Технический аудит · 2026-05-13

who.int

ВОЗ — специализированное агентство ООН по международному здравоохранению

GLOBAL

ВОЗ — 21 домен, 202 запроса. fndrsp.net стреляет в +0 мс. Два тега Clarity, Monsido heatmaps, FundRaiseUp, Facebook SDK, UA закрытый в 2024 году — всё без баннера согласия. Организация публикующая рекомендации по защите данных в здравоохранении.

Хронология утечки

+0 мс · первый запрос

fndrsp.net/tb — FundRaiseUp трекер. До загрузки страницы.

+220 мс · без согласия

Microsoft Clarity (y.clarity.ms/collect) — первый из двух тегов. Данные в Microsoft, США.

+237 мс · без согласия

Google Fonts — Noto Sans, Source Sans Pro, Roboto. 5 запросов. США.

+237 мс · без согласия

FontAwesome CDN (use.fontawesome.com) — v5.15.4. США.

+240 мс · без согласия

Facebook SDK (connect.facebook.net). США.

+241 мс · без согласия

Telerik Kendo CDN (kendo.cdn.telerik.com) — JS UI фреймворк. США.

+315 мс · без согласия

GTM (GTM-5QFSQRT) и FundRaiseUp виджет (AMEEWKFZ).

+648 мс · без согласия

UA analytics.js — закрыт июль 2024, продолжает работать.

+651 мс · без согласия

Microsoft Clarity второй тег (ktuyny0n5d) + Monsido script.

+4623 мс

Monsido heatmaps.js + tracking — запись тепловых карт и сессий.

Декларация против факта

+ FundRaiseUp (fndrsp.net) — не заявлен

+ Microsoft Clarity (два тега) — не заявлен

+ Monsido heatmaps — не заявлен

+ Google Analytics UA (закрыт) — не заявлен

+ Facebook SDK — не заявлен

+ Telerik Kendo CDN — не заявлен

+ FontAwesome CDN — не заявлен

+ Google Fonts — не заявлен

+ cdnjs.cloudflare.com — не заявлен

Тайминги передачи

+0 мс fndrsp.net первый запрос FundRaiseUp — до загрузки страницы

+220 мс y.clarity.ms без согласия Microsoft Clarity тег 1

+240 мс connect.facebook.net без согласия Facebook SDK

+315 мс www.googletagmanager.com без согласия GTM-5QFSQRT

+648 мс www.google-analytics.com без согласия UA analytics.js — закрыт 2024

+4623 мс heatmaps.monsido.com без согласия Heatmap & session recording

Зафиксированные трекеры

Google Tag Manager (GTM-5QFSQRT)
Google Analytics UA (www.google-analytics.com) — устаревший
Google Analytics GA4 (G-WKG4M0MSB8)
Microsoft Clarity (ekg7xazin3, ktuyny0n5d) — два тега
Monsido (heatmaps + tracking)
FundRaiseUp (fndrsp.net, fundraiseup.com)
Facebook SDK (connect.facebook.net)
Google Fonts (fonts.googleapis.com)
FontAwesome CDN (use.fontawesome.com)
Telerik Kendo CDN (kendo.cdn.telerik.com)
Cloudflare cdnjs (cdnjs.cloudflare.com)

Зафиксированные нарушения

GDPR Art. 7 / аналог для ВОЗ

fndrsp.net (+0 мс, FundRaiseUp) — первый запрос сессии до загрузки страницы. Microsoft Clarity (+220 мс) стреляет немедленно. GTM (+315 мс), UA (+648 мс), Facebook SDK (+240 мс) — всё без согласия. Баннер отсутствует.
Дополнительно

Два тега Microsoft Clarity (ekg7xazin3 и ktuyny0n5d) — дублирование. UA закрыт с июля 2024, продолжает работать. Monsido heatmaps (+4623 мс) — запись тепловых карт без согласия.

Контекст

Всемирная организация здравоохранения (ВОЗ) — специализированное агентство ООН, штаб-квартира в Женеве. Публикует рекомендации по защите данных в здравоохранении, стандарты информационной безопасности медицинских систем. Обладает иммунитетом как агентство ООН — вне юрисдикции GDPR. HAR записан на европейском региональном офисе (who.int/europe). 202 запроса, 21 домен.

fndrsp.net — первый запрос сессии

fndrsp.net — домен FundRaiseUp, американской платформы для онлайн-пожертвований. Первый запрос в HAR на отметке +0 мс — до того как браузер начал загружать страницу. Повторяется ещё дважды (+968 мс, +4251 мс). FundRaiseUp используется для виджета пожертвований ВОЗ. 15 запросов к static.fundraiseup.com за сессию — платёжная инфраструктура активируется при каждом открытии страницы.

Два тега Microsoft Clarity

www.clarity.ms/tag/ekg7xazin3 и www.clarity.ms/tag/ktuyny0n5d — два отдельных тега Clarity на одном сайте. Оба загружаются без согласия. Clarity записывает движения мыши, клики и прокрутку. Дублирование тегов означает что данные о каждой сессии отправляются в Microsoft дважды.

Monsido — heatmaps и tracking

heatmaps.monsido.com (+4623 мс) и tracking.monsido.com (+4623 мс) — Monsido, датская платформа для веб-аналитики и доступности. Загружает конфигурацию heatmap (settings/hLJ4OK61Ms4s7WsE4AzSsQ.json) — это запись тепловых карт посетителей. Без согласия. Как у EFTA с Matomo HeatmapSessionRecording — запись поведения пользователей требует явного согласия.

UA после закрытия — третий раз в серии

UA analytics.js (+648 мс) загружается и отправляет pageview. Третий раз в серии после eua.eu и frontex.europa.eu. Параллельно работает GA4 (G-WKG4M0MSB8). Два GA-счётчика, один закрытый.

Telerik Kendo — корпоративный JS CDN

kendo.cdn.telerik.com/2021.1.119 — CDN Telerik (Progress Software, США) для Kendo UI, корпоративного JavaScript UI фреймворка. Загружает kendo.all.min.js и kendo.timezones.min.js — крупные библиотеки (несколько МБ). IP посетителей передаётся в Telerik/Progress Software (США).

Правовой статус

ВОЗ как агентство ООН обладает иммунитетом по Конвенции о привилегиях и иммунитетах специализированных учреждений (1947). GDPR технически не применяется. Тем не менее ВОЗ публикует руководства по защите персональных данных в здравоохранении и призывает государства-члены к соблюдению принципов конфиденциальности — в том числе при обработке медицинских данных.

Вывод

ВОЗ — 21 домен, fndrsp.net в +0 мс, два тега Clarity, Monsido heatmaps, UA закрытый в 2024 году, Facebook SDK, Telerik Kendo CDN. Организация публикующая рекомендации по защите данных в здравоохранении — сама использует полный набор американских трекеров без баннера согласия. Иммунитет ООН не отменяет этическое измерение вопроса.

Доказательство

Оригинал (разбор)

HAR-файл: global/who-int-2026-05-13.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Юрисдикция определяется по статье 3(2) GDPR —

Кому: Юрисдикция определяется по статье 3(2) GDPR
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом who.int.

2. Обстоятельства
Я посетил сайт who.int и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 13.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) fndrsp.net (+0 мс, FundRaiseUp) — первый запрос сессии до загрузки страницы. Microsoft Clarity (+220 мс) стреляет немедленно. GTM (+315 мс), UA (+648 мс), Facebook SDK (+240 мс) — всё без согласия. Баннер отсутствует.

2) Два тега Microsoft Clarity (ekg7xazin3 и ktuyny0n5d) — дублирование. UA закрыт с июля 2024, продолжает работать. Monsido heatmaps (+4623 мс) — запись тепловых карт без согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/who-int/

3. Нарушенные положения
GDPR Art. 7 / аналог для ВОЗ; Дополнительно

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]