Podaj dalej — Pokaż Dowody
City Hall of Łódź — GDPR Violations 2026
An investigative journalism report documenting technically verified probable personal data protection violations on websites managed by entities associated with the City of Łódź. Tracking systems activated immediately upon page load - before any user consent - transmitting data to third parties.
Did 28 of 39 evaluable municipal domains track users without consent?
Technically confirmed in tests March 6-9, 2026
The material presented below documents the technical scanning of 43 websites managed, financed or associated with the City Hall of Łódź. Each test session was sterile: an automated browser opened the page without clicking consent banners, without accepting cookies and without any user interaction. In the course of the proceedings, the UODO, UKE and the prosecutor's office are investigating the matter.
Among the 43 technically checked addresses, 2 items were excluded from the comparative assessment due to technical reasons, because the nature of their server response did not allow for a test fully comparable with other domains. Aggregate indices were calculated for 39 evaluable domains (41 domains in the table minus 2 excluded from assessment).
The result of the study is unambiguous: on 28 out of 39 evaluable domains, Google tracking systems, including Google Analytics, Google Ads, and DoubleClick, launched immediately after entering the page and started sending data to Google servers before the user made any decision regarding consent.
I found that in many cases the consent banner visible on municipal websites does not perform a real control function. Data reproducible in the browser and debugging of Consent Mode mechanisms show that the consent state is sometimes set in advance as GRANTED, even before the message is displayed or prior to any user interaction. This means that signals reach third-party servers before consent is actually given. Subsequent removal of some cookies does not undo the data transmission itself, which has already occurred.
One of the technical indicators of this phenomenon is the gcd=13l3l3l2l1l1 parameter present in such network requests. In the context of recorded sessions, its occurrence is a strong indication that the system treated the visitor as if consent to processing had already been granted. This may indicate data processing without a valid, prior, and informed user consent, required by Art. 6 sec. 1 lit. a of the GDPR.
On 28 of 39 evaluable domains, the gcd parameter indicated a granted state before the consent banner was even displayed.
ℹ️ TCF 2.2 vs Google Consent Mode v2 – why it does not protect in this case?
Some websites may use the IAB TCF 2.2 (Transparency & Consent Framework), which standardizes consent collection. However, TCF only regulates how consent is obtained from the user, not the behaviour of Google tags.
Google Consent Mode v2 operates independently and must be correctly integrated with the CMP.
In the analysed cases, the gcd parameter indicated the granted state
already at the after_domcontentloaded stage — before the consent banner appeared and before it could pass the TC String.
Why didn’t the pingless (cookieless pings) mode work?
- Pingless (anonymous pings without cookies) only occurs with a properly implemented Advanced Consent Mode with a default denied state.
- In the examined domains, the state was immediately set to granted (the digit “3” in
gcd), so Google tags activated normally and set identifying cookies (_ga, _gcl_au, _fbp, etc.). - There were no cookieless pings — full tracking occurred before any user consent.
In summary: even having a TCF 2.2-certified CMP does not exempt the website from the obligation to correctly configure
Google Consent Mode. Setting the default state to granted before any user interaction constitutes a violation
of Art. 6(1)(a) GDPR, regardless of the consent framework used.
Results per domain — technical assessment status
| Domain | Status | gcd value |
|---|---|---|
| lodz.pl | YES | 13l3l3l2l1l1 |
| uml.lodz.pl | YES | 13l3l3l2l1l1 |
| bip.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| mpu.lodz.pl | YES | 13l3l3l2l1l1 |
| zdit.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| cuw.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| cuwdps.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| lckm.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| mops.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| mzz.lodz.pl | YES | 13l3l3l2l1l1 |
| schronisko.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| architektmiasta.uml.lodz.pl | YES | 13l3l3l2l1l1 |
| rewitalizacja.uml.lodz.pl | YES | 13l3l3l2l2l1 ⚠ |
| invest.lodz.pl | YES | 13l3l3l2l1l1 |
| li.lodz.pl | YES | 13l3l3l2l1l1 |
| zlm.lodz.pl | YES | 13l3l3l2l1l1 |
| bip.zlm.lodz.pl | YES | 13l3l3l2l1l1 |
| mosir.lodz.pl | YES | 13l3l3l2l1l1 |
| aquapark.lodz.pl | YES | 13l3l3l2l1l1 |
| orientarium.lodz.pl | YES | 13l3l3l2l1l1 |
| lodz.travel | YES | 13l3l3l2l1l1 |
| kartalodzianina.pl | YES* | 13p3p3p2p5l1 |
| biblioteka.lodz.pl | YES | 13l3l3l2l1l1 |
| capz.lodz.pl | YES | 13l3l3l2l1l1 |
| css.samorzad.lodz.pl | YES | 13l3l3l2l1l1 |
| botaniczny.lodz.pl | YES | 13l3l3l2l1l1 |
| strazmiejska.lodz.pl | YES | 13l3l3l2l1l1 |
| nowa.mapa.lodz.pl | YES | 13l3l3l2l1l1 |
| ads.biblioteka.lodz.pl | NO | — |
| atlasarena.pl | NO | — |
| bip.biblioteka.lodz.pl | NO | — |
| kartaturysty.lodz.travel | NO | — |
| lodz.praca.gov.pl | NO | — |
| media.lodz.pl | NO | — |
| mpk.lodz.pl | NO | — |
| pup-lodz.pl | NO | — |
| teatr-muzyczny.lodz.pl | EXC. FROM ASSESS. | — (TLS / unavailable) |
| wizyty.uml.lodz.pl | NO | — |
| wsparcie.uml.lodz.pl | NO | — |
| www.makis.pl | NO | — |
| zoo.lodz.pl | EXC. FROM ASSESS. | — (redirect) |
* kartalodzianina.pl — different gcd value (interactive CMP), requires separate analysis. ⚠ rewitalizacja.uml.lodz.pl — slightly different value, approximating the violation pattern.
Update / Correction: After verifying the table, a numerical discrepancy was identified in the introductory text. The correct number of domains with a proven violation is 28 (all items marked YES, including kartalodzianina.pl with the * designation and rewitalizacja.uml.lodz.pl with a minor gcd variation). Two items were excluded from the comparative assessment: teatr-muzyczny.lodz.pl (availability/TLS problem) and zoo.lodz.pl (redirecting domain). Aggregate indices were therefore calculated for 39 evaluable domains (41 technically checked minus 2 excluded). The domain zoo.lodz.pl was included in the municipal services ecosystem because it links and redirects to orientarium.lodz.pl. Thank you for flagging the discrepancy — data transparency is a priority.
Methodological Note: "Excluded from assessment" means the address was technically checked, but incomparable with other cases due to the nature of the server response (e.g. redirect or TLS issue), which prevents a full test of a sterile session under the same conditions. We have not analyzed all municipal domains and may update the report with the rest. The sample is strong and representative enough to draw general conclusions.
Full investigative documentation for each domain — HAR format network logs, cookie dumps, request payloads with the gcd parameter, browser trace — available below in the respective domain sections.
Study Objective and Methodology
The panel below presents technically documented and frozen events from the scanning process of websites associated with the city of Łódź. The data is integral, timestamped, and made available for further investigative verification. Each record represents a session intercepting network traffic (Network), local data (Storage), and document changes (DOM). Additionally, from the editorial archivebox instance, we present selected website snapshots with timestamps. This is indisputable material evidence.
- Clean incognito sessions: Chrome 145 / Firefox 140
- Full sterility: No interaction with cookie banners. The scanner documents what the page loads before the user gives consent.
- Digital evidence: DevTools Network/Storage/Console, HAR format log export, timestamp analysis. The selection of evidence published on the website is representative and allows for full methodology verification. Additional material includes test repetitions and raw data, which do not alter the conclusions. I am ready to hand over all necessary information to the relevant authorities and services.
- Test scope: March 6-9, 2026
Decoding the GCD Parameter (Google Consent Mode v2)
The gcd parameter is a key signal that informs Google servers about the state of user consent for data processing.
On Łódź websites, the most common value is:
gcd=13l3l3l2l1l1
The digit "3" means granted (consent given). The critical question is when this consent was set.
What exactly does gcd=13l3l3l2l1l1 mean?
Meaning of individual parts:
13l– GCD v2 format prefix- 3 – analytics_storage = granted
- 3 – ad_user_data = granted
- 3 – ad_personalization = granted
2– personalization_storage = partially granted1– ad_storage = basic granted
Why does this constitute a violation?
The value gcd=13l3l3l2l1l1 appeared already at the
after_domcontentloaded stage – i.e., before the user saw the CMP banner
and before they made any decision.
This means the page set the state to granted by default,
rather than after a conscious user decision.
Configuration Comparison
| Configuration | Default consent state | gcd value at start | Tracking cookies before consent | GDPR Compliance |
|---|---|---|---|---|
| No Consent Mode | — | no parameter | Yes (immediately) | Violation |
| Correct Advanced Consent Mode | denied by default | with "p", "q" or "0" | No (cookieless pings only) | Acceptable |
| Implementation on Łódź websites | granted by default | 13l3l3l2l1l1 | Yes (_ga, _ga_*, _gcl_au, _fbp) | Violation of Art. 6 sec. 1 lit. a GDPR |
In summary: the mere presence of the digit "3" is not the problem. The problem is setting the granted state by default on the page, before the user had a real opportunity to give or deny consent.
📊 Global Audit Summary
https://orientarium.lodz.pl/ ŁOT Group
SCAN ID: 20260306_202023_a6417c59
ADO: ZOO Łódź sp. z o.o.
Hosting/IT: Hetzner
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- ⚠️Detected CMP elements: consent, cookiebot.
- -Potentially tracking cookies exist after session (10 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 detected before consent — active tracking without valid legal basis (Art. 6 sec. 1 lit. a GDPR).📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: orientarium.lodz.pl
Latest scan: 20260306_202023_a6417c59
Basic Information
- URL: https://orientarium.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 200
- Requests Śledzące: 21
- Cookies Set: 10
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- ⚠️ Detected CMP elements: consent, cookiebot.
- ⚠️ Potentially tracking cookies exist after session (10 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- googleads.g.doubleclick.net
- lodz.pl
- region1.analytics.google.com
- stats.g.doubleclick.net
- www.google-analytics.com
- www.google.com
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: consent, cookiebot
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Cookie banner: https://orientarium.lodz.pl/assets/2025/05/Polityka-plikow-Cookies-07.2024.pdf — **anomaly: two different cookie PDF versions**
https://uml.lodz.pl/ ŁOT Group
SCAN ID: 20260306_201513_88503e84
ADO: Urząd Miasta Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- 🔴Parametr
gcd=13l3l3l2l1l1wykryty w żądaniach przed udzieleniem zgody — oznacza, że system śledzenia otrzymał sygnał zgody udzielonej (analytics_storage, ad_user_data, ad_personalization = GRANTED) zanim użytkownik podjął jakąkolwiek decyzję. Naruszenie art. 6 ust. 1 lit. a RODO — brak ważnej zgody. - ⚠️Wykryto gcd bez gcs w części requestów — dane wysyłane do Google bez potwierdzenia stanu zgody po stronie klienta.
- ⚠️Detected CMP elements: klaro — narzędzie zarządzania zgodą obecne, lecz skonfigurowane z domyślnie udzieloną zgodą.
- ⚠️Aktywne śledzenie Meta (connect.facebook.net, www.facebook.com) przed wyrażeniem zgody.
- -Potentially tracking cookies exist after session (8 szt.).
Privacy Policy Analysis vs Tags
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: uml.lodz.pl
Latest scan: 20260306_201513_88503e84
Basic Information
- URL: https://uml.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 160
- Requests Śledzące: 15
- Cookies Set: 8
Conclusions and Violations
- 🔴 Parametr
gcd=13l3l3l2l1l1wykryty w żądaniach przed udzieleniem zgody — sygnał GRANTED dla analytics_storage, ad_user_data, ad_personalization bez decyzji użytkownika. Naruszenie art. 6 ust. 1 lit. a RODO. - ⚠️ Wykryto gcd bez gcs w części requestów — dane wysyłane do Google bez potwierdzenia stanu zgody po stronie klienta.
- ⚠️ Wykryto CMP: klaro — skonfigurowane z domyślnie udzieloną zgodą, co skutkuje przesyłaniem danych przed realną decyzją użytkownika.
- ⚠️ Aktywne połączenia do Meta (connect.facebook.net, www.facebook.com) przed wyrażeniem zgody — tagi Google Ads (AW-790142032, AW-10940984035) oraz Facebook niezadeklarowane w polityce cookies.
- ⚠️ Potentially tracking cookies exist after session (8 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- googleads.g.doubleclick.net
- lodz.pl
- region1.analytics.google.com
- stats.g.doubleclick.net
- www.facebook.com
- www.google.com
- www.google.pl
- www.googleadservices.com
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: klaro
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
🔬 Rozszerzona Analiza: Metodologia Rentgen vs Skaner ▼
Nota Metodologiczna: Nasz automatyczny Skaner skupia się na wykrywaniu infrastruktury reklamowej, analitycznej i śledzącej (tzw. "tracking heurystyka" w kontekście Consent Mode i cookies). Równolegle zastosowano "Rentgen" (wtyczkę fundacji Internet. Czas działać!). Rentgen opiera się na metodologii aktywistów privacy, dla których każde połączenie z zewnętrznym serwerem bez zgody (nawet pobranie fontów czy skryptów CDN) traktowane jest jako ujawnienie danych (adresu IP) i potencjalne naruszenie. Poniższe zestawienie stanowi unikalną fuzję obu tych perspektyw.
Spójność Dowodowa
- Zgodność osi czasu (Timeline): Surowe dane logiki ładowania idealnie pokrywają się z rejestrami sieci. Inicjalizacja pakietów śledzi ułamki sekund po załadowaniu DOM, jednoznacznie dowodząc wymuszonego działania skryptów.
- Potwierdzenie GCD: Rentgen jednoznacznie dokumentuje wysyłanie twardego parametru
gcd=13l3l3l2l1l1w oddzielnych endpointach (region1.analytics.google.com,stats.g.doubleclick.net,www.google.com,www.google.pl). To całkowicie weryfikuje naszą tezę — dowód występuje w co najmniej dwóch niezależnych narzędziach. - Różnice w widoczności domen (Tracking vs All Connections): Skaner raportuje kilkanaście domen (ponieważ filtruje czysty "tracking"). Rentgen raportuje więcej m.in.
bunny.net(fonty),twitter.com,gr-cdn.comczygoogletagmanager.com. Z prawnego punktu widzenia, wg aktywistów RODO, wpięcie np. arkusza z obcego serwera jest też transmisją danych poza domenę główną.
Głębsza analiza przepływów danych:
- Infrastruktura Reklamowa Google Ads: Wykryto identyfikatory remarketingowe
AW-790142032orazAW-10940984035aktywne przed wyrażeniem zgody przez użytkownika. Tagi Google Ads nie są zadeklarowane w polityce cookies UMŁ. - Aktywne śledzenie Meta: Połączenia do
connect.facebook.netiwww.facebook.comrejestrowane w czystej sesji — transmisja adresu IP i URL strony do Meta Platforms bez zgody. - Cross-domain tracking lodz.pl ↔ uml.lodz.pl: Domeny współdzielą GA property
G-30F084ZHSLi UAUA-25825547-40bez ujawnienia współadministrowania (art. 26 RODO) w dokumentach RODO żadnej z domen. - Twitter Session Tracking: Embedowana treść generuje
session_idraportowany dosyndication.twitter.comprzed jakąkolwiek intencjonalną akcją odwiedzającego.
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Brak dedykowanej „polityki prywatności"; jest polityka cookies + RODO newsletter: https://uml.lodz.pl/zobacz-rowniez/rodo-newsletter/
https://ads.biblioteka.lodz.pl/ ŁOT Group
SCAN ID: 20260306_201837_7265207d
ADO: Biblioteka Miejska w Łodzi
Hosting/IT: Hetzner
Technical Conclusions (Scanner)
- -Po sesji istnieją wyłącznie cookies techniczne/sesyjne.
- -Serwis jest panelem administracyjnym do obsługi kampanii i dlatego nie posiada własnego mechanizmu do zbierania zgód. Jest jednak na liście domen oraz osadzony na stronie głównej biblioteki, dlatego jest elementem skanu.
Privacy Policy Analysis vs Tags
Brak przypisanych kontenerów w tabeli dziennikarskiej.
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: ads.biblioteka.lodz.pl
Latest scan: 20260306_201837_7265207d
Basic Information
- URL: https://ads.biblioteka.lodz.pl/
- Sterile Session Status: 🟢 CLEAN (Brak śladów śledzących przed zgodą)
- Requests Ogółem: 11
- Requests Śledzące: 0
- Cookies Set: 1
Conclusions and Violations
- ⚠️ Po sesji istnieją wyłącznie cookies techniczne/sesyjne.
Data Flow (Identified Recipients)
- Brak zidentyfikowanych zewnętrznych domen śledzących w tej sesji.
CMP Detection (Consent Management)
- Nie zidentyfikowano jednoznacznie popularnych narzędzi CMP w kodzie (może być użyte nietypowe rozwiązanie).
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Panel logowania Revive Adserver – brak publicznej strony z polityką
https://bip.uml.lodz.pl/
SCAN ID: 20260306_201535_2201a79b
ADO: Urząd Miasta Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- 🔴Parametr
gcd=13l3l3l2l1l1wykryty w żądaniach przed udzieleniem zgody — oznacza, że system śledzenia otrzymał sygnał zgody udzielonej zanim użytkownik podjął jakąkolwiek decyzję. Naruszenie art. 6 ust. 1 lit. a RODO — brak ważnej zgody. - ⚠️Wykryto gcd bez gcs w części requestów — dane wysyłane do Google bez potwierdzenia stanu zgody po stronie klienta.
- ⚠️Brak zidentyfikowanego mechanizmu CMP — śledzenie odbywa się bez jakiegokolwiek narzędzia zarządzania zgodą użytkownika.
- -Potentially tracking cookies exist after session (11 szt.).
Privacy Policy Analysis vs Tags
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: bip.uml.lodz.pl
Latest scan: 20260306_201535_2201a79b
Basic Information
- URL: https://bip.uml.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 84
- Requests Śledzące: 6
- Cookies Set: 11
Conclusions and Violations
- 🔴 Parametr
gcd=13l3l3l2l1l1wykryty w żądaniach przed udzieleniem zgody — sygnał GRANTED dla analytics_storage, ad_user_data, ad_personalization bez decyzji użytkownika. Naruszenie art. 6 ust. 1 lit. a RODO. - ⚠️ Wykryto gcd bez gcs w części requestów — dane wysyłane do Google bez potwierdzenia stanu zgody po stronie klienta.
- ⚠️ Brak CMP — śledzenie (UA-25825547-40, Facebook, DoubleClick) odbywa się bez żadnego mechanizmu zarządzania zgodą użytkownika.
- ⚠️ Aktywne połączenia do Meta (connect.facebook.net) przed wyrażeniem zgody — brak Pixela i DoubleClick w polityce prywatności BIP.
- ⚠️ Potentially tracking cookies exist after session (11 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- region1.analytics.google.com
- stats.g.doubleclick.net
- www.google-analytics.com
CMP Detection (Consent Management)
- Nie zidentyfikowano mechanizmu CMP — śledzenie bez jakiegokolwiek narzędzia zarządzania zgodą.
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
BIP — brak osobnej polityki prywatności
https://bip.zlm.lodz.pl/
SCAN ID: 20260306_201940_dbfda186
ADO: Zarząd Lokali Miejskich
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: bip.zlm.lodz.pl
Latest scan: 20260306_201940_dbfda186
Basic Information
- URL: https://bip.zlm.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 72
- Requests Śledzące: 6
- Cookies Set: 9
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- ⚠️ Potentially tracking cookies exist after session (9 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- bip.zlm.lodz.pl
- connect.facebook.net
- region1.analytics.google.com
- stats.g.doubleclick.net
- www.google-analytics.com
CMP Detection (Consent Management)
- Nie zidentyfikowano jednoznacznie popularnych narzędzi CMP w kodzie (może być użyte nietypowe rozwiązanie).
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
https://mpu.lodz.pl/
SCAN ID: 20260306_201556_b3e7d004
ADO: Miejska Pracownia Urbanistyczna
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (10 szt.).
Privacy Policy Analysis vs Tags
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: mpu.lodz.pl
Latest scan: 20260306_201556_b3e7d004
Basic Information
- URL: https://mpu.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 148
- Requests Śledzące: 10
- Cookies Set: 10
Conclusions and Violations
- 🔴 Parametr
gcd=13l3l3l2l1l1wykryty w żądaniach przed udzieleniem zgody — sygnał GRANTED dla analytics_storage, ad_user_data, ad_personalization bez decyzji użytkownika. Naruszenie art. 6 ust. 1 lit. a RODO. - ⚠️ Wykryto gcd bez gcs w części requestów — dane wysyłane do Google bez potwierdzenia stanu zgody po stronie klienta.
- ⚠️ Brak CMP — śledzenie (G-W8F2064SGL, UA-25825547-40, Facebook, DoubleClick) odbywa się bez żadnego mechanizmu zarządzania zgodą użytkownika.
- ⚠️ Aktywne połączenia do Meta (connect.facebook.net) przed wyrażeniem zgody — Facebook i usługi analityczne całkowicie niezadeklarowane na stronie RODO (art. 13).
- ⚠️ Cross-domain tracking z lodz.pl: wspólne property UA-25825547-40 bez deklaracji współadministrowania (art. 26 RODO).
- ⚠️ Potentially tracking cookies exist after session (10 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- lodz.pl
- region1.analytics.google.com
- region1.google-analytics.com
- stats.g.doubleclick.net
- www.google-analytics.com
CMP Detection (Consent Management)
- Nie zidentyfikowano mechanizmu CMP — śledzenie bez jakiegokolwiek narzędzia zarządzania zgodą.
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Link w stopce jako „RODO"
https://mosir.lodz.pl/
SCAN ID: 20260306_202001_8e86892d
ADO: Miejski Ośrodek Sportu i Rekreacji
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (10 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: mosir.lodz.pl
Latest scan: 20260306_202001_8e86892d
Basic Information
- URL: https://mosir.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 144
- Requests Śledzące: 10
- Cookies Set: 10
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- ⚠️ Potentially tracking cookies exist after session (10 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- lodz.pl
- mosir.lodz.pl
- region1.analytics.google.com
- region1.google-analytics.com
- stats.g.doubleclick.net
- www.google-analytics.com
CMP Detection (Consent Management)
- Nie zidentyfikowano jednoznacznie popularnych narzędzi CMP w kodzie (może być użyte nietypowe rozwiązanie).
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Brak linków do polityki prywatności / RODO w stopce; BIP MOSiR: https://bip.mosir.lodz.pl/
https://atlasarena.pl/ ŁOT Group
SCAN ID: 20260307_072753_5e64d738
ADO: MAKiS sp. z o.o. (100% Miasto)
Hosting/IT: IONOS-AS This is the joint network for IONOS, Fasthosts, Arsys, 1&1 Mail and Media and 1&1 Telecom. Formerly known as 1&1 Internet SE., DE
Technical Conclusions (Scanner)
- ⚠️Detected CMP elements: consent, cookiebot.
- -Potentially tracking cookies exist after session (2 szt.).
Privacy Policy Analysis vs Tags
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: atlasarena.pl
Latest scan: 20260307_072753_5e64d738
Basic Information
- URL: https://atlasarena.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 107
- Requests Śledzące: 4
- Cookies Set: 2
Conclusions and Violations
- ⚠️ Detected CMP elements: consent, cookiebot.
- ⚠️ Potentially tracking cookies exist after session (2 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- www.google.com
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: consent, cookiebot
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Cookiebot wdrożony poprawnie, ale brak linków do prywatności w stopce/stronie. W formularzu kontaktowym tekst, że polityka i obowiązek informacyjny znajduje się na stronie Makis.pl
https://lodz.pl/ ŁOT Group
SCAN ID: 20260306_201450_b6d79db5
ADO: Biblioteka Miejska w Łodzi
Hosting/IT: Hetzner
Technical Conclusions (Scanner)
- 🔴Parametr
gcd=13l3l3l2l1l1wykryty w żądaniach przed udzieleniem zgody — oznacza, że system śledzenia otrzymał sygnał zgody udzielonej (analytics_storage, ad_user_data, ad_personalization = GRANTED) zanim użytkownik podjął jakąkolwiek decyzję. Naruszenie art. 6 ust. 1 lit. a RODO — brak ważnej zgody. - ⚠️Wykryto gcd bez gcs w części requestów — dane wysyłane do Google bez potwierdzenia stanu zgody po stronie klienta.
- ⚠️Detected CMP elements: consent, quantcast — narzędzie zarządzania zgodą obecne, lecz skonfigurowane z domyślnie udzieloną zgodą.
- -Potentially tracking cookies exist after session (13 szt.).
Privacy Policy Analysis vs Tags
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: lodz.pl
Latest scan: 20260306_201450_b6d79db5
Basic Information
- URL: https://lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 294
- Requests Śledzące: 30
- Cookies Set: 13
Conclusions and Violations
- 🔴 Parametr
gcd=13l3l3l2l1l1wykryty w żądaniach przed udzieleniem zgody — sygnał GRANTED dla analytics_storage, ad_user_data, ad_personalization bez decyzji użytkownika. Naruszenie art. 6 ust. 1 lit. a RODO. - ⚠️ Wykryto gcd bez gcs w części requestów — dane wysyłane do Google bez potwierdzenia stanu zgody po stronie klienta.
- ⚠️ Wykryto CMP: consent + quantcast — skonfigurowane z domyślnie udzieloną zgodą, co skutkuje aktywacją trackerów przed realną decyzją użytkownika.
- ⚠️ Aktywny Facebook Pixel (ID 528537619394728) i tagi Google Ads (AW-557285855, AW-11108391222, AW-665139254) przed wyrażeniem zgody.
- ⚠️ AdSense (ca-pub-6662457014686579) aktywny na publicznym portalu samorządowym — monetyzacja ruchu bez jednoznacznej zgody na reklamy spersonalizowane.
- ⚠️ Potentially tracking cookies exist after session (13 szt.).
Technical Analysis of the GCD Parameter
The parameter gcd=13l3l3l2l1l1 means that the Google system received information about a granted state for analytics_storage, ad_user_data, and ad_personalization consents. Crucially, this state was set by default – already at the after_domcontentloaded stage, before the user saw the CMP banner and before they made any decision. In a correctly implemented Advanced Consent Mode, these values should initially have a denied state (denoted by letters "p", "q" or "0"), and only change to "3" after the user's conscious acceptance.
Additionally, in the same sterile session, Tag Assistant detected page_view events being sent to three different Google Ads tags (AW-557285855, AW-665139254, AW-11108391222) via the www.google.com/ccm/collect endpoint. In these requests too, the gcd=13l3l3l2l1l1 parameter indicated a granted state. This means that not only Google Analytics, but the entire Google advertising system was operating with default consent for data processing for marketing purposes.
⚠️ Key observation on the consent mechanism
Even if the website uses a Consent Management Platform (possibly based on TCF), in practice Google Consent Mode does not respect the actual state of user consent.
The gcd parameter indicates the granted state already at a very early stage of page loading
(before the consent banner appears). This results in immediate activation of Google trackers and transmission of data
(including tracking cookies) to external servers.
This is direct evidence of processing personal data without prior, informed and valid consent.
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- googleads.g.doubleclick.net
- pagead2.googlesyndication.com
- region1.analytics.google.com
- stats.g.doubleclick.net
- uml.lodz.pl
- www.facebook.com
- www.google-analytics.com
- www.google.com
- www.google.pl
- www.googleadservices.com
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: cookie FCCDF Google Funding Choices / Consent Management
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
🔬 Rozszerzona Analiza: Metodologia Rentgen vs Skaner ▼
Nota Metodologiczna: Nasz automatyczny Skaner skupia się na wykrywaniu infrastruktury reklamowej, analitycznej i śledzącej (tzw. "tracking heurystyka" w kontekście Consent Mode i cookies). Równolegle zastosowano "Rentgen" (wtyczkę fundacji Internet. Czas działać!). Rentgen opiera się na metodologii aktywistów privacy, dla których każde połączenie z zewnętrznym serwerem bez zgody (nawet pobranie fontów czy skryptów CDN) traktowane jest jako ujawnienie danych (adresu IP) i potencjalne naruszenie. Poniższe zestawienie stanowi unikalną fuzję obu tych perspektyw.
Spójność Dowodowa
- Zgodność osi czasu (Timeline): Surowe dane logiki ładowania idealnie pokrywają się z rejestrami sieci. Inicjalizacja pakietów śledzi ułamki sekund po załadowaniu DOM, jednoznacznie dowodząc wymuszonego działania skryptów.
- Potwierdzenie GCD: Rentgen jednoznacznie dokumentuje wysyłanie twardego parametru
gcd=13l3l3l2l1l1w oddzielnych endpointach (region1.analytics.google.com,stats.g.doubleclick.net,www.google.com,www.google.pl). To całkowicie weryfikuje naszą tezę — dowód występuje w co najmniej dwóch niezależnych narzędziach. - Różnice w widoczności domen (Tracking vs All Connections): Skaner raportuje kilkanaście domen (ponieważ filtruje czysty "tracking"). Rentgen raportuje więcej m.in.
bunny.net(fonty),twitter.com,gr-cdn.comczygoogletagmanager.com. Z prawnego punktu widzenia, wg aktywistów RODO, wpięcie np. arkusza z obcego serwera jest też transmisją danych poza domenę główną.
Głębsza analiza przepływów danych:
- Rozbudowana Infrastruktura Reklamowa (Google Ads): Wykryto żądania na zewnątrz z potrójnymi identyfikatorami remarketingowymi
tids=AW-557285855~AW-11108391222~AW-665139254. Istnieje wpięcieclient=ca-pub-6662457014686579(AdSense publisher). Mówimy tu nie o prostej analityce, ale o monetyzacji ruchu na stronach magistratu. - Aktywny Meta Pixel: Rejestracja unikalnego payloadu
528537619394728z eventemPageView. Pixel ładuje się natychmiast, aktywnie transmitując URL artykułu bezpośrednio dowww.facebook.com. - Wykrycie geolokalizacji UE (
_eu=EAAAAGA): Google Analytics wie, iż użytkownik znajduje się w jurysdykcji RODO. Narusza to zasadę Privacy by Default w sposób świadomy w kontekście systemów zintegrowanych. - Cross-domain Referrer Leak: Widgety, np. newsletter, ujawniają dokładne ścieżki i źródła subdomen do third-party wektorów (fonty, usługi e-mail).
- Twitter Session Tracking: Embedowana treść (np. post z konta Miasta) bezprawnie generuje
session_idraportowany dosyndication.twitter.comjeszcze przed jakąkolwiek intencjonalną akcją odwiedzającego.
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Polityka prywatności dostępna pod adresem lodz.pl/polityka-prywatnosci/ — link widoczny w menu kontaktowym serwisu oraz w bannerze consent po rozwinięciu opcji. Uwaga: Polityka nie zawiera daty wejścia w życie ani daty ostatniej aktualizacji — brak możliwości weryfikacji okresu obowiązywania i historii zmian.
https://kartaturysty.lodz.travel/ ŁOT Group
SCAN ID: 20260306_201815_708851ac
ADO: Łódzka Organizacja Turystyczna (ŁOT)
Hosting/IT: Autonomous System for Dataspace P.S.A., PL
Technical Conclusions (Scanner)
- ⚠️Detected CMP elements: consent.
- -Potentially tracking cookies exist after session (1 szt.).
Privacy Policy Analysis vs Tags
Brak przypisanych kontenerów w tabeli dziennikarskiej.
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: kartaturysty.lodz.travel
Latest scan: 20260306_201815_708851ac
Basic Information
- URL: https://kartaturysty.lodz.travel/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 53
- Requests Śledzące: 0
- Cookies Set: 1
Conclusions and Violations
- • Detected CMP elements: consent.
- ⚠️ Potentially tracking cookies exist after session (1 szt.).
Data Flow (Identified Recipients)
- Brak zidentyfikowanych zewnętrznych domen śledzących w tej sesji.
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: consent
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
PDF w stopce; cookie banner wspomina ŁOT jako administratora danych
https://media.lodz.pl/ ŁOT Group
SCAN ID: 20260306_201723_e56edb54
ADO: Łódź Media Group / ŁOT
Hosting/IT: CF-GDA, PL
Technical Conclusions (Scanner)
- ⚠️Detected CMP elements: consent.
- -Po sesji istnieją wyłącznie cookies techniczne/sesyjne.
Privacy Policy Analysis vs Tags
Brak przypisanych kontenerów w tabeli dziennikarskiej.
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: media.lodz.pl
Latest scan: 20260306_201723_e56edb54
Basic Information
- URL: https://media.lodz.pl/
- Sterile Session Status: 🟢 CLEAN (Brak śladów śledzących przed zgodą)
- Requests Ogółem: 47
- Requests Śledzące: 0
- Cookies Set: 1
Conclusions and Violations
- • Detected CMP elements: consent.
- ⚠️ Po sesji istnieją wyłącznie cookies techniczne/sesyjne.
Data Flow (Identified Recipients)
- Brak zidentyfikowanych zewnętrznych domen śledzących w tej sesji.
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: consent
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Oba linki w stopce
https://biblioteka.lodz.pl/ ŁOT Group
SCAN ID: 20260306_201857_a94f04b6
ADO: Biblioteka Miejska w Łodzi
Hosting/IT: CF-KRK, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (6 szt.).
Privacy Policy Analysis vs Tags
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: biblioteka.lodz.pl
Latest scan: 20260306_201857_a94f04b6
Basic Information
- URL: https://biblioteka.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 44
- Requests Śledzące: 11
- Cookies Set: 6
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- ⚠️ Potentially tracking cookies exist after session (6 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- fonts.gstatic.com
- region1.google-analytics.com
- translate.google.com
- translate.googleapis.com
- www.google-analytics.com
- www.gstatic.com
CMP Detection (Consent Management)
- Nie zidentyfikowano jednoznacznie popularnych narzędzi CMP w kodzie (może być użyte nietypowe rozwiązanie).
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Cookie banner odsyła do: https://biblioteka.lodz.pl/assets/policies/COOKIES.pdf — **oba to PDF**
https://lodz.travel/ ŁOT Group
SCAN ID: 20260306_201751_fdf84108
ADO: Łódzka Organizacja Turystyczna (ŁOT)
Hosting/IT: Hetzner
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Detected CMP elements: klaro.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany bez decyzji użytkownika (art. 6 ust. 1 lit. a RODO).📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: lodz.travel
Latest scan: 20260306_201751_fdf84108
Basic Information
- URL: https://lodz.travel/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 238
- Requests Śledzące: 38
- Cookies Set: 9
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- • Detected CMP elements: klaro.
- ⚠️ Potentially tracking cookies exist after session (9 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- ep1.adtrafficquality.google
- googleads.g.doubleclick.net
- lodz.pl
- lodz.travel
- pagead2.googlesyndication.com
- region1.analytics.google.com
- stats.g.doubleclick.net
- www.google-analytics.com
- www.google.com
- www.google.pl
- www.googleadservices.com
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: klaro
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Polityka prywatności w ostatnim chunke, brak osobnej klauzuli RODO
https://cuw.uml.lodz.pl/
SCAN ID: 20260306_201639_2d114b5e
ADO: Centrum Usług Wspólnych w Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (8 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: cuw.uml.lodz.pl
Latest scan: 20260306_201639_2d114b5e
Basic Information
- URL: https://cuw.uml.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 74
- Requests Śledzące: 6
- Cookies Set: 8
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- ⚠️ Potentially tracking cookies exist after session (8 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- cuw.uml.lodz.pl
- region1.analytics.google.com
- stats.g.doubleclick.net
- www.google-analytics.com
CMP Detection (Consent Management)
- Nie zidentyfikowano jednoznacznie popularnych narzędzi CMP w kodzie (może być użyte nietypowe rozwiązanie).
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Klauzule windykacyjne osobno: https://cuw.uml.lodz.pl/windykacja/klauzula-informacyjna-windykacja/
https://kartalodzianina.pl/ ŁOT Group
SCAN ID: 20260306_201700_53607701
ADO: Łódzka Organizacja Turystyczna (ŁOT)
Hosting/IT: Autonomous System for Dataspace P.S.A., PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected CMP elements: consent.
- -Potentially tracking cookies exist after session (1 szt.).
Privacy Policy Analysis vs Tags
📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: kartalodzianina.pl
Latest scan: 20260306_201700_53607701
Basic Information
- URL: https://kartalodzianina.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 101
- Requests Śledzące: 2
- Cookies Set: 1
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- • Detected CMP elements: consent.
- ⚠️ Potentially tracking cookies exist after session (1 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- region1.google-analytics.com
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: consent
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Cookie banner bez linku do polityki.
https://zlm.lodz.pl/
SCAN ID: 20260306_201918_010ea978
ADO: Zarząd Lokali Miejskich
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: zlm.lodz.pl
Latest scan: 20260306_201918_010ea978
Basic Information
- URL: https://zlm.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 140
- Requests Śledzące: 8
- Cookies Set: 9
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- ⚠️ Potentially tracking cookies exist after session (9 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- lodz.pl
- region1.analytics.google.com
- stats.g.doubleclick.net
- www.google-analytics.com
- zlm.lodz.pl
CMP Detection (Consent Management)
- Nie zidentyfikowano jednoznacznie popularnych narzędzi CMP w kodzie (może być użyte nietypowe rozwiązanie).
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Linki w stopce prowadzą do BIP ZLM
https://zdit.uml.lodz.pl/
SCAN ID: 20260306_201618_f1dbf1a2
ADO: Zarząd Dróg i Transportu
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Detected CMP elements: klaro.
- -Potentially tracking cookies exist after session (8 szt.).
Privacy Policy Analysis vs Tags
connect.facebook.net odnotowane w przepływie danych. CMP (Klaro) skonfigurowane nieprawidłowo — gcd=13l3l3l2l1l1 wykryty przed decyzją użytkownika (art. 6 ust. 1 lit. a RODO).📄 Show Domain Assessment (OSINT Report) ▼
Audit Summary: zdit.uml.lodz.pl
Latest scan: 20260306_201618_f1dbf1a2
Basic Information
- URL: https://zdit.uml.lodz.pl/
- Sterile Session Status: 🔴 VIOLATION (Ślady śledzenia/ciasteczek przed zgodą)
- Requests Ogółem: 99
- Requests Śledzące: 12
- Cookies Set: 8
Conclusions and Violations
- ⚠️ Detected gcd parameter in tracking requests.
- ⚠️ Detected gcd without gcs in some requests.
- • Detected CMP elements: klaro.
- ⚠️ Potentially tracking cookies exist after session (8 szt.).
Data Flow (Identified Recipients)
External services receiving data in this session:
- connect.facebook.net
- googleads.g.doubleclick.net
- region1.analytics.google.com
- stats.g.doubleclick.net
- uml.lodz.pl
- www.google-analytics.com
- www.google.com
- www.google.pl
- www.googleadservices.com
CMP Detection (Consent Management)
- Detected mechanisms/variables suggesting use: klaro
Report generated automatically based on network traffic analysis and DOM modifications in an empty browser session (Before clicking the consent button).
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Strona BIP polityka prywatności/RODO w stopce. Przekierowuje na uml.lodz.pl
Brak zarchiwizowanych snapshotów dla tej domeny.
https://aquapark.lodz.pl/ ŁOT Group
SCAN ID: 20260309_103954_565488af
ADO: Aquapark Fala sp. z o.o.
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (12 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Oba linki w stopce
https://mpk.lodz.pl/ ŁOT Group
SCAN ID: 20260309_103954_7e7bd54e
ADO: MPK Łódź sp. z o.o. (100% Miasto)
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- -Potentially tracking cookies exist after session (6 szt.).
Privacy Policy Analysis vs Tags
Brak przypisanych kontenerów w tabeli dziennikarskiej.
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte w trybie incognito: widać banner i rozbudowaną sekcję "RODO w MPK" na stronie głównej.
https://www.makis.pl/ ŁOT Group
SCAN ID: 20260309_103954_f4656360
ADO: MAKiS sp. z o.o. (100% Miasto)
Hosting/IT: IONOS-AS This is the joint network for IONOS, Fasthosts, Arsys, 1&1 Mail and Media and 1&1 Telecom. Formerly known as 1&1 Internet SE., DE
Technical Conclusions (Scanner)
- -Potentially tracking cookies exist after session (1 szt.).
- ⚠️Detected CMP elements: consent, cookiebot.
Privacy Policy Analysis vs Tags
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Cookie banner odsyła do: https://makis.pl/polityka-prywatnosci — ta sama strona
https://pup-lodz.pl/
SCAN ID: 20260309_103955_f618b06e
ADO: Powiatowy Urząd Pracy w Łodzi
Hosting/IT: MSERWIS-AS, PL
Technical Conclusions (Scanner)
- -Potentially tracking cookies exist after session (8 szt.).
Privacy Policy Analysis vs Tags
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
pup-lodz.pl = lodz.praca.gov.pl (ta sama strona)
Brak zarchiwizowanych snapshotów dla tej domeny.
https://lodz.praca.gov.pl/
SCAN ID: 20260309_104016_c5852ac5
ADO: Powiatowy Urząd Pracy w Łodzi
Hosting/IT: TM, PL
Technical Conclusions (Scanner)
- -Potentially tracking cookies exist after session (8 szt.).
Privacy Policy Analysis vs Tags
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Link w menu „Urząd"
https://architektmiasta.uml.lodz.pl/
SCAN ID: 20260309_104021_61f1f764
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (11 szt.).
- -Detected CMP elements: klaro.
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: Banner odsyła tylko do uml.lodz.pl, brak dedykowanego RODO w stopce
https://teatr-muzyczny.lodz.pl/
SCAN ID: 20260309_104016_fff92000
ADO: Teatr Muzyczny w Łodzi
Hosting/IT: TARRCI-AS, PL
Technical Conclusions (Scanner)
- ⚠️Pozycja wyłączona z oceny porównawczej z uwagi na problem TLS / niedostępność domeny wejściowej, uniemożliwiający przeprowadzenie pełnego testu sterylnej sesji na warunkach porównywalnych z pozostałymi domenami.
Privacy Policy Analysis vs Tags
Brak weryfikowalnych kontenerów.
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
**Błąd TLS** — certyfikat niezaufany. Strona niedostępna.
https://bip.biblioteka.lodz.pl/
SCAN ID: 20260309_104042_b2ce5a56
ADO: Biblioteka Miejska w Łodzi
Hosting/IT: CF-KRK, PL
Technical Conclusions (Scanner)
- -Potentially tracking cookies exist after session (1 szt.).
Privacy Policy Analysis vs Tags
Brak przypisanych kontenerów w tabeli dziennikarskiej.
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Link w menu serwisu
https://capz.lodz.pl/
SCAN ID: 20260309_104044_19fa3625
ADO: Centrum Administracyjne Pieczy Zastępczej
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (8 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Link „Ochrona Danych" w menu
https://botaniczny.lodz.pl/
SCAN ID: 20260309_104043_d3c46fd7
ADO: Ogród Botaniczny w Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
RODO ZZM (Zarząd Zieleni Miejskiej); klauzula monitoring: https://zzm.lodz.pl/files/public/uploads/RODO/KLAUZULA_INFORMACYJNA__MONITORING_ZZM.pdf
https://cuwdps.uml.lodz.pl/
SCAN ID: 20260309_104106_41c1beb1
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (10 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: Linki z bannera zwracają błąd 404. Dedykowana strona RODO dostępna w menu.
https://css.samorzad.lodz.pl/
SCAN ID: 20260309_104105_22f6777d
ADO: Centrum Świadczeń Socjalnych w Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (10 szt.).
- -Detected CMP elements: klaro.
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Cookies + RODO w stopce
https://invest.lodz.pl/
SCAN ID: 20260309_104106_fb027515
ADO: Urząd Miasta Łodzi (Invest in Łódź)
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (6 szt.).
- -Detected CMP elements: klaro.
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: stopka ma linki, ale polityka/rodo prowadzą do głównego BIP UMŁ
https://lckm.uml.lodz.pl/
SCAN ID: 20260309_104127_b6560cd6
ADO: Łódzkie Centrum Kontaktu z Mieszkańcami
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (5 szt.).
- ⚠️Detected CMP elements: consent.
Privacy Policy Analysis vs Tags
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Tylko polityka cookies; brak RODO
https://li.lodz.pl/
SCAN ID: 20260309_104127_03e9a4c1
ADO: Łódzkie Inwestycje sp. z o.o.
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Link „Klauzula Informacyjna" w stopce
https://mops.uml.lodz.pl/
SCAN ID: 20260309_104129_ee8767e9
ADO: Miejski Ośrodek Pomocy Społecznej
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (10 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: Banner cookies do UMŁ. Dedykowana strona RODO z IOD i klauzulami.
https://mzz.lodz.pl/
SCAN ID: 20260309_104148_f5fd6c65
ADO: Miejski Zespół Żłobków
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (10 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: Banner cookies do UMŁ. Dedykowana strona RODO z IOD i klauzulami.
https://rewitalizacja.uml.lodz.pl/
SCAN ID: 20260309_104150_9c36cb31
ADO: Biuro ds. Rewitalizacji UMŁ
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (4 szt.).
Privacy Policy Analysis vs Tags
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: lokalne cookies i dedykowana strona RODO w menu.
https://nowa.mapa.lodz.pl/
SCAN ID: 20260309_104149_87917d65
ADO: InterSIT — Łódzki Ośrodek Geodezji
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (5 szt.).
Privacy Policy Analysis vs Tags
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Link w stopce
https://schronisko.uml.lodz.pl/
SCAN ID: 20260309_104209_93f8cd81
ADO: Schronisko dla Zwierząt w Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: banner na stronie odsyła do UMŁ, ale BIP schroniska ma dedykowane (bardziej szczegółowe) dokumenty.
https://wizyty.uml.lodz.pl/
SCAN ID: 20260309_104213_8cf5c6dd
ADO: Urząd Miasta Łodzi (rezerwacja wizyty)
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- -Potentially tracking cookies exist after session (1 szt.).
Privacy Policy Analysis vs Tags
Brak przypisanych kontenerów w tabeli dziennikarskiej.
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: polityki są podlinkowane dopiero w kroku "Zarezerwuj wizytę" w formularzu (odsyłają do BIP UMŁ).
https://strazmiejska.lodz.pl/
SCAN ID: 20260309_104212_8ebcd5a3
ADO: Straż Miejska w Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Na stronie głównej nic. Na BIP-ie jest strona RODO, ale banner cookies kieruje do 404.
https://wsparcie.uml.lodz.pl/
SCAN ID: 20260309_104231_a18b770e
ADO: Portal Wsparcia Społecznego UMŁ
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- -Potentially tracking cookies exist after session (7 szt.).
Privacy Policy Analysis vs Tags
Brak przypisanych kontenerów w tabeli dziennikarskiej.
📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
Wykryte incognito: pop up cookies wdrożony, dedykowane linki polityk wsparcia społecznego w stopce.
https://zzm.lodz.pl/
SCAN ID: 20260309_104233_104a4b29
ADO: Zarząd Zieleni Miejskiej w Łodzi
Hosting/IT: LODMAN-AS2 Metropolitan Area Network LODMAN, PL
Technical Conclusions (Scanner)
- ⚠️Detected gcd parameter in tracking requests.
- ⚠️Detected gcd without gcs in some requests.
- -Potentially tracking cookies exist after session (9 szt.).
Privacy Policy Analysis vs Tags
gcd=13l3l3l2l1l1 wysyłany przed udzieleniem zgody (art. 6 ust. 1 lit. a RODO).📸 Evidence: Snapshots of Pages and GDPR Documents ▼
📌 Notes from policy scan:
RODO ZZM PDF; klauzula monitoring: https://zzm.lodz.pl/files/public/uploads/RODO/KLAUZULA_INFORMACYJNA__MONITORING_ZZM.pdf
Google Tag Assistant – oficjalne narzędzie do debugowania Consent Mode
Chcesz samodzielnie sprawdzić, czy któraś z domen w raporcie rzeczywiście wysyła dane do Google przed uzyskaniem zgody? Użyj oficjalnego narzędzia Google:
• dokładny moment uruchomienia Google Analytics, Google Ads, DoubleClick itp.
• jakie dane są przekazywane do serwerów Google
• czy Consent Mode jest poprawnie wdrożony
To całkowicie obiektywne narzędzie Google. Każdy może samodzielnie zweryfikować i sfalsyfikować wyniki raportu.
Co najważniejsze to narzędzie jest używane przez specjalistów od marketingu internetowego do sprawdzenia jak i czy działają tagi dlatego nie ma możliwości, aby ktoś coś źle wdrożył czy popełnił rzekomo błąd. Szczególnie w skali kilkunastu domen, które się aktywnie monetyzuje w skali milionowego ruchu. Warto też wspomnieć, że Google nie ma żadnego interesu w tym, aby fałszować wyniki, ponieważ to uderzyłoby w jego własne interesy. Jest to wiarygodne narzędzie.