EUGDPR Audit
RU EN
Технический аудит · 2026-06-16

kvk.nl

Сайт Торговой палаты Нидерландов (реестр предприятий)
NL

Kvk.nl — сайт Торговой палаты Нидерландов (реестр предприятий). Замер главной страницы: 109 обращений, 18 доменов. Для государственного реестра набор насыщенный. На сайте есть собственный баннер согласия, и рекламная часть отклонена — это в пользу сайта. Но аналитика разрешена по умолчанию: сигнал согласия для аналитики выставлен в «разрешено» ещё до выбора пользователя, и аналитика Google вместе с собственным серверным сборщиком тегов отправляют просмотр раньше выбора. Параллельно сторонний сервис сбора данных собирает поведенческие события, причём первое — ещё до показа баннера, и в политике этот сервис не назван.

Хронология утечки

730–980 мс · система контента и сборщик тегов
Загружаются система управления контентом и клиентский сборщик тегов. Это подготовка к дальнейшим сборам.
1997 мс · собственный механизм согласия
Загружается собственный механизм cookie-согласия. Баннер на сайте предусмотрен.
2020 мс · сбор поведения до показа баннера
Сторонний сервис Cloud Nine Digital фиксирует поведенческое событие — взаимодействие с компонентом страницы. Это происходит ещё до того, как баннер согласия показан.
2275 мс · показ баннера
Сервис сбора фиксирует событие показа баннера согласия — то есть к этому моменту он уже работает.
2380 мс · виртуальный просмотр
Сторонний сервис фиксирует виртуальный просмотр страницы. Сбор поведения идёт до выбора пользователя.
2554 мс · аналитика Google по умолчанию
Аналитика Google отправляет просмотр с сигналом «аналитика разрешена», выставленным по умолчанию. Реклама при этом отклонена, но аналитика работает раньше выбора.
2639 мс · собственный серверный сборщик
Собственный серверный сборщик тегов отправляет просмотр с разрешённой аналитикой — также до выбора пользователя.
баннер показан, аналитика разрешена по умолчанию
Баннер согласия показан, но аналитика выставлена в «разрешено» по умолчанию и работает раньше выбора. Рекламная часть отклонена. Cookie через заголовки за сеанс не выставлено.

Декларация против факта

Google Analytics — заявлен
Sprinklr — заявлен
Mopinion — заявлен
+ Cloud Nine Digital — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.kvk.nl — сайт Торговой палаты Нидерландов (Kamer van Koophandel): регистрация предприятий, торговый реестр, сведения о компаниях, услуги для предпринимателей. Контролёр данных — KVK, государственная организация. Сайт информационный и сервисный.

Замер: 109 обращений к 18 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть собственный баннер согласия. Технический стек для государственного реестра насыщенный: аналитика, сторонний сбор данных, чат поддержки и опросы.

Кто получает данные

Тут были замечены: Google, Cloud Nine Digital.

Google получает данные через аналитику. Cloud Nine Digital — сторонний сервис сбора поведенческих данных, фиксирующий взаимодействия с компонентами и виртуальные просмотры. Собственный серверный сборщик тегов пересылает аналитику. Дополнительно работают чат поддержки Sprinklr, сервис опросов Mopinion, система управления контентом и сервис перевода. Рекламной выдачи и пикселей соцсетей в замере нет.

Был ли баннер согласия

Да, на сайте есть собственный баннер согласия, и он показывается примерно на второй секунде. В пользу сайта: рекламная часть отклонена — рекламное хранилище выключено, реклама неперсонализированная.

Но аналитика устроена иначе: сигнал согласия для неё выставлен в «разрешено» по умолчанию, ещё до выбора пользователя. И сторонний сбор поведения начинается даже раньше показа баннера.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

  • аналитика Google — с сигналом «аналитика разрешена» по умолчанию;
  • собственный серверный сборщик тегов — пересылка аналитики;
  • сторонний сервис Cloud Nine Digital — сбор взаимодействий и виртуальных просмотров, первое событие ещё до показа баннера.

Рекламная часть отклонена, и это засчитываем сайту. Но аналитика и сторонний сбор поведения — нетехнические цели, требующие согласия. Собственная политика прямо указывает, что для неосновных cookie запрашивается согласие, — а аналитика работает по умолчанию и раньше выбора.

Нераскрытый получатель

Отдельный пункт. Политика называет аналитику Google и чат поддержки, но сторонний сервис сбора поведенческих данных Cloud Nine Digital в ней не упомянут. То есть отдельный получатель, фиксирующий взаимодействия и просмотры, в перечне не раскрыт.

Вывод

Kvk.nl — умеренный случай со смешанной картиной. Рекламная часть отклонена, и это в пользу сайта. Но аналитика выставлена в «разрешено» по умолчанию и отправляет данные раньше выбора пользователя, а сторонний сервис сбора поведения начинает работу ещё до показа баннера — причём этот сервис в политике не назван. Главное, что должен вынести читатель: отклонение рекламы не закрывает вопрос, если аналитика разрешена по умолчанию и собирает данные до выбора, тем более когда собственная политика обещает спрашивать согласие для неосновных cookie. Достаточно выставить аналитику в «запрещено» до выбора пользователя и раскрыть сторонний сервис сбора в политике."

Доказательство
Оригинал (разбор)
HAR-файл: nl/kvk-nl-2026-06-16.har
SHA-256: a7d8d4be74192eb483bbdeb2b6ac8705faeb39009d7d7b9a6d4fa454d51a6387
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данныхautoriteitpersoonsgegevens.nl 

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом kvk.nl.

2. Обстоятельства
Я посетил сайт kvk.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть собственный баннер согласия, и в этом сеансе он показывается примерно на второй секунде. В пользу сайта надо отметить: рекламная часть отклонена — рекламное хранилище выключено, реклама неперсонализированная. Но аналитика устроена иначе: сигнал согласия для аналитики выставлен в состояние «разрешено» по умолчанию, ещё до того, как пользователь сделал выбор. В результате аналитика Google и собственный серверный сборщик тегов отправляют просмотр страницы с разрешённой аналитикой раньше выбора. Параллельно сторонний сервис сбора данных Cloud Nine Digital собирает поведенческие события — взаимодействия с компонентами и виртуальные просмотры, — причём первое такое событие фиксируется ещё до того, как баннер вообще показан. Собственная политика сайта прямо указывает, что для неосновных cookie запрашивается согласие. То есть аналитика отнесена к требующим согласия, а работает по умолчанию и раньше выбора.

2) Политика называет аналитику Google и чат поддержки, но сторонний сервис сбора поведенческих данных Cloud Nine Digital, который собирает взаимодействия и виртуальные просмотры, в ней не упомянут. То есть отдельный получатель поведенческих данных не раскрыт в перечне.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/kvk-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — аналитика разрешена по умолчанию и собирает данные до выбора пользователя; Art. 13 GDPR — сторонний сервис сбора данных Cloud Nine Digital в политике не назван

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]