, передавая IP пользователя на серверы Google в США. BootstrapCDN (maxcdn.bootstrapcdn.com) загружается на +119 мс. Инструмент управления согласием (unpkg.com/dept-cookie-management@0.1.6) загружается на +308 мс — спустя 189 мс после запуска GTM.
2) Политика конфиденциальности датирована 9 мая 2018 года и не называет ни одного конкретного внешнего сервиса: ни GTM, ни Google Analytics, ни Google Fonts, ни BootstrapCDN, ни unpkg. Упоминаются только общие категории ('analytics providers', 'search engine providers') без идентификации получателей.
Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/sfi-ie/
3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 13(1)(e)
4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.
5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.
[Дата] [Подпись/имя]