Технический аудит · 2026-06-16

nwo.nl

Сайт нидерландской организации научных исследований

Nwo.nl — сайт нидерландской организации научных исследований, главного научного фонда страны. Замер главной страницы: 50 обращений, 10 доменов. На сайте установлен собственный механизм сбора согласия, и текущее поколение аналитики Google настроено правильно — оно отправляет обращение с сигналом «согласие не дано». Но рядом работает устаревшее поколение аналитики Google, которое отправляет обращение с противоположным сигналом — «аналитика разрешена», как будто согласие уже получено. То есть один из двух потоков аналитики уходит со статусом «разрешено» ещё до выбора пользователя. Приватная аналитика без cookie и инструмент озвучки к этому отношения не имеют.

Хронология утечки

687 мс · собственный баннер согласия

Загружается собственный механизм сбора согласия. То, что отрабатывает с разрешённым статусом раньше выбора, происходит до согласия.

1713 мс · устаревшая аналитика Google загружается

Загружается устаревшее поколение аналитики Google. Этот вариант давно выведен из эксплуатации, но здесь продолжает работать.

1718 мс · приватная аналитика

Загружается приватная аналитика Siteimprove, работающая без cookie. Эта часть устроена сдержанно.

2355 мс · текущая аналитика Google в режиме «нет согласия»

Текущее поколение аналитики Google отправляет обращение с сигналом «согласие не дано». Это правильное поведение.

3404 мс · устаревшая аналитика Google с сигналом «разрешено»

Устаревшее поколение аналитики Google отправляет обращение с сигналом «аналитика разрешена» — то есть как будто согласие получено. Это противоречит и отсутствию согласия, и поведению текущего поколения.

Декларация против факта

✓ Google Analytics — заявлен

✓ Siteimprove — заявлен

Зафиксированные трекеры

Universal Analytics (устаревший, аналитика разрешена)
Google Analytics 4 (в режиме «нет согласия»)
Siteimprove (приватная аналитика)

Зафиксированные нарушения

Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — устаревшая аналитика Google отправляет данные с сигналом «аналитика разрешена» до согласия

На сайте установлен собственный механизм сбора согласия, и текущее поколение аналитики Google настроено правильно: оно отправляет обращение с сигналом «согласие не дано». Но рядом работает второе, устаревшее поколение аналитики Google, и оно отправляет обращение с противоположным сигналом — «аналитика разрешена», — то есть как будто согласие уже получено. В чистом сеансе без выбора пользователя это означает, что один из двух потоков аналитики Google уходит со статусом «разрешено» ещё до согласия. Налицо рассогласование: текущее поколение аналитики отклонено, а устаревшее отправляется как разрешённое. Аналитика — нетехническая цель, требующая согласия; отправка её с разрешённым статусом до выбора пользователя этому требованию противоречит. Отдельно отметим, что это поколение аналитики давно выведено из эксплуатации, но на сайте продолжает работать. Приватная аналитика Siteimprove, работающая без cookie, к претензии отношения не имеет.

Контекст

www.nwo.nl — сайт нидерландской организации научных исследований (NWO), главного государственного фонда финансирования науки: гранты, программы, новости исследований. Контролёр данных — NWO. Сайт информационный.

Замер: 50 обращений к 10 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте установлен собственный механизм сбора согласия. Аналитический стек включает два поколения аналитики Google и приватную аналитику.

Кто получает данные

Тут была замечена аналитика Google.

Аналитика Google присутствует в двух поколениях. Текущее отправляет обращение с сигналом «согласие не дано», а устаревшее — с сигналом «аналитика разрешена». Дополнительно работают приватная аналитика без cookie и инструмент озвучки для доступности. Рекламных сетей и пикселей соцсетей в замере нет.

Был ли баннер согласия

Да, на сайте установлен собственный механизм сбора согласия. И текущее поколение аналитики Google настроено правильно — оно держится в режиме «согласие не дано». Но устаревшее поколение отправляется с противоположным сигналом «аналитика разрешена», то есть как будто согласие уже получено. В чистом сеансе без выбора пользователя это рассогласование означает, что один из потоков аналитики уходит как разрешённый раньше согласия.

Что срабатывает до согласия

До согласия отрабатывает:

устаревшая аналитика Google — с сигналом «аналитика разрешена»;
текущая аналитика Google — с сигналом «согласие не дано» (правильно);
приватная аналитика Siteimprove — без cookie.

Приватная аналитика и режим «нет согласия» для текущего поколения здесь не претензия. Узловой момент — устаревшее поколение аналитики: оно отправляется как разрешённое до выбора пользователя.

Вывод

Nwo.nl — умеренный случай с рассогласованной настройкой согласия. Текущее поколение аналитики Google держится в режиме «согласие не дано», приватная аналитика обезличена и без cookie, рекламы нет — это в пользу сайта. Но устаревшее поколение аналитики Google, давно выведенное из эксплуатации, отправляется с сигналом «аналитика разрешена» ещё до выбора пользователя. Главное, что должен вынести читатель: когда два потока аналитики на одном сайте отправляют противоположные сигналы согласия, это и есть ошибка настройки — устаревший поток следует либо отключить, либо привести к тому же режиму ожидания согласия, что и текущий. Достаточно убрать устаревшую аналитику и оставить корректно настроенную текущую."

Доказательство

Оригинал (разбор)

HAR-файл: nl/nwo-nl-2026-06-16.har

SHA-256: 11837b21431c437708037dadd0155feae138f3509e4f35e680aa6310e636e0a1

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом nwo.nl.

2. Обстоятельства
Я посетил сайт nwo.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте установлен собственный механизм сбора согласия, и текущее поколение аналитики Google настроено правильно: оно отправляет обращение с сигналом «согласие не дано». Но рядом работает второе, устаревшее поколение аналитики Google, и оно отправляет обращение с противоположным сигналом — «аналитика разрешена», — то есть как будто согласие уже получено. В чистом сеансе без выбора пользователя это означает, что один из двух потоков аналитики Google уходит со статусом «разрешено» ещё до согласия. Налицо рассогласование: текущее поколение аналитики отклонено, а устаревшее отправляется как разрешённое. Аналитика — нетехническая цель, требующая согласия; отправка её с разрешённым статусом до выбора пользователя этому требованию противоречит. Отдельно отметим, что это поколение аналитики давно выведено из эксплуатации, но на сайте продолжает работать. Приватная аналитика Siteimprove, работающая без cookie, к претензии отношения не имеет.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/nwo-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — устаревшая аналитика Google отправляет данные с сигналом «аналитика разрешена» до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]