Технический аудит · 2026-06-06

dpd.com

Курьерская служба, дочерняя компания GeoPost SA (Франция)

Курьерская служба с образцовой прозрачностью: ConsentManager показывает всех 17 вендоров поимённо с переключателями. Первый в серии сайт где список получателей задокументирован полностью. Но четыре сервиса включены по умолчанию без согласия.

Хронология утечки

+47 мс · до баннера

ConsentManager (cdn.consentmanager.net) — баннер начинает загружаться.

+51 мс · до баннера

Brandcenter DPD Group (brandcenter.dpdgroup.com) — SVG-логотипы группы. Франция/ЕС.

+52 мс · до баннера

Amazon CloudFront (d2csxpduxe849s.cloudfront.net) — медиа CDN. США.

+55 мс · до баннера

Alturing AI-чат (chatbot.alturing.eu) — чат поддержки. EU-домен.

+903 мс

ConsentManager загружает персонализированные данные согласия — cookie-список со всеми 17 вендорами.

Декларация против факта

✓ A/B Tasty — в Cookie Declaration — заявлен

✓ Amazon CloudFront — в Cookie Declaration — заявлен

✓ Cloudflare — в Cookie Declaration — заявлен

✓ consentmanager — в Cookie Declaration — заявлен

✓ Facebook (Meta) — в Cookie Declaration — заявлен

✓ Geopost — в Cookie Declaration — заявлен

✓ Google Ads — в Cookie Declaration — заявлен

✓ Google Advertising Products — в Cookie Declaration — заявлен

✓ Google Analytics — в Cookie Declaration — заявлен

✓ Google Fonts — в Cookie Declaration — заявлен

✓ Google General — в Cookie Declaration — заявлен

✓ Google Maps — в Cookie Declaration — заявлен

✓ Google Recaptcha — в Cookie Declaration — заявлен

✓ Google Tag Manager — в Cookie Declaration — заявлен

✓ TikTok (Analytics) — в Cookie Declaration — заявлен

✓ TikTok (Embed) — в Cookie Declaration — заявлен

✓ YouTube — в Cookie Declaration — заявлен

Тайминги передачи

+47 мс cdn.consentmanager.net до баннера ConsentManager SDK

+52 мс d2csxpduxe849s.cloudfront.net до баннера Amazon CloudFront. США

+55 мс chatbot.alturing.eu до баннера Alturing AI-чат

+157 мс a.delivery.consentmanager.net баннер Баннер виден пользователю

Зафиксированные трекеры

ConsentManager (cdn.consentmanager.net)
Alturing AI-чат (chatbot.alturing.eu)
Brandcenter DPD Group (brandcenter.dpdgroup.com)
Amazon CloudFront (d2csxpduxe849s.cloudfront.net)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

ConsentManager (+47 мс) и Alturing AI-чат (+55 мс) запускаются раньше чем баннер отрендерился и стал виден пользователю. Amazon CloudFront (+52 мс) передаёт данные в США до согласия.
GDPR Art. 7

ConsentManager предустанавливает «Функция», Amazon CloudFront, Cloudflare, consentmanager и Geopost как включённые по умолчанию (On) без согласия пользователя. Google Recaptcha также помечена как On по умолчанию. Остальные 13 вендоров выключены.

Контекст

DPD Eesti AS — курьерская служба, дочерняя компания GeoPost SA (Франция, группа La Poste). Работает в Эстонии, Латвии и Литве. Использует глобальную платформу dpd.com с локализацией для Эстонии (/ee/et/). HAR: 115 запросов, 6 доменов.

Скриншоты из ConsentManager показывают то, чего не было ни у одного сайта в серии: полный список из 17 вендоров, каждый поимённо, с переключателями для каждого:

A/B Tasty, Amazon CloudFront, Cloudflare, consentmanager, Facebook (Meta), Geopost, Google Ads, Google Advertising Products, Google Analytics, Google Fonts, Google General, Google Maps, Google Recaptcha, Google Tag Manager, TikTok (Analytics), TikTok (Embed), YouTube.

У каждого вендора — ссылка на его политику конфиденциальности. Пользователь видит кого именно он авторизует. Это стандарт прозрачности Art. 13(1)(e), которого не достиг ни один другой сайт в этой серии.

Что включено по умолчанию — проблема

Из 17 вендоров четыре включены по умолчанию (On) без согласия: Amazon CloudFront, Cloudflare, consentmanager и Geopost. Плюс Google Recaptcha также помечена как On. Технически Cloudflare и consentmanager можно обосновать как «необходимые» для работы сайта. Но Amazon CloudFront — CDN медиаконтента — и Google Recaptcha передают данные в США и не являются строго необходимыми по смыслу GDPR. Включение их по умолчанию без согласия нарушает принцип opt-in для необязательных сервисов.

HAR фиксирует только 6 доменов — потому что аудит проводился до принятия согласия. После нажатия «Принять все» активировались бы все 17 вендоров включая Google Analytics, Facebook Pixel, TikTok и YouTube. Это именно та модель которую должен реализовывать GDPR: большинство трекеров заблокированы до согласия, разблокируются после.

Вывод

DPD демонстрирует лучшую Cookie Declaration в серии: 17 вендоров поимённо, переключатели, ссылки на политики, кнопки «Отклонить все» и «Принять все». Это образец того как должна выглядеть прозрачность по Art. 13(1)(e). Единственное замечание — Amazon CloudFront и Google Recaptcha включены по умолчанию без согласия. Технически небольшое исправление на фоне в целом корректной архитектуры.

Доказательство

Оригинал (разбор)

HAR-файл: ee/dpd-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом dpd.com.

2. Обстоятельства
Я посетил сайт dpd.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) ConsentManager (+47 мс) и Alturing AI-чат (+55 мс) запускаются раньше чем баннер отрендерился и стал виден пользователю. Amazon CloudFront (+52 мс) передаёт данные в США до согласия.

2) ConsentManager предустанавливает «Функция», Amazon CloudFront, Cloudflare, consentmanager и Geopost как включённые по умолчанию (On) без согласия пользователя. Google Recaptcha также помечена как On по умолчанию. Остальные 13 вендоров выключены.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/dpd-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]